網(wǎng)絡(luò)環(huán)境

最近，筆者單位網(wǎng)絡(luò)接入市里協(xié)同大平臺(tái)系統(tǒng)，為避免為每個(gè)學(xué)校另外拉一根光纖（各學(xué)校都已通過(guò)裸光纖接入教育城域網(wǎng)），教育局準(zhǔn)備將協(xié)同平臺(tái)接入光纖放入教育城域網(wǎng)中心機(jī)房，學(xué)校統(tǒng)一通過(guò)教育城域網(wǎng)中心機(jī)房接入?yún)f(xié)同平臺(tái)，既節(jié)約費(fèi)用，也便于教育局統(tǒng)一管理。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

各學(xué)校通過(guò)光纖接入綿竹教育城域網(wǎng)中心機(jī)房，再經(jīng)過(guò)思科防火墻ASA5540上因特網(wǎng)（拓?fù)鋱D左邊那條線路）。如果各學(xué)校要訪問(wèn)外網(wǎng)，通過(guò)華為Eudemon 200訪問(wèn)（拓?fù)鋱D右邊那條線路）。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)配置

筆者接到任務(wù)時(shí)，覺(jué)得不難，這就是一個(gè)雙線接入的配置，是很容易實(shí)現(xiàn)的。置外網(wǎng)分配的IP地址）

故障現(xiàn)象

配置好核心交換機(jī)華為9306和華為Eudemon 200后，卻發(fā)現(xiàn)10.5.x1.xxx和59.213.x3.xxx這兩個(gè)IP不能訪問(wèn)，其他4個(gè)IP都能夠訪問(wèn)。怎么會(huì)有兩個(gè)不能訪問(wèn)呢？要么就是全部可以訪問(wèn)，要么就是都不能訪問(wèn)啊！

難道是這兩個(gè)IP有問(wèn)題？馬上打電話確認(rèn)，教育局那邊說(shuō)，就是訪問(wèn)不了這兩個(gè)地址（注：教育局另外放了一根外網(wǎng)光纖，能夠訪問(wèn)外網(wǎng)）。筆者放心了，原來(lái)和我的配置沒(méi)有多大關(guān)系，就沒(méi)有放在心上。第二天到教育局辦事，教育局工作人員反映，通過(guò)教育城域網(wǎng)不能訪問(wèn)外網(wǎng)。

筆者當(dāng)時(shí)覺(jué)得不可思議，馬上試驗(yàn)了一下，結(jié)果，6個(gè)IP地址，只有10.5.x1.xxx不能訪問(wèn)，而這個(gè)IP是必須用的（這個(gè)IP是政務(wù)外網(wǎng)首頁(yè)）。當(dāng)時(shí)的第一個(gè)反應(yīng)是，這個(gè)地址的服務(wù)器沒(méi)有開(kāi)機(jī)，結(jié)果用另一根光纖訪問(wèn)，是能夠訪問(wèn)的。

教育局的工作人員提醒我說(shuō)，這些接入政務(wù)網(wǎng)的光纖都有固定的IP，對(duì)IP都是有限制的。我一聽(tīng)，馬上聯(lián)系放光纖的移動(dòng)公司，結(jié)果移動(dòng)公司說(shuō)，沒(méi)有限制，其他單位也用這種方式接入，沒(méi)有問(wèn)題。當(dāng)聽(tīng)我說(shuō)用防火墻接入時(shí)，移動(dòng)公司建議我用路由器，說(shuō)防火墻接入有時(shí)就是會(huì)出一些問(wèn)題，還舉了一些例子。

下午到教育城域網(wǎng)中心機(jī)房，首先梳理了一下故障排除步驟：

1.筆記本單獨(dú)接光纖能否訪問(wèn)政務(wù)外網(wǎng)。

2.筆記本直接接入防火墻能否訪問(wèn)外網(wǎng)（防火墻不接入教育城域網(wǎng)）。

3.換一臺(tái)路由器試一試。

通過(guò)這三步判斷故障到底出在哪里。

實(shí)驗(yàn)的最終結(jié)果是：筆記本單獨(dú)接光纖一點(diǎn)問(wèn)題也沒(méi) 有，10.5.x1.xxx能 夠 訪問(wèn)；筆記本接入防火墻也能訪問(wèn)；換了一臺(tái)路由器（華為2621）故障情況也一樣。

