【51CTO.com獨(dú)家特稿】前些時(shí)候，某單位內(nèi)網(wǎng)訪問出現(xiàn)了一則奇怪的故障現(xiàn)象，主要問題是該單位內(nèi)網(wǎng)的防火墻設(shè)備由于工作時(shí)間比較長(zhǎng)，性能不是很穩(wěn)定，于是新買回來一臺(tái)同品牌的防火墻設(shè)備，來替換原來的舊設(shè)備，原本以為完成替換操作后，內(nèi)網(wǎng)運(yùn)行穩(wěn)定性更好了；可誰曾想到，新防火墻設(shè)備投入運(yùn)行后，該單位內(nèi)網(wǎng)訪問不但穩(wěn)定性沒有提高，而且所有終端都無法正常訪問內(nèi)網(wǎng)系統(tǒng)了。內(nèi)網(wǎng)網(wǎng)絡(luò)發(fā)生這樣蹊蹺的故障，事關(guān)重大，我們趕快對(duì)故障現(xiàn)象進(jìn)行追蹤、排查。

網(wǎng)絡(luò)環(huán)境

局域網(wǎng)中的普通客戶機(jī)，通過100M雙絞線分別連接到八臺(tái)Cisco型號(hào)的二層交換機(jī)上，所有二層交換機(jī)通過多模光纖連接到Cisco型號(hào)的核心交換機(jī)上，核心交換機(jī)通過路由器連接內(nèi)網(wǎng)平臺(tái)系統(tǒng)；為了保證網(wǎng)絡(luò)訪問安全，網(wǎng)管特意在核心交換機(jī)與路由器之間，放置了硬件防火墻設(shè)備，并且防火墻設(shè)備工作于透明模式狀態(tài)。為了防止廣播風(fēng)暴以及網(wǎng)絡(luò)病毒影響整個(gè)局域網(wǎng)的運(yùn)行，網(wǎng)管特意將單位的所有客戶機(jī)劃分成了6個(gè)虛擬工作子網(wǎng)，每個(gè)虛擬工作子網(wǎng)的網(wǎng)關(guān)全部建立在Cisco型號(hào)的核心交換機(jī)上。

故障現(xiàn)象

平時(shí)，舊防火墻設(shè)備工作在透明模式狀態(tài)下時(shí)，局域網(wǎng)中的所有終端都能正常訪問內(nèi)網(wǎng)系統(tǒng)；但是，自從使用新防火墻設(shè)備替換舊設(shè)備之后，就出現(xiàn)網(wǎng)絡(luò)訪問故障了。局域網(wǎng)中的所有終端都不能成功訪問內(nèi)網(wǎng)平臺(tái)系統(tǒng)，任意登錄一臺(tái)終端，并在該系統(tǒng)中執(zhí)行ping命令，測(cè)試路由器的IP地址是否連通時(shí)，發(fā)現(xiàn)都不能成功。起初，網(wǎng)管還以為是新防火墻設(shè)備存在設(shè)置不當(dāng)?shù)囊蛩兀墒亲屑?xì)查詢之后，發(fā)現(xiàn)新防火墻也是工作在透明模式狀態(tài)下，同時(shí)沒有設(shè)置任何安全過濾規(guī)則，按理來說，防火墻不會(huì)對(duì)終端的網(wǎng)絡(luò)訪問進(jìn)行攔截呀！后來，網(wǎng)管擔(dān)心新的硬件防火墻設(shè)備存在質(zhì)量問題，于是臨時(shí)去掉該防火墻，將路由器設(shè)備和新防火墻設(shè)備直接連接在一起，結(jié)果發(fā)現(xiàn)局域網(wǎng)中的所有終端都能順利地訪問到內(nèi)網(wǎng)平臺(tái)了，這么一來網(wǎng)管確認(rèn)新的防火墻設(shè)備肯定存在問題。

