某地税网络无法访问几个网站的故障解决
一, 网络现象:
在一用户处巡检时,用户反应了一个问题,说是经过防火墙后,发现www.dell.com.cn和www.sybase.com两个网站打不开,找了电信的人,电信人把笔记本直接接在电信进线测试,打开那两个网站是没有问题的,于是用户觉得应该是防火墙的原因造成了这种访问故障。
二, 分析过程:
1, 确认故障现象:
我在用户的机器上测试了这两个网站,果然不行,其他网站正常。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
重现用户向我描述的故障现象。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2, 确认网站和DNS是否正常:
在用户机器上ping www.dell.com.cn ,回包正常。我也看到了www.dell.com.cn的地址为:203.127.132.30, ping www.sybase.com ,回包显示超时,但地址也出来了:192.138.151.104。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
说明DNS解析这两个站没有问题,www.dell.com.cn ,回包正常,说明该站点没有问题。www.sybase.com 超时 ,有可能站点本身出现问题,这些还有待下一步的验证。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
3, 查看防火墙上有没有做相应的限制:
登录到防火墙上,仔细的查看了防火墙的设置,确认了防火墙配置没有问题。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
确认了防火墙配置没有问题
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
4, 证实问题到底是不是出在防火墙上:
直接把我的笔记本接到防火墙内网接口,再访问这两个网站,打开正常。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
基本上排除了防火墙的原因。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
5,确认内网访问这两个网站的数据包是否到达了防火墙内网接口:
telnet到防火墙上使用命令:tcpdump – i eth2 host x.x.x.23 and ! port 23 ,同时在测试机器上打开访问www.dell.com.cn的页面,抓包发现包绝对到了防火墙的内部,只是在数据交互到某个阶段时就没有了,奇怪!当访问www.sybase.com 时,我只看到了DNS解析的包,没有发现其他数据包,也就是说访问sybase时,数据包没有到防火墙内口。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
至此,我们可以推测:由于sybase的网站的IP地址为192段的,很有可能内部有某条路由包含了192.138.151.104,于是到sybase的数据包没有被路由到防火墙内网接口,这便会出现访问不了sybase的现象,这有待于我们检查用户核心交换机路由表的验证;但www.dell.com.cn 的站点IP为203段的,核心交换机的路由表上应该不会包含有203.127.132.30,而且我在防火墙内网接口上使用tcpdump抓包也说明到203.127.132.30的数据包是被路由到防火墙的,那么为什么会出现访问中止现象呢?奇怪!
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
5, 登录核心交换机查看路由表:
远程登录到核心交换机,查看交换机路由表,我发现了我推测的那条路由:一条由OSPF学习到的192.0.0.0的路由,被指向了一台专网上的交换机,而不是防火墙,但我没有发现包含有203.127.132.30的路由。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
至此,我们找到了sybase不能访问的原因,但www.dell.com.cn 无法访问的现象让我陷入了困境。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
6,实在想不出问题出在什么地方了,只好拿出杀手锏了:抓包!
在测试机器上安装Omnipeek,开启,再次打开访问www.dell.com.cn,呵呵,一会之后,我们抓到了我们要的数据包。
7, 数据包分析:
我们发现用户在访问www.dell.com.cn 时,首先解析到203.127.132.30的地址,并且在和203.127.132.30交互了之后,并开始从www1ap.ins.dell.com读取数据,而其IP地址为:143.166.83.208。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
至此,我们已经完全明白了www.dell.com.cn访问不了的原因了,因为用户的专网分配的全部是是143段的地址,核心交换机的路由表上关于143段的动态路由表项有很多,肯定有一条包含有143.166.83.208。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
8, 验证:
登录到交换机上查看路由表,发现的确存在一条OSPF的动态路由包含了143.166.83.208。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
解决!
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
三, 解决方法:
由于静态路由的优先级比动态路由高,所以在核心交换机手工增加关于143.166.83.208和192.138.151.104的主机路由,使之直接指向防火墙。就可以解决问题了。
四, 总结
1, 如果我一开始就注意到当我访问www.dell.com.cn 时,浏览器的地址栏后来变成了www1ap.ins.dell.com,而不再是www.dell.com.cn了,那么问题就会简单得多了,直接解析www1ap.ins.dell.com,就可以定位故障原因了,所以,细心可以使问题简单化!
2, “工欲善其事,必先利其器”,作为一名网络工程师,我们必须利用好我们的工具来帮助我们解决问题。在这个案例里,抓包工具再次显示了它强大的作用!
附件是WORD版本。
有分析不当的地方还请高人指点! |
发表于 2006-7-31 10:40:38
发表于 2006-7-31 11:08:31
发表于 2006-7-31 11:30:49
