交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
行业精选无线系列
无线管理与应用
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
制造业
高教/职教
医疗卫生
交通
公共安全
一、关键字
http访问
二、故障介绍
【网络拓扑简介】
PC —— EG ----外网----HTTPS服务器
【故障现象描述】
某单位反馈手机连接wifi“FJHXBANK-T”时无法跳转到认证页面。排查AC作为NAS设备,已经重定向地址给终端,终端发起http请求时,打不开页面。
同时现场总共有4个楼层,每一楼层都有一台EG
1)2楼和3楼无线和电脑认证链接访问正常
2)4楼和5楼,就是手机连ssid为“FJHXBANK-T”不能访问
三、故障处理过程
1、 排查流表收发
如图,nat转换正常,数据有发没收。收到的报文字节是60,按照处理经验,怀疑收到的是RST报文。
2、 在内外网口同时抓包分析
如上图,是正常访问抓波分析。数据显示三次握手成功,同时终端NAT转换正常,也发起HTTP请求,外网也得到响应。
如上图,是无法访问抓包分析。数据显示三次握手成功,但是没有nat转换记录。
但是,发现RST(服务器发给终端)且还有RST(外网地址发给服务器),理解来看就是路由器进行了代理。模仿服务器给手机发RST,且模仿外网地址给服务器发RST,实现双向终结。
结合现场正常和不正常的EG对比,发现不正常EG设备有应用阻断功能。分析怀疑和次原因有大概率关系。
3、 进一步定位路由器阻断行为
通过协调现场客户测试,发现访问终端的应用,被识别为“普通网页浏览-mobile”,匹配了现场行为策略阻断规则。取消测试行为策略功能,现场验证正常。
4、 解决方案
1、现场临时删除了应用阻断“普通网页浏览-mobile”,测试可以正常。
2、如果客户不允许操作删除应用阻断“普通网页浏览-mobile”的解决方案,测试应用策略增加访问服务器220.249.166.125。