用戶ER5200G2作為網(wǎng)絡(luò)出口設(shè)備，客戶端、ER5200G2和第三方路由器同時接在一個二層交換機下，配置同一網(wǎng)段地址192.168.1.0/24，其中ER5200G2 LAN口IP地址192.168.1.1作為客戶端網(wǎng)關(guān)。第三方路由器另一端連接了一個服務(wù)器1.1.1.2，提供遠程桌面服務(wù)。用戶反饋目前在客戶端無法遠程登錄到該服務(wù)器上。在這種情況下如果用其他路由器(具體型號未提供)替換ER5200G2，那么訪問正常，或者在使用ER5200G2的情況下把客戶端的網(wǎng)關(guān)設(shè)置到第三方路由器上，那么訪問也是正常的。

　　首先跟用戶確認了一下網(wǎng)絡(luò)的連通性，用戶確認客戶端是可以ping通服務(wù)器的。而后查看ER5200G2的配置，發(fā)現(xiàn)并無特殊配置會影響甚至阻斷客戶端訪問服務(wù)器的遠程桌面服務(wù)，但是用戶提到替換路由器或者更換網(wǎng)關(guān)測試訪問都正常，所以問題還是明顯地指向了ER5200G2。這種配置已經(jīng)無法解釋的問題，我們較先想到的就是通過抓包去分析，此時我們鏡像了ER5200G2的LAN口報文和二層交換機3口的報文，通過抓包，我們看出了一些端倪。

　　查看ER5200G2 LAN口的鏡像報文，我們發(fā)現(xiàn)只有客戶端192.168.1.2到服務(wù)器1.1.1.2方向的報文，這也不難解釋，因為客戶端的網(wǎng)關(guān)在ER5200G2上，“去報文”客戶端是先發(fā)給網(wǎng)關(guān)ER5200G2，再由ER5200G2轉(zhuǎn)發(fā)給第三方路由器。而“回報文”到達第三方路由器時，由于該路由器與客戶端在同一網(wǎng)段，所以直接轉(zhuǎn)發(fā)給客戶端而不會再發(fā)給ER5200G2，所以TCP三次握手的三個報文只有兩個“去報文”SYN和ACK經(jīng)過ER5200G2處理。

　　那為什么不通呢?明明TCP三次握手的三個報文都有了啊!因為ER5200G2并不在報文交互的“主干路”上，所以并不能以ER5200G2 LAN口的抓包信息下定結(jié)論，讓我們再看看報文交互“主干路”上的二層交換機3口的抓包信息。從這個抓包信息里我們可以看到，TCP三次握手只完成了前兩個報文ACK和SYN,ACK，并沒有抓到較后一個ACK報文，那么答案也就呼之欲出了，客戶端把較后一個報文ACK發(fā)給了ER5200G2，但是在二層交換機上卻沒有抓到這個報文，我們能想到的答案就是ER5200G2把這個報文丟棄了。

　　這也不難解釋，因為ER5200G2收到了TCP三次握手的第一個SYN報文，之后沒收到第二個報文SYN,ACK，直接收到第三個報文ACK，這就是一個不完整的TCP三次握手，ER5200G2對于這種情況，是直接丟棄不處理的，所以ER5200G2就把第三個報文ACK直接丟棄了，而不是轉(zhuǎn)發(fā)給第三方路由器。這樣TCP連接建立失敗，客戶端也就無法訪問服務(wù)器遠程桌面了。

　　此問題的根本原因是由于TCP三次握手報文來回路徑不一致，導(dǎo)致被ER5200G2阻斷。目前提供以下兩種解決方案，其根本目的在于將原本在同一網(wǎng)段的客戶端、ER5200G2和第三方路由器劃分成兩個網(wǎng)段，即客戶端和ER5200G2在一個網(wǎng)段，ER5200G2和第三方路由器劃為另一個網(wǎng)段。從而避免來回路徑不一致的問題。

　　方案1：將第三方路由器連接二層交換機3口的線路直接連接到ER5200G2的另外任意一個LAN口，ER5200G2和第三方路由器再起一個互聯(lián)網(wǎng)段，兩者配置相應(yīng)的靜態(tài)路由。改造后的組網(wǎng)拓撲如下圖所示。該方案配置起來相對簡單，組網(wǎng)清晰明了，同時對于用戶的二層交換機沒有額外的要求。

　　方案2：組網(wǎng)拓撲不做修改。在ER5200G2上再起一個VLAN網(wǎng)段(如VLAN 2)，將ER5200G2和二層交換機之間互聯(lián)的端口都配置成trunk模式，家用路由器配置與VLAN 2同一網(wǎng)段地址，兩個路由器配置相應(yīng)的靜態(tài)路由。這就相當(dāng)于一個單臂路由的模式。此種方案不用更改組網(wǎng)，但涉及到的配置較多，且需要二層交換機端口支持配置trunk模式。

• 上一篇：無線終端網(wǎng)絡(luò)傳輸速度慢的分析
• 下一篇：淺談FC光纖交換機的基礎(chǔ)