防火墻一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，下面讓我們看一下防火墻下接的用戶不能訪問外網(wǎng)的故障是怎么解決的。

網(wǎng)絡(luò)環(huán)境

如圖所示，Eudemon防火墻下接的企業(yè)用戶通過路由器訪問外部網(wǎng)絡(luò)。

企業(yè)接入Internet組網(wǎng)圖

網(wǎng)絡(luò)部署完畢后，發(fā)現(xiàn)防火墻后的企業(yè)用戶不能訪問外部Internet網(wǎng)絡(luò)。

故障分析

企業(yè)用戶不能訪問Internet網(wǎng)絡(luò)的可能原因為：

 鏈路狀態(tài)問題

 路由配置錯誤

步驟 1     路由器、防火墻之間、防火墻和企業(yè)網(wǎng)之間的鏈路狀態(tài)異?？赡茉斐捎脩粼L問不了外網(wǎng)。執(zhí)行命令display ip interface brief查看路由器和防火墻相應(yīng)接口的狀態(tài)信息，發(fā)現(xiàn)接口狀態(tài)均為Up，排除鏈路異常的可能性。

步驟 2     在路由器上tracert企業(yè)用戶地址，發(fā)現(xiàn)***一跳為路由器，根據(jù)現(xiàn)象猜測路由器與防火墻之間的路由有問題，于是在路由器上ping與它直連的防火墻的接口地址，結(jié)果正常。

步驟 3     將Eudemon1斷開，將用戶側(cè)二層設(shè)備（下面接PC1和PC2）直接與路由器接口相連，PC1配置防火墻接口地址。在路由器上ping PC1的地址，發(fā)現(xiàn)PC1收不到來自路由器的Ping報文，卻收到了查詢Eudemon 2接口MAC地址的的ARP報文。由此斷定路由器和兩臺Eudemon間的路由配置有問題，而且很可能是將下一跳路由配反了（即靜態(tài)路由中指定到Eudemon1的下一跳地址錯誤配置成了指定到Eudemon2的下一跳地址）。在路由器上執(zhí)行命令display ip routing-table，證實了猜測的正確性。

----結(jié)束

處理步驟

更正路由器到企業(yè)用戶靜態(tài)路由的下一跳地址。

----結(jié)束

完成上述操作后，企業(yè)用戶可以通過路由器訪問Internet網(wǎng)絡(luò)，故障排除。

案例總結(jié)

當(dāng)路由器無法Ping通對端設(shè)備時，首先檢查接口的鏈路狀態(tài)，其次檢查路由的配置。在檢查路由配置的過程中，利用tracert和ping命令對鏈路分段進行檢測排除，將出問題的鏈路范圍逐步縮小。

【編輯推薦】

1. 路由器故障：鏈路不穩(wěn)定
2. 路由器故障：鏈路丟包嚴(yán)重
3. 路由器故障：CE1接口網(wǎng)速較慢
4. 路由器故障：廣域網(wǎng)故障處理分析
5. 路由器故障：MP捆綁鏈路閃斷丟包
6. 路由器故障：ATM接口做備份接口鏈路層無法Up