大家好，我是老王，愛生活，愛技術。不定時更新與分享網絡故障處理案例。歡迎關注。

今天接到客戶通知，客戶又遇到了一個很奇怪的問題。

故障現象：終端與服務器映射後的地址在同一個網段，終端可以正常ping通服務器地址，延時正常，不丢包。個别終端可以正常打開業務WEB頁面，可以正常登錄，其餘終端隻能打開WEB頁面，但是無法登錄。拓撲如下：

拓撲圖

排查過程：

同網段個别終端可以正常訪問，說明服務器業務映射正常。其餘終端無法訪問，原因可能是某些安全設備或者安全策略阻斷了訪問數據。

排查：

1、與客戶确認網絡拓撲圖，核實終端與服務器之間是否有防火牆等安全設備。與客戶核實後确認，中間并沒有安全設備。

2、排查接入交換機可能存在的問題。使用筆記本直連服務器所在交換機，所有地址均可正常打開與登錄服務器的WEB業務。将筆記本更換到其他樓層交換機上後，頁面無法正常登錄。檢查樓層交換機配置後确認，接入交換機隻做了基礎的連通性配置。查看設備工作日志，日志中無異常問題。排除樓層交換機的問題。

測試終端的位置

3、排查核心交換機可能存在的問題。發現用戶網關上，配置了策略路由，檢查策略路由後确認，策略路由相關策略并未匹配本次異常的數據流。但是核心接口上開啟了WEB認證。經查看，核心上也有對服務器地址進行免認證配置。WEB認證開啟後，在沒有認證成功的情況下會阻斷部分數據，暫不确定是否是由于WEB認證功能引起的異常，置為可疑問題，需要進一步排查。

4、去掉WEB認證進行測試，測試結果可以正常打開服務頁面與登錄業務系統。至此，确認，業務異常是由于WEB認證功能模塊引起。

5、抓包進行對比分析後，确認WEB認證開啟時，終端在訪問服務器業務時，雖然可以正常打開登錄頁面，但是卻無法正常建立TCP連接。而去掉WEB認證後，可以正常建立TCP連接。

TCP抓包截圖

6、通過數據的交互進行最終定位。能夠進行正常訪問時，終端在登錄頁面輸入登錄信息後，點擊“登錄”按鈕，終端會與另外一個IP進行TCP連接，與客戶确認，該IP為WEB平台對應的數據庫地址。将對應IP也加入免認證後，問題解決。

總結：

在有WEB認證的場景下，通常服務器所在網段會進行免認證處理。個别時候，某些WEB服務登錄時會訪問對應的資源地址，而由于客戶不了解數據的轉發過程，不會對資源地址進行免認證處理，就會導緻終端在訪問到服務器地址後，連接重定向到資源地址時，資源地址未被放通而導緻訪問故障。

我是老王，不是隔壁那個老王，而是踩過很多坑的那個！關注我，避免踩更多的坑！