【新版NBR/EG】网站打不开所有网站打不开，但是QQ，p2p下载等应用正常。

1.故障现象：

所有网站打不开，但是QQ，p2p下载等应用正常。

2.故障可能原因：

• 域名无法解析
• 应用阻断配置错误

3.故障处理流程

4.故障处理步骤

步骤1：检查域名是否正常解析

1、在电脑上检查能否进行DNS解析

      打开系统所有程序——附件——命令提示符，在黑色窗口中输入nslookup进行解析，解析正常和无法解析的截图如下图1。

      如果解析结果正常，转步骤2处理，如果dns请求超时，提示无法解析，按照下一步进行处理。

图1

2、更换DNS

更换电脑上的DNS，重复进行上一步操作。如果仍然无法解决，按下一步进行处理。

3、检查是否存在DNS中继或者代理

如果更换了dns仍然无法正常解析，检查是否开启了正向DNS代理功能或者配置了DNS中继。

点击网络配置——DNS设置，查看正向DNS代理功能是否开启。如下图。

如果开启了正向DNS代理功能，需检查：

a、确保接口的填写的DNS服务器是当地运营商提供的正确的DNS。

b、确保接口填写的dns服务器和接口ip地址是属于同一个运营商的，如下图，需要保证接口上的DNS地址与Gi0/3是同一个运营商的。

图2

另外一种可能性是设备配置了dns中继，即在命令行下检查是否配置了如下命令：

ip nat application source list acl_num destination udp dst_dns 53 dest-change other_dns 53

注意：该命令的作用就是将用户acl_num发送给dst_dns的dns报文转发给other_dns处理。acl_num为访问控制列表号，dst_dns和other_dns为ip地址。

如果配置了该命令，需确保other_dns是正确的。

例如：ip nat application source list 1 destination udp 0.0.0.0 53 dest-change 8.8.8.8 53

          access-list 1 permit any

则内网所有用户的任意DNS报文（0.0.0.0表示任意）到达EG后，会由8.8.8.8代为解析，需要保证8.8.8.8是一个可用的DNS地址。

步骤2：检查是否存在应用阻断

      找一台内网的PC测试打开网站，其他应用均关闭，在命令行下查看这个用户的应用识别和流量情况。

      用户尝试打开网站后立即输入如下命令查看，连续多次输入该命令，对比输出的结果，观察流量变化情况。

      Ruijie#sh flowrate ip-application global ip 192.168.1.2    （192.168.1.2为打不开网页的pc）

      --此命令可查看用户各类应用实时流量，在应用类下第一行是指通过的流量，第二行是指丢弃的流量。

             如下图1，如果普通网页浏览类应用每次都只有丢弃的流量，通过的流量为0，则说明网页的流量都被丢弃了，可能存在应用阻断。

             若通过的流量很小，但丢弃的流量很大，则可能存在线路拥塞，具体解决方法请参见“上网速度慢”章节。

图1   

解决方法：

1、网页的流量都被丢弃的解决办法：

      在行为策略——禁止应用中取消应用禁止如图3，或者在流控策略——高级配置中检查是否有自定义的阻断策略如图4，修改或者删除策略。

图3

图4

步骤3：收集信息后，请联系4008111000协助处理：

       如通过上述故障处理步骤无法解决您的故障，请按照如下步骤收集信息，并联系锐捷技术支持热线4008111000或者在线客服webchat.ruijie.com.cn，以便我们能够快速定位问题。

需要收集的信息：

详细描述故障现象（什么时间，什么地点，执行什么操作，出现什么现象）

故障现象截图

收集拓扑图（内外网拓扑）

pc上nslookup某个域名的结果截图

show run

show ver

sh flowrate app global

show ip fpm flows | in

show log

需要收集的信息解释：

show run：收集配置信息

show ver ：收集版本信息

sh flowrate app global ：流量审计信息

show ip fpm flows | in x.x.x.x：查看某个用户的流表信息，x.x.x.x是测试的pc的ip地址，不能是接口公网地址，否则会打印很多内容，导致控制台print进程高。

show log：收集日志信息