HiPER 4240NB NAT满导致用户无法上网

我单位在使用4240nb的产品,每天都会有用户说无法上网的问题.经检查发现,此时用户统计是少的,但4240nat统计显示为2048,此时用户即不能上网.必须重启设备方可解决,使用清除操作无效.现在是每天定时查看nat统计,显示为满时就重启,给工作和用户使用带来很大的不便.

Nat统计比用户统计多出去的部分,活动时间均无.

请问有什么好的办法吗?


官方：

典型的伪造源地址攻击，http://utt.com.cn/bbs/showthread.php?t=3767
最简单的解决方法：升级到ReOS 601版本，启用“WebUI--安全配置--基本选项--DoS/DDoS 攻击防御”。


nat user表和nat统计表是一个表，都是内网地址占满了这个表，你内网使用的什么子网掩码？


楼主：

我们的子网是一个B类的:255.255.0.0
产品买来时版本就是就是最新的版本.kv4240NBv601.bin

防DDOS没办法开,因为用户都是过三层的,开了用户就都不能上网了.

其中的情况是：

用户统计信息列表：288
NAT统计信息列表：1465

平时这两个表的比例也是这样的，NAT表中多出的部分，活动记录都是XX：XX：XX：XX。

重启后正常，每天要重启2、3次，都集中在上网高峰期。


用户访问internet时,正常情况下从line-2和line-3走。考虑到对部分网站进行线路优化，则该部分数据从line-1走，也就是经过nat设备。

四个nat设备公网口分别有一个公网的ip地址。

用户是拔号上网，ip地址池范围是*.*.0.0/27-*.*.31.224/27。

不要怀疑是版本问题，因为是最新的；不要怀疑是伪造源地址攻击，因为nat表上的地址都是我们内部的地址；

我觉得这是你们研发的问题，为什么不写一段代码？简单的定时检测一下nat表，将不活动的清理一下就ok了嘛，把定期的时间可以设置成自定义的就行了。不是很简单嘛，为什么你们不做呢？

现在给我们带来多少大的麻烦啊？每天都要重启nat设备来清nat表，不然就不能上网！！！





官方：

也就是说您的内网实际有32*256=8192个可用的IP地址，这超过了我们设备nat user的数量，实际上也超过了设备的arp、mac地址表的数量（这两个表有timeout时间）。

为您这种需求，软件必须作特别的修改，我先咨询一下开发人员然后给您答复。