到達現場后，對客戶描述的現象進行測試：
　　1、        整個企業內部網網絡連通正常；
　　2、        任何網段中允許上網的工作站無法通過域名訪問互聯網；
　　3、        任何網段中允許上網的工作站無法通過已知的IP訪問互聯網網站及其它服務；
　　4、        任何網段中允許上網的工作站能ping通到防火墻外網口網關（即電信端）；
　　5、        任何網段中允許上網的工作站無法ping通到電信端以外的地址（此處跟用戶最先說的可以ping通外網的ip地址不符合。后經了解，用戶當時以為能ping通到電信端就以為是ping通到外網所有的地址，沒有進行進一步的測試。）

　　根據以上的表象，初步認為有兩種可能：
　　1、        電信端出問題，該公司所處的公網網段地址沒有發布出去；
　　2、        本地的防火墻設置有問題。

　　為了進一步進行查詢問題出在什么地方，決定進行一次路由跟蹤，看是否是電信端的關于該企業的公網網段發布問題。

　　tracert  61.172.255.19      （www.netexpert.cn的解析地址，允許ping，實在是測試網絡設置效果時的必備之暗器）
　　1     3 ms    <1 ms    <1 ms  172.15.0.254（本機網關）
　　2     6 ms    99 ms   102 ms  172.16.0.250（防火墻內網口）
　　3     6 ms    99 ms   102 ms  172.16.0.254（交換機聯防火墻端口）
　　4     6 ms    99 ms   102 ms  172.16.0.250（防火墻內網口）
　　5     6 ms    99 ms   102 ms  172.16.0.254（交換機聯防火墻端口）
　　6     6 ms    99 ms   102 ms  172.16.0.250（防火墻內網口）
　　7     6 ms    99 ms   102 ms  172.16.0.254（交換機聯防火墻端口）
　　8     6 ms    99 ms   102 ms  172.16.0.250
　　9     6 ms    99 ms   102 ms  172.16.0.254
　　10    6 ms    99 ms   102 ms  172.16.0.250
　　11    6 ms    99 ms   102 ms  172.16.0.254
　　12    6 ms    99 ms   102 ms  172.16.0.250
　　13    6 ms    99 ms   102 ms  172.16.0.254
　　14    6 ms    99 ms   102 ms  172.16.0.250
　　15    6 ms    99 ms   102 ms  172.16.0.254
　　16    6 ms    99 ms   102 ms  172.16.0.250
　　。。。。。。（陷入循環狀態直至30跳中止）

　　從以上結果，我們可以看是防火墻的對目的為61.172.255.19的數據包沒有正確的路由，數據在交換機和防火墻之間進行環路傳遞。
　　確定是防火墻的路由有問題，登陸到該防火墻，查詢路由狀態：

　　Yty-> get route
　　untrust-vr (0 entries)
　　--------------------------------------------------------------------------------
　　C - Connected, S - Static, A - Auto-Exported, I - Imported, R – RIP  trust-vr (4 entries)
　　--------------------------------------------------------------------------------
　　ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
　　--------------------------------------------------------------------------------
　　*   5            0.0.0.0/0           eth1    172.16.0.254   S   20      1     Root
　　*   3            0.0.0.0/0           eth3    216.X.X.241   S   20      1     Root
　　*   1        172.16.0.0/24           eth1         0.0.0.0   C    0      0     Root
　　*   2      216.X.X.240/28           eth3         0.0.0.0   C    0      0     Root

　　從上表中，我們可以看到除了有兩條直聯路由外，配置了兩條默認路由，到達未知IP可通過E1或E3到達，而且訪問回來的路由沒有，看來問題應當出在這個地方了。

　　讓我們來假設一下數據報的流向：

　　1、        訪問目標為路由已知的地址

　　采用此路由表，我們在內網中能訪問到的最遠的地址為該企業專線在電信端的地址，即216.X.X.241/28。其流向為工作站―――工作站網關（vlan地址）―――所在vlan網關（交換機同防火墻直聯端口地址172.16.0.254）―――防火墻內網口地址（172.16.0.250），防火墻通過路由表查詢，發現到達216.X.X.241的地址為自己的直聯路由，將該數據報交給E3,這樣我們訪問的數據報能到達該地址。

　　2、        訪問目標為路由未知的地址

　　在訪問目標為路由未知的地址時，數據報到達E1后，E1發現有兩條默認路由，因此將數據重新轉發到交換機（為什么不選用另一默認路由未知？難道是針對E1口而言這條默認路由的優先級高一些？尋求答案！），交換機根據自己的路由表又發到防火墻，而防火墻根據路由表又發回。。。。。。，最終導致路由環路。
　　后經了解，負責防火墻的管理人員為了讓返回的數據包到達目的，將原有的路由表進行勒修改，增加了這條造成環路的路由。

　　原路由設置為：
　　set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241
　　set route  172.15.13.0/24 interface ethernet1 gateway 172.16.101.254
　　set route  172.15.3.0/24 interface ethernet1 gateway 172.16.101.254
　　（原來只允許13和3兩個VLAN訪問互聯網）

　　錯誤的路由設置為：
　　set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241
　　set route  0.0.0.0/0 interface ethernet1 gateway 172.16.101.254