幾個網站無法訪問的故障

■湖南工業大學現代教育技術中心 郭兆宏

最近一段時間用戶反映多個網站不能訪問請求解決，有的是校內網站，有的是校外網站，通過測試發現這幾個網站本身都是正常的，只是因各種原因不能訪問，現把這幾個網站無法訪問的故障的排查分享出來。

學校某個網站無法在公網訪問的排查

學校圖書館反映他們的一個網站在公網無法打開，此網站的映射是 172.X.X.7:80-218.X.X.122:8844，在校內用內網地址172.x.x.7 還是公網地 址218.x.x.122:8844 都可打開，用www.17ce.com 測試打不開。于是又增加幾個映射，用不同公網IP 地址、端口號、www.17ce.com 測試，全打不開。

再更換映射并用學校主頁的172.x.x.101:80-218.x.x.122:8844，用www.17ce.com 測試就打開了，說明公網IP 地址218.x.x.122 及端口8844 是正常的，可能是內網172.x.x.7:80 哪里有問題。

改用無校網認證上網，172.x.x.7 打不開，肯定卡在哪里了，因核心網絡中有多臺安全設備如WAF、IPS、防火墻、上網行為等，一臺進入安全設備檢查配置，最后在一臺防火墻上查到有一條是對172.x.x.7 全禁止，前面有條對172.x.x.7 只開放8080 和8983 端口的，馬上禁止此條策略，把映射換回來的172.X.X.7:80 到218.X.X.122:8844，再測試可以正常打開，至此故障解決。

該問題可能有幾個月了，之前有安全通報此IP：172.x.x.7 有安全問題，圖書館老師就讓網絡中心在安全設備做了條安全策略，而圖書館主用的是此IP 地址的8080端口，80 端口極少用，現在想用時才發現在公網不能用，而做安全策略時圖書館老師也沒放開80 端口，網絡中心只負責做映射及通用安全，能否使用需服務能正常運行及用戶的反映，在做映射與做安全方面需加強協調溝通。

某個學校網站無法用無線校園網訪問的排查

有用戶反映學校的教務系統無法用無線校園網訪問，可在辦公室用無線校園網訪問正常。因無線校園網是歸無線公司所管，不知道無線設備的用戶名及密碼，無法進入無線網設備查看。不斷有用戶都反映有此問題，于是只好查看網絡。

無線校園網無獨立出口，老師帳號走辦公教學出口，學生帳號走學生宿舍出口，在在辦公出口無線園IP 地址段限速只有電信2M+聯通2M。因網絡中心辦公區有一個單獨的無線校園SSID，使用的是有線校園網地址172.29.X.X，這段地址的出口限速要大得多，因此極少使用公無校園網SSID 上網。

上次處理教務系統外網不定時無法訪問時，有用戶反映過無線校園網無法訪問教務系統，當時把教務系統訪問的故障解決時，也有無線校園網的測試可以正常打開，但當時忘了無線網使用的是單獨SSID，不是公用的SSID，IP 地址段是不一樣的。

馬上接無線校園網用公用SSID 登錄，確定無法打開教務系統網站。有線校園網、公網、及單獨SSID 的無線網能正常訪問教務系統網站，說明網絡都是正常。而公用無線校園SSID 用戶IP:172.27.X.X 地址無法訪問，說明此段地址卡了，進入有線校園網核心交換機沒有查到與172.27.x.x 相關的配置，無線AC 控制器不知道密碼還是無法查看。

一臺臺進入安全設備檢查，在上網行為里發現有條策略是禁止無線校園網的，禁止的目標正是教務系統，馬上停止此條策略，再用無線校園網公用SSID 上網，可以正常打開教務系統網站。

有一段時間基本沒有配置過上網行為策略了，也可能是其他同事誤配置。上次排查教務系統訪問故障時解決故障后沒注意不同的SSID使用的是不同IP 地址段，導致當時沒發現這個故障。

部分電腦通過無線校園網無法訪問某個校內網站的排查

圖書館反映20 多臺圖書檢索機全部無法打開圖書檢索系統，圖書館檢索機是一體機通過專用無線校園網SSID 上網，為管理檢索機圖書館通過修改注冊表只能只能打開圖書檢索系統，而用臺式電腦可以正常打開檢索系統。因無線網歸無線公司運維的，圖書館與無線公司扯了好久也沒解決這個故障，最后領導推到筆者這里。

