本帖最后由 iejtqy 于 2014-9-11 08:50 编辑
网络拓扑简化后大致如下图:
图1
拓扑说明:
1、出口防火墙NAT内部网络访问互联网。
2、上网行为网桥部署在网部中。
3、内网访问互联网的用户大致在5900左右
故障现象:
内网部分PC可访问www.miit.gov.cn,部分内网PC主机无法访问。无法打开网站的主机IE显示为无法打开该网站。
常规排查已排除行为管理策略对内网用户的阻拦。
故障分析:
1、从行为管理的内网口捕获的数据分析交互来看,客户端在建立完成三次握手后,发送的GET请求,没有得来网站的响应,重传5次未果后,服务器主动结束了连接。如下图,
图2
同样在行为管理的WAN口方向捕获的数据如上图2数据交互数据是一致的,说明行为客
理未对客户端的GET请求阻断拦截。如下图3
图3
2,从以往的分析经验让我习惯性的查看了客户端与网站之间协商的MSS值,如下图4
从交互协商的MSS来看,网站与PC端正常情况下会以两端协商最小的MSS值来做为两端之间传输数据的大小。
那么,在该案例中,为什么PC客户端为什么会发送的数据会超过两端协商的MSS值216字节的GET请求呢?
3、为了对比分析,我们同时还捕捕获了能正常访问该网站的数据交互如下图。
能正常访问该网站的PC客户端与网站协商的MSS值是一样的,我就不截图了,从上图我们可以看出PC客户端的GET请求数据并未超过两端协商的MSS值。
4、该问题还未得到解决,特发上来让大家帮忙分析下原因,同时附上故障的数据包。
| 
发表于 2014-9-10 20:24:26
发表于 2014-9-11 09:23:00