四個網站在校內外不能訪問

湖南工業大學現代教育技術中心 郭兆宏

筆者單位有人反映網站出現打不開的問題，以下就以四個實例解析。

國防科技大學網站在校內不能訪問

有用戶反映國防科技大學網站https://www.nudt.edu.cn 在筆者的校園網內不能訪問，但在家里訪問正常。

接到用戶反映后，筆者在辦公室嘗試確實打不開https://www.nudt.edu.cn，用www.17ce.com 測試各站點，可以訪問https://www.nudt.edu.cn，而且解析IP 為110.53.188.133 和202.197.9.133，通過路由跟蹤https://www.nudt.edu.cn，發現是走學校辦公區的教育網出口出去了，但無法到達域名的IP 地址202.197.9.133。

因已經從學校教育網出口出去了，后面的事無法管，就試著在辦公出口上把202.197.9.133 的路由指到電信出口上，再訪問https://www.nudt.edu.cn，可以正常訪問了。

再路由跟蹤該網址，雖然也無法到達202.197.9.133，但網頁可以正常訪問，問題算是解決了。

同時發現國防科技大學校友網xy.nudt.edu.cn 的IP是202.197.9.144，高等教育學報gdjyyjxb.nudt.edu.cn的IP 是202.197.9.41，國防科技gfkjjournal.nudt.edu.cn 的IP 是202.197.9.40，于是在辦公出口上將202.197.9.X 段都路由到電信出口上。再訪問這三個子網都可以正常訪問了，其他子網未檢查。

至此，該故障解決。

在校內辦公區不能訪問國防科技大學網站，是因為路由從學校辦公教育網出口出去后，無法訪問國防科技大學網段，在出口上改此段地址路由為電信出口后，雖然路由跟蹤不能到達，但網站基本可以正常訪問了。

鳳凰網在校內無法訪問，但一些子域名能正常訪問

有用戶反映鳳凰網網站http://www.ifeng.com 無法訪問而之前能正常打開。

接到用戶反映后在辦公室確實打不開，用www.17ce.com 測試各站點能打開，但解析IP 有多個，而鳳凰視頻v.ifeng.com 卻可以正常訪問，看視頻也正常。

通過路由跟蹤www.ifeng.com，目的地址是222.245.77.74，而v.ifeng.com 是222.243.141.25，www.ifeng.com 的路由跟蹤還未到出口設備時已經斷了，而v.ifeng.com 是222.243.141.25 可以ping 通。

由此斷定，肯定校內設備有攔截，在某臺防火墻設備查找時因輸錯一位IP 地址而沒有找到，增加地址放通時也輸錯一位地址，但當時不知道是輸入錯誤，沒辦法只有把此臺防火墻直通過去，再路由跟蹤，到了下一級交換機的地址，肯定還是此臺防火墻攔截了，再回頭檢查才發現放通的地址輸錯了IP 地址，同時發現有條攔截策略里有一個地址是222.245.77.74，于是刪除此地址，但還是無法訪問http://www.ifeng.com。

再路由跟蹤，到辦公出口設備后就無顯示了，再次檢查出口前的安全設備，因此臺設備無查詢IP 功能就在攔截對象地址增加222.245.77.74，不沖突就刪除，在某個攔截對象里有222.245.77.74 沖突，于是找出來刪除，再訪問http://www.ifeng.com可以正常訪問了，路由跟蹤http://www.ifeng.com 也可以正常到達222.245.77.74，至此故障解決。

在辦公區無法訪問鳳凰網網站http://www.ifeng.com 是因為在校園網絡里有2臺安全設備里有對222.245.77.74 的攔截，而用www.17ce.com 測試www.ifeng.com 解析出多個IP 地址，222.245.77.74 只是其中之一。

而IP 地 址222.245.77.74 是在去年年底網絡安全探針設備上線后，在攻擊路線圖上發現對學校網絡有攻擊地址之一。

為保護校園網正常運行，于是在其他安全設備對安全探針攻擊路線圖上IP 地址增加攔截，可能安全探針設備上的顯示的攻擊路線圖存在誤判，且http://www.ifeng.com 域名解析出多個IP 地址，正好這個時間段在校內辦公區訪問www.ifeng.com 是222.245.77.74 這個IP 地址，而此IP 地址正好被校內安全設備上給攔截了。

通過在2臺安全設備攔截的IP 地址里刪除222.245.77.74 后就能正常訪問鳳凰網網站了。

www.educoder.net 網站校內辦公區用戶不定時不能訪問

有用戶反映在校內無法訪問www.educoder.net 翻轉課堂的網站，且說上學期還正常的，不能訪問已經影響教學了。

在辦公室測試確實打不開，用www.17ce.com 測試各站點都能訪問，解析IP 都是121.40.10.136，跟由跟蹤www.educoder.net 目的地址121.40.10.136，可以到 達，ping 這個網址www.educoder.net 也是通的。

在路由跟蹤中，筆者發現其是從辦公區聯通出口出去的，因辦公區電信出口更大些是主用出口，于是就試著在辦公出口上將121.40.10.136路由指到電信出口上，當時做完后還是無法訪問此網站，路由跟蹤是從電信出口出去的，也路由跟蹤到了121.40.10.136，但下午再測試時卻可以訪問了。