故障排查

由于去掉硬件防火墻，局域網(wǎng)中的終端都能正常訪問內(nèi)網(wǎng)，同時(shí)硬件防火墻后臺(tái)系統(tǒng)中也沒有設(shè)置明顯的安全過濾規(guī)則，為此網(wǎng)管將故障排查重點(diǎn)“鎖定”在硬件防火墻身上。既然從硬件防火墻的設(shè)置上找不出問題，那多半是該設(shè)備的質(zhì)量出現(xiàn)了問題；為此，網(wǎng)管立即聯(lián)系了該設(shè)備供應(yīng)商的網(wǎng)管，請(qǐng)求他們到現(xiàn)場(chǎng)來幫忙解決問題。在故障現(xiàn)場(chǎng)，網(wǎng)管了解了故障現(xiàn)象后，初步判斷問題可能出在軟件設(shè)置方面。

為了檢查硬件防火墻的軟件設(shè)置是否存在問題，網(wǎng)管立即通過console端口登錄進(jìn)入該設(shè)備的后臺(tái)管理界面，查看安全過濾規(guī)則時(shí)，果然發(fā)現(xiàn)只設(shè)置了一條any到any的安全規(guī)則，這條訪問規(guī)則應(yīng)該對(duì)任何網(wǎng)絡(luò)訪問都予以放行呀。繼續(xù)查詢之后，他發(fā)現(xiàn)這臺(tái)防火墻設(shè)置了管理IP地址和網(wǎng)關(guān)地址，原來該地址是網(wǎng)管為了方便遠(yuǎn)程管理新防火墻用的，難道是這里的設(shè)置讓硬件防火墻變成了“攔路虎”？網(wǎng)管嘗試著刪除了這個(gè)管理地址，同時(shí)重啟防火墻設(shè)備后臺(tái)系統(tǒng)；待重新啟動(dòng)穩(wěn)定后，網(wǎng)管在防火墻后臺(tái)系統(tǒng)ping測(cè)試了一下路由器的IP地址，結(jié)果發(fā)現(xiàn)測(cè)試成功，再測(cè)試核心交換機(jī)的IP地址時(shí)也是正常的，難道問題這么快就解決好了？

可是，當(dāng)網(wǎng)管嘗試從終端中進(jìn)行上網(wǎng)測(cè)試時(shí)，發(fā)現(xiàn)內(nèi)網(wǎng)還是不能正常上網(wǎng)，顯然問題的根源還是沒有真正找到。不得已，網(wǎng)管只好將防火墻的所有設(shè)置全部恢復(fù)到默認(rèn)狀態(tài)，之后重新進(jìn)行了一下配置操作，結(jié)果發(fā)現(xiàn)核心交換機(jī)與路由器之間仍然可以相互ping通，但是局域網(wǎng)中的終端就是不能正常訪問內(nèi)網(wǎng)；由于ping測(cè)試操作正常，網(wǎng)管認(rèn)為問題肯定與防火墻設(shè)備沒有任何關(guān)系，無法訪問的故障現(xiàn)象很可能是內(nèi)網(wǎng)自身引起的。

于是，網(wǎng)管自己也開始懷疑內(nèi)網(wǎng)有問題了；為此，他從局域網(wǎng)中任意選擇了一臺(tái)終端，開始對(duì)數(shù)據(jù)包的發(fā)送進(jìn)行跟蹤測(cè)試，結(jié)果發(fā)現(xiàn)數(shù)據(jù)包始終無法達(dá)到內(nèi)網(wǎng)的路由器，難道是防火墻或者核心交換機(jī)丟棄了目標(biāo)數(shù)據(jù)包？考慮到防火墻沒有設(shè)置任何過濾規(guī)則，網(wǎng)管估計(jì)可能是核心交換機(jī)將上網(wǎng)數(shù)據(jù)包自動(dòng)過濾掉了，于是登錄進(jìn)入核心交換機(jī)后臺(tái)系統(tǒng)，執(zhí)行字符串命令“show access-list”，來查看核心交換機(jī)究竟對(duì)哪些內(nèi)容進(jìn)行過濾了，可是讓他沒有想到的是，這個(gè)訪問列表中竟然沒有任何內(nèi)容，這也就意味著核心交換機(jī)沒有執(zhí)行數(shù)據(jù)包過濾操作；順便執(zhí)行字符串命令“show ip route”，查看它的路由表記錄時(shí)，發(fā)現(xiàn)路由記錄明顯不正常，竟然沒有達(dá)到內(nèi)網(wǎng)的路由，這也難怪局域網(wǎng)中的終端不能正常訪問內(nèi)網(wǎng)了。

