双WAN口路由器作为企业提升互联网接入速度的一个企业级路由器，在一定程度上还是不错的。不过，如果设置不好，网络管理员很可能会好心办坏事。这不，龙三公子就遇见了一个例子，下面具体跟大家说说。

    故障现象：

    某企业财务这两天在操作网上银行时，尤其是交通银行，经常出现“会话超时、会话已过期”等情况，有时还会拒绝登陆，导致银行上的钱不能按时转出。奇怪的是，其它银行如工行、建行、农行又正常。

    分析原因：

    一般来说，会话超时是因为你在一个页面停留太久造成的。但人就在边上操作，所以说这个问题直接PASS了。

    根据以上现象，该企业网管属先判断是其电脑问题，其次是网银的一些安全控件的问题，再就是银行U盾问题亦或是系统问题。

    反正分析出来的几个原因都依次测试了，结果是仍未解决问题。不过，倒是检测出几个银行安全插件故障，用交行的向导作了修复（这一点很不靠谱啊，企业的网银这个安全是一定要把好关的）

    网管陷入僵局，因为既然其它银行正常，为什么唯交行不行呢。于是在QQ上问我，我叫他打电话给交行客服。

    交行客服了解情况后对他说作了一下IE的几个设置，就是更改了一下ssl加密传输数据设置，具体如下：

    关于SSL协议这里不多讲，一般银行网站之类的都会使用，具体的请大家找度娘，找狗狗。

    按交行客服设置后问题依旧，而其企业的财务也说他在其交行的营业厅办理业务时也有人遇到过此问题。虽说没解决问题，但是这个设置既然银行类网站都用就保留吧。难道真是银行问题吗？

    后来我问他最近有没有在网络上作什么设置？他说最近公司增加了一条宽带，用的双WAN口路由器。又问他交行客服都是怎么跟他说的，听了他们大致的对话后，我找到原因的所在，一语惊醒梦中人，因为客服说了一个关键问题：IP问题。说是会话过期就是IP不稳定造成的。

    解决问题：

    为什么这么说呢？因为网上银行在身份认证的时候，会进行安全性检查，通常同时只允许一个IP。而使用了双WAN口路由器它是多条线同时上网。多条线就存在多个IP，为此这个身份验证就会失败，会拒绝登陆。一般来说需要进行互联网身份认证的程序往往都会出现这种情况，即使其可以登陆上去，但是后来随着其网络状况的变化，可能就会出现双线连接互联网的情况。此时服务器一旦发现这种情况，就会强迫其断线，就好像在两地登陆同一个QQ号码的话另一端会被迫下线。那么银行端为了安全当然更是如此了。

    于是，我叫他设置路由器，通过流量均衡控制进行IP地址调度，把该财务用户的IP指定优先从某一个WAN口转发，也就是说让其电脑该地址的数据包不管是局域网还是internet都只走一个WAN口，以保证其IP永远稳定在一个WAN下。

    至此，问题当然是解决了。其实这里是涉及到了双WAN口路由器的一个指标问题：身份绑定技术。

    该技术就是通过某种方式来检测识别信息流量。当发现这类身份验证的应用程序(或者其他类似的信息流量)的时候，就马上进行表示，把这个类信息流量绑定在第一次请求的线路上。如此的话，后续的通信不管网络端口的繁忙程度如何，都通过这个第一次请求的线路来走，以保证对方服务器安全检查的需要。在一个会话内全部利用同一个广域网端口进行通信。当下次会话开始时，会根据第一次的请求时的端口繁忙程度来选择采用的广域网端口。而对于其他普通的互联网访问请求，则仍然是采用宽带汇聚等技术实现多线上网。

    回顾我们的问题，其实往往是我们好心办了坏事，但也是因为我们考虑不周。说些题外话，企业作选购产品时作企业网络改造时需要特别的注意：除了要考虑路由器的那些硬件配置、数据处理效率等因素外，作为网管，还要考虑到其内部实现方式、是否适合企业需要，不要顾此失彼。比方上面这例。

打赏 支付宝打赏 微信打赏