等要到AC 密碼后登錄AC 查看沒有找到任何禁止圖書檢索系統的，查看這個專用SSID 除了是隱藏的外無其他特別的，把這個SSID隱藏去掉公開此SSID，而此SSID 上的用戶20 多個用戶是正常的。拿筆記本到現場測試，此SSID 的信號正常，圖書檢索系統可以正常打開，對外訪問也是正常的，但在幾臺檢索機上卻還是不能打開檢索系統。因檢索機注冊表修改過限定使用，無法進行更多測試，用手機WIFI用這個專用SSID 登錄，也可以正常打開檢索系統，對外訪問正常，判斷是檢索機有問題，讓圖書館查檢索機操作系統。

后來圖書館讓禁止對一個IP 地址的訪問，他們也對檢索機全部查殺病毒后，可正常打開圖書檢索系統了，至此故障解決，是因檢索機電腦有問題，且是20 多臺檢索機同時出現相同的問題，并不是圖書檢索系統及無線網有問題。

QQ 空間在校園網內無法打開的排查

有用戶反映QQ 空間無法在校園內打開，用www.17ce.com 測試QQ 空間地址可以打開。在另外一臺電腦用三個學生出口帳號認證，分別從學生的電信、聯通、移動出口出去，用另外一個QQ 登錄，全可以打開。

用2 臺電腦做對比，一臺是從學生電信出口出去的，一臺是辦公出口出去，路由跟蹤qzone.qzone.qq.com，學生電信出口可以路由到，而辦公出口無法路由跟蹤，ping 學生電信出口路由跟蹤qzone.qzone.qq.com 的IP 地址183.3.22.59，全能ping 通，檢查幾臺有關交換機，沒有查出與183.3.22.59相關的配置，一臺臺進入安全設備檢查與183.3.226.59及qzone.qzone.qq.com 相關的日志，未找出，防火墻里有QQ 空間對象應用，于是增加策略放通，但還是打不開QQ 空間。

筆者發現辦公區無法對user.qzone.qq.com 解析，肯定哪里有阻斷，可安全設備反復查找未查出。只能將安全設備一臺臺直通去測試ping user.qzone.qq.com，等到一臺防火墻和一臺IPS時直通時ping user.qzone.qq.com 通了，這時再用辦公出口的電腦打開QQ 空間可以打開了，再把安全設備一臺臺接進網絡還是可以打開QQ 空間，此致故障解決。

在另外一臺安全設備直接時發現輸入輸出接反了，不管正接還是反接無法還原出故障。在一臺臺的安全設備日志的阻斷里查不到與QQ空間和183.3.22.59 相關的日志。雖然故障解決了，但非常奇怪找不到原因，在部分安全設備集中日志服務器里也沒找與QQ 空間有關的阻斷，也沒找到自己辦公電腦IP 相關的阻斷，也可能是找錯了對象，等有時間再好好找一找。

某個校外網站一部分內容無法正常訪問的排查

有用戶反映用校園網無法訪問湖南省專業技術人員繼續網http://www.ejxjy.com 這個網站，于是測試在辦公室可以打開此網站，向用戶說此網站可以正常打開，用戶再次反映是里面一個內容無法訪問，而這個內容是注冊用戶才能看得到的，此用戶卻不肯提供帳號及密碼給做測試，而在此網站注冊用戶后需要交費才能學習考試，沒辦法只能從外圍看看。

此域名解析出的IP 地址是202.197.122.70，這是教育網地址，在校內是從辦公區教育網出口出去的，長ping 此網站的IP 地址有點丟包，在辦公出口上查看此網站IP 地址的流表正常。在校內能打開此網站，肯定是沒有阻斷的地方。此網站是校外的，校外的網絡不是我們能管的，且是注冊用戶才能看到的內容，可能有權限的問題，這要問網站管理員。因教育網是虛擬電信隧道做的，且只有10M 帶寬，有時可能跑滿了，且虛擬隧道的帶寬沒法監控只能到時時的數據，且教育網地址受攻擊的次數非常多，這種外網的問題不在能處理的范圍內，無能為力。

總結

網站不能訪問的問題原因非常多，對校內的網站，對網絡及安全設備是可以配置和檢查的，可以查找相關的原因。對校內網站一定要先保障內網地址可以打開，如果內網地址都打不開是沒辦法檢查其他的；對一些電腦的原因不是網絡的責任一定要告訴用戶，讓用戶檢查自己的電腦，有時需換不同的瀏覽器試試。

對一些外網的網站不能訪問的問題先要多種方法測試保障此網站是正常可以打開的，然后再能查找自己網絡相關的原因，如果是外網的網絡問題及其他原因，是沒辦法解決的。網站雖然都不能訪問但原因可能各不相同，要一例例分析查找。