cisco2600做NAT出现无法上网 Lack
初级会员
注册日期: Aug 2003
来自: 福建
发帖数: 129
cisco2600做NAT出现无法上网
我用cisco2600做NAT一段时间后可以成功上网,但几乎每天2-3次会出现无法上网对外提供服务,需重启服务器才可恢复正常,但一段时间后但又会出现这种情况。
无法上网时,CPU利用率只有不到10%。
后来我怀疑是ACL的问题,把ACL在端口的应用去掉。问题依然。
后来我干脆把配置全部清掉,重新配置,但没有把防毒防木马的ACL写上。
测试过近一天没有出现类似问题。
我把ACL附上,请大家帮忙看一下,ACL是否有问题。
ip access-list extended bingdu-protect
deny udp any eq 2699 any log
deny tcp any any range 135 139 log
deny tcp any any eq 389 log
deny tcp any any eq 445 log
deny tcp any any eq 4444 log
deny tcp any any eq 5554 log
deny tcp any any eq 1068 log
deny tcp any any eq 1025 log
deny tcp any any eq 69 log
deny tcp any any eq 9996 log
deny tcp any any eq 9997 log
deny udp any any eq 135 log
deny udp any any eq netbios-ns log
deny udp any any eq netbios-dgm log
deny udp any any eq netbios-ss log
deny udp any any eq 389 log
deny udp any any eq 1434 log
deny udp any any eq 1433 log
deny udp any any eq 1026 log
deny udp any any eq 1027 log
permit ip any any
上面的ACL应用上内网及外网以太网端口
向版主反映这个帖子 | IP: 已记录
01-13-2005 08:36
Lack
初级会员
注册日期: Aug 2003
来自: 福建
发帖数: 129
还有,请问,怎么查看ACL记录下的log啊?
造成死机时路由配置如下:
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xNig$6zcfjzvnNvclJlxo6o8oz0
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 61.154.*.* 255.255.255.0
ip nat outside
ip access-list extended bingdu-protect in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip access-list extended bingdu-protect in
duplex auto
speed auto
!
ip nat pool zlkd 61.154.*.* 61.154.*.* netmask 255.255.255.0--(只有一个地址)
ip nat inside source list 1 pool zlkd overload
ip nat inside source static tcp 192.168.1.93 80 61.154.*.* 80 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 61.154.*.*
ip http server
!
access-list 1 permit 192.168.1.0 0.0.0.255
ip access-list extended bingdu-protect
deny udp any eq 2699 any log
deny tcp any any range 135 139 log
deny tcp any any eq 389 log
deny tcp any any eq 445 log
deny tcp any any eq 4444 log
deny tcp any any eq 5554 log
deny tcp any any eq 1068 log
deny tcp any any eq 1025 log
deny tcp any any eq 69 log
deny tcp any any eq 9996 log
deny tcp any any eq 9997 log
deny udp any any eq 135 log
deny udp any any eq netbios-ns log
deny udp any any eq netbios-dgm log
deny udp any any eq netbios-ss log
deny udp any any eq 389 log
deny udp any any eq 1434 log
deny udp any any eq 1433 log
deny udp any any eq 1026 log
deny udp any any eq 1027 log
permit ip any any
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
!
!
end
向版主反映这个帖子 | IP: 已记录
01-13-2005 08:48
=渴望无限=
初级会员
注册日期: Jan 2005
来自: 南京
发帖数: 38
ACL看上去没什么问题,有问题你也不会能正常使用2,3天的,你把nat条目的存在时间调短些试试
__________________
Waiting for cat`s return
向版主反映这个帖子 | IP: 已记录
01-13-2005 09:30
平凡
正式会员
注册日期: Nov 2003
来自: 广西
发帖数: 644
Re: cisco2600做NAT出现无法上网
引用:
--------------------------------------------------------------------------------
最初由 Lack 发布
我用cisco2600做NAT一段时间后可以成功上网,但几乎每天2-3次会出现无法上网对外提供服务,需重启服务器才可恢复正常,但一段时间后但又会出现这种情况。
无法上网时,CPU利用率只有不到10%。
后来我怀疑是ACL的问题,把ACL在端口的应用去掉。问题依然。
后来我干脆把配置全部清掉,重新配置,但没有把防毒防木马的ACL写上。
测试过近一天没有出现类似问题。
我把ACL附上,请大家帮忙看一下,ACL是否有问题。
ip access-list extended bingdu-protect
deny udp any eq 2699 any log
deny tcp any any range 135 139 log
deny tcp any any eq 389 log
deny tcp any any eq 445 log
deny tcp any any eq 4444 log
deny tcp any any eq 5554 log
deny tcp any any eq 1068 log
deny tcp any any eq 1025 log
deny tcp any any eq 69 log
deny tcp any any eq 9996 log
deny tcp any any eq 9997 log
deny udp any any eq 135 log
deny udp any any eq netbios-ns log
deny udp any any eq netbios-dgm log
deny udp any any eq netbios-ss log
deny udp any any eq 389 log
deny udp any any eq 1434 log
deny udp any any eq 1433 log
deny udp any any eq 1026 log
deny udp any any eq 1027 log
permit ip any any
上面的ACL应用上内网及外网以太网端口
--------------------------------------------------------------------------------
log可能太多了,占用MEMORY啊。
看LOG在路由器输入LOGGING HOST
在HOST机器打开3COM的TFTP SERVER
向版主反映这个帖子 | IP: 已记录
01-13-2005 09:56
Lack
初级会员
注册日期: Aug 2003
来自: 福建
发帖数: 129
谢谢楼上的两位兄弟。
修改nat条目的存在时间
的命令是怎么写的啊?
