所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

由于网络出口其他设备问题导致经过防火墙NAT转换后访问部分网站慢

发布时间:  2019-07-03 浏览次数:  734 下载次数:  0

问题描述

组网结构:
如所示,防火墙旁挂在网络出口位置,用户流量经过防火墙做NAT转换后访问Internet。
图4-1

用户反馈打开网页慢,打开其他网页正常。从客户端ping此网址正常,并且不经过NAT转换的用户访问此网页正常。

处理过程

排查防火墙到地址为X.X.15.106的路由。

根因

1. 既然是经过NAT转换后的用户访问网页不正常,那么可以对此类用户进行交互报文分析。通过分析此类用户的DNS请求报文,发现访问www.XXX.com.cn的过程中,客户端会多次发出相关的DNS请求。从下面的DNS回应报文来看,改网站的IP地址有一部分属于ISPA所有,有一部分属于ISPB所有。
下面DNS响应报文回应的地址都是ISPA的地址:
 
下面DNS响应报文回应的地址都是ISPB的地址:
 
2. 分析经NAT转换后用户的HTTP报文。
当客户端访问网站的地址是ISPA地址时,是可以获取到相关内容,如下:
 
当客户端访问网站的地址是ISPB地址时,发现一直在重传SYN报文,说明客户端发出的报文,没有到达服务器端,初步判断从客户端到网站(ISPB地址)的路径肯定有问题。
 
3. 分析不经NAT转换的用户访问该网站的交互报文。
分析交互报文发现不经NAT转换的情况下用户访问该网站的ISPB地址也是没有问题的。经过NAT和不经过NAT的区别是:经过NAT转换时,上网流量是从连接ISPB出口转发出去,不经过NAT转换时,上网流量是从连接ISPA的出口转发出去。
4. 再次分析经过NAT转换后的用户报文。
从这个报文中分析得到:客户端经过NAT转换后访问该网站,可以收到TTL超时报文,发超时报文设备的IP地址为X.X.15.106。
 
综合上面的分析,基本可以说明在经过NAT后访问新浪地址慢的原因是ISPB出口路由可能存在问题,需要排查设备X.X.15.106上的相关路由信息。

建议与总结

本案例主要是想让大家了解目前访问大多数门户网站,IP地址都不是唯一的,一次有可能会访问多个地址。因此我们在分析交互报文时也需要关注下DNS的相关信息。

END