本期分享的案例是企業(yè)網(wǎng)絡(luò)的相關(guān)問(wèn)題。

背景介紹

粉絲反饋?zhàn)约汗居?個(gè)總部，A、B、C三個(gè)分公司，總部是公網(wǎng)IP二分公司都是私網(wǎng)地址。這天A分公司增加多條寬帶后發(fā)現(xiàn)內(nèi)網(wǎng)的PC無(wú)法通過(guò)公網(wǎng)IP正常訪問(wèn)總部的路由器了，表現(xiàn)為：登錄頁(yè)面可以打開(kāi)，但是輸入賬號(hào)密碼后報(bào)錯(cuò)“請(qǐng)求超時(shí)”，然后馬上退回到登錄頁(yè)面。

已有分析

對(duì)比測(cè)試：IT人員對(duì)比測(cè)試，使用手機(jī)移動(dòng)網(wǎng)絡(luò)、B分部和C分部下的PC去訪問(wèn)都是正常的，拓?fù)涫疽馊缦拢?/p>

問(wèn)題診斷

(1) 首先這個(gè)現(xiàn)象和被“擠下去”的表現(xiàn)一模一樣，通過(guò)判斷總部路由器一次只能一個(gè)會(huì)話/用戶登錄使用，否則就會(huì)被擠下去；

(2) 通過(guò)這個(gè)前提，可以反推“增加了多條寬帶以后”才出現(xiàn)問(wèn)題，不難猜到可能是A分部的PC訪問(wèn)總部路由時(shí)，會(huì)有多個(gè)會(huì)話從不同WAN口出去分別和總部路由建立連接，導(dǎo)致會(huì)話擁擠，所以先檢查下相關(guān)配置：

• 路由表

• 策略路由

從上述來(lái)看路由表正常，而策略路由配置缺省網(wǎng)絡(luò)會(huì)任意走pppoe1和pppoe2，不排除PC訪問(wèn)總部路由是分別出去的情況。

(3) 抓取A分部PC訪問(wèn)總部路由Web頁(yè)面的數(shù)據(jù)包分析，可以清楚的看到，PC是會(huì)向該目的IP發(fā)起多個(gè)TCP SYN端口遞增的會(huì)話連接的：

(4) 同步抓取總部路由器WAN口的數(shù)據(jù)包分析，確實(shí)可以發(fā)現(xiàn)有2條訪問(wèn)請(qǐng)求流來(lái)自不同的公網(wǎng)IP：

(5) 對(duì)應(yīng)的確認(rèn)A分部?jī)蓷l寬帶下的下pppoe1和pppoe2的公網(wǎng)IP，正好能對(duì)的上訪問(wèn)總部的源IP：

分析結(jié)果

• A分部增加多個(gè)寬帶后，PC訪問(wèn)總部路由的Web時(shí)會(huì)有多個(gè)同一目的地的TCP會(huì)話（源端口遞增）行為；
• 這些TCP流會(huì)走到不同的WAN口出去分別和總部路由建立連接；
• 由于源IP不一致且總部路由只能支持一個(gè)會(huì)話訪問(wèn)，所以互相擠掉會(huì)話無(wú)法正常訪問(wèn)管理頁(yè)面。

解決方案

經(jīng)過(guò)測(cè)試似乎和策略路由同時(shí)選中pppoe1、pppoe2的配置項(xiàng)有關(guān)：

刪除/禁用該條目后，目的IP唯一的TCP流就能從同一個(gè)WAN口出去了，能正常登錄總部路由器設(shè)備頁(yè)面：