本期分享的案例是企業(yè)網(wǎng)絡(luò)的相關(guān)問題。

背景介紹

粉絲反饋?zhàn)约汗居?個(gè)總部，A、B、C三個(gè)分公司，總部是公網(wǎng)IP二分公司都是私網(wǎng)地址。這天A分公司增加多條寬帶后發(fā)現(xiàn)內(nèi)網(wǎng)的PC無法通過公網(wǎng)IP正常訪問總部的路由器了，表現(xiàn)為：登錄頁面可以打開，但是輸入賬號密碼后報(bào)錯(cuò)“請求超時(shí)”，然后馬上退回到登錄頁面。

已有分析

對比測試：IT人員對比測試，使用手機(jī)移動(dòng)網(wǎng)絡(luò)、B分部和C分部下的PC去訪問都是正常的，拓?fù)涫疽馊缦拢?/p>

問題診斷

(1) 首先這個(gè)現(xiàn)象和被“擠下去”的表現(xiàn)一模一樣，通過判斷總部路由器一次只能一個(gè)會(huì)話/用戶登錄使用，否則就會(huì)被擠下去；

(2) 通過這個(gè)前提，可以反推“增加了多條寬帶以后”才出現(xiàn)問題，不難猜到可能是A分部的PC訪問總部路由時(shí)，會(huì)有多個(gè)會(huì)話從不同WAN口出去分別和總部路由建立連接，導(dǎo)致會(huì)話擁擠，所以先檢查下相關(guān)配置：

• 路由表

• 策略路由

從上述來看路由表正常，而策略路由配置缺省網(wǎng)絡(luò)會(huì)任意走pppoe1和pppoe2，不排除PC訪問總部路由是分別出去的情況。

(3) 抓取A分部PC訪問總部路由Web頁面的數(shù)據(jù)包分析，可以清楚的看到，PC是會(huì)向該目的IP發(fā)起多個(gè)TCP SYN端口遞增的會(huì)話連接的：

(4) 同步抓取總部路由器WAN口的數(shù)據(jù)包分析，確實(shí)可以發(fā)現(xiàn)有2條訪問請求流來自不同的公網(wǎng)IP：

(5) 對應(yīng)的確認(rèn)A分部兩條寬帶下的下pppoe1和pppoe2的公網(wǎng)IP，正好能對的上訪問總部的源IP：

分析結(jié)果

• A分部增加多個(gè)寬帶后，PC訪問總部路由的Web時(shí)會(huì)有多個(gè)同一目的地的TCP會(huì)話（源端口遞增）行為；
• 這些TCP流會(huì)走到不同的WAN口出去分別和總部路由建立連接；
• 由于源IP不一致且總部路由只能支持一個(gè)會(huì)話訪問，所以互相擠掉會(huì)話無法正常訪問管理頁面。

解決方案

經(jīng)過測試似乎和策略路由同時(shí)選中pppoe1、pppoe2的配置項(xiàng)有關(guān)：

刪除/禁用該條目后，目的IP唯一的TCP流就能從同一個(gè)WAN口出去了，能正常登錄總部路由器設(shè)備頁面：