USG2200(V3R1)部分网页打不开

发布时间:  2014-12-31 浏览次数:  193 下载次数:  0
问题描述
网络部分地址或部分业务出现故障。如部分较简单页面的网站可以访问,较复杂的页面访问不正常;发送带附件的邮件工作不正常;可以登录FTP服务器但无法传输文件等。

解决方案
可能原因
会话表满,导致新会话无法建立,但不影响原有会话的使用。
设备MTU过大导致报文在中间分片时被丢弃。
部分攻击防范功能误检测导致故障,如Smurf攻击防范、ICMP重定向/不可达报文攻击防范、Teardrop攻击防范。
说明:
用户终端的DNS配置错误,会导致多种业务工作正常但网页无法打开。需要用户与运营商联系确认DNS配置是否正确,该故障不属于设备故障,这里不做详细说明。

定位思路
部分业务出现故障,大多是由于配置了过于严格的攻击防范和接口MTU过小导致。目前设备提供的一些攻击防范功能会丢弃部分维护使用的协议报文,可能也会导致部分业务不可用,可以通过暂时关闭该功能来确认是否攻击防范导致故障。

现实网络中部分网站为了避免遭到攻击,会设置报文不允许分片,部分较大的数据包经过中间MTU较小接口时被丢弃。可以通过修改接口MTU值来解决该问题。

处理步骤
使用display firewall session table命令查看会话表数量是否接近规格大小。

当设备会话表数量达到上限后,新的会话无法建立,会导致连接失败。可以使用firewall session aging-time命令通过将会话的老化时间改小,加快会话表项的老化时间来解决。


将设备出接口的MTU改为较小的值(比如1300),检查是否故障排除。
依次关闭Smurf、ICMP重定向、Teardrop攻击防范功能,确认是否该配置导致的故障。

END