湖南工业大学现代教育技术中心 郭兆宏

笔者单位有人反映网站出现打不开的问题，以下就以四个实例解析。

国防科技大学网站在校内不能访问

有用户反映国防科技大学网站https://www.nudt.edu.cn 在笔者的校园网内不能访问，但在家里访问正常。

接到用户反映后，笔者在办公室尝试确实打不开https://www.nudt.edu.cn，用www.17ce.com 测试各站点，可以访问https://www.nudt.edu.cn，而且解析IP 为110.53.188.133 和202.197.9.133，通过路由跟踪https://www.nudt.edu.cn，发现是走学校办公区的教育网出口出去了，但无法到达域名的IP 地址202.197.9.133。

因已经从学校教育网出口出去了，后面的事无法管，就试着在办公出口上把202.197.9.133 的路由指到电信出口上，再访问https://www.nudt.edu.cn，可以正常访问了。

再路由跟踪该网址，虽然也无法到达202.197.9.133，但网页可以正常访问，问题算是解决了。

同时发现国防科技大学校友网xy.nudt.edu.cn 的IP是202.197.9.144，高等教育学报gdjyyjxb.nudt.edu.cn的IP 是202.197.9.41，国防科技gfkjjournal.nudt.edu.cn 的IP 是202.197.9.40，于是在办公出口上将202.197.9.X 段都路由到电信出口上。再访问这三个子网都可以正常访问了，其他子网未检查。

至此，该故障解决。

在校内办公区不能访问国防科技大学网站，是因为路由从学校办公教育网出口出去后，无法访问国防科技大学网段，在出口上改此段地址路由为电信出口后，虽然路由跟踪不能到达，但网站基本可以正常访问了。

凤凰网在校内无法访问，但一些子域名能正常访问

有用户反映凤凰网网站http://www.ifeng.com 无法访问而之前能正常打开。

接到用户反映后在办公室确实打不开，用www.17ce.com 测试各站点能打开，但解析IP 有多个，而凤凰视频v.ifeng.com 却可以正常访问，看视频也正常。

通过路由跟踪www.ifeng.com，目的地址是222.245.77.74，而v.ifeng.com 是222.243.141.25，www.ifeng.com 的路由跟踪还未到出口设备时已经断了，而v.ifeng.com 是222.243.141.25 可以ping 通。

由此断定，肯定校内设备有拦截，在某台防火墙设备查找时因输错一位IP 地址而没有找到，增加地址放通时也输错一位地址，但当时不知道是输入错误，没办法只有把此台防火墙直通过去，再路由跟踪，到了下一级交换机的地址，肯定还是此台防火墙拦截了，再回头检查才发现放通的地址输错了IP 地址，同时发现有条拦截策略里有一个地址是222.245.77.74，于是删除此地址，但还是无法访问http://www.ifeng.com。

再路由跟踪，到办公出口设备后就无显示了，再次检查出口前的安全设备，因此台设备无查询IP 功能就在拦截对象地址增加222.245.77.74，不冲突就删除，在某个拦截对象里有222.245.77.74 冲突，于是找出来删除，再访问http://www.ifeng.com可以正常访问了，路由跟踪http://www.ifeng.com 也可以正常到达222.245.77.74，至此故障解决。

在办公区无法访问凤凰网网站http://www.ifeng.com 是因为在校园网络里有2台安全设备里有对222.245.77.74 的拦截，而用www.17ce.com 测试www.ifeng.com 解析出多个IP 地址，222.245.77.74 只是其中之一。

而IP 地 址222.245.77.74 是在去年年底网络安全探针设备上线后，在攻击路线图上发现对学校网络有攻击地址之一。

为保护校园网正常运行，于是在其他安全设备对安全探针攻击路线图上IP 地址增加拦截，可能安全探针设备上的显示的攻击路线图存在误判，且http://www.ifeng.com 域名解析出多个IP 地址，正好这个时间段在校内办公区访问www.ifeng.com 是222.245.77.74 这个IP 地址，而此IP 地址正好被校内安全设备上给拦截了。

通过在2台安全设备拦截的IP 地址里删除222.245.77.74 后就能正常访问凤凰网网站了。

www.educoder.net 网站校内办公区用户不定时不能访问

有用户反映在校内无法访问www.educoder.net 翻转课堂的网站，且说上学期还正常的，不能访问已经影响教学了。

在办公室测试确实打不开，用www.17ce.com 测试各站点都能访问，解析IP 都是121.40.10.136，跟由跟踪www.educoder.net 目的地址121.40.10.136，可以到 达，ping 这个网址www.educoder.net 也是通的。

在路由跟踪中，笔者发现其是从办公区联通出口出去的，因办公区电信出口更大些是主用出口，于是就试着在办公出口上将121.40.10.136路由指到电信出口上，当时做完后还是无法访问此网站，路由跟踪是从电信出口出去的，也路由跟踪到了121.40.10.136，但下午再测试时却可以访问了。

但两天后又有用户反映该网站打不开了，在办公室测试确定是打不开，路由跟踪到了目的121.40.10.136，ping也是通的，就是无法访问网站，用www.17ce.com 测试各站点都可以访问，在办公出口的设备查121.40.10.136 的流表全都正常。

在上网行为管理上时时监控对源地址过滤详细信息中，可以看到此域名www.educoder.net，在多台的设备里也没查到对121.40.10.136有拦截。

试着用学生宿舍出口出去，可以访问www.educoder.net，当时有老师在机房上课要使用www.educoder.net 翻转课堂的网站，就将此机房几十个帐号都改到学生宿舍联通出口出去了。直接用IP：https://121.40.10.136 试过，但只有部分浏览器可以打开正常页面。DNS 用的是电 信 的222.246.129.80 和59.51.78.210，在电脑上换过不同的DNS，也都无法正常访问。

后来发现此网站还有其他域名trustie.educoder.net、forge.educoder.net 都是指向121.40.10.136 的，且路由跟踪都可以到达，都是在办公教学区从电信出口出去的，且都可以正常访问。

于是让相关学院的老师们使用这两个域名进行访问，同时在办公出口设备做了www.educoder.net 的域名跳转到trustie.educoder.net，但因设备URL 重定向不支持对HTTPS 加密的网站进行重定向，效果一般。

至此故障解决，这个www.educoder.net 翻转课堂的网站不能正常访问从开学搞起，断断续续搞了1个多月，有时能访问，有时不能访问，没有找到规律，在安全设备里也没有找到相应有拦截，且不能正常访问时路由跟踪可以到达，ping 域名www.educoder.net或IP:121.40.10.136 全是通的。

而如果像凤凰网网站http://www.ifeng.com 的IP:222.245.77.74 被安全设备拦截是不可能通的，基本肯定安全设备里没有拦截。也可能是检查的方法手段不对，也可能时间花的还不够，还有很多工作要做，不可能天天查这一个故障。但从发现另二个域名trustie.educoder.net、forge.educoder.net 后，在办公区对这2个域名都能访问，还未发现有不能访问的时间。

学校官网www.hut.edu.cn在国外不能访问，个别移动网用户也无法访问

在开学时，有学校在美国的访问学者反映在美国无法访问学校官网www.hut.edu.cn。

笔者用www.17ce.com 测试国外站点是可以访问，用另外一个测试工具显示美国地址的确实打不开，因学校官网www.hut.edu.cn 是 云WAF 保护的对攻击行为有过滤，且在暑假学校网络机房经历过停电、教育网出口断过，电信出口断过，在这些故障期间，学校官网www.hut.edu.cn 都是无法访问，希望在美国能要多次访问，不同时段的访问试试。

尝试使用真实IP 地址218.x.x.116 访问看看。在安全探针的攻击源区域排名有美国，用IP138 检测这些IP地址确实是美国，说明美国地址可以访问学校官网。在办公出口设备的流表中也找到美国地址，说明有美国的地址能访问学校官网。

估计可能是云WAF 对部分美国IP 地址有拦截，因这位老师没有提供在美国的IP地址，所以暂时无法查询相关地址的历史访问记录或拦截记录。

9月底先是有学生用户反映无法访问学校官网www.hut.edu.cn，显示“425 访 问被云平台拦截，可能原因：你的外网IP 已被加入到云平台黑名单”。

由于该用户是移动网络用户，笔者让他们用真实IP：218.x.x.116 地址来访问，可以正常访问。后来不断地有老师和学生用户反映都不能访问学校官网www.hut.edu.cn，且基本都是移动网络用户。

正好前几天云WAF 公司反映39.134.16.X 段的地址大量攻击学校官网www.hut.edu.cn，15 分钟有11万次攻击，造成学校官网一时无法访问就把这段地址给拦截了，经请示领导后让云WAF 公司放开此段地址，后来就没用户反映不能访问学校官网www.hut.edu.cn 了。

至此故障解决，这些移动网络用户不能访问学校官网www.hut.edu.cn 的基本都是被云WAF 给拦截了。

在本文投稿前，电信打电话说学校官网www.hut.edu.cn 显示的IP 地址与注册地不相同，显示的不是本地的，按法规域名必须是注册地的IP 地址，一个是改回来，另一个到到云WAF 公司所在地注册去，必须二选一。因学校所有网站地址都在本地电信上，只是学校官网牵引到云WAF上，真实IP 还是本地的，只能更改DNS，学校官网取消云WAF 保护。

马上在学校的安全探针上发现39..134.16.X 段几个地址对学校网站有大量攻击，只得在其他安全设备拦截这几个地址，上面这问题可能还会再出现。

总结

四个网站在校内外虽然都不能正常访问，但原因各不相同。

有的是路由问题，可以改路由出口；有的是校内安全设备拦截，可以通过路由跟踪找到断点，再到相关设备里查找；有的时断时续的可以访问，可以通过转换不同出口访问，或查找另外域名的方式访问；有的不能访问可能是因为云保护，可以通过真实IP地址方式访问，或放开拦截的地址段。

总之，网站不能访问的原因各异，有的是内网原因，有的是外网原因，要因地制宜查找故障原因，一一排除或找到一个解决的方法。