■湖南工業(yè)大學(xué)現(xiàn)代教育技術(shù)中心 郭兆宏

最近一段時(shí)間用戶(hù)反映多個(gè)網(wǎng)站不能訪問(wèn)請(qǐng)求解決，有的是校內(nèi)網(wǎng)站，有的是校外網(wǎng)站，通過(guò)測(cè)試發(fā)現(xiàn)這幾個(gè)網(wǎng)站本身都是正常的，只是因各種原因不能訪問(wèn)，現(xiàn)把這幾個(gè)網(wǎng)站無(wú)法訪問(wèn)的故障的排查分享出來(lái)。

學(xué)校某個(gè)網(wǎng)站無(wú)法在公網(wǎng)訪問(wèn)的排查

學(xué)校圖書(shū)館反映他們的一個(gè)網(wǎng)站在公網(wǎng)無(wú)法打開(kāi)，此網(wǎng)站的映射是 172.X.X.7:80-218.X.X.122:8844，在校內(nèi)用內(nèi)網(wǎng)地址172.x.x.7 還是公網(wǎng)地 址218.x.x.122:8844 都可打開(kāi)，用www.17ce.com 測(cè)試打不開(kāi)。于是又增加幾個(gè)映射，用不同公網(wǎng)IP 地址、端口號(hào)、www.17ce.com 測(cè)試，全打不開(kāi)。

再更換映射并用學(xué)校主頁(yè)的172.x.x.101:80-218.x.x.122:8844，用www.17ce.com 測(cè)試就打開(kāi)了，說(shuō)明公網(wǎng)IP 地址218.x.x.122 及端口8844 是正常的，可能是內(nèi)網(wǎng)172.x.x.7:80 哪里有問(wèn)題。

改用無(wú)校網(wǎng)認(rèn)證上網(wǎng)，172.x.x.7 打不開(kāi)，肯定卡在哪里了，因核心網(wǎng)絡(luò)中有多臺(tái)安全設(shè)備如WAF、IPS、防火墻、上網(wǎng)行為等，一臺(tái)進(jìn)入安全設(shè)備檢查配置，最后在一臺(tái)防火墻上查到有一條是對(duì)172.x.x.7 全禁止，前面有條對(duì)172.x.x.7 只開(kāi)放8080 和8983 端口的，馬上禁止此條策略，把映射換回來(lái)的172.X.X.7:80 到218.X.X.122:8844，再測(cè)試可以正常打開(kāi)，至此故障解決。

該問(wèn)題可能有幾個(gè)月了，之前有安全通報(bào)此IP：172.x.x.7 有安全問(wèn)題，圖書(shū)館老師就讓網(wǎng)絡(luò)中心在安全設(shè)備做了條安全策略，而圖書(shū)館主用的是此IP 地址的8080端口，80 端口極少用，現(xiàn)在想用時(shí)才發(fā)現(xiàn)在公網(wǎng)不能用，而做安全策略時(shí)圖書(shū)館老師也沒(méi)放開(kāi)80 端口，網(wǎng)絡(luò)中心只負(fù)責(zé)做映射及通用安全，能否使用需服務(wù)能正常運(yùn)行及用戶(hù)的反映，在做映射與做安全方面需加強(qiáng)協(xié)調(diào)溝通。

某個(gè)學(xué)校網(wǎng)站無(wú)法用無(wú)線校園網(wǎng)訪問(wèn)的排查

有用戶(hù)反映學(xué)校的教務(wù)系統(tǒng)無(wú)法用無(wú)線校園網(wǎng)訪問(wèn)，可在辦公室用無(wú)線校園網(wǎng)訪問(wèn)正常。因無(wú)線校園網(wǎng)是歸無(wú)線公司所管，不知道無(wú)線設(shè)備的用戶(hù)名及密碼，無(wú)法進(jìn)入無(wú)線網(wǎng)設(shè)備查看。不斷有用戶(hù)都反映有此問(wèn)題，于是只好查看網(wǎng)絡(luò)。

