實戰案例：遠端登入路由器Web頁面失敗！

本期分享的案例是有線網路的相關問題。



背景介紹
一朋友在是某單位的IT管理，出口路由用的是某P的設備靜態公網IP，其一直耿耿於懷，我也不知道為什麼。近期發現，遠端PC透過網路存取出口路由器的web管理頁面失敗，表現為能載入一部分訊息，但沒有彈窗登入頁面：



於是很高興地瘋狂投訴某P售後，結果人家檢查了設備沒問題而是線路問題。很不甘心，求助於我，如果是產品問題直接走法律程序賠償。我不知道為何他執念為何那麼深，為他做了簡單的檢查。

排查分析
第一步：比較測試

原拓撲：

測試結果：PC開啟瀏覽器，透過路由器公網IP+連接埠號，無法開啟路由Web管理頁面和登入。

對比拓樸：



測試結果：PC開啟瀏覽器，透過路由器公網IP+連接埠號，正常開啟路由Web管理頁面並正常登入

一般情況來講，正常人到這一步大概差不多了，是否經過ISP營運鏈路導致的異常其實對比很明顯。此人又較真：“路由器接入了寬頻後自己功能異常了，兼容性太垃圾，直連PC這種做不得數。需要專業的排障，抓個包看看。”我：“有道理，那就在原拓撲下，抓個包看看”


第二步：報文分析

抓包自然是要抓取鏈路收尾兩端的報文，第一個是遠端PC介面封包，第二個是路由器GE1（WAN）口報文，同時比對丟包情況才能分析出問題，如下：



抓取存取Web頁面異常時遠端筆記本出介面的報文，如下：



可以看到載入部分資源的TCP會話一直SYN重傳沒有建立起來，並結合瀏覽器F12調試可分析應該是嘗試去加載jpg圖片、JS文件資源時握手失敗。下面就看看路由器那邊有沒有收到握手的請求了。

抓取存取Web頁面異常時某P路由器出口GE1介面的封包，如下：


發現會話都是正常的，沒有異常的會話，表示客戶端請求圖片、JS資源的TCP SYN請求沒有過來。

綜合分析：

存取路由器Web頁面的部分會話是成功了，但是部分資源會話的請求卻沒有過來，也就是路由器的GE1介面沒有收到，基本確認是中間運營商鏈路丟包導致。

解決方案
找業者確認或更換連結比較試一下，但這老哥覺得我分析可能漏了些細節，欺負他看不懂報文。 So，what can i say？朋友們，對於一個品牌你們會有這麼大的惡意呢？