#原创分享#这个问题看似简单，却不常遇到！记一次客户外网无线访问不了自己网站域名排障

所涉及设备：

1.某公司AF 2.信锐无线AC

问题现象：

客户反映其连接信锐无线后，访问不了医院的网站，但是连接到其他无线或者自己手机热点后，可以正常访问；

网络拓扑：

说明：客户的无线网络是用信锐的WAC做出口，和业务办公区完全隔离，网站服务器在业务办公区；

排查思路：

1.首先我排查了网络层面：连接到无线，ping他们域名www.xxx.com发现不通，telnet www.xxx.com 80端口也不通;

nslookup 发现可以解析；连接手机热点 做同样测试，发现ping telnet都可以，访问正常；

2.怀疑防火墙策略问题，防火墙开直通；问题依旧；又怀疑WAC 是否做了策略限制，开直通后，问题依然存在；

3.从客户网管处了解到，WAC出口是移动专线，此移动专线原来在业务办公区防火墙上，后来移到了WAC上，专门用于无线办公；

4.我又检查一遍防火墙的DNAT和其他安全防护策略，依然没有发现异常。当看到防火墙出口IP中有一个eth6口没有使用，但是上面配了一个外网IP地址，发现此IP和无线WAC的地址一样，都是移动专线地址；

   于是禁用了防火墙上6口，连接无线，测试网站，发现正常。

5.所以此次问题造成的原因可由下图所示：

防火墙上未删除移动专线地址，又配置到了wac出口上，导致连上WAC下的无线ping 不通域名，访问不了网站；

解决此问题后，客户对此比较满意，本人也比较欣慰。客户对我司的信任又上了一层楼！

为什么防火墙上的地址没有插线 没有启用，连接无线也ping不通呢？

地址冲突？

学习了 谢谢

没有遇到过，先收藏

已关注楼主，分享的经验对我很有帮助！

不错 写的很清晰，以后会注意这样的问题

不错的帖子 感谢

可以说是地址冲突，但是没有遇到过这样的问题，按理说 防火墙上虽然地址没删除，也应该不会ping不通域名，很奇怪

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩: