三、现场分析处理
到达现场后,对客户描述的现象进行测试:
1、整个企业内部网网络连通正常;
2、任何网段中允许上网的工作站无法通过域名访问互联网;
3、任何网段中允许上网的工作站无法通过已知的IP访问互联网网站及其它服务;
4、任何网段中允许上网的工作站能ping通到防火墙外网口网关(即电信端);
5、任何网段中允许上网的工作站无法ping通到电信端以外的地址(此处跟用户最先说的可以ping通外网的ip地址不符合。后经了解,用户当时以为能ping通到电信端就以为是ping通到外网所有的地址,没有进行进一步的测试。)
根据以上的表象,初步认为有两种可能:
1、电信端出问题,该公司所处的公网网段地址没有发布出去;
2、本地的防火墙设置有问题。
为了进一步进行查询问题出在什么地方,决定进行一次路由跟踪,看是否是电信端的关于该企业的公网网段发布问题。
tracert 61.172.255.19 (www.netexpert.cn的解析地址,允许ping,实在是测试网络设置效果时的必备之暗器)
Tracing route to www.netexpert.cn [61.172.255.19] over a maximum of 30 hops: 1 3 ms <1 ms <1 ms 172.15.0.254 (本机网关) 2 6 ms 99 ms 102 ms 172.16.0.250 (防火墙内网口) 3 257 ms 300 ms 317 ms 216.X.X.241 (防火墙外网口网关,电信) 4 298 ms 141 ms 128 ms 221.232.254.1 5 188 ms 265 ms 387 ms 202.97.37.149 6 270 ms 130 ms 79 ms 202.97.35.77 7 490 ms 372 ms 495 ms 61.152.86.13 8 102 ms 91 ms 87 ms 61.152.87.134 9 41 ms 46 ms 95 ms 61.152.83.38 10 89 ms 252 ms 81 ms 61.152.83.162 11 304 ms 333 ms 439 ms 218.78.213.102 12 448 ms 463 ms 173 ms 61.172.255.19 |
从以上结果,我们可以看是防火墙的对目的为61.172.255.19的数据包没有正确的路由,数据在交换机和防火墙之间进行环路传递。
确定是防火墙的路由有问题,登陆到该防火墙,查询路由状态:
Yty-> get route
untrust-vr (0 entries)
--------------------------------------------------------------------------------
C - Connected, S - Static, A - Auto-Exported, I - Imported, R – RIP trust-vr (4 entries)
--------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------
* 5 0.0.0.0/0 eth1 172.16.0.254 S 20 1 Root
* 3 0.0.0.0/0 eth3 216.X.X.241 S 20 1 Root
* 1 172.16.0.0/24 eth1 0.0.0.0 C 0 0 Root
* 2 216.X.X.240/28 eth3 0.0.0.0 C 0 0 Root
从上表中,我们可以看到除了有两条直联路由外,配置了两条默认路由,到达未知IP可通过E1或E3到达,而且访问回来的路由没有,看来问题应当出在这个地方了。
让我们来假设一下数据报的流向:
1、访问目标为路由已知的地址
采用此路由表,我们在内网中能访问到的最远的地址为该企业专线在电信端的地址,即216.X.X.241/28。其流向为工作站―――工作站网关(vlan地址)―――所在vlan网关(交换机同防火墙直联端口地址172.16.0.254)―――防火墙内网口地址(172.16.0.250),防火墙通过路由表查询,发现到达216.X.X.241的地址为自己的直联路由,将该数据报交给E3,这样我们访问的数据报能到达该地址。
2、访问目标为路由未知的地址
在访问目标为路由未知的地址时,数据报到达E1后,E1发现有两条默认路由,因此将数据重新转发到交换机(为什么不选用另一默认路由未知?难道是针对E1口而言这条默认路由的优先级高一些?寻求答案!),交换机根据自己的路由表又发到防火墙,而防火墙根据路由表又发回。。。。。。,最终导致路由环路。
后经了解,负责防火墙的管理人员为了让返回的数据包到达目的,将原有的路由表进行勒修改,增加了这条造成环路的路由。
原路由设置为:
set route 0.0.0.0/0 interface ethernet3 gateway 216.x.x.241 set route 172.15.13.0/24 interface ethernet1 gateway 172.16.101.254 set route 172.15.3.0/24 interface ethernet1 gateway 172.16.101.254 (原来只允许13和3两个VLAN访问互联网) |
错误的路由设置为:
set route 0.0.0.0/0 interface ethernet3 gateway 216.x.x.241 set route 0.0.0.0/0 interface ethernet1 gateway 172.16.101.254 |
| 共4页: 上一页 [1] 2 [3] [4] 下一页 | ||||||
|
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 · 病毒查杀专题 |
· 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux防火墙 · 打造安全服务器 · SOA 面向服务架构 · PHP开发应用手册 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 病毒查杀专题 |
· 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · PHP开发应用手册 · 中间件应用技术专题 · OSPF路由协议专栏 |
|||
