前置知識:
基礎路由知識;
會在dos界面輸入tracert及ip地址。
網(wǎng)絡架構(gòu):
該企業(yè)現(xiàn)有的架構(gòu)較簡單,沒有設置DMZ區(qū),僅僅使用防火墻進行上網(wǎng)訪問控制,物理連接和地址分配如上拓撲圖。其中內(nèi)部網(wǎng)將172.15.0.0/16進行子網(wǎng)劃分成24個子網(wǎng),對應不同的廠區(qū)部門所在的VLAN。
一、事故起因及現(xiàn)象
國慶后的一天,該外地用戶打電話給俺,說剛對9月份部署的一臺防火墻在做了策略調(diào)整后整個公司不能訪問互聯(lián)網(wǎng),導致全廠職工和領導極大的不滿,聯(lián)名說周一前弄不好就扣信息中心的工資。。。。。。(幸虧俺RP好,不是在十一期間調(diào)整 ^_^)通過咨詢,了解現(xiàn)在的網(wǎng)絡狀況表現(xiàn)如下:
1、不能通過域名上網(wǎng),也不能通過已知的外網(wǎng)網(wǎng)站的ip上網(wǎng),但是可以ping通外網(wǎng)的地址;(注意!此處位為用戶的說法)
2、可以登陸到該防火墻進行策略的調(diào)整設置;
二、遠程分析診斷
根據(jù)用戶所描述的現(xiàn)象,初步判斷為DNS服務器沒有起效,因此讓他們看看防火墻設置中的DNS服務器地址是否正確,能否ping通該服務器。回答是防火墻中設置的DNS服務器的地址是當?shù)仉娦盘峁┑模菬o法ping通到該dns地址。
根據(jù)以上ping當?shù)谼NS服務器地址不通的結(jié)果,以及用戶提到可以ping通外網(wǎng)地址,分析為當?shù)氐膁ns服務器服務可能有中斷。準備叫他們換其它dns服務器進行嘗試,并尋求他們該防火墻的管理員密碼以進行更加詳細的設置查詢和設置,但是他們以公司內(nèi)部機密等原因不提供,并希望我們到現(xiàn)場進行解決。
沒有辦法,只有去一趟咯!
公司--的士--源長途車站--睡覺2小時--目標長途車站--的士--現(xiàn)場
