■

在互聯(lián)網(wǎng)發(fā)展的今天，廣電網(wǎng)絡(luò)行業(yè)為了能盡快適應(yīng)“三網(wǎng)融合”的步伐，只得通過租賃的方式來獲取互聯(lián)網(wǎng)出口，然后再使用該互聯(lián)網(wǎng)出口發(fā)展互聯(lián)網(wǎng)用戶，近日我單位又新租賃了一個移動的互聯(lián)網(wǎng)出口，為了檢驗該互聯(lián)網(wǎng)出口的穩(wěn)定性和帶寬承載力，我們將公司辦公網(wǎng)用戶切換至該出口上，完成互聯(lián)網(wǎng)切換工作后，就陸陸續(xù)續(xù)的接到同事的報修電話，大多表現(xiàn)的現(xiàn)象是用戶寬帶撥號連接正常，但是打不開網(wǎng)頁。

我們對部分出現(xiàn)網(wǎng)絡(luò)故障的電腦進行查看，首先使用Ping命令進行一步一步的排查，得到的結(jié)論是能正常Ping通BRAS、防火墻的內(nèi)網(wǎng)口和外網(wǎng)口IP地址，就是Ping不通該出口的網(wǎng)關(guān)，有同事反映固定IP地址也不能正常上網(wǎng)，出現(xiàn)的故障現(xiàn)象和進行PPPoE撥號的用戶是一樣的，值得一提的是為了方便我們內(nèi)部辦公軟件服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器的登錄以及網(wǎng)絡(luò)維護的需要，我們在配置DHCP地址池時，將部分IP地址進行了排除作為靜態(tài)使用。

根據(jù)這一網(wǎng)絡(luò)故障特征，，我們立即對網(wǎng)絡(luò)進行排查。我們首先對瀏覽器進行了嘗試恢復(fù)，然后使用命令ipconfig/flushdns進行了DNS緩存清理，最后重新PPPoE撥號連接，出現(xiàn)網(wǎng)絡(luò)故障的部分電腦能夠正常上網(wǎng)了，完成這三步操作后我們就把問題歸結(jié)為互聯(lián)網(wǎng)出口更換后，由于部分電腦的DNS緩存沒有及時清理，才造成上不去網(wǎng)。但是后期還是有同事的電腦上不去網(wǎng)，就在問題陷入僵局的時候，我們重新梳理思路，思考從我們調(diào)整互聯(lián)網(wǎng)出口時只是將辦公網(wǎng)段的地址進行了NAT地址的映射，然后將防火墻上的辦公網(wǎng)地址段用戶使用策略路由指向了移動的網(wǎng)關(guān)，最后修改了BRAS上的DNS，我們按照這三步進行逐級排查后發(fā)現(xiàn)NAT地址池存在錯誤，移動公司分配給我們的公網(wǎng)地址段是112.52.69.192/28，通過計算得知該網(wǎng)段的IP地址范圍是112.52.69.192-112.52.69.207， 其 中112.52.69.194作 為 我 們防火墻的互聯(lián)接口地址，112.52.69.193是移動互聯(lián)網(wǎng) 的 網(wǎng) 關(guān)，112.52.69.192是網(wǎng)絡(luò)地址不能使用，112.52.69.207是廣播地址不能使用，那么除去這四個地址還剩下112.52.69.195-112.52.69.206這7個 地址可以正常使用，但是在我們在防火墻上配置的NAT池 是112.52.69.195-112.52.69.207，包括了廣播地址112.52.69.207在內(nèi)，這個地址我們剛才介紹到它是一個廣播地址不能被使用，我們隨即將NAT池進行了重新配置，刪除了112.52.69.207，然后對有網(wǎng)絡(luò)故障的電腦進行了重新?lián)芴栠B接網(wǎng)絡(luò)恢復(fù)了正常，使用固定IP上網(wǎng)的同事也向我們反饋網(wǎng)絡(luò)恢復(fù)了正常。

此次網(wǎng)絡(luò)故障排除后，我們對故障原因和排除故障的方法進行思考，之所以出現(xiàn)部分電腦上不去網(wǎng)是因為用戶正常撥號成功后，會從BRAS上獲取到一個合法的網(wǎng)絡(luò)地址，然后通過防火墻進行私網(wǎng)到公網(wǎng)的地址轉(zhuǎn)換，正是這一環(huán)節(jié)由于NAT地址池中出現(xiàn)IP地址配置錯誤，才導(dǎo)致部分電腦將私網(wǎng)地址轉(zhuǎn)換成了112.52.69.207，也就出現(xiàn)了文章開頭的那一幕，主機只能Ping通防火墻的外網(wǎng)口的地址，但是不能正常訪問外網(wǎng)。為什么有的私網(wǎng)地址會轉(zhuǎn)換成公網(wǎng)地址112.52.69.207呢，這是因為私網(wǎng)地址轉(zhuǎn)換成的公網(wǎng)IP地址是從NAT地址池中隨機抽取的，和IP地址的大小沒有任何關(guān)系。

經(jīng)過這件事情以后，為了進一步提升網(wǎng)絡(luò)性能，我們計劃購買一臺交換機放置在防火墻的上游，租賃的互聯(lián)網(wǎng)出口首先連接到交換機上，然后再連接到防火墻的外網(wǎng)口上，這樣做的好處一來方便我們及時對互聯(lián)網(wǎng)出口的網(wǎng)速進行測試，二來方便了我們對互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)進行故障排除。作為網(wǎng)絡(luò)管理員在進行設(shè)備配置時，特別是核心設(shè)備的配置改動，需要提交一個可行的方案，或者最起碼將關(guān)鍵步驟進行書面展示，這樣可以有效防止因為其他客觀因素造成的網(wǎng)絡(luò)設(shè)備參數(shù)配置錯誤，還有一點就是細(xì)心，特別是核心網(wǎng)絡(luò)設(shè)備的配置更改直接影響到成千上百個互聯(lián)網(wǎng)用戶的上網(wǎng)體驗，只有認(rèn)識到操作失誤的嚴(yán)重性，才能真正做到設(shè)備的細(xì)心和慎重配置，這樣才能保證設(shè)備的穩(wěn)定良好運行，最終也提高了互聯(lián)網(wǎng)用戶的良好網(wǎng)絡(luò)體驗。