感谢群内好友九哥来稿，初识九哥是在51CTO软考交流群，那还是2011年，他网名叫bind9，我只知道bind是linux下一个DNS服务器软件的名字，而DNS根服务器全球有13个，他应该叫bind13。总之，那时候群里的人都叫他小九哥，后来慢慢的叫九哥，现在叫老九，老九现在是某大型企业里面的高级网络工程师。那个时候的技术群还是挺纯粹的，不像现在，所有的群都在开车。群里抛出一个问题，没多久就能解决，能找到的最早的聊天记录：

▼ 群内成员关系融洽

那个时候微信刚上线不久，支付宝也没流行起来，大家都还是用的网银，你在外面不方便充话费、不方便买火车票什么的，在群里说一声就有人给你充好，当然钱要还的。

以下是九哥写的。

对端思科路由器在开启gatekeeper 会有一定概率发一个icmp报文类型为" destination unreachable"的包，会导致网联端探测失败或交易出错。对端后来是通过命令关闭后解决的
思科官方说明
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/210869-ASR1k-NAT-intermittently-fails-to-transl.html

排查问题思路

1.是不是思科的ASR或者ISR路由器
2.是的话有没有配置nat
3.有配置nat的话，敲下这个命令show platform hardware qfp active feature nat datepath gatein是否显示结果为“Gatekeeper on”
4.如果显示为“Gatekeeper on”建议关闭此功能，该功能有个bug，会一定概率导致需要被nat的流量没有被nat

show platform hardware qfp active feature nat datepath gatein，看看是不是显示gatekeeper on
关掉的命令是no ip nat service gatekeeper;