但兩天后又有用戶反映該網站打不開了，在辦公室測試確定是打不開，路由跟蹤到了目的121.40.10.136，ping也是通的，就是無法訪問網站，用www.17ce.com 測試各站點都可以訪問，在辦公出口的設備查121.40.10.136 的流表全都正常。

在上網行為管理上時時監控對源地址過濾詳細信息中，可以看到此域名www.educoder.net，在多臺的設備里也沒查到對121.40.10.136有攔截。

試著用學生宿舍出口出去，可以訪問www.educoder.net，當時有老師在機房上課要使用www.educoder.net 翻轉課堂的網站，就將此機房幾十個帳號都改到學生宿舍聯通出口出去了。直接用IP：https://121.40.10.136 試過，但只有部分瀏覽器可以打開正常頁面。DNS 用的是電 信 的222.246.129.80 和59.51.78.210，在電腦上換過不同的DNS，也都無法正常訪問。

后來發現此網站還有其他域名trustie.educoder.net、forge.educoder.net 都是指向121.40.10.136 的，且路由跟蹤都可以到達，都是在辦公教學區從電信出口出去的，且都可以正常訪問。

于是讓相關學院的老師們使用這兩個域名進行訪問，同時在辦公出口設備做了www.educoder.net 的域名跳轉到trustie.educoder.net，但因設備URL 重定向不支持對HTTPS 加密的網站進行重定向，效果一般。

至此故障解決，這個www.educoder.net 翻轉課堂的網站不能正常訪問從開學搞起，斷斷續續搞了1個多月，有時能訪問，有時不能訪問，沒有找到規律，在安全設備里也沒有找到相應有攔截，且不能正常訪問時路由跟蹤可以到達，ping 域名www.educoder.net或IP:121.40.10.136 全是通的。

而如果像鳳凰網網站http://www.ifeng.com 的IP:222.245.77.74 被安全設備攔截是不可能通的，基本肯定安全設備里沒有攔截。也可能是檢查的方法手段不對，也可能時間花的還不夠，還有很多工作要做，不可能天天查這一個故障。但從發現另二個域名trustie.educoder.net、forge.educoder.net 后，在辦公區對這2個域名都能訪問，還未發現有不能訪問的時間。

學校官網www.hut.edu.cn在國外不能訪問，個別移動網用戶也無法訪問

在開學時，有學校在美國的訪問學者反映在美國無法訪問學校官網www.hut.edu.cn。

筆者用www.17ce.com 測試國外站點是可以訪問，用另外一個測試工具顯示美國地址的確實打不開，因學校官網www.hut.edu.cn 是 云WAF 保護的對攻擊行為有過濾，且在暑假學校網絡機房經歷過停電、教育網出口斷過，電信出口斷過，在這些故障期間，學校官網www.hut.edu.cn 都是無法訪問，希望在美國能要多次訪問，不同時段的訪問試試。

嘗試使用真實IP 地址218.x.x.116 訪問看看。在安全探針的攻擊源區域排名有美國，用IP138 檢測這些IP地址確實是美國，說明美國地址可以訪問學校官網。在辦公出口設備的流表中也找到美國地址，說明有美國的地址能訪問學校官網。

估計可能是云WAF 對部分美國IP 地址有攔截，因這位老師沒有提供在美國的IP地址，所以暫時無法查詢相關地址的歷史訪問記錄或攔截記錄。

9月底先是有學生用戶反映無法訪問學校官網www.hut.edu.cn，顯示“425 訪 問被云平臺攔截，可能原因：你的外網IP 已被加入到云平臺黑名單”。

由于該用戶是移動網絡用戶，筆者讓他們用真實IP：218.x.x.116 地址來訪問，可以正常訪問。后來不斷地有老師和學生用戶反映都不能訪問學校官網www.hut.edu.cn，且基本都是移動網絡用戶。

正好前幾天云WAF 公司反映39.134.16.X 段的地址大量攻擊學校官網www.hut.edu.cn，15 分鐘有11萬次攻擊，造成學校官網一時無法訪問就把這段地址給攔截了，經請示領導后讓云WAF 公司放開此段地址，后來就沒用戶反映不能訪問學校官網www.hut.edu.cn 了。

至此故障解決，這些移動網絡用戶不能訪問學校官網www.hut.edu.cn 的基本都是被云WAF 給攔截了。

在本文投稿前，電信打電話說學校官網www.hut.edu.cn 顯示的IP 地址與注冊地不相同，顯示的不是本地的，按法規域名必須是注冊地的IP 地址，一個是改回來，另一個到到云WAF 公司所在地注冊去，必須二選一。因學校所有網站地址都在本地電信上，只是學校官網牽引到云WAF上，真實IP 還是本地的，只能更改DNS，學校官網取消云WAF 保護。

馬上在學校的安全探針上發現39..134.16.X 段幾個地址對學校網站有大量攻擊，只得在其他安全設備攔截這幾個地址，上面這問題可能還會再出現。

總結

四個網站在校內外雖然都不能正常訪問，但原因各不相同。

有的是路由問題，可以改路由出口；有的是校內安全設備攔截，可以通過路由跟蹤找到斷點，再到相關設備里查找；有的時斷時續的可以訪問，可以通過轉換不同出口訪問，或查找另外域名的方式訪問；有的不能訪問可能是因為云保護，可以通過真實IP地址方式訪問，或放開攔截的地址段。

總之，網站不能訪問的原因各異，有的是內網原因，有的是外網原因，要因地制宜查找故障原因，一一排除或找到一個解決的方法。