作爲網管員,每天要面對大大小小的各種故障,如何能夠快速排除故障,讓網絡暢通無阻是網管員們關心的問題,本文則通過排除某次網絡故障闡述了一個網管員的親身感受。
網絡結構
我們單位內部計算機局域網是一個具有一定規模的園區網絡。網絡物理層採用155M*2的ATM主幹連接,網絡層採用開放的TCP/IP協議,根據應用需求,採用VLAN技術劃分爲若干子網。網絡匯接中心以兩臺ATM交換機構成一箇中心環,其中一臺爲主交換機(圖1ATM-S),即通常我們所說的三層交換機,它的路由模塊完成VLAN間的路由功能,並負責園區網進入廣域網的訪問接入和局域網骨幹路由尋徑。廣域網是採用Internet技術覆蓋全國的內聯網。各業務部門分別通過一臺ATM交換機以155M的雙鏈路與匯接中心的主交換機ATM-S相聯,以形成冗餘的物理和負載均衡。網絡拓撲如圖1示。
局域網在網絡匯接中心通過防火牆與廣域網互聯。廣域網路由器是Route-w,採用Cisco路由器,負責園區網內外路由交換,它以專線方式對上聯接廣域網。防火牆的停火區是公共數據交換區,配置了一些公共服務器及終端,作爲園區網的部門網絡,停火區交換機通過防火牆與內網主交換機ATM-S相聯。考慮到局域網應用和用戶安全,我們對防火牆做了一些規則設置,例如保證局域網用戶可以瀏覽廣域網網頁;而廣域網用戶只能瀏覽停火區的公共Web服務器。其中,局域網IP地址爲1.64.0.0/12,停火區IP地址爲1.64.10.0/24,廣域網IP地址爲1.0.0.0-32.0.0.0/8。局域網ATM-S交換機對內網關是1.64.1.1,對外網關是1.64.10.2。
故障現象分析
近期發現一個奇怪的故障現象,在停火區可以Ping通廣域網所有IP地址,並能瀏覽廣域網所有IP地址網頁。而內網用戶只能瀏覽廣域網IP地址爲1.0.0.0/8、13.0.0.0-32.0.0.0/8網段的網頁,地址爲2.0.0.0-12.0.0.0/8網段的網頁不能瀏覽。從內網Ping廣域網IP地址,只能Ping通1.0.0.0/8、13.0.0.0-32.0.0.0/8網段,Ping2.0.0.0-12.0.0.0/8網段不通。
根據網絡故障通常出現的幾種可能,從網絡物理層、數據鏈路層、網絡層逐層查找故障。由於在局域網可以Ping通廣域網的部分IP地址,因此首先可以排除網絡物理層設備、線路的連接以及數據鏈路層路由器端口數據封裝的問題。該故障基本可以定位在網絡層。我們知道,網絡層提供建立、保持和釋放網絡層連接的手段,包括路由選擇、流量控制、傳輸確認、中斷、差錯及故障恢復等。
排障步驟
由於在局域網不能Ping通廣域網,而在停火區可以,首先懷疑是防火牆設置問題。把防火牆斷開,停火區交換機與內網主交換機ATM-S直接相連,停火區交換機與廣域網路由器Route-w直接相聯,此時內網依然不能與外網2.0.0.0-12.0.0.0/8網段互通。說明故障與防火牆設置無關,恢復防火牆設置。
接着檢查路由器設置。首先查看廣域網網關路由配置表,該路由器配置了靜態和動態兩種路由協議。該路由器的靜態路由設置包括了局域網網段。動態路由協議OSPF路由僅包含停火區網段,試將原OSPF路由錶停火區網段擴大成內網網段。再試,故障仍存在。
接着檢查局域網主交換機ATM-S網關路由配置表。該路由器(模塊)使用的是RIP協議。全0子網0.0.0.0(zerosubnet)都已指向1.64.10.1網關。
之後,又檢查兩路由器(模塊)網絡接口IP地址配置及狀態也正常。這時,我們試着將局域網網段某主機地址1.64.1.200改爲停火區網段地址1.64.10.200,原網關設定不變,仍是內網網關1.64.1.1,從該主機Ping外網仍舊不通。接着,將該主機的ATM-S主交換機網關地址改爲停火區網關地址1.64.10.1,此時該內網終端即刻可以Ping通外網IP地址2.0.0.0-12.0.0.0,並且可以瀏覽其Web頁面。此時可以判定是路由器(模塊)設置問題,並可排除交換機故障。
由於找不到故障原因,我們試着在局域網主交換機ATM-S上再加上一條目的地址爲2.0.0.0/8的網段指向內網網關1.64.10.1的路由配置命令,此時局域網用戶即能Ping通2.0.0.0/8網段。但是故障還是不能解釋,因爲在原配置中全0子網已全部指向1.64.10.1,包括了2.0.0.0/8網段地址。