故障現象：用戶發現某Web頁面無法正常訪問。

　　組網：USG6500E(V500R001C60SPC100)作為互聯網出口設備(配置有Easy-ip方式的Nat)，防火墻上行通過運營商鏈路連接Web服務器，下聯一臺XXX友商的上網行為管理設備。上網行為管理下聯用戶三層匯聚交換機。

　　處理過程

　　一、在用戶終端訪問該Web頁面驗證故障現象，發現頁面無法正常訪問;

　　二、在用戶終端對Web服務器地址進行ping測試，結果ping成功;

　　三、在用戶終端對Web服務器地址進行telnet測試，發現該地址的443端口和80端口均能連接成功，由此可以判斷網絡層面地址可達;

　　四、在USG6500E防火墻查看會話表項，發現存在正確的NAT地址轉換表項;

　　五、為排查傳輸層故障，在防火墻側設置Web服務器地址作為五元組抓包參數。然后再用戶終端對服務器地址ping測和telnet測試的同時，在防火墻端進行五元組抓包，結果顯示TCP三次握手正常建立，之后的應用層連接被重置，此后終端向服務器不停重傳TCP-SYN報文，沒有收到回復報文;

　　六、由上述現象判斷故障是由于運營商側或應用側對NAT轉換后的公網地址做了相關的安全限制，故將原本的easy ip轉換方式改為地址池轉換的方式。

　　七、重新訪問應用Web頁面，故障得以解決。

　　根因

　　運營商側或應用側對防火墻NAT轉換后的公網地址做了相關的安全限制，導致TCP建聯不正常，引起頁面訪問故障。

　　解決方案

　　將原本的easy ip轉換方式改為地址池的方式。

　　建議與總結

　　出現類似互聯網環境下的頁面無法訪問情況，應當先排查網絡層地址是否可達。網絡層沒問題應采用設備自帶功能或專業抓包工具查看TCP建聯情況，如果TCP連接成功則說明問題出在應用層。下一步則排查應用側是否做了針對客戶側地址的相關限制策略，如發現存在不正確的限制策略則應加以調整或在用戶設備側改變發起訪問的源地址。