无法访问某高校校园内部WebServer

　　问题描述：

　　某高校采用电信的出口作为内部上网的默认出口，提供校园内部上网，并通过教育网的出口访问教育网。组网图如下：

　　故障现象是无论是通过输入域名还是直接输入IP地址都无法访问内部的WebServer 218.xx.xx.5。但是如果将NE05路由器上的默认出口指向教育网的出口，则可以正常访问内部的WebServer。用户还反映其他学校不存在这样的现象，但是通过了解其他的学校都只有教育网的出口，没有使用公网的出口。

　　问题分析：

　　教育网是比较特殊的网络，相对于公网可以看成私有网络，整网通过统一的出口和公网互通。当公网用户去访问教育网的时候，会通过公网和教育网的接口进入教育网。

　　但是对于该校则比较特殊，通过查看NE05上的配置：

　　ip route-static 0.0.0.0 0.0.0.0 61.xx.xx.62 preference 60

　　ip route-static 202.112.0.0 255.255.255.0 202.xx.xx.125 preference 60

　　ip route-static 202.115.192.0 255.255.255.0 202.xx.xx.125 preference 60

　　ip route-static 202.202.0.0 255.255.255.0 202.xx.xx.125 preference 60

　　ip route-static 202.202.96.0 255.255.255.0 202.2xx.xx.125 preference 60

　　ip route-static 202.205.11.0 255.255.255.0 202.xx.xx.125 preference 60

　　可以看到除了部分教育网网络的路由是指向教育网的出口的，其他的路由都是通过默认路由从公网出去，这样就会造成对于学校内部教育网地址的访问流量从教育网接口进入但是回应的报文却从公网的出口送出的现象，这样就会造成回送的报文无法送回公网用户，从而造成访问WebServer不成功。

　　问题解决：

　　经过以上的分析，我们可以得到以下的解决问题的思路，只要能够将访问WebServer的回送报文通过教育网接口返回，而不是通过默认路由走公网就可以达到既不影响内部用户通过NE05访问公网，又可以实现外部用户访问内部的WebServer的目的。可以通过NE05的策略路由，对制定地址进行源地址路由就可以实现。

　　具体配置如下：

　　先配置ACL规则

　　acl number 101

　　rule 0 permit ip source 218.xx.xx.5 0

　　acl number 102

　　rule 0 permit ip

　　配置测量路由

　　route-policy wwwpermit node 5

　　if-match acl 101

　　apply output-interface Ethernet3/2/2

　　route-policy www permit node 10

　　if-match acl 102

　　在接口上应用策略路由

　　interface Ethernet3/2/0

　　ip address 218.xx.xx.98 255.255.255.240

　　ip policy route-policy www

　　经过以上配置以后可以通过公网访问用户内部的WebServer，但是只能通过IP地址的方式访问，无法通过域名的方式来访问。

　　需要再添加一条ACL，将DNS的出口也指向教育网出口就可以了。

　　修改后的ACL如下:

　　acl number 101

　　rule 0 permit ip source 218.xx.xx.5 0

　　rule 1 permit ip source 218.xx.xx.4 0

　　acl number 102

　　rule 0 permit ip

　　问题总结：

　　对于这种特殊的组网，需要仔细的分析用户网络的实际组网拓扑，了解各种数据的流向，才能真正很好的解决问题。