usg2200内网电脑无法访问某一个网站问题

发布时间:  2012-07-18 浏览次数:  104 下载次数:  0
问题描述

组网:

pc----usg2200---------internet

1、组网就是很常见,内网pc上网,一切都没问题,唯独访问一个网站出问题(http://219.142.42.17:8010/ESCM/account/login.do

2、侧开我们usg2200,pc直接接在出口,可以正常访问

3、在我们实验室测试,居然也不可以访问。在办公区却可以访问。这种现象感觉就是只要经过了hs的设备,就会出现这个问题。

告警信息
处理过程

通过抓包分析:


我们看抓包信息中,只有syn的数据,服务器对我们发出去的数据并没有处理

为什么会对我们设备处理的数据不进行处理呢?

我们尝试对正常情况下的数据抓包分析看出,发现有一个地方不一样就是正常情况下的请求的source 端口比较大(几万的端口),我们设备默认情况下出去的source端口比较小(几千的端口)

我们尝试修改source nat的端口范围:

hrp nat ports-segment  secondary    //端口号的取值范围为33768~65535。

然后测试,结果问题解决,访问正常

根因

1、第1反应认为是mtu或者网络中存在分片情况(调整tcp mss值)

通过命令firewall tcp-mss 1200 ,结果故障依旧

2、查看会话:

  Interface: Dialer0  NextHop: 220.181.125.95  MAC: 00-00-00-00-00-00
  <--packets:0  bytes:  -->packets:4 bytes:889
  192.168.0.31:4115[180.175.60.56:2179]-->219.142.42.17:8010

通过会话看出,数据已经发出去了,该服务器并没有回应

3、怀疑是否usg和这个服务器有处理机制的冲突

建议与总结

出现服务器对接受的端口范围的这种限制很少见,平时处理该问题的时候可以注意一下,尝试可以修改source端口hrp nat ports-segment

如果是usg5300 v1r3版本,他的命令和低端配置不一样,是:nat port range

END