作为网管员,每天要面对大大小小的各种故障,如何能够快速排除故障,让网络畅通无阻是网管员们关心的问题,本文则通过排除某次网络故障阐述了一个网管员的亲身感受。
网络结构
我们单位内部计算机局域网是一个具有一定规模的园区网络。网络物理层采用155M*2的ATM主干连接,网络层采用开放的TCP/IP协议,根据应用需求,采用VLAN技术划分为若干子网。网络汇接中心以两台ATM交换机构成一个中心环,其中一台为主交换机(图1ATM-S),即通常我们所说的三层交换机,它的路由模块完成VLAN间的路由功能,并负责园区网进入广域网的访问接入和局域网骨干路由寻径。广域网是采用Internet技术覆盖全国的内联网。各业务部门分别通过一台ATM交换机以155M的双链路与汇接中心的主交换机ATM-S相联,以形成冗余的物理和负载均衡。网络拓扑如图1示。
局域网在网络汇接中心通过防火墙与广域网互联。广域网路由器是Route-w,采用Cisco路由器,负责园区网内外路由交换,它以专线方式对上联接广域网。防火墙的停火区是公共数据交换区,配置了一些公共服务器及终端,作为园区网的部门网络,停火区交换机通过防火墙与内网主交换机ATM-S相联。考虑到局域网应用和用户安全,我们对防火墙做了一些规则设置,例如保证局域网用户可以浏览广域网网页;而广域网用户只能浏览停火区的公共Web服务器。其中,局域网IP地址为1.64.0.0/12,停火区IP地址为1.64.10.0/24,广域网IP地址为1.0.0.0-32.0.0.0/8。局域网ATM-S交换机对内网关是1.64.1.1,对外网关是1.64.10.2。
故障现象分析
近期发现一个奇怪的故障现象,在停火区可以Ping通广域网所有IP地址,并能浏览广域网所有IP地址网页。而内网用户只能浏览广域网IP地址为1.0.0.0/8、13.0.0.0-32.0.0.0/8网段的网页,地址为2.0.0.0-12.0.0.0/8网段的网页不能浏览。从内网Ping广域网IP地址,只能Ping通1.0.0.0/8、13.0.0.0-32.0.0.0/8网段,Ping2.0.0.0-12.0.0.0/8网段不通。
根据网络故障通常出现的几种可能,从网络物理层、数据链路层、网络层逐层查找故障。由于在局域网可以Ping通广域网的部分IP地址,因此首先可以排除网络物理层设备、线路的连接以及数据链路层路由器端口数据封装的问题。该故障基本可以定位在网络层。我们知道,网络层提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复等。
排障步骤
由于在局域网不能Ping通广域网,而在停火区可以,首先怀疑是防火墙设置问题。把防火墙断开,停火区交换机与内网主交换机ATM-S直接相连,停火区交换机与广域网路由器Route-w直接相联,此时内网依然不能与外网2.0.0.0-12.0.0.0/8网段互通。说明故障与防火墙设置无关,恢复防火墙设置。
接着检查路由器设置。首先查看广域网网关路由配置表,该路由器配置了静态和动态两种路由协议。该路由器的静态路由设置包括了局域网网段。动态路由协议OSPF路由仅包含停火区网段,试将原OSPF路由表停火区网段扩大成内网网段。再试,故障仍存在。
接着检查局域网主交换机ATM-S网关路由配置表。该路由器(模块)使用的是RIP协议。全0子网0.0.0.0(zerosubnet)都已指向1.64.10.1网关。
之后,又检查两路由器(模块)网络接口IP地址配置及状态也正常。这时,我们试着将局域网网段某主机地址1.64.1.200改为停火区网段地址1.64.10.200,原网关设定不变,仍是内网网关1.64.1.1,从该主机Ping外网仍旧不通。接着,将该主机的ATM-S主交换机网关地址改为停火区网关地址1.64.10.1,此时该内网终端即刻可以Ping通外网IP地址2.0.0.0-12.0.0.0,并且可以浏览其Web页面。此时可以判定是路由器(模块)设置问题,并可排除交换机故障。
由于找不到故障原因,我们试着在局域网主交换机ATM-S上再加上一条目的地址为2.0.0.0/8的网段指向内网网关1.64.10.1的路由配置命令,此时局域网用户即能Ping通2.0.0.0/8网段。但是故障还是不能解释,因为在原配置中全0子网已全部指向1.64.10.1,包括了2.0.0.0/8网段地址。