网站公网IP不定时打不开

■ 湖南工业大学现代教育技术中心 郭兆宏

编者按： 笔者单位近期遇到某个网站部分公网IP打不开，最后经过排查发现是因为曾经在删除映射后但相关的ACL规则没有删除，造成此类故障。

单位某部门反应一个网站218.X.X.123:83打不开，笔者马上在办公室测试，可以打开此网站内网地址：172.x.x.75及公网地址218.X.X.123:83，而在 www.17ce.com上测试确实有些站点打不开，而测试单位门户网站基本全能打开，在出口设备上也可查到此网站内外网地址的流表，只能解释说内网正常，外网没办法查，且单位门户网站是正常的。

下班在家里确实也打不开 218.X.X.123:83，而以前可以正常打开的，远程到单位查看出口流表，家里测出的公网的IP地址流表的源地址及目的可以查到，有发送字节数，但没有接收字节数，于是开始排查起来。

增加映射、替换映射，确定公网IP及端口无问题

在出口上增加映射172.x.x.75:80到218.x.x.121:2283(电信线路上的映射)及172.x.x.75:80到 58.x.x.220:2283（联 通线路上的映射），在家里都无法打开218.x.x.121:2283、58.x.x.220:2283，用www.17ce.com测试只有部分站点打不开，大部分站点可以打开。用上一次故障排查的映射172.x.x.11到218.x.x121:8080，先 打 开此网站正常，用www.17ce.com测试基本全能打开，然后更改这个映射的内网地址为172.x.x.75:80到218.x.x.121:8080，此 时 打不 开218.x.x.121:8080，用www.17ce.com测试有部分站点打不开，改映射为172.x.x.11:80到218.x.x.123:83，在家打开正常，在www.17ce.com上测试基本全能打开，再把单位门户网站的内网映射到218.X.X.123:83，测试 基 本 全能打开，判定公网IP:218.x.x.123地址及端口号83是正常的没有被封禁，可能是内网哪里有问题。

在出口上增加减少会话数，故障仍旧

确认公网IP地址及端口号都是正常的，感觉是内网有问题。在上网行为日志中心单用户分析中按月查IP地址172.x.x.75平均每天有4万次访问，峰值有8万多，同时查单位门户网站IP地址172.x.x.101，平均每天有15万，峰值有22万多，因日志中心统计的数据是滞后的不是实时的数据，记得此网站以前访问量最高峰时一天有六十万多次的访问量，这个峰值比单位门户网站的访问量的峰值大得多，会不会最近访问量太大？

图1 sh ip fpm flows | include 218.x.x.116 (172.x.x.75) 所显示的数据

在出口查此IP172.x.x.75会话数sh flow-premgr ip-info 172.X.x.75 只有几十个，而sh flow-premgr ip-info 172.X.x.101有几个百个，为172.x.x.75修改每秒新建连接数为最大值10万个，测试故障依旧，最后选择是0为不限制，测试后故障依旧，发现用www.17ce.com测试打不开的站点的在出口流表上，sh ip fpm flows | include 218.x.x.123 (172.x.x.75)有发送字节数，但没有接收字节数，srcif、dstif数据都是（ffff），如图 1，判定是安全设备哪里有阻断。

直接跳过安全设备，故障仍旧

核心网络里串接了多台安全设备，在WAF里发现有几百条172.x.x.75的相关记录，马上增加对172.x.x.75的放通，其他安全设备的日志没有找到172.X.X.75的记录，在防火墙上增加对17.x.x.75的放通，策略计数一会就达到9999+了，再查日志发现有大量的172.x.x.75的记录，其中有一些是不完整会话，其中有个IP地址正是在出口流表查 到 srcif、dstif数 据 有（FFFF）的，说明数据过来了，但没有返回去。对多台安全设备都增加了对172.x.x.75的放通，检查日志阻断里都没有对172.x.x.75的阻断，可测试后故障依旧。没办法一台台直接跳过安全设备，数台安全设备全跳过后可故障依旧，测试打开218.x.x.123:83还是有部分站点无法打开，判定故障与安全设备无关，可能是网站及服务器哪里有问题。