向版主反映这个帖子 | IP: 已记录
01-13-2005 11:35
mingri
初级会员
注册日期: Jan 2005
来自: 重庆
发帖数: 8
我用cisco2600做路由如下2年没有问题
我用cisco2600做路由如下2年没有问题
现在几乎每天1-2次会出现无法上网对外提供服务,需重启服务器才可恢复正常,但一段时间后但又会出现这种情况。
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname xy2600
!
enable secret 5 xxxxxxxxxxxxx
enable password aaaaaa
!
ip subnet-zero
ip name-server xx.xx.xx.xx
!
ip cef
!
!
!
!
interface FastEthernet0/0
ip address 10.10.8.46 255.255.255.252
ip access-group 110 out
no ip directed-broadcast
ip accounting output-packets
full-duplex
!
interface FastEthernet0/1
ip address 202.xx.x.129 255.255.255.128
no ip directed-broadcast
ip accounting output-packets
ip policy route-map server
!
ip classless
ip route 0.0.0.0 0.0.0.0 202.xx.x.131
ip route 61.28.0.0 255.255.240.0 10.10.8.45
ip route 61.48.0.0 255.248.0.0 10.10.8.45
.
.
.
ip route 222.136.0.0 255.248.0.0 10.10.8.45
ip route 222.160.0.0 255.252.0.0 10.10.8.45
no ip http server
!
access-list 110 deny tcp any any eq 135
access-list 110 deny tcp any any eq 445
access-list 110 permit ip any any
access-list 130 permit ip host 202.xx.x.130 any
access-list 133 permit ip host 202.xx.x.133 any
route-map server permit 10
match ip address 130
match interface FastEthernet0/0
set ip next-hop 10.10.8.45
!
!
snmp-server community public RO
!
line con 0
transport input none
line aux 0
line vty 0 4
password aaa
login
!
no scheduler allocate
end
向版主反映这个帖子 | IP: 已记录
01-13-2005 17:35
mingri
初级会员
注册日期: Jan 2005
来自: 重庆
发帖数: 8
我用cisco2600做路由如下2年没有问题
由于出现了上面的问题
我用cisco2600做NAT一段时间后可以成功上网,但几乎每天1-2次也会出现无法上网对外提供服务,需重启服务器才可恢复正常,但一段时间后但又会出现这种情况。
配置如下,头痛
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname xxxx
!
enable secret 5 xxxxxxxxxxxx
enable password aaaaa
!
ip subnet-zero
ip name-server 202.xx.x.33
ip name-server 202.xx.x.34
ip name-server 61.xx.xx.68
!
ip cef
!
!
!
!
interface FastEthernet0/0
ip address 202.xx.x.133 255.255.255.128
no ip directed-broadcast
ip nat outside
!
interface FastEthernet0/1
ip address 202.xxx.xxx.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
ip nat pool bbb 202.xx.x.133 202.xx.x.133 netmask 255.255.255.128
ip nat inside source list 10 pool bbb overload
ip classless
ip route 0.0.0.0 0.0.0.0 202.xx.x.129
no ip http server
!
access-list 10 permit 202.xxx.xxx.0 0.0.0.255
access-list 120 deny tcp any any eq echo
access-list 120 deny tcp any any eq chargen
access-list 120 deny tcp any any eq 135
access-list 120 deny tcp any any eq 136
access-list 120 deny tcp any any eq 137
access-list 120 deny tcp any any eq 138
access-list 120 deny tcp any any eq 139
access-list 120 deny tcp any any eq 389
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any eq 4444
access-list 120 deny udp any any eq tftp
access-list 120 deny udp any any eq 135
access-list 120 deny udp any any eq 136
access-list 120 deny udp any any eq netbios-ns
access-list 120 deny udp any any eq netbios-dgm
access-list 120 deny udp any any eq netbios-ss
access-list 120 deny udp any any eq snmp
access-list 120 deny udp any any eq 389
access-list 120 deny udp any any eq 445
access-list 120 deny udp any any eq 1434
access-list 120 deny udp any any eq 1433
access-list 120 permit ip any any
!
snmp-server community public RO
!
line con 0
transport input none
line aux 0
line vty 0 4
password aaa
login
!
no scheduler allocate
end
向版主反映这个帖子 | IP: 已记录
01-13-2005 17:40
mingri
初级会员
注册日期: Jan 2005
来自: 重庆
发帖数: 8
建议各位大虾就以上问题给个解决办法,小弟在此谢过了
我是cisco2600的路由器,怎么回出现同样问题,请大家分析赐教
[ 关闭窗口 ]