几个网站无法访问的故障

■湖南工业大学现代教育技术中心 郭兆宏

最近一段时间用户反映多个网站不能访问请求解决，有的是校内网站，有的是校外网站，通过测试发现这几个网站本身都是正常的，只是因各种原因不能访问，现把这几个网站无法访问的故障的排查分享出来。

学校某个网站无法在公网访问的排查

学校图书馆反映他们的一个网站在公网无法打开，此网站的映射是 172.X.X.7:80-218.X.X.122:8844，在校内用内网地址172.x.x.7 还是公网地 址218.x.x.122:8844 都可打开，用www.17ce.com 测试打不开。于是又增加几个映射，用不同公网IP 地址、端口号、www.17ce.com 测试，全打不开。

再更换映射并用学校主页的172.x.x.101:80-218.x.x.122:8844，用www.17ce.com 测试就打开了，说明公网IP 地址218.x.x.122 及端口8844 是正常的，可能是内网172.x.x.7:80 哪里有问题。

改用无校网认证上网，172.x.x.7 打不开，肯定卡在哪里了，因核心网络中有多台安全设备如WAF、IPS、防火墙、上网行为等，一台进入安全设备检查配置，最后在一台防火墙上查到有一条是对172.x.x.7 全禁止，前面有条对172.x.x.7 只开放8080 和8983 端口的，马上禁止此条策略，把映射换回来的172.X.X.7:80 到218.X.X.122:8844，再测试可以正常打开，至此故障解决。

该问题可能有几个月了，之前有安全通报此IP：172.x.x.7 有安全问题，图书馆老师就让网络中心在安全设备做了条安全策略，而图书馆主用的是此IP 地址的8080端口，80 端口极少用，现在想用时才发现在公网不能用，而做安全策略时图书馆老师也没放开80 端口，网络中心只负责做映射及通用安全，能否使用需服务能正常运行及用户的反映，在做映射与做安全方面需加强协调沟通。

某个学校网站无法用无线校园网访问的排查

有用户反映学校的教务系统无法用无线校园网访问，可在办公室用无线校园网访问正常。因无线校园网是归无线公司所管，不知道无线设备的用户名及密码，无法进入无线网设备查看。不断有用户都反映有此问题，于是只好查看网络。

无线校园网无独立出口，老师帐号走办公教学出口，学生帐号走学生宿舍出口，在在办公出口无线园IP 地址段限速只有电信2M+联通2M。因网络中心办公区有一个单独的无线校园SSID，使用的是有线校园网地址172.29.X.X，这段地址的出口限速要大得多，因此极少使用公无校园网SSID 上网。

上次处理教务系统外网不定时无法访问时，有用户反映过无线校园网无法访问教务系统，当时把教务系统访问的故障解决时，也有无线校园网的测试可以正常打开，但当时忘了无线网使用的是单独SSID，不是公用的SSID，IP 地址段是不一样的。

马上接无线校园网用公用SSID 登录，确定无法打开教务系统网站。有线校园网、公网、及单独SSID 的无线网能正常访问教务系统网站，说明网络都是正常。而公用无线校园SSID 用户IP:172.27.X.X 地址无法访问，说明此段地址卡了，进入有线校园网核心交换机没有查到与172.27.x.x 相关的配置，无线AC 控制器不知道密码还是无法查看。

一台台进入安全设备检查，在上网行为里发现有条策略是禁止无线校园网的，禁止的目标正是教务系统，马上停止此条策略，再用无线校园网公用SSID 上网，可以正常打开教务系统网站。

有一段时间基本没有配置过上网行为策略了，也可能是其他同事误配置。上次排查教务系统访问故障时解决故障后没注意不同的SSID使用的是不同IP 地址段，导致当时没发现这个故障。

部分电脑通过无线校园网无法访问某个校内网站的排查

图书馆反映20 多台图书检索机全部无法打开图书检索系统，图书馆检索机是一体机通过专用无线校园网SSID 上网，为管理检索机图书馆通过修改注册表只能只能打开图书检索系统，而用台式电脑可以正常打开检索系统。因无线网归无线公司运维的，图书馆与无线公司扯了好久也没解决这个故障，最后领导推到笔者这里。