無(wú)線校園網(wǎng)無(wú)獨(dú)立出口，老師帳號(hào)走辦公教學(xué)出口，學(xué)生帳號(hào)走學(xué)生宿舍出口，在在辦公出口無(wú)線園IP 地址段限速只有電信2M+聯(lián)通2M。因網(wǎng)絡(luò)中心辦公區(qū)有一個(gè)單獨(dú)的無(wú)線校園SSID，使用的是有線校園網(wǎng)地址172.29.X.X，這段地址的出口限速要大得多，因此極少使用公無(wú)校園網(wǎng)SSID 上網(wǎng)。

上次處理教務(wù)系統(tǒng)外網(wǎng)不定時(shí)無(wú)法訪問(wèn)時(shí)，有用戶(hù)反映過(guò)無(wú)線校園網(wǎng)無(wú)法訪問(wèn)教務(wù)系統(tǒng)，當(dāng)時(shí)把教務(wù)系統(tǒng)訪問(wèn)的故障解決時(shí)，也有無(wú)線校園網(wǎng)的測(cè)試可以正常打開(kāi)，但當(dāng)時(shí)忘了無(wú)線網(wǎng)使用的是單獨(dú)SSID，不是公用的SSID，IP 地址段是不一樣的。

馬上接無(wú)線校園網(wǎng)用公用SSID 登錄，確定無(wú)法打開(kāi)教務(wù)系統(tǒng)網(wǎng)站。有線校園網(wǎng)、公網(wǎng)、及單獨(dú)SSID 的無(wú)線網(wǎng)能正常訪問(wèn)教務(wù)系統(tǒng)網(wǎng)站，說(shuō)明網(wǎng)絡(luò)都是正常。而公用無(wú)線校園SSID 用戶(hù)IP:172.27.X.X 地址無(wú)法訪問(wèn)，說(shuō)明此段地址卡了，進(jìn)入有線校園網(wǎng)核心交換機(jī)沒(méi)有查到與172.27.x.x 相關(guān)的配置，無(wú)線AC 控制器不知道密碼還是無(wú)法查看。

一臺(tái)臺(tái)進(jìn)入安全設(shè)備檢查，在上網(wǎng)行為里發(fā)現(xiàn)有條策略是禁止無(wú)線校園網(wǎng)的，禁止的目標(biāo)正是教務(wù)系統(tǒng)，馬上停止此條策略，再用無(wú)線校園網(wǎng)公用SSID 上網(wǎng)，可以正常打開(kāi)教務(wù)系統(tǒng)網(wǎng)站。

有一段時(shí)間基本沒(méi)有配置過(guò)上網(wǎng)行為策略了，也可能是其他同事誤配置。上次排查教務(wù)系統(tǒng)訪問(wèn)故障時(shí)解決故障后沒(méi)注意不同的SSID使用的是不同IP 地址段，導(dǎo)致當(dāng)時(shí)沒(méi)發(fā)現(xiàn)這個(gè)故障。

部分電腦通過(guò)無(wú)線校園網(wǎng)無(wú)法訪問(wèn)某個(gè)校內(nèi)網(wǎng)站的排查

圖書(shū)館反映20 多臺(tái)圖書(shū)檢索機(jī)全部無(wú)法打開(kāi)圖書(shū)檢索系統(tǒng)，圖書(shū)館檢索機(jī)是一體機(jī)通過(guò)專(zhuān)用無(wú)線校園網(wǎng)SSID 上網(wǎng)，為管理檢索機(jī)圖書(shū)館通過(guò)修改注冊(cè)表只能只能打開(kāi)圖書(shū)檢索系統(tǒng)，而用臺(tái)式電腦可以正常打開(kāi)檢索系統(tǒng)。因無(wú)線網(wǎng)歸無(wú)線公司運(yùn)維的，圖書(shū)館與無(wú)線公司扯了好久也沒(méi)解決這個(gè)故障，最后領(lǐng)導(dǎo)推到筆者這里。

