前兩天幫朋友解決一個奇怪的網(wǎng)絡(luò)問題，能PING通外網(wǎng)IP（119.29.29.92），能解析域名，瀏覽器也沒開代理，就是打不開網(wǎng)址。

他的網(wǎng)絡(luò)架構(gòu)也很簡單，外網(wǎng)用的三臺5G CPE組網(wǎng)，連在一臺銳捷的路由器上，這臺路由器上開啟負(fù)載均衡，可以使流量均衡的走不同線路，路由器下帶一臺交換機，交換機也沒劃VLAN，下面的電腦直接獲取到路由器分配的IP地址就能正常上網(wǎng)。現(xiàn)在的故障現(xiàn)象就是有些電腦能上網(wǎng)，有些電腦不能上網(wǎng)，但能PING通局域網(wǎng)其他電腦，不能上網(wǎng)的電腦，換其他電腦接到交換機口上網(wǎng)絡(luò)又正常，這臺故障的電腦如果直接接在CPE下面的網(wǎng)口又能正常上網(wǎng)。

通過這些故障現(xiàn)象，我們來分析一下思路：

1、不能上網(wǎng)的電腦能PING通其他局域網(wǎng)的電腦，這個說明IP地址沒有沖突；

2、故障的電腦換到CPE下面的網(wǎng)口能直接上網(wǎng)，說明電腦軟硬件沒有問題；

3、交換機使用的是默認(rèn)VLAN，局域網(wǎng)之間互訪沒問題，CPE網(wǎng)絡(luò)也沒問題，排除交換機和CPE，所以故障點定位在路由器上面；

4、路由器出口是由三條CPE組成，有些電腦能訪問外網(wǎng)，有些不行，說明路由器到CPE之間有問題，通過在路由器上PING三個CPE直接接口IP，發(fā)現(xiàn)都能PING通，說明故障點是在接口以下；

5、檢查負(fù)載均衡策略，沒有發(fā)現(xiàn)異常；

6、銳捷路由器可以指定源地址查看流量，發(fā)現(xiàn)訪問網(wǎng)頁的流量都走到CPE3接口，TCP連接狀態(tài)都是SYN_ACK狀態(tài)，DNS的流量是走CPE2，在故障電腦上是能正常PING通DNS IP 119.29.29.29，也能正常解析網(wǎng)站，但TCP連接狀態(tài)都是SYN，這說明CPE3這里沒有NAT地址轉(zhuǎn)換出去，導(dǎo)致網(wǎng)絡(luò)不可達，DNS的流量走的是其他CPE出口，所以PING DNS和解析都能正常，最后查了路由器對應(yīng)CPE3接口的IP地址下，發(fā)現(xiàn)未啟用NAT地址轉(zhuǎn)換，開戶后，網(wǎng)絡(luò)恢復(fù)正常。