【求高手指教】某个网页无法打开

gekey · 发表于 2011-12-14 00:50:18

本帖最后由 gekey 于 2011-12-14 01:05 编辑

背景：最近处理某网吧的一个case，某个网站无法打开，网站地址：www.liaoliao.com；注：NBR是RJ的一款针对网吧的路由器

故障现象：www.liaoliao.com无法打开
外网口抓包分析：进行三次TCP握手，并且握手成功。但是对端服务器不回应get报文。

单台PC接到外网口测试：可以正常访问
采用rj设备NBR进行NAT，无法访问
在RJ设备NBR上面进行对内网的某个IP做静态NAT映射后，该内网IP地址对应的PC可以正常访问
ip nat inside source static 192.168.0.149 9912 219.134.134.xx permit-inside

在其它网吧，采用同样的NBR设备，可以正常访问。

做两层NAT后，可以正常访问【内网PC->NBR(路由器动态NAT)->NBR（路由器动态NAT）】
抓包对比单层NAT与双层NAT，报文完全一样。

目前，初步怀疑是服务器原因，但是服务没办法碰到，有没有人碰到类似问题，或者是服务器高手帮忙解答一下。

补充说明：该网吧有双出口，采用策略路由，走另外一个出口后，可以正常访问。
怀疑是MTU及MSS问题，已经调整了大小，仍然无法访问 ip tcp adjust-mss 1000 、ip mtu 1400
另外，host文件也正常，内网PC没有攻击之类的东西

linda.! · 发表于 2011-12-14 10:16:28

是不是NBR上还有其他的策略，拒绝了流量呀？

tea · 发表于 2011-12-14 12:47:33

我很好奇你的出口策略怎么部署的，如果你同样的配置，拔去一条出口链路，只走一侧，会出现这个问题么？

tea · 发表于 2011-12-14 12:50:10

tea 发表于 2011-12-14 12:47
我很好奇你的出口策略怎么部署的，如果你同样的配置，拔去一条出口链路，只走一侧，会出现这个问题么？

可以单线测试阿，就挂PC在NBR下面，NBR只连接你有问题的那条外网线路然后测试一下，如果不行，PC裸机测试一下

chinamoon · 发表于 2011-12-14 17:26:26

原来是Gekey！

gekey · 发表于 2011-12-14 19:00:21

本帖最后由 gekey 于 2011-12-14 19:01 编辑

!背景：80端口只能走G0/1接口出去，不能走ADSL拨号

access-list 188 permit tcp any any eq www
access-list 188 permit tcp any any eq 8080
access-list 188 permit tcp any any eq 8081
access-list 188 permit tcp any any eq 10088
access-list 188 permit tcp any any eq 10099
access-list 188 permit tcp any any eq 5000
access-list 188 permit tcp any any eq 4500
access-list 188 permit tcp any any eq 10065
access-list 188 permit tcp any any eq 10022
access-list 188 permit udp any any eq 8080
access-list 188 permit udp any any eq 8081
access-list 188 permit udp any any eq 10088
access-list 188 permit udp any any eq 10099
access-list 188 permit udp any any eq 5000
access-list 188 permit udp any any eq 4500
access-list 188 permit udp any any eq 10065
access-list 188 permit udp any any eq 10022
access-list 189 permit ip any host 121.10.133.26 !网站对应的IP地址
!
route-map a permit 9 !!!!加上这个策略后马上可以访问
match ip address 189
set int dialer 1
!
route-map a permit 10
match ip address 188
set ip next-hop 219.134.134.xx
!
!
interface dialer 1
mtu 1488
encapsulation PPP
ppp chap hostname xxxx
ppp chap password 7 065e665b774d4a7f5d
ppp pap sent-username xxxxx password 7 065e665b774d4a7f5d
ip nat outside
ip tcp adjust-mss 1460
ip address negotiate
dialer pool 11
dialer idle-timeout 1200
dialer-group 1
bandwidth 24000
!
interface GigabitEthernet 0/0
ip policy route-map a
ip nat inside
ip mtu 1400
ip address 192.168.0.2 255.255.248.0
!
interface GigabitEthernet 0/1
ip nat outside
ip tcp adjust-mss 1000
ip mtu 1400
ip address 219.134.134.xx 255.255.255.252
bandwidth 15000
!
ip route 0.0.0.0 0.0.0.0 dialer 1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 219.134.134.xx

!战果：与R&D现场奋战8天，没有结果，让客户更该出口IP

gekey · 发表于 2011-12-14 21:05:33

chinamoon 发表于 2011-12-14 17:26
原来是Gekey！

一直在潜水，从未被呛过··········

账号		自动登录	找回密码
密码			立即注册

【求高手指教】某个网页无法打开

本帖子中包含更多资源