等要到AC 密碼后登錄AC 查看沒(méi)有找到任何禁止圖書(shū)檢索系統(tǒng)的，查看這個(gè)專(zhuān)用SSID 除了是隱藏的外無(wú)其他特別的，把這個(gè)SSID隱藏去掉公開(kāi)此SSID，而此SSID 上的用戶(hù)20 多個(gè)用戶(hù)是正常的。拿筆記本到現(xiàn)場(chǎng)測(cè)試，此SSID 的信號(hào)正常，圖書(shū)檢索系統(tǒng)可以正常打開(kāi)，對(duì)外訪問(wèn)也是正常的，但在幾臺(tái)檢索機(jī)上卻還是不能打開(kāi)檢索系統(tǒng)。因檢索機(jī)注冊(cè)表修改過(guò)限定使用，無(wú)法進(jìn)行更多測(cè)試，用手機(jī)WIFI用這個(gè)專(zhuān)用SSID 登錄，也可以正常打開(kāi)檢索系統(tǒng)，對(duì)外訪問(wèn)正常，判斷是檢索機(jī)有問(wèn)題，讓圖書(shū)館查檢索機(jī)操作系統(tǒng)。

后來(lái)圖書(shū)館讓禁止對(duì)一個(gè)IP 地址的訪問(wèn)，他們也對(duì)檢索機(jī)全部查殺病毒后，可正常打開(kāi)圖書(shū)檢索系統(tǒng)了，至此故障解決，是因檢索機(jī)電腦有問(wèn)題，且是20 多臺(tái)檢索機(jī)同時(shí)出現(xiàn)相同的問(wèn)題，并不是圖書(shū)檢索系統(tǒng)及無(wú)線網(wǎng)有問(wèn)題。

QQ 空間在校園網(wǎng)內(nèi)無(wú)法打開(kāi)的排查

有用戶(hù)反映QQ 空間無(wú)法在校園內(nèi)打開(kāi)，用www.17ce.com 測(cè)試QQ 空間地址可以打開(kāi)。在另外一臺(tái)電腦用三個(gè)學(xué)生出口帳號(hào)認(rèn)證，分別從學(xué)生的電信、聯(lián)通、移動(dòng)出口出去，用另外一個(gè)QQ 登錄，全可以打開(kāi)。

用2 臺(tái)電腦做對(duì)比，一臺(tái)是從學(xué)生電信出口出去的，一臺(tái)是辦公出口出去，路由跟蹤qzone.qzone.qq.com，學(xué)生電信出口可以路由到，而辦公出口無(wú)法路由跟蹤，ping 學(xué)生電信出口路由跟蹤qzone.qzone.qq.com 的IP 地址183.3.22.59，全能ping 通，檢查幾臺(tái)有關(guān)交換機(jī)，沒(méi)有查出與183.3.22.59相關(guān)的配置，一臺(tái)臺(tái)進(jìn)入安全設(shè)備檢查與183.3.226.59及qzone.qzone.qq.com 相關(guān)的日志，未找出，防火墻里有QQ 空間對(duì)象應(yīng)用，于是增加策略放通，但還是打不開(kāi)QQ 空間。

筆者發(fā)現(xiàn)辦公區(qū)無(wú)法對(duì)user.qzone.qq.com 解析，肯定哪里有阻斷，可安全設(shè)備反復(fù)查找未查出。只能將安全設(shè)備一臺(tái)臺(tái)直通去測(cè)試ping user.qzone.qq.com，等到一臺(tái)防火墻和一臺(tái)IPS時(shí)直通時(shí)ping user.qzone.qq.com 通了，這時(shí)再用辦公出口的電腦打開(kāi)QQ 空間可以打開(kāi)了，再把安全設(shè)備一臺(tái)臺(tái)接進(jìn)網(wǎng)絡(luò)還是可以打開(kāi)QQ 空間，此致故障解決。

