文章目录
[+]
一、网络拓扑
某单位利用移动5G专线实现手机访问单位的内网做事器,大致的网络构造如下图所示:
网络拓扑
(图片来自网络侵删)
二、故障情形
在移动开通数据后创造手机无法访问客户内网做事器,手机只可ping通到客户防火墙接口192.168.130.1,客户内网互访没有问题。
三、故障剖析
1、手机既然可ping通到客户防火墙接口192.168.130.1,解释移动的APN专线没有问
题,即gre隧道是没有问题的。
2、客户内网的设备可以相互访问,解释客户内网也没有问题。
3、从以上征象可将故障定位至客户防火墙,通过登录客户防火墙查看路由得知,防
墙配了一条缺省路由,下一跳是核心交流机10.67.15.5。而这个IP与手机卡的网段10.67.8.1/21冲突了,同时客户做事器的网段10.67.9.0/25也与手机卡的IP冲突,即10.67.8.1/21包含了10.67.15.5/24和10.67.9.0/25,根据路由的最长匹配原则,防火墙在选路时会优先选择10.67.9.0/25的路由进行转发,以是做事器的回包在到达防火墙后又被转发到客户交流机,无法到达手机侧。
四、故障缘故原由
手机卡的IP段与客户的内网网段冲突导致报文无法回送得手机,移动公司修正手机卡的IP段后网络规复正常。
