今天,國科科技為您帶來的項目分享是某縣數字辦機房的一個遠程排錯項目。
這個項目是我跟著一起去配(kan)的。我會比較熟悉一些(才怪),所以讓我分析看看是什麼原因。
先來回顧一下當時的拓撲:
怎麼樣,很簡單吧。需要配的是一臺華為的USG6370防火牆(不熟悉的小夥伴就把它當作一臺具有安全防護功能的三層交換機)和一臺華為S5720交換機。
客戶說網絡能通就行。具體配置如下:
這種做法其實是不太建議的,作為一個優秀的網絡工程師,即使客戶什麼技術知識也不懂,你也要儘量耐心地多溝通,確認好需求。
介紹完環境,就開始說今天的主題了。這次的情況是客戶反饋說,內網訪問不了服務器了,但是內網直接連接服務器可以訪問,所以懷疑是我們中間的兩臺設備出問題了,遠程配合現場一個服務器方的工程師一起排錯。
按照習慣性的排錯思路,先與現場的工程師溝通,讓其幫忙查看各設備的物理接口是否正常。確認過線路及接口沒有問題後,開始準備遠程排查設備配置問題。
同時,讓現場工程師幫忙描述現場設備接口的對應及如何對接,按照描述,簡單地畫了個拓撲的圖,以方便排錯時使用。
排錯從底層開始,一開始的診斷是:交換機只是個二層的交換機,而且一整條鏈路都是在同一個VLAN。正常不會有什麼問題的,於是把目光轉向防火牆,懷疑是防火牆配了什麼策略阻止了內網的訪問。
然鵝,並沒有發現什麼異常的現象,策略就是permit any ,和內網以及匯聚交換機的互連接口配的trunk,放行所有VLAN,我又查看了匯聚交換機的配置,也都很正常。
然後,在防火牆上配了個與服務器同VLAN的access接口,讓現場的工程師把自己的電腦配一個同網段的IP地址,連接到防火牆,訪問其中的一臺服務器。
發現,通了!!!!!
嚇得我趕緊登上他們那臺內網的交換機看了一下。發現防火牆不知道為何被接到他們內網交換機的access接口上了!
這邊再給大家複習一下為什麼這種情況下不會通。
當內網計算機想要訪問服務器時,先發一個ARP廣播包,廣播包進入內網交換機的access接口時候,檢測到不帶tag,則打上接口默認VLAN ID10,然後廣播包從內網交換機的另一個access接口出去,剝離了VLAN ID。
接著廣播包進入防火牆的trunk口,trunk口發現這是一個不帶tag的報文,接收該報文,並且為報文添加缺省的VLAN的tag(缺省為VLAN1),並且廣播包在進入匯聚交換機時,還是保持VLAN ID為1。而匯聚交換機連接服務器的接口只允許VLAN10通過,VLAN ID為1的廣播包被丟棄。導致廣播包無人回應,ARP請求不到,無法通信。
接下來就是選取內網交換機上一個不用的接口,配成trunk,放通VLAN10,就這樣輕輕鬆鬆地搞定啦!
但是,問題又來了,經過測試,發現兩臺服務器,一臺能訪問,一臺不能訪問,這又是什麼原因呢?
經驗告訴我,得檢查下直連服務器是否可通。便讓現場工程師直連到不能通的服務器,看看是否能訪問,果然還是不行。現場工程師檢查服務器後,發現是服務器系統自帶的防火牆開著,導致ping不通。
最後,客戶測試完都正常了,項目就完美結束了,收拾一下東西,就可以回家啦!想什麼呢?這只是個遠程的項目,關了遠程,繼續上班吧。
最後的最後,想告訴大家的是,當項目中遇到問題時,先不要慌,穩住。想要迅速解決問題,思路一定要清晰。碰到自己沒辦法在短時間內解決的問題時,馬上尋求場外幫助!!
好了,今天的分享就到這裡啦!後續分享請持續關注國科科技!
閱讀更多 國科科技 的文章
