Eudemon 200 拨号用户上网无法打开部分网站

发布时间:  2012-12-28 浏览次数:  197 下载次数:  0
问题描述
E200内网口做DHCP Server,为内网用户分配IP地址,外网口是Dialer口,通过PPPoE拨号到运营商,获取公网地址,内网用户通过E200做NAT,访问Internet。

现网出现能访问像百度、谷歌这样的页面简单的网站,但不能访问像新浪、163等页面内容很大的网站
告警信息
处理过程
用户反馈内网用户都能访问像百度、谷歌这样的页面简单的网站,但不能访问像新浪、163等页面内容很大的网站。不过其中一台PC可以访问所有网站。
通过对不能访问的PC和可以正常访问的PC抓包比对发现,问题PC发出的TCP报文wnd都有异常,但不明白这些异常是如何产生的。
根据比对正常PC和问题PC的配置,发现正常PC的网卡MTU为1300,而问题PC的MTU是默认值,更改问题PC的MTU为1300,访问也正常,据此查看防火墙配置,发现防火墙的内网接口MTU没有被设置,外网接口MTU被改为1300。修改防火墙内网接口MTU为1300,所有PC都能正常访问,问题解决。
根因
修改接口的MTU会触发tcp报文的mss修改,当网络上存在设备不允许tcp报文分片时,若报文较大,将导致业务不通。这种情况下需要修改tcp的mss值来限制tcp报文的大小,即可以通过修改接口MTU来达到调整tcp mss大小的目的。
建议与总结
现网出现能访问像百度、谷歌这样的页面简单的网站,但不能访问像新浪、163等页面内容很大的网站,问题很可能和分片丢包相关,可以通过调整TCP MSS的方法解决问题。

END