作为网管员,每天要面对大大小小的各种故障,如何能够快速排除故障,让网络畅通无阻是网管员们关心的问题,本文则通过排除某次网络故障阐述了一个网管员的亲身感受。
网络结构
我们单位内部计算机局域网是一个具有一定规模的园区网络。网络物理层采用155M*2的ATM主干连接,网络层采用开放的TCP/IP协议,根据应用需求,采用VLAN技术划分为若干子网。网络汇接中心以两台 ATM交换机构成一个中心环,其中一台为主交换机(图1 ATM-S),即通常我们所说的三层交换机,它的路由模块完成VLAN间的路由功能,并负责园区网进入广域网的访问接入和局域网骨干路由寻径。广域网是采用Internet技术覆盖全国的内联网。各业务部门分别通过一台ATM交换机以155M的双链路与汇接中心的主交换机ATM-S相联,以形成冗余的物理和负载均衡。网络拓扑如图1示。
局域网在网络汇接中心通过防火墙与广域网互联。广域网路由器是Route-w,采用Cisco路由器,负责园区网内外路由交换,它以专线方式对上联接广域网。防火墙的停火区是公共数据交换区,配置了一些公共服务器及终端,作为园区网的部门网络,停火区交换机通过防火墙与内网主交换机ATM-S相联。考虑到局域网应用和用户安全,我们对防火墙做了一些规则设置,例如保证局域网用户可以浏览广域网网页;而广域网用户只能浏览停火区的公共Web服务器。其中,局域网IP地址为1.64.0.0/12,停火区IP地址为1.64.10.0/24,广域网IP地址为1.0.0.0-32.0.0.0/8。局域网ATM-S交换机对内网关是1.64.1.1,对外网关是1.64.10.2。
故障现象分析
近期发现一个奇怪的故障现象,在停火区可以Ping通广域网所有IP地址,并能浏览广域网所有IP地址网页。而内网用户只能浏览广域网IP地址为1.0.0.0/8、13.0.0.0-32.0.0.0/8网段的网页,地址为2.0.0.0-12.0.0.0/8网段的网页不能浏览。从内网Ping广域网IP地址,只能Ping通1.0.0.0/8、13.0.0.0-32.0.0.0/8网段,Ping 2.0.0.0-12.0.0.0/8网段不通。
根据网络故障通常出现的几种可能,从网络物理层、数据链路层、网络层逐层查找故障。由于在局域网可以Ping通广域网的部分IP地址,因此首先可以排除网络物理层设备、线路的连接以及数据链路层路由器端口数据封装的问题。该故障基本可以定位在网络层。我们知道,网络层提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复等。