国产三级在线观看播放,国产农村妇女精品一二区,国产精品久久久,国产肥熟女视频一区二区三区,国产成人精品亚洲777人妖

　故障現(xiàn)象：用戶發(fā)現(xiàn)某Web頁面無法正常訪問。

　　組網(wǎng)：USG6500E(V500R001C60SPC100)作為互聯(lián)網(wǎng)出口設備(配置有Easy-ip方式的Nat)，防火墻上行通過運營商鏈路連接Web服務器，下聯(lián)一臺XXX友商的上網(wǎng)行為管理設備。上網(wǎng)行為管理下聯(lián)用戶三層匯聚交換機。

　　處理過程

　　一、在用戶終端訪問該Web頁面驗證故障現(xiàn)象，發(fā)現(xiàn)頁面無法正常訪問;

　　二、在用戶終端對Web服務器地址進行ping測試，結果ping成功;

　　三、在用戶終端對Web服務器地址進行telnet測試，發(fā)現(xiàn)該地址的443端口和80端口均能連接成功，由此可以判斷網(wǎng)絡層面地址可達;

　　四、在USG6500E防火墻查看會話表項，發(fā)現(xiàn)存在正確的NAT地址轉換表項;

　　五、為排查傳輸層故障，在防火墻側設置Web服務器地址作為五元組抓包參數(shù)。然后再用戶終端對服務器地址ping測和telnet測試的同時，在防火墻端進行五元組抓包，結果顯示TCP三次握手正常建立，之后的應用層連接被重置，此后終端向服務器不停重傳TCP-SYN報文，沒有收到回復報文;

　　六、由上述現(xiàn)象判斷故障是由于運營商側或應用側對NAT轉換后的公網(wǎng)地址做了相關的安全限制，故將原本的easy ip轉換方式改為地址池轉換的方式。

　　七、重新訪問應用Web頁面，故障得以解決。

　　根因

　　運營商側或應用側對防火墻NAT轉換后的公網(wǎng)地址做了相關的安全限制，導致TCP建聯(lián)不正常，引起頁面訪問故障。

　　解決方案

　　將原本的easy ip轉換方式改為地址池的方式。

　　建議與總結

　　出現(xiàn)類似互聯(lián)網(wǎng)環(huán)境下的頁面無法訪問情況，應當先排查網(wǎng)絡層地址是否可達。網(wǎng)絡層沒問題應采用設備自帶功能或專業(yè)抓包工具查看TCP建聯(lián)情況，如果TCP連接成功則說明問題出在應用層。下一步則排查應用側是否做了針對客戶側地址的相關限制策略，如發(fā)現(xiàn)存在不正確的限制策略則應加以調整或在用戶設備側改變發(fā)起訪問的源地址。