内网用户不能访问特定的网站(如www.chinaacc.com),其它网站访问很正常

发布时间:  2012-07-18 浏览次数:  121 下载次数:  0
问题描述
现象描述:客户组网图如下,内部用户可以访问大多数网站,但极少数
网站不能访问(如www.chinaacc.com,IP为59.151.113.79),也PING不通
该网址的IP地址
告警信息
处理过程
1.怀疑是报文分片问题,修改MTU值,但是同样不能访问
www.chinaacc.com网站
2.怀疑是运营商的问题,直接将PC连接到外网线上发现可以访问
3.在防火墙的内网口访问此网站,同时抓包,查看发现只有出去的
包,没有回应的包,可能是路由问题,查看路由表发现,下一跳的
地址与此网站的地址很相似,仔细查看路由,有目的网段为59.0.0.0
的路由,查看外网口的地址,发现掩码为8位,与59.151.113.79
(www.chinaacc.com的地址)在同一个网段,导致防火墙误认为所访问
的59.151.113.79为直连路由,修改外网口的IP的掩码,则可以正常访问
根因
公网的IP地址掩码设置为8位,与所访问的网站的IP地址在同

一个网段,防火墙认为是直接路由,不走查找路由,直接发

送IP为59.151.113.79的广播,但此地址又不存在,则不能访问

建议与总结

在处理不能访问少数问题时除了注意MTU值的问题外,还要注意所设的

外网口IP的掩码长度

END