本期分享的案例是企業(yè)網(wǎng)絡(luò)的相關(guān)問題。

背景介紹

粉絲反饋自己公司有1個總部，A、B、C三個分公司，總部是公網(wǎng)IP二分公司都是私網(wǎng)地址。這天A分公司增加多條寬帶后發(fā)現(xiàn)內(nèi)網(wǎng)的PC無法通過公網(wǎng)IP正常訪問總部的路由器了，表現(xiàn)為：登錄頁面可以打開，但是輸入賬號密碼后報錯“請求超時”，然后馬上退回到登錄頁面。

已有分析

對比測試：IT人員對比測試，使用手機(jī)移動網(wǎng)絡(luò)、B分部和C分部下的PC去訪問都是正常的，拓?fù)涫疽馊缦拢?/p>

問題診斷

(1) 首先這個現(xiàn)象和被“擠下去”的表現(xiàn)一模一樣，通過判斷總部路由器一次只能一個會話/用戶登錄使用，否則就會被擠下去；

(2) 通過這個前提，可以反推“增加了多條寬帶以后”才出現(xiàn)問題，不難猜到可能是A分部的PC訪問總部路由時，會有多個會話從不同WAN口出去分別和總部路由建立連接，導(dǎo)致會話擁擠，所以先檢查下相關(guān)配置：

• 路由表

• 策略路由

從上述來看路由表正常，而策略路由配置缺省網(wǎng)絡(luò)會任意走pppoe1和pppoe2，不排除PC訪問總部路由是分別出去的情況。

(3) 抓取A分部PC訪問總部路由Web頁面的數(shù)據(jù)包分析，可以清楚的看到，PC是會向該目的IP發(fā)起多個TCP SYN端口遞增的會話連接的：

(4) 同步抓取總部路由器WAN口的數(shù)據(jù)包分析，確實可以發(fā)現(xiàn)有2條訪問請求流來自不同的公網(wǎng)IP：

(5) 對應(yīng)的確認(rèn)A分部兩條寬帶下的下pppoe1和pppoe2的公網(wǎng)IP，正好能對的上訪問總部的源IP：

分析結(jié)果

• A分部增加多個寬帶后，PC訪問總部路由的Web時會有多個同一目的地的TCP會話（源端口遞增）行為；
• 這些TCP流會走到不同的WAN口出去分別和總部路由建立連接；
• 由于源IP不一致且總部路由只能支持一個會話訪問，所以互相擠掉會話無法正常訪問管理頁面。

解決方案

經(jīng)過測試似乎和策略路由同時選中pppoe1、pppoe2的配置項有關(guān)：

刪除/禁用該條目后，目的IP唯一的TCP流就能從同一個WAN口出去了，能正常登錄總部路由器設(shè)備頁面：