故障解決

核心交換機(jī)上為什么沒有指向內(nèi)網(wǎng)的路由記錄呢？在這種狀態(tài)下，為什么連接舊硬件防火墻可以正常訪問內(nèi)網(wǎng)呢？想到核心交換機(jī)直接連接到路由器上時(shí)，局域網(wǎng)中的終端也能夠正常訪問內(nèi)網(wǎng)，于是網(wǎng)管估計(jì)核心交換機(jī)肯定啟用了ospf協(xié)議，這樣一來它就能獲得通往內(nèi)網(wǎng)的動(dòng)態(tài)路由，否則終端絕對(duì)不肯能訪問到內(nèi)網(wǎng)；為了驗(yàn)證自己的猜測(cè)是否正確，網(wǎng)管又在核心交換機(jī)后臺(tái)系統(tǒng)，執(zhí)行了“show runn”字符串命令，結(jié)果發(fā)現(xiàn)核心交換機(jī)果然啟用了動(dòng)態(tài)路由功能；在查看該路由協(xié)議的具體配置時(shí)，網(wǎng)管發(fā)現(xiàn)ospf鄰居無法找到，怪不得核心交換機(jī)上無法獲得通往內(nèi)網(wǎng)的動(dòng)態(tài)路由。

會(huì)不會(huì)是路由器中沒有啟用ospf協(xié)議功能，造成核心交換機(jī)無法從路由器那里獲得動(dòng)態(tài)路由呢？可是轉(zhuǎn)念一想，在核心交換機(jī)直接連接到路由器上時(shí)，局域網(wǎng)中的終端可以正常訪問內(nèi)網(wǎng)，這說明直接連接時(shí)，核心交換機(jī)可以從路由器那里學(xué)到動(dòng)態(tài)路由，那為什么在連接了硬件防火墻后，核心交換機(jī)無法從路由器那里獲得動(dòng)態(tài)路由呢？對(duì)于這樣的問題，網(wǎng)管認(rèn)為ospf協(xié)議在尋找建立動(dòng)態(tài)鄰居時(shí)，需要以組播方式向網(wǎng)絡(luò)發(fā)送hello包，可是硬件防火墻在默認(rèn)狀態(tài)下是不允許組播數(shù)據(jù)包通過，那樣一來硬件防火墻就會(huì)阻礙核心交換機(jī)從路由器那里學(xué)到動(dòng)態(tài)路由，在動(dòng)態(tài)路由被“擋”之后，局域網(wǎng)中的終端自然就不能訪問內(nèi)網(wǎng)平臺(tái)了。

弄清楚故障原因之后，網(wǎng)管立即在硬件防火墻中重新配置了合適的訪問規(guī)則，確保該設(shè)備不會(huì)“阻擋”動(dòng)態(tài)路由，果然經(jīng)過這樣的設(shè)置后，網(wǎng)管再次在核心交換機(jī)上執(zhí)行“show ip ospf neighbor”字符串命令時(shí)，發(fā)現(xiàn)到了ospf鄰居，這個(gè)時(shí)候進(jìn)行上網(wǎng)測(cè)試時(shí)，發(fā)現(xiàn)終端已經(jīng)能夠順利地訪問內(nèi)網(wǎng)了，至此，無法訪問內(nèi)網(wǎng)的故障現(xiàn)象就被成功解決了。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請(qǐng)注明出處51CTO.com及原文作者】