在《实例解析防火墙部署搭建与故障排除(一)》中,我们详细介绍了企业网络中防火墙设备部署、安装和配置。本文我们将介绍网络中发生故障后如何排查故障的过程。 三、故障发生及排查故障的过程 配置完上面的命令后,在办公区用户的电脑上,应该就能访问到核心区服务器上的资源。例如在办公区有一用户PC的IP地址为192.168.115.2,子网掩码为255.255.255.0,默认网关为192.168.115.254。
它应该是能访问到核心区的FTP服务器,FTP服务器的IP地址为192.168.5.2,子网掩码也是255.255.255.0,默认网关为192.168.5.254。一般在PC浏览器的地址栏……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在《实例解析防火墙部署搭建与故障排除(一)》中,我们详细介绍了企业网络中防火墙设备部署、安装和配置。本文我们将介绍网络中发生故障后如何排查故障的过程。
三、故障发生及排查故障的过程
配置完上面的命令后,在办公区用户的电脑上,应该就能访问到核心区服务器上的资源。例如在办公区有一用户PC的IP地址为192.168.115.2,子网掩码为255.255.255.0,默认网关为192.168.115.254。它应该是能访问到核心区的FTP服务器,FTP服务器的IP地址为192.168.5.2,子网掩码也是255.255.255.0,默认网关为192.168.5.254。一般在PC浏览器的地址栏中输入ftp://192.168.5.2回车后,就能显示出一个对话框,提示输入用户名和密码,然后就能访问到FTP服务器上的资源。但结果却访问不成功,根本就没有对话框提示输入用户名和密码。
图2 办公用户访问FTP服务器的数据流向图示
办公区用户PC访问核心区FTP服务器的数据流向如图2所示。因为在办公区的两台Cisco 3750,和核心区的两台防火墙、两台Cisco 2960,以及两台核心交换机Cisco 6509-E都是双机热备或负载均衡的运行模式,所以数据流向只要通过两台中的任意一台就都是正常的。
图3 可能发生故障的网络简洁拓扑图
既然已经知道了数据的流向,也就能大致确定故障发生在什么地方。为了图示的简洁明了,把图2再进一步精简,得到如图3所示的拓扑图。从图3中可以看出,整个的数据流向就一条线,这样排查故障也就比较简单,排查故障的步骤如下:
第一步:在办公区用户的PC“命令行”CMD中执行命令“telnet 192.168.5.2 21”得到的输出结果为:
“正在连接192.168.5.2...无法打开到主机的连接。 在端口 21: 连接失败”。
这就说明在PC上不能登录到FTP服务器的21端口上。原因可能有很多种,可能是用户PC和FTP服务器之间的网络不通,也可能是FTP服务器上的21端口根本就没有打开。
第二步:确定是不是网络的故障。在办公区用户的PC“命令行”CMD中执行命令“ping 192.168.5.2”,得到如下的输出结果:
C:UsersAdministrator>ping 192.168.5.2
正在 Ping 192.168.5.2 具有 32 字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。
192.168.5.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 0,丢失 = 4 (100% 丢失)
从上面的输出结果可以看出PC和FTP服务器之间的网络是不通的。既然不通就要找出在图3中的“一条线”中到底是在那个设备上出了问题。
第三步:在办公区用户PC的“命令行”CMD中执行命令“tracert 192.168.5.2”,它可以定位到数据包在传输过程中到底在哪个设备上出了问题。执行命令得到如下的输出结果:
C:UsersAdministrator>tracert 192.168.5.2
通过最多 30 个跃点跟踪到 192.168.5.2 的路由
1 1 ms <1 毫秒 <1 毫秒 192.168.115.254
2 * * * 请求超时
3 * * * 请求超时
上面的输出在第“3”行的下面本来还有很多,都省略了。因为数据包不能成功到达目的地192.168.5.2,所以它只能像第“3”行那样往下延续的输出。从输出的结果可以看出,PC上发出的数据包只能到达Cisco 6509上,因为第“1”行输出中的192.168.115.254就是6509上Vlan 115的IP地址。也就是PC和6509之间的路由是通的,为了验证这个结果,我们在PC的命令行中执行了命令“ping 192.168.115.254”,结果能成功ping通。
其实,这也很好理解,PC发出的数据包,通过两个交换机Cisco 2960和Cisco 3750的二层广播功能,直接把数据包发送到了6509的三层端口VLAN 115上,VLAN 115收到数据包后发现是Ping命令,就再把收到的数据包返回给PC。所以,在PC上能ping通6509。但是,从电脑PC上发出的Ping数据包,在6509上就不能路由到FTP服务器,因为从执行命令“tracert 192.168.5.2”,输出的第“2”行一直往下,收不到返回的数据包。所以现在可以把故障定位在6509和FTP服务器之间。
第四步:这一步需要确定是不是因为FTP服务器引起的这种故障现象。所以就找了一台状态良好的笔记本电脑,把插在FTP服务器上的网线拔下来插到笔记本电脑的网口上,然后把笔记本电脑网口的IP地址、子网掩码和默认网关,都配置成和FTP服务器完全一样的。然后,再次在办公区的电脑上执行和上面一样的Ping命令、Telent命令和Tracert命令。结果与上面前三步的测试结果一样,还是不通。这就排除了不是FTP服务器引起的这种故障现象。其实,在这一步中所使用排除故障的方法,就是最简单,也是最常用的“替换法”。
第五步:因为在6509和FTP服务器之间,所经过的网络设备就只有6509、防火墙和2960,而2960上都是非常简单的二层配置,出现错误配置的可能性不大。6509在前三步的测试中,也没有发现有什么异常现象。所以问题最有可能出在防火墙上。
打开防火墙的WEB管理配置界面,查看其中的安全策略配置,发现其中并没有配置允许192.168.115.2访问192.168.5.2的策略。因为所使用的防火墙策略,默认是全禁止的,也就是默认情况下防火墙不允许任何数据包通过,除非在它上面配置了允许某个数据包通过的策略。所以,只要在防火墙上添加了允许办公区用户访问FTP服务器的安全策略,就可以解决上面的问题。同时也要添加允许192.168.115.2的IP地址Ping地址192.168.5.2的策略,这样在PC上也就能Ping通FTP服务器了。
作者
相关推荐
-
迫在眉睫:保护FTP服务器口令安全
由于FTP服务器常被用来做文件上传与下载的工具,所以,其安全的重要性就不同一般。因为若其被不法攻击者攻破的话,不但FTP服务器上的文件可能被破坏或者窃取……
-
FTP服务器架设的三方面安全因素
架设FTP服务器,一向是把安全放在首位,特别是利用IIS之类工具建立起来的FTP服务器更是如此。如果设置不当遭受到恶意攻击,那造成整个服务器系统崩溃……
-
稍加改造Windows FTP服务器更安全
使用IIS5.0架设的FTP服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。如何让FTP服务器更加安全?
-
FTP服务器如何实现安全性
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。那么它的安全性包括那些方面呢?