大家好,我是老王,爱生活,爱技术。不定时更新与分享网络故障处理案例。欢迎关注。
今天接到客户通知,客户又遇到了一个很奇怪的问题。
故障现象:终端与服务器映射后的地址在同一个网段,终端可以正常ping通服务器地址,延时正常,不丢包。个别终端可以正常打开业务WEB页面,可以正常登录,其余终端只能打开WEB页面,但是无法登录。拓扑如下:
拓扑图
排查过程:
同网段个别终端可以正常访问,说明服务器业务映射正常。其余终端无法访问,原因可能是某些安全设备或者安全策略阻断了访问数据。
排查:
1、与客户确认网络拓扑图,核实终端与服务器之间是否有防火墙等安全设备。与客户核实后确认,中间并没有安全设备。
2、排查接入交换机可能存在的问题。使用笔记本直连服务器所在交换机,所有地址均可正常打开与登录服务器的WEB业务。将笔记本更换到其他楼层交换机上后,页面无法正常登录。检查楼层交换机配置后确认,接入交换机只做了基础的连通性配置。查看设备工作日志,日志中无异常问题。排除楼层交换机的问题。
测试终端的位置
3、排查核心交换机可能存在的问题。发现用户网关上,配置了策略路由,检查策略路由后确认,策略路由相关策略并未匹配本次异常的数据流。但是核心接口上开启了WEB认证。经查看,核心上也有对服务器地址进行免认证配置。WEB认证开启后,在没有认证成功的情况下会阻断部分数据,暂不确定是否是由于WEB认证功能引起的异常,置为可疑问题,需要进一步排查。
4、去掉WEB认证进行测试,测试结果可以正常打开服务页面与登录业务系统。至此,确认,业务异常是由于WEB认证功能模块引起。
5、抓包进行对比分析后,确认WEB认证开启时,终端在访问服务器业务时,虽然可以正常打开登录页面,但是却无法正常建立TCP连接。而去掉WEB认证后,可以正常建立TCP连接。
TCP抓包截图
6、通过数据的交互进行最终定位。能够进行正常访问时,终端在登录页面输入登录信息后,点击“登录”按钮,终端会与另外一个IP进行TCP连接,与客户确认,该IP为WEB平台对应的数据库地址。将对应IP也加入免认证后,问题解决。
总结:
在有WEB认证的场景下,通常服务器所在网段会进行免认证处理。个别时候,某些WEB服务登录时会访问对应的资源地址,而由于客户不了解数据的转发过程,不会对资源地址进行免认证处理,就会导致终端在访问到服务器地址后,连接重定向到资源地址时,资源地址未被放通而导致访问故障。
我是老王,不是隔壁那个老王,而是踩过很多坑的那个!关注我,避免踩更多的坑!
,
