文章目录
[+]
一、网络拓扑
某单位使用移动5G专线实现手机访问单位的内网服务器,大致的网络结构如下图所示:
网络拓扑
(图片来自网络侵删)
二、故障情况
在移动开通数据后发现手机无法访问客户内网服务器,手机只可ping通到客户防火墙接口192.168.130.1,客户内网互访没有问题。
(图片来自网络侵删)
三、故障分析
1、手机既然可ping通到客户防火墙接口192.168.130.1,说明移动的APN专线没有问
题,即gre隧道是没有问题的。
2、客户内网的设备可以互相访问,说明客户内网也没有问题。
3、从以上现象可将故障定位至客户防火墙,通过登录客户防火墙查看路由得知,防
墙配了一条缺省路由,下一跳是核心交换机10.67.15.5。而这个IP与手机卡的网段10.67.8.1/21冲突了,同时客户服务器的网段10.67.9.0/25也与手机卡的IP冲突,即10.67.8.1/21包含了10.67.15.5/24和10.67.9.0/25,根据路由的最长匹配原则,防火墙在选路时会优先选择10.67.9.0/25的路由进行转发,所以服务器的回包在到达防火墙后又被转发到客户交换机,无法到达手机侧。
四、故障原因
手机卡的IP段与客户的内网网段冲突导致报文无法回送到手机,移动公司修改手机卡的IP段后网络恢复正常。