在另外一臺(tái)安全設(shè)備直接時(shí)發(fā)現(xiàn)輸入輸出接反了，不管正接還是反接無(wú)法還原出故障。在一臺(tái)臺(tái)的安全設(shè)備日志的阻斷里查不到與QQ空間和183.3.22.59 相關(guān)的日志。雖然故障解決了，但非常奇怪找不到原因，在部分安全設(shè)備集中日志服務(wù)器里也沒(méi)找與QQ 空間有關(guān)的阻斷，也沒(méi)找到自己辦公電腦IP 相關(guān)的阻斷，也可能是找錯(cuò)了對(duì)象，等有時(shí)間再好好找一找。

某個(gè)校外網(wǎng)站一部分內(nèi)容無(wú)法正常訪問(wèn)的排查

有用戶(hù)反映用校園網(wǎng)無(wú)法訪問(wèn)湖南省專(zhuān)業(yè)技術(shù)人員繼續(xù)網(wǎng)http://www.ejxjy.com 這個(gè)網(wǎng)站，于是測(cè)試在辦公室可以打開(kāi)此網(wǎng)站，向用戶(hù)說(shuō)此網(wǎng)站可以正常打開(kāi)，用戶(hù)再次反映是里面一個(gè)內(nèi)容無(wú)法訪問(wèn)，而這個(gè)內(nèi)容是注冊(cè)用戶(hù)才能看得到的，此用戶(hù)卻不肯提供帳號(hào)及密碼給做測(cè)試，而在此網(wǎng)站注冊(cè)用戶(hù)后需要交費(fèi)才能學(xué)習(xí)考試，沒(méi)辦法只能從外圍看看。

此域名解析出的IP 地址是202.197.122.70，這是教育網(wǎng)地址，在校內(nèi)是從辦公區(qū)教育網(wǎng)出口出去的，長(zhǎng)ping 此網(wǎng)站的IP 地址有點(diǎn)丟包，在辦公出口上查看此網(wǎng)站IP 地址的流表正常。在校內(nèi)能打開(kāi)此網(wǎng)站，肯定是沒(méi)有阻斷的地方。此網(wǎng)站是校外的，校外的網(wǎng)絡(luò)不是我們能管的，且是注冊(cè)用戶(hù)才能看到的內(nèi)容，可能有權(quán)限的問(wèn)題，這要問(wèn)網(wǎng)站管理員。因教育網(wǎng)是虛擬電信隧道做的，且只有10M 帶寬，有時(shí)可能跑滿(mǎn)了，且虛擬隧道的帶寬沒(méi)法監(jiān)控只能到時(shí)時(shí)的數(shù)據(jù)，且教育網(wǎng)地址受攻擊的次數(shù)非常多，這種外網(wǎng)的問(wèn)題不在能處理的范圍內(nèi)，無(wú)能為力。

總結(jié)

網(wǎng)站不能訪問(wèn)的問(wèn)題原因非常多，對(duì)校內(nèi)的網(wǎng)站，對(duì)網(wǎng)絡(luò)及安全設(shè)備是可以配置和檢查的，可以查找相關(guān)的原因。對(duì)校內(nèi)網(wǎng)站一定要先保障內(nèi)網(wǎng)地址可以打開(kāi)，如果內(nèi)網(wǎng)地址都打不開(kāi)是沒(méi)辦法檢查其他的；對(duì)一些電腦的原因不是網(wǎng)絡(luò)的責(zé)任一定要告訴用戶(hù)，讓用戶(hù)檢查自己的電腦，有時(shí)需換不同的瀏覽器試試。

對(duì)一些外網(wǎng)的網(wǎng)站不能訪問(wèn)的問(wèn)題先要多種方法測(cè)試保障此網(wǎng)站是正?？梢源蜷_(kāi)的，然后再能查找自己網(wǎng)絡(luò)相關(guān)的原因，如果是外網(wǎng)的網(wǎng)絡(luò)問(wèn)題及其他原因，是沒(méi)辦法解決的。網(wǎng)站雖然都不能訪問(wèn)但原因可能各不相同，要一例例分析查找。