由于网络出口其他设备问题导致经过防火墙NAT转换后访问部分网站慢

发布时间:  2014-09-20 浏览次数:  264 下载次数:  0
问题描述
组网结构:
如所示,防火墙旁挂在网络出口位置,用户流量经过防火墙做NAT转换后访问Internet。
图4-1

用户反馈打开新浪网页慢,打开其他网页正常。从客户端ping此网址正常,并且不经过NAT转换的用户访问此网页正常。
处理过程
排查防火墙到地址为122.90.15.106的路由。
根因
1. 既然是经过NAT转换后的用户访问网页不正常,那么可以对此类用户进行抓包分析。通过分析此类用户的DNS请求报文,发现访问www.sina.com.cn的过程中,客户端会多次发出相关的DNS请求。从下面的DNS回应报文来看,改网站的IP地址有一部分属于ISPA所有,有一部分属于ISPB所有。
下面DNS响应报文回应的地址都是ISPA的地址:

下面DNS响应报文回应的地址都是ISPB的地址:

2. 分析经NAT转换后用户的HTTP报文。
当客户端访问网站的地址是ISPA地址时,是可以获取到相关内容,如下:

当客户端访问网站的地址是ISPB地址时,发现一直在重传SYN报文,说明客户端发出的报文,没有到达服务器端,初步判断从客户端到网站(ISPB地址)的路径肯定有问题。

3. 分析不经NAT转换的用户访问新浪网站的抓包。
分析抓包发现不经NAT转换的情况下用户访问新浪网站的ISPB地址也是没有问题的。经过NAT和不经过NAT的区别是:经过NAT转换时,上网流量是从连接ISPB出口转发出去,不经过NAT转换时,上网流量是从连接ISPA的出口转发出去。
4. 再次分析经过NAT转换后的用户报文。
从这个报文中分析得到:客户端经过NAT转换后访问新浪网站,可以收到TTL超时报文,发超时报文设备的IP地址为122.90.15.106。

综合上面的分析,基本可以说明在经过NAT后访问新浪地址慢的原因是ISPB出口路由可能存在问题,需要排查设备122.90.15.106上的相关路由信息。
建议与总结
本案例主要是想让大家了解目前访问大多数门户网站,IP地址都不是唯一的,一次有可能会访问多个地址。因此我们在分析抓包时也需要关注下DNS的相关信息。

END