ER3100 WAN口掩码设置错误导致内网PC无法访问某些网站问题分析
一、 问题描述:
用户反馈使用ER3100路由器时,出现访问个别网站失败,将设备恢复出厂设置,保持默认配置,依然无法解决此问题。
二、 过程分析:
根据用户反馈的信息,首先怀疑是否用户在路由器上做了相关的设置,导致访问网站失败。但是检查配置,均正常,没有配置网站过滤和策略路由。采用用户的配置在实验室尝试复现,但是无法复现客户的问题。通过和客户协商,借助客户的环境,定位问题。远程查看客户反馈的现象属实,尝试在客户的内网主机上ping 某网站的域名,可以解析出该网站的IP地址,但是ping不通该IP地址。尝试tracert该IP地址,即58.63.236.XX,返回如下图2.1显示:
图2.1 tracert结果示意图
从tracert的返回结果来看,报文只是从LAN侧转到了WAN侧,但是没有出WAN口发到WAN口网关上。在实验室采取同样的操作,尝试tracert该地址,结果正常从WAN口网关发出并最终访问到该IP。
可以看出路由器收到PC机发送的报文,但是没有转发出去。针对此现象,怀疑设备是否在转发环节出现问题?但是考虑到访问别的网站均正常,就是该网站有问题,那么排除设备本身原因。那么是否是运营商上层将报文过滤掉?可是查看tracret结果,最后一条返回的是WAN口信息,并不是WAN口网关信息。目前来看,现象是比较诡异。
摒弃问题本身,从转发原理开始分析,一般主机在发送IP包前,需要判断目的主机所处的位置,主机对比自身IP地址的网络地址与目的IP地址的网络地址,如果二者相等,可知目的主机与自己处于同一网络;如果二者不相等,则目的主机与自己处于不同网络。如果目的主机与本机处于同一网段,主机可以与其直接通信。如果目的主机与本机处于不同网段,则主机需将IP包交给网关路由器,让路由器将IP包转发给目的主机。
路由器收到IP包,首先检测其目的地址。如果目的地址为本机,则接收此包并将其解封装提交上层协议处理。如果IP包目的主机并非路由器地址,而处于某接口的直连网段,那么路由器就与其直接通信。但是如果目的地址与路由器不处于同一网段,则路由器需要将IP包交给下一跳路由处理,由下一跳设法将IP包转发给目的主机。
根据上述的原理,比较发现,主机地址为内网地址192.168.1.0/24网段,显然与目的主机的地址58.63.236.XX/32不在同一网段,当主机访问目的地址时,需要交与网关路由器处理。路由器收到IP包后,判断与目的主机是否在同一网段。查看客户的WAN口设置,发现客户WAN口地址为 58.67.137.29,但掩码竟然是255.0.0.0。这就导致解析出来的X网站的地址58.63.236.XX/32和WAN口地址在同一网段,所以当访问X网站时,设备会根据解析出来的地址判断不需要发到网关处理,而是直接在WAN侧直连网段查询,由于此处并不存在目的主机,自然是访问不到,终结在WAN口。
在实验室尝试复现时,WAN口地址与客户的地址设置的不一样,所以没有关注到此信息。询问用户,经查询,运营商给的掩码地址是255.255.252.0,而用户对此也不敏感,在输完WAN口地址后,采用了默认的255.0.0.0作为掩码地址,从而导致访问部分网站无法访问。
此种情况仅存在于要访问的目的网站地址与WAN口地址处于同一网段的环境。
三、 解决方法:
将WAN口地址的掩码根据运营商给出的地址修正即可解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作