“当前已有100+用户参与分享,共计发放奖励60000+“
【前言】
前两天,同事给一客户替换出口设备,把原友商设备换成深信服防火墙,当晚测试好业务后离开。第二天一早,客户就反应一国外网站上不了,我电话指导客户开启数据直通,网站依旧无法访问,到这里也就基本排除了深信服防火墙的问题了。但毕竟我们动了客户的网络,不管是不是我们的问题,在这个节骨眼上出问题,我们都无法证明自己的清白,我们需要协助客户一起解决这个网站无法访问的问题。
【故障现象】
一国外网站无法访问
【排查过程】
首先在客户电脑上ping下这个国外域名,域名可以正常解析,发现***这个地址在回复‘TTL 传输中过期’,***这个地址可能是内网某个节点设备的IP,可以看出网站无法访问和该设备有很大关系。
接着tracert了下访问网站经过的路径,发现路由存在环路,数据包在***和***两个节点间来回循环,导致网站无法访问。这两IP非深信服AF接口IP,到这里可以完全排除深信服配置问题了。
定位到问题以后,告知了客户原因,本想协助客户检查下路由问题,无奈客户不知道设备登录密码,客户只知道这个是sdwan设备,最终由sdwan设备方进行环路排查,后sdwan方修改了路由,网站访问恢复正常。
【根本原因分析】
路由环路,数据包TTL值耗尽,导致数据包被丢,从而无法访问。
【解决办法】
检查设备路由表,修改错误路由。
【路由环路怎么产生的】
这里给大家举个例子,抛砖引玉。
如拓扑所示,一个简单的三层网络,出口设备接了互联网和专线,核心交换机上存在两个网段,内网终端需要访问专线,核心交换机上0.0.0.0/0默认路由指向AC,出口设备AC上需要写内网段的回执路由,假如在AC上写给内网的回执路由为***的汇总路由,AC去往专线的路由为***。那么这时下面终端去访问专线***段时就会出现环路。
***访问专线 ***,数据包通过默认路由到达出口网关,出口网关查找路由表发现***优先级大于***,于是将数据包再发往核心交换机,接着核心交换机再通过默认路由发给出口设备。。。一直循环。。。直到数据包被丢弃。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-10-8 23:00
技术员2级 
