网络故障处理案例-网点终端访问外联单位失败问题处理.pdf

问题描述 新业务上线后，所有网点终端无法访问市社保局页面，且ping测不 通。 处理过程 远程登录核心防火墙查看配置，核心防火墙上网点终端配置多对 一地址转换，外联单位服务器配置成一对一静态地址转换，且配置逻 辑未发现错误，查看对应安全策略和地址转换的命中数均为0。 远程登录一个网点路由器，将该网点终端断接后，在路由器上设 置一个loopback接口并配置成该终端的地址，在路由器上以该终端 地址为源地址ping测社保局地址，在防火墙上查看命中数依旧为0, 说明数据没有进入防火墙接口，在路由器上带终端源地址tracert跟 踪外联单位服务器地址，发现数据传输到防火墙物理接口后无法下达。 从命令行远程登录防火墙，查看配置，发现防火墙连接路由器接 口未配置为静态地址转换模式，添加配置后，从网点路由器带源ping 测外联单位服务器转换后地址成功，取消loopback配置后，从网点 终端浏览器访问社保页面成功。 不久后现场人员告知，总部监控系统报与各网点设备SNMP服务 连接均失败，分析后，发现总部监控系统服务器地址也在防火墙进行 了静态一对一转换，在防火墙开启静态地址转换模式后，网点和离行 点设备snmp服务器转成了外部地址，所以访问失败，在防火墙上接 口静态转换模式取消，然后将网点终端访问地址转换模式更改为源和 目的地址双向转换，snmp服务访问和外联单位访问问题均解决。。 故障分析 用户使用的防火墙可以通过网页方式和命令行方式进行配置，其 地址转换方式有两种策略转换和静态转换，策略转换又分为源地址转 换、目的地址转换和双向转换三种。策略转换在网页方式配置，并可 以与安全策略绑定；静态地址转换需通过命令行方式进行配置，并在 相应需要进行转换的接口开启静态转换配置，数据进入接口后会先匹 配静态地址转换和策略地址转换数据库，然后匹配安全策略，匹配后 通过防火墙。 该案例中，前一个问题是用户在网页界面配置了安全策略，在命 令行界面配置了静态地址转换，但物理接口静态转换模式没有开启， 引起外联单位目的地址转换不成功，无法匹配安全策略，造成访问失 败；第二个问题是物理接口开启静态地址转换后，因外联设备不能访 问总部网管服务器真实地址，因此在防火墙上也开启了网管服务器地 址静态转换，就造成原网点设备访问总部网管服务器真实地址却被防 火墙转换为外部地址，造成访问失败，因此最终将网点对外联单位访 问的静态地址转换更改为双向地址转换，取消接口静态地址转换模式， 解决该问题。 经验总结 现有的国产防火墙都采用网页管理和命令行管理相结合的陌生，网页 管理界面友好容易操作，命令行管理适合批量操作，但命令行配置与 网页配置某些方面并不兼容。该案例中，防火墙的策略地址转换方便 在网页模式操作；静态地址转换却无法在网页模式配置，也无法通过 网页模式进行管理，对于命令行管理不熟悉的管理员就容易发生错误。 另外该防火墙静态地址转换配置后，需要在接口开启静态地址模式才 能启用，其特点是所有进入接口的数据流都会优先匹配静态地址数据 库，这样就会造成多个物理接口开启静态地址转换模式后，产生错误， 如以上案例中遇到的第二个问题。因此在进行防火墙地址转换时应谨 慎，多考虑业务需求，挑选合适的地址转换方式。