IDC运维团队技术交流――借助网络拓朴对故障排查详解

　　IDC运维团队技已经术交流活动进行了半个月时间了，期间学习到了不少东西；我们都要做到既能解决故障，也要把它写出来、讲出来――――互相沟通的必要性。

　　下面我就了解网络拓朴、借助拓朴判断及解决一些故障的思路跟大家一起探讨。

　 　一、网络拓朴――结构及功能

　　网络结构及功能如下：

　　1. 中国电信1G*4对光纤（端口汇聚）接入华为5500三层交换机；为了及时牵引大流量的攻击，避免造成城域网的畅通，中国电信的流量牵引系统起到针对某个公网IP进行封堵的作用。

　　2. 华为5500三层交换机1G*4对光纤（端口汇聚）接入到四台金盾防火墙；5500交换机上划分了多个VLAN，设置了每个子网的网关地址；充当了网关的功能。

　　3. 1G*4金盾防火墙做了集群，防火墙对CC攻击及DDOS攻击能够清晰的体现出来，对一些非法连接进行限制或禁止；作用可以让防火墙下面具体的IP――忽略所有流量（即透明模式，不过防火墙），或者屏蔽所有流量（禁止指定目的地的数据通过）等功能。

　　4. 接入层交换机只作数据报转发，当某台服务器中毒或向外发起攻击等影响网络时可以在关闭交换机端口，进行隔离来保证网络畅通。 　

　　5. 服务器直接用双绞线上联到接入层交换机上，服务器使用静态公网IP；每个C段IP划分成四个子网即掩码为255.255.255.192。

 

　 　二、故障现象　

　　接入层下的服务器要求重装系统，于是按客户要求重装系统；系统装完配置IP，最后服务器上架开机；但是你所希望的结果没有发生，等着你的是服务器无法远程。

　 　三、故障全面分析及解决

　　自己做的事还是自己来解决，基于网络结构，根据各方面的原因能够造成无法远程的有好几种，下面我就个人遇到的类型作个介绍。

　　进入系统逐步排查、分析：

　　1. 点击　开始――――运行

　　2. 接着用ipconfig/all命令查看IP设置是否有错误

　　从上图的结果可以看出这是一个错误的设置，它是经过DHCP服务器分配得到的IP；在这里为了不侵害真实公网IP的正常使用，我们假设192.168.1.5这个IP是设置正确的；但从掩码来看，它是错误的掩码；所以这时我们可以更改网络掩码；然后再试看下网络是否畅通。

　　3. 检查网络是否畅通

　　首先ping 本机ip以确保网卡是正常的；然后再ping网关是否正常

从上图可以判断到网关是正常的，如果如下图的结果的话，网络就不通的。

　　①. 能够正常ping通网关的话，接着我们就ping互联网看是否通畅

下面这是能够正常ping 到百度的结果，

　　a. 如果是说ping 到百度是通的说明网络正常，剩下的就是服务器的设置问题。 服务器问题解决：

　　第一：看是否打开了远程桌面连接（此步没有则终端能上网，无法远程连接）

如果没有选上，把它打上钩后点击应用、确定。

　　第二：看注册表里的远程端口是否改了。如果有改两个端口要一致（此步有改动时终端能上网，远程连接时需加端口号）。

打开注册表：

 

修改注册表的远程端口的值：

HKEY＿LOCAL＿MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp
 HKEY＿LOCAL＿MACHINE \SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下都有一个PortNumber值，通常为3389，将其修改为自己的值，如9833(可自己指定端口，但最好不要设低于1024，以免冲突)； ��

 

 

 

　　第三：启动服务（此步没有时终端能上网无法远程连接）

把图右边的TCP/IP等Ｔ开头的都启动（除了TELNET)。

第四：系统自带防火墙的设置(IP属性里）――如果改了远程端口，则要在例外里把端口添加进去。

全部设置好后点击确定。。。。确定

　　第四：就是IP属性里点击高级

然后选择选项里的TCP/IP筛选后点击属性，把里头选全部允许，或者只允许（当然必须把自己要用的端口手动的加进去）。

　　第五：去掉组策略里的IP安全策略（此步有指派策略时终端无法上网和远程连接）

把右边《服务器》――对所有IP通讯总是使用。。。。。不指派。

当你按照上面的方法一步一步排除后，还是无法远程桌面连接时，此时有可能服务器装了软件策略。看控制面板里的添加删除程序里有软件策略时给它删除了。――如果有软件策略时终端能上网，无法远程连接。 最后要记得给用户设置密码和重新启动哦。

　　b. 如果是说ping 到百度是不通的，那么居于网络结构，有可能是中国电信的流量牵引系统里此IP被封堵了，只要没有受攻击，解封IP就OK了。

　　②. 如果ping　到网关不通时，首先看ping 同一台接入层交换机下的服务器是否相通，如果是互通的话；这时我们应该第一时间想到会不会是硬件防火墙把这台服务器禁止了，是不是硬件防火墙已经屏蔽了此IP，如果是的话就解除屏蔽。只要点去屏蔽所有流量选项的勾就行了。然后再ping 外网按第①步操作就OK了。

 

　　四、结束语

　　故障类型会不断变化，要求我们平时做事要细心、清晰的思路、灵活多变的手段，这样故障才能迎刃而解。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

本文出自 “联通IDC” 博客，转载请与作者联系！