這個(gè)問(wèn)題困擾了我好幾天，也咨詢了很多人。有的說(shuō)是防火墻軟件版本的問(wèn)題，有的說(shuō)是機(jī)器軟硬件配合問(wèn)題等，我甚至在考慮是否是NAT轉(zhuǎn)換的原因：10.5.x1.xxx是私有地址，教育城域網(wǎng)也是私有地址，防火墻（路由器）就不NAT轉(zhuǎn)換了，所以不能訪問(wèn)。

故障解決

問(wèn)題的最終解決是在一次無(wú)意試驗(yàn)之中。一次，我將防火墻接核心交換機(jī)端口的網(wǎng)線拔了，通過(guò)Console口登錄防火墻，在防火墻上ping 10.5.x1.xxx能 通，但只要一接入核心交換機(jī)，ping 10.5.x1.xxx就不通了。我突然反應(yīng)過(guò)來(lái)，難道是路由出了問(wèn)題？

仔細(xì)檢查防火墻Eudemon 200的 路 由，路由只有兩條：默認(rèn)路由：ip route-static 0.0.0.0 0.0.0.0 10.76.x2.xxx；回指 路 由 ：ip route-static 10.0.0.0 255.0.0.0 192.168.200.245。 這 兩條路由中，默認(rèn)路由肯定沒(méi)有問(wèn)題，那么就是回指路由錯(cuò)了。馬上刪除了這條路由，添加新的路由（我所在的網(wǎng)段）：ip rout 10.1.11.0 255.255.255.0 192.168.200.245，再ping 10.5.x1.xxx，結(jié)果一下就通了，也能訪問(wèn)了，至此，問(wèn)題得到圓滿解決。

故障分析

事后，我分析了一下原因。為什么回指路由ip route-static 10.0.0.0 255.0.0.0 192.168.200.245這條路由不行，而ip rout 10.1.11.0 255.255.255.0 192.168.200.245能 行 呢？原因就在于，當(dāng)用戶訪問(wèn)10.5.x1.xxx時(shí)，IP數(shù)據(jù)經(jīng)過(guò)防火墻Eudemon 200轉(zhuǎn)發(fā)，這時(shí)防火墻Eudemon 200使用的路由是ip routestatic 10.0.0.0 255.0.0.0 192.168.200.245（此 時(shí)10.5.x1.xxx這個(gè)IP包含在回指路由中），沒(méi)有使用默認(rèn)路由ip route-static 0.0.0.0 0.0.0.0 10.76.x2.xxx，所以導(dǎo)致不能訪問(wèn)10.5.x1.xxx。當(dāng)把回指路由更改為ip route-static 10.1.11.0 255.255.255.0 192.168.200.245時(shí)，由于防火墻Eudemon 200在路由表中無(wú)法找到其他路由（此時(shí)10.5.x1.xxx這個(gè)IP不在回指路由中），這時(shí)就走默認(rèn)路由ip route-static 0.0.0.0 0.0.0.0 10.76.x2.xxx，也就能夠訪問(wèn)10.5.x1.xxx了。

這就是出現(xiàn)此類問(wèn)題的原因所在，也就是說(shuō)，回指路由中一定不能包含要訪問(wèn)的IP，否則不能訪問(wèn)。那么就有人說(shuō)，調(diào)低回指路由的優(yōu)先級(jí)，如ip route-static 10.0.0.0 255.0.0.0 1 9 2.1 6 8.2 0 0.2 4 5 preference 70，我也試過(guò)，不行，只能這樣解決。

經(jīng)驗(yàn)總結(jié)

通過(guò)此次故障排查，總結(jié)如下：

1.首先確保接入的線路能正常使用（單獨(dú)接電腦確認(rèn)）。

2.配置好防火墻（路由器），確認(rèn)能否訪問(wèn)（不接入內(nèi)部網(wǎng)絡(luò)）。

3.接入內(nèi)部網(wǎng)絡(luò)，再確認(rèn)能否正常訪問(wèn)。

通過(guò)此三步，將有效定位故障位置，快速排除故障。

附：華為Eudemon 200配置（主要配置）：