用其他网站代替此网站IP地址，发现访问日志里无空流量IP，确认IP地址有问题

判定此网站及服务器可能有问题后让此部门检查服务器，查下访问日志，尤其是出口流表上有（FFFF）的记录IP地址访问数据，可等了半天他们也没提供出数据来。

没办法先把此部门的服务器的网络关闭了，找一台自用的服务器克隆某一网站使用此网站IP地址172.x.x.75，再次测试内网 IP、公网IP在办公室打开都正 常，用www.17ce.com测试故障依旧还是有部分站点打不开，同时传来在家所在小区也是单位大部分人住的小区可以打开此网站 218..x.x.123:83了（在断网之前）。在出口流表上查看到sh ip fpm flows |include 218.x.x.123 (172.x.x.75)的 srcif、dstif数据有（FFFF）的几个公网IP地址，在克隆网站的访问日志里都没有查找到，而出口流表里sh ip fpm flows |include 218.x.x.123 (172.x.x.75)有收发数据的几个公网IP地址，在克隆服务器的访问日志里全能找到。更改克隆服务器的IP地址为172.x.x.175，同时更改映射172.x.x.175:80到218.75.197.123:83，在www.17ce.com测试基本全能打开了，在出口里查流表sh ip fpm flows | include 218.x.x.123 (172.x.x.175)收发都有数据了，srcif、dstif没看到有（FFFF）的了。判定网站及服务器应没有问题，应是IP地址172.x.x.75在网络哪里有问题。

在出口后的一台路由器发现有一个ACL里此网站IP删除后故障排除

因单位网络是从办公核心交换机到学生核心交换机后先走学生宿舍的三家运营商的三台路由器上，默认的数据再从一台路由器走办公出口网关上，单位网络拓扑图如图2。想在核心交换机上抓包看看但查看下最后放弃了，一个因为核心交换机上没有空白万兆端口了只有千兆端口，二个因为到三台路由器的4个接口流量至少都有1个G，上班时都是数个G，峰值近10G，千兆口镜像下来肯定丢包，只得放弃抓包。

图2 单位网络拓扑图

核心交换机上没有查到与172.x.x.75相关的配置，到此网站几台交换机里也没查到与172.x.x.75相关的配置。登录三台宿舍路由器，发现有一台路由器的有一个ACL上面有允许172.x.x.75的，即到这台路由器这条策略上的数据从学生宿舍某运营商出口出去了，不走默认的办公出口，删除些条规则后，其它2台路由器没有发现与172.x.x.75相关的内容，使用克隆服务器用IP地址172.x.x.75，映射用 218.x.x.123:83，用www.17ce.com测 试218.X.X.123:83基本全能打开了，在出口里查流表sh ip fpm flows| include 218.x.x.123(172.x.x.75)收发都有数据了，srcif、dstif没看到有（FFFF）的了。然后关闭克隆服务器的网络，打开此部门网站172..x.x.75的网络，再次测试都是正常的了，至此故障解决。

是因为几个月前此部门此网站访问巨大有六十多万次，且有时打不开，于是就增加了某学生宿舍出口的映射，但测试后发现不好用，就删除了映射，但相关的ACL规则没有删除，从公网过来访问此网站的经过此路由器此条规则的数据就走学生宿舍某运营商出口了，没有返回到办公出口去，这就是为什么在办公出口查到不能访问IP的流表里只有发送数据没有接收数据的原因。

因从办公出出口进来的数据分别走三台宿舍路由器再到学生核心交换机，每台路由器都有三个选出口策略路由，且只有一台路由器的一个ACL有允许172.x.x.75规则的，即走学生出口了，所以只有极少数访问不成功，且数据是随机走三台路由器，这也是有时能访问有时不能访问的原因，并不是安全的原因。