网络故障处理心得之一

 

序：从2006年加入神州数码网络公司，一直从事基础网络建设也六年了，准备把这期间经历的一些典型的网络故障写下来，一方面算是自己的总结，另一方面也可以方便他人。计划一篇文章写一个案例。

 

网络拓扑图：

 

 

 

学校同时接入教育网和联通，电脑的网关在核心交换机上。 

用户提供的信息：内网用户不能上教育网，能正常浏览网页，内网用户也不通PING通防火墙上教育网的网关地址，数据跟踪教育网时显示不能到达防火墙，只能到达核心交换机。防火墙上可以PING通教育网的网关。

初步判断：教育网的线路正常，问题很可能是配置上的问题。

让其进行跟踪一个网通的地址，结果为：数据跟踪正常。判定：交换机和防火墙上配置上允许进行数据包跟踪，那为什么教育网不可以呢？难道是路由的原因。用户反馈的结果是核心交换机上只有一条默认路由到防火墙的内网口。此时就可以确定也不是核心交换机的问题，问题很有可能出在防火墙上。

通过远程登录防火墙发现防火墙墙上配置了多条策略，但内网到教育网的策略没有生效。

到此就找到问题的根源为用户经常性的通过防火墙来控制内网用户哪些可以上教育网，哪些不可以，每次都是通过让策略是否生效来控制的。

此类问题有个共性：如果内网用户中有少部分不能PING通防火墙的内网口或数据不能显示到达内网口，一般是防火墙配置上的问题。常见的原因为：

• 不允许访问外网
• 此电脑的会话数太大所致