网络通信 频道

能Ping通电信的网关,但是上不了网

   【IT168 专稿】睿博工作到接到一封求助邮件,信中称其公司新建网络出现一个奇怪问题:能Ping通电信的网关,但是上不了网!!

无法上网,多方求助无效!

   具体情况为:
   电信的光纤接入,固定IP地址,新购买的路由器。网络连接且设置完成后发现,在PC上可以Ping通电信所给的网关,但是无论如何都上不了网,路由器上也没有做任何的安全策略。而如果把固定IP设置在PC的网卡上,刚一切都正常,于是断定为新购买的路由器问题。
拓朴图如下:
   

   当把路由器拿到供应商那要求更换时,奇怪事情发生了,供应商工程师当着客户面测试,也是设置固定IP,竟然可以上网,没有问题!反复测试过多次,完全都正常。于是客户把路由器拿到朋友公司去测试,同样正常。

   客户只好把设备拿回公司,重新复位并配置,可问题依旧,电话给路由器的技术工程师一步步进行确认,配置也没有问题。客户便电话给电信,电信答复:如果IP设在PC上没有问题,那么线路肯定不会有问题!并拒绝进一步处理。

   客户在路由器工程师的帮助下,更换了网线、光纤收发器、交换机及在路由器中指定双工状态等,问题还是无法解决。

   电信线路没有问题,路由器没有问题,网线没有问题,光纤收发器没有问题,那谁有问题?!!难道真是人品有问题?!!!

   无奈之下,客户只好给第三方的睿博工作室求助。睿博工作室在接到求助后,了解到客户正好在睿博的服务范围以内,便指派驻地工程师前往处理。

现场分析:路由器安全机制成祸因?

   睿博工程师(以下简称netlorder)到达后,重新确认了一下故障现像,与客户描述属实。也再次用替换法换掉了除路由器之外的所以硬件设备,故障如旧。

   看上去问题确实奇怪,按说这不可能发生的,电信的网关是通的,上网自然就应该没有问题。难道是电信有做什么安全措施?可是把IP设在PC又没有问题!从现像上我们已经无法再了解什么了。netlorder只好在光纤收发器与路由器的连接线中接镜像交换机,希望通过抓包来了解数据中有没有什么异常。拓朴如下:
 

   结果一抓包,问题就发现了,应该说这是个非常简单的问题。抓包发现,当路由器通过ARP来请求电信网关的MAC地址的时候,会有一前一后两个响应包回来,并且响应了两个不同的网关MAC地址。通过测试进一步发现,使用了前面的MAC地址,那么可以Ping通网关但上不了网,而使用后面的MAC地址的,刚可以完全正常上网。那么现在可以确定,只有后面的MAC地址是正确的。可为什么路由器在得到前面的MAC地址之后,当有第二个ARP包过来时,会没有更新自己的ARP缓存呢?netlorder推断,或许是这款路由器有什么避免ARP欺骗的安全机制吧,只相信第一次得到的MAC,后面就不再更新。不过客户反馈,当时也有咨询路由器厂家,他们也没有提到有这么个安全机制。那这就不得而知了。

 

解决问题:看似不可能的事情出了问题

   问题发现后,处理起来就比较简单,此种情况应该跟电信也脱不了干系的。当把这些情况向电信反馈时,电信一级级推,最后到达数据中心。电信数据中心的人听了觉得不可能,便上门过来查看。netlorder演示给电信工程师看之后,他便要求把路由器拿到电信测试了。netlorder只能在客户处等待结果。

   差不多一个小时,电信拿回设备,确认跟他们有关系,现在已经帮此客户更换了一个不同网段的公网IP。设备重新上线,故障解决!!

四、经验总结
有些看似不可能的事情,就是有可能发生,所以,在没有确定问题之前,什么都是有可能的!

2
相关文章