案例：粉絲回饋：能開啟路由登入頁，但輸入帳號/密碼後報錯，馬上又退回登入頁？

本期分享的案例是企業網路的相關問題。


背景介紹
粉絲回饋自己公司有1個總部，A、B、C三個分公司，總部是公網IP二分公司都是私網位址。這天A分公司增加多條寬頻後發現內網的PC無法通過公網IP正常訪問總部的路由器了，表現為：登錄頁面可以打開，但是輸入帳號密碼後報錯“請求超時”，然後馬上退回到登錄頁面。

已有分析
比較測試：IT人員比較測試，使用手機行動網路、B分部和C分部下的PC去存取都是正常的，拓樸示意如下：



問題診斷
(1) 首先這個現象和被「擠下去」的表現一模一樣，透過判斷總部路由器一次只能一個會話/使用者登入使用，否則就會被擠下去；

(2) 透過這個前提，可以反推「增加了多條寬頻以後」才出現問題，不難猜到可能是A分部的PC訪問總部路由時，會有多個會話從不同WAN口出去分別和總部路由建立連接，導致會話擁擠，所以先檢查下相關配置：

路由表
策略路由

從上述來看路由表正常，而策略路由配置預設網路會任意走pppoe1和pppoe2，不排除PC存取總部路由是分別出去的情況。

(3) 抓取A分部PC存取總部路由Web頁面的資料包分析，可以清楚的看到，PC是會向該目的IP發起多個TCP SYN埠遞增的會話連線的：


(4) 同步抓取總部路由器WAN埠的封包分析，確實可以發現有2個存取請求流來自不同的公有網路IP：

(5) 對應的確認A分部兩條寬頻下的下pppoe1和pppoe2的公網IP，正好能對的上訪問總部的源IP：

分析結果
A分部增加多個寬頻後，PC存取總部路由的Web時會有多個相同目的地的TCP會話（來源連接埠遞增）行為；
這些TCP流會走到不同的WAN口出去分別和總部路由建立連線；
由於來源IP不一致且總部路由只能支援一個會話訪問，所以互相擠掉會話無法正常存取管理頁面。


解決方案
經過測試似乎和策略路由同時選取pppoe1、pppoe2的設定項有關：



刪除/停用該條目後，目的IP唯一的TCP流就能從同一個WAN口出去了，能正常登入總部路由器設備頁面：