■

故障現(xiàn)象

筆者單位近期需同另一單位進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的傳輸，從安全保密的角度考慮，在網(wǎng)絡(luò)建設(shè)時(shí)購置了保密機(jī)和天融信的防火墻。兩個(gè)單位的設(shè)備連接關(guān)系均為：保密機(jī)的外網(wǎng)口連接華為路由器，保密機(jī)的內(nèi)網(wǎng)口連接防火墻的外網(wǎng)口，防火墻的內(nèi)網(wǎng)口連接接入交換機(jī)。設(shè)備安裝配置完畢后，一開始網(wǎng)絡(luò)業(yè)務(wù)能連通，但過一段時(shí)間后兩個(gè)單位的用戶均無法訪問對方。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

故障排查

由于鏈路涉及的環(huán)節(jié)較多，因此需按照分段排查的思想處理故障。首先要比對兩個(gè)單位路由器、交換機(jī)的配置是否正確，確認(rèn)保密機(jī)和防火墻的策略是否一致。經(jīng)過比較確認(rèn)，路由器、交換機(jī)、保密機(jī)和防火墻的配置均沒有問題，且當(dāng)交換機(jī)直接與路由器互聯(lián)時(shí)，兩個(gè)單位的用戶均可訪問對方。其次將保密機(jī)和防火墻逐個(gè)串接入網(wǎng)絡(luò)鏈路，結(jié)果發(fā)現(xiàn)無論是保密機(jī)還是防火墻串接入網(wǎng)絡(luò)鏈路，兩個(gè)單位的用戶也均可訪問對方。初步分析是保密機(jī)和防火墻之間的鏈路存在問題。

故障分析

經(jīng)過與兩個(gè)設(shè)備廠家的技術(shù)人員溝通，確認(rèn)網(wǎng)絡(luò)保密機(jī)的網(wǎng)口為100M，而防火墻的網(wǎng)口卻為1000M。由于兩個(gè)設(shè)備網(wǎng)口類型不匹配，使得兩個(gè)設(shè)備連通一段時(shí)間后無法協(xié)商通信，造成鏈路中斷。

故障排除

找到了故障產(chǎn)生的根源后，那怎么解決保密機(jī)和防火墻網(wǎng)口不一致的問題呢？是否可以將防火墻的網(wǎng)口設(shè)置為100M呢？但防火墻技術(shù)人員的話否定了這個(gè)解決措施，因?yàn)榉阑饓Φ木W(wǎng)口是由硬件決定的，不能進(jìn)行軟件更改。正當(dāng)束手無策的時(shí)候，筆者看見了一臺正在使用的2M轉(zhuǎn)網(wǎng)絡(luò)的橋接器，想到既然保密機(jī)和防火墻不能直連，那么能否通過中間設(shè)備轉(zhuǎn)接一下呢？于是筆者在保密機(jī)和防火墻之間串接了一個(gè)支持1000M網(wǎng)口的二層交換機(jī)，將端口的速率設(shè)置為自動(dòng)，進(jìn)行網(wǎng)絡(luò)業(yè)務(wù)測試，兩個(gè)單位的用戶均可訪問對方了。

經(jīng)驗(yàn)總結(jié)

如今，網(wǎng)絡(luò)鏈路串接的設(shè)備不斷增多，故障點(diǎn)也隨之增加。在網(wǎng)絡(luò)出現(xiàn)業(yè)務(wù)故障時(shí)，首要的是以分段的思想排除可能的疑點(diǎn)，不斷縮小故障范圍，直到確認(rèn)故障原因。其次，在安裝新設(shè)備的時(shí)候，必須與廠家的技術(shù)人員進(jìn)行溝通，盡量對設(shè)備有一個(gè)詳細(xì)的了解，或者到官方網(wǎng)站查詢也是一個(gè)可行的方法?？傊?，網(wǎng)絡(luò)出現(xiàn)問題并不可怕，怕的就是網(wǎng)絡(luò)管理人員沒有處理故障的思路，有了思路，困難必定迎刃而解。