Cloudflare/CDN 回源优化实践（第 19 篇）

在排查网络连通性问题时，我们通常会从 DNS 解析、链路 MTU、网关路由、NAT 与防火墙规则等维度逐步缩小范围。本文记录一次完整的思路与操作。

首先，通过 nslookup 或 dig 验证解析是否稳定，再用 ping 与 tracert/mtr 检查路径与丢包点。

如果出现 ICMP 不通而 TCP 正常的情况，很多时候与运营商的 ICMP 限速/丢弃有关，这并不能代表业务一定不可达。

MTU/分片是另一个常见陷阱：可以用不分片测试 ping -f -l 1472 逐步降低排查；跨隧道/PPPoE/云厂商机房很容易出现路径 MTU 不一致的问题。

服务端层面，应检查系统防火墙（nftables/ufw）、安全组、监听地址、反向代理与后端应用日志；客户端可以抓包比对 SYN/RST/ICMP 行为。

实操片段

# 以 Debian 为例安装常用网络工具
apt update && apt install -y mtr-tiny dnsutils tcpdump net-tools

# 观测指定端口连通性（无需发应用层）
nc -vz example.com 443

# 抓包排查三次握手
tcpdump -nni any 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'