问题描述

　　故障现象：用户发现某Web页面无法正常访问。

　　组网：USG6500E(V500R001C60SPC100)作为互联网出口设备(配置有Easy-ip方式的Nat)，防火墙上行通过运营商链路连接Web服务器，下联一台XXX友商的上网行为管理设备。上网行为管理下联用户三层汇聚交换机。

　　处理过程

　　一、在用户终端访问该Web页面验证故障现象，发现页面无法正常访问;

　　二、在用户终端对Web服务器地址进行ping测试，结果ping成功;

　　三、在用户终端对Web服务器地址进行telnet测试，发现该地址的443端口和80端口均能连接成功，由此可以判断网络层面地址可达;

　　四、在USG6500E防火墙查看会话表项，发现存在正确的NAT地址转换表项;

　　五、为排查传输层故障，在防火墙侧设置Web服务器地址作为五元组抓包参数。然后再用户终端对服务器地址ping测和telnet测试的同时，在防火墙端进行五元组抓包，结果显示TCP三次握手正常建立，之后的应用层连接被重置，此后终端向服务器不停重传TCP-SYN报文，没有收到回复报文;

　　六、由上述现象判断故障是由于运营商侧或应用侧对NAT转换后的公网地址做了相关的安全限制，故将原本的easy ip转换方式改为地址池转换的方式。

　　七、重新访问应用Web页面，故障得以解决。

　　根因

　　运营商侧或应用侧对防火墙NAT转换后的公网地址做了相关的安全限制，导致TCP建联不正常，引起页面访问故障。

　　解决方案

　　将原本的easy ip转换方式改为地址池的方式。

　　建议与总结

　　出现类似互联网环境下的页面无法访问情况，应当先排查网络层地址是否可达。网络层没问题应采用设备自带功能或专业抓包工具查看TCP建联情况，如果TCP连接成功则说明问题出在应用层。下一步则排查应用侧是否做了针对客户侧地址的相关限制策略，如发现存在不正确的限制策略则应加以调整或在用户设备侧改变发起访问的源地址。