小弟现在碰上个棘手的问题，

wastebaby

大家帮帮忙分析下可能的情况：现在公司通过一台硬件防火墙用NAT上INTERNET，网络拓朴就是附件1，现在经常会出附件图2的情况，此种DES NET   UNREACHABLE基本是几分种出现一次

用科来分析了内网流量正常，使用正常网络正常，PING任何的内网电脑都没有问题，平均利用率才5%左右，但是直接用NOTEBOOK接外网正常不会丢包，而通过内网转到外网去就会有有断线的情况发生，断的时候只有几秒就正常了，在一次TELNET到别服务器没多久自动掉线才发现了问题，因为平时断这么几秒根本没有什么察觉，大家有没有碰到这种情况。内网一切使用正常。就是发生了DES NET unreachable时候上网就会有断掉过几秒就OK了， 现在烦死了，最不希望会是防火墙出问题了吧。~~

[ 本帖最后由 wastebaby 于 2008-7-2 12:43 编辑 ]

wastebaby

其中的202.101.103.55 是本地电信的DNS的IP地址

从零开始

ping的时候同时抓包，设置过滤器，目标地址为：202.101.103.55。

linminwww

你了防火墙真的是老了

[ 本帖最后由 linminwww 于 2008-7-2 14:07 编辑 ]

oldjiang

我也ping一下，不丢包，延时稳定

wastebaby

我晕哈，202。101。103。55 那个是电信的DNS的IP呀，不是我防火墙的，我抓了下ICMP的包，当看到DES NET UNREACHABLE时候会抓到网络不可达目的不可达的ICMP包，

wastebaby

原帖由 oldjiang 于 2008-7-2 14:14 发表
我也ping一下，不丢包，延时稳定

TRACERT下了202，然后PING外部网关及中间的IP发现数据包居然出去了 ，马上打电话110。。是电信客服，答复如下：
初步据说可能猜测。。。是ISP商的问题，。。 我这边的数据包到外网的网关外面去了。。。只是到不了DNS的解析那 不知道电信的设备是不是太老了据说经常被别人DD

oldjiang

"数据包到外网的网关外面去了"，何解？

wastebaby

原帖由 oldjiang 于 2008-7-2 14:57 发表
"数据包到外网的网关外面去了"，何解？

不好意思没讲清楚，就是在跟踪DNS的IP时候中间有经过其它设备（那就有对应的IP），我们这边有ISP商给我们的网关地址，然后中间有五跳到DNS202这个地址，我用PING发现当出现DES NET UNREACABLE时，可以PING通其中的两跳就是内网到外网网关的IP，接口在有一跳，在到后面的的IP就也一样出现了DES NET REACHABLE了，所以我才敢说不是我们这边网出问题了，是在中间被丢弃了。

糊涂

这明显是你防火墙的问题嘛,你单机直接接那根进来的线没有问题就已经证明不是外面的问题了,还有一个很明显的地方难道你们都没有注意到?
ICMP包回复目标不可达是从你的防火墙192.168.128.1发回来的,那证明什么?证明你防火墙的路由表突然没了去往202.101.103.55这个地址的路由(也就是默认路由);引起这个可能就是你防火墙的外部端口突然断掉引起的,你可以试试一直ping202.101.103.55这个地址,然后突然拔了防火墙外网的网线,你就会看到同样情况!

eedream

原帖由 糊涂 于 2008-7-13 18:27 发表
这明显是你防火墙的问题嘛,你单机直接接那根进来的线没有问题就已经证明不是外面的问题了,还有一个很明显的地方难道你们都没有注意到?
ICMP包回复目标不可达是从你的防火墙192.168.128.1发回来的,那证明什么?证明你 ...

这是分析的很有道理，你用notebook直接连外网，正常 说明 DCE 端是没有问题的 存在是 DTE 端的问题。

wastebaby

原帖由 糊涂 于 2008-7-13 18:27 发表
这明显是你防火墙的问题嘛,你单机直接接那根进来的线没有问题就已经证明不是外面的问题了,还有一个很明显的地方难道你们都没有注意到?
ICMP包回复目标不可达是从你的防火墙192.168.128.1发回来的,那证明什么?证明你 ...

不好意思啊，不是我想翻旧贴。

不好意思，的确我当初也怀疑是我们防火墙的设定问题，当时电信做了一些设定，问题消失了，我们也没追究，因为问题了N次都是他们那边检查过设定没问题。
嘿嘿，今天这个问题在次重现，我就其它都没作，只叫电信把我们这断IP段的ICMP包都关掉，然后问题就就没发生过了，各位兄台知道是哪方面的原因吗

糊涂

碰巧路过...但想不出来为什么把icmp关掉就没事...