等要到AC 密码后登录AC 查看没有找到任何禁止图书检索系统的，查看这个专用SSID 除了是隐藏的外无其他特别的，把这个SSID隐藏去掉公开此SSID，而此SSID 上的用户20 多个用户是正常的。拿笔记本到现场测试，此SSID 的信号正常，图书检索系统可以正常打开，对外访问也是正常的，但在几台检索机上却还是不能打开检索系统。因检索机注册表修改过限定使用，无法进行更多测试，用手机WIFI用这个专用SSID 登录，也可以正常打开检索系统，对外访问正常，判断是检索机有问题，让图书馆查检索机操作系统。

后来图书馆让禁止对一个IP 地址的访问，他们也对检索机全部查杀病毒后，可正常打开图书检索系统了，至此故障解决，是因检索机电脑有问题，且是20 多台检索机同时出现相同的问题，并不是图书检索系统及无线网有问题。

QQ 空间在校园网内无法打开的排查

有用户反映QQ 空间无法在校园内打开，用www.17ce.com 测试QQ 空间地址可以打开。在另外一台电脑用三个学生出口帐号认证，分别从学生的电信、联通、移动出口出去，用另外一个QQ 登录，全可以打开。

用2 台电脑做对比，一台是从学生电信出口出去的，一台是办公出口出去，路由跟踪qzone.qzone.qq.com，学生电信出口可以路由到，而办公出口无法路由跟踪，ping 学生电信出口路由跟踪qzone.qzone.qq.com 的IP 地址183.3.22.59，全能ping 通，检查几台有关交换机，没有查出与183.3.22.59相关的配置，一台台进入安全设备检查与183.3.226.59及qzone.qzone.qq.com 相关的日志，未找出，防火墙里有QQ 空间对象应用，于是增加策略放通，但还是打不开QQ 空间。

笔者发现办公区无法对user.qzone.qq.com 解析，肯定哪里有阻断，可安全设备反复查找未查出。只能将安全设备一台台直通去测试ping user.qzone.qq.com，等到一台防火墙和一台IPS时直通时ping user.qzone.qq.com 通了，这时再用办公出口的电脑打开QQ 空间可以打开了，再把安全设备一台台接进网络还是可以打开QQ 空间，此致故障解决。

在另外一台安全设备直接时发现输入输出接反了，不管正接还是反接无法还原出故障。在一台台的安全设备日志的阻断里查不到与QQ空间和183.3.22.59 相关的日志。虽然故障解决了，但非常奇怪找不到原因，在部分安全设备集中日志服务器里也没找与QQ 空间有关的阻断，也没找到自己办公电脑IP 相关的阻断，也可能是找错了对象，等有时间再好好找一找。

某个校外网站一部分内容无法正常访问的排查

有用户反映用校园网无法访问湖南省专业技术人员继续网http://www.ejxjy.com 这个网站，于是测试在办公室可以打开此网站，向用户说此网站可以正常打开，用户再次反映是里面一个内容无法访问，而这个内容是注册用户才能看得到的，此用户却不肯提供帐号及密码给做测试，而在此网站注册用户后需要交费才能学习考试，没办法只能从外围看看。

此域名解析出的IP 地址是202.197.122.70，这是教育网地址，在校内是从办公区教育网出口出去的，长ping 此网站的IP 地址有点丢包，在办公出口上查看此网站IP 地址的流表正常。在校内能打开此网站，肯定是没有阻断的地方。此网站是校外的，校外的网络不是我们能管的，且是注册用户才能看到的内容，可能有权限的问题，这要问网站管理员。因教育网是虚拟电信隧道做的，且只有10M 带宽，有时可能跑满了，且虚拟隧道的带宽没法监控只能到时时的数据，且教育网地址受攻击的次数非常多，这种外网的问题不在能处理的范围内，无能为力。

总结

网站不能访问的问题原因非常多，对校内的网站，对网络及安全设备是可以配置和检查的，可以查找相关的原因。对校内网站一定要先保障内网地址可以打开，如果内网地址都打不开是没办法检查其他的；对一些电脑的原因不是网络的责任一定要告诉用户，让用户检查自己的电脑，有时需换不同的浏览器试试。

对一些外网的网站不能访问的问题先要多种方法测试保障此网站是正常可以打开的，然后再能查找自己网络相关的原因，如果是外网的网络问题及其他原因，是没办法解决的。网站虽然都不能访问但原因可能各不相同，要一例例分析查找。