网络环境:

拓扑:

拓扑描述:

总部与分部,通过运营商的广域网路由器进行连接,运营商路由器与运营商内网跑BGP协议同步总部路由,运营商路由器与分布核心交换机之间跑OSPF路由协议 同步路由项。

运营商与分部核心之间,桥接一台防火墙 用来过滤不安全流量。

问题现象:

确认与总部对接完成后,大部分终端测试到总部内网可达。

但有部分用户,访问总部网站,网页打不开,且ping域名可达。使用tcping工具检测 到80、443端口 不通。

故障分析:

  • 到总部的ICMP协议可达,TCP协议不可达。

  • ICMP协议可达说明在网络层,与总部的对接已完成。

TCP协议不可达 怀疑是在防火墙节点被拦截掉了。

将防火墙撤掉,使核心直连运营商路由器后,所有用户访问总部网站都恢复正常。 由此可以确认是防火墙拦截了tcp流量。

查看防火墙A的流表,根据源地址目的地址查看流量走向,发现PC到总部网站的请求包,防火墙lan口有成功收到,并且有正常的将包转发到wan口,但是没有收到回包。

查看防火墙B的流表,发现通过防火墙A转发出去的tcp请求包,在防火墙B的wan口收到了回包

问题总结:

从防火墙A出去的请求包,防火墙A长期没有收到回复,根据tcp检测机制,防火墙判断该流量为不安全流量,并进行了拦截

关闭防火墙的tcp检测后,所有用户可以正常访问