SDCMS数据中心
RSS订阅 | 匿名投稿
您的位置:网站首页 > 科技博客 > 正文

天塌地陷,误配防火墙策略导致企业专线断网,凸显断网报警器重要性

作者:1000gnet 来源: 日期:2015-9-2 21:26:02 人气: 标签:防火墙 策略 断网报警 断网恢复

     编者按:这是一起由于在防火墙路由上做了策略调整后,造成整个公司不能访问互联网,导致全厂职工和领导极大的不满,联名要扣信息中心的工资。巨大的压力下,信息中心该如何办?

  一、了解事故企业的网络现况

  二、远程分析诊断:初步判断为DNS服务器没有起效

  三、奔驰现场:实地测试得两种可能

  四、路由跟踪:交换机和防火墙之间进行环路传递

  五、分析:如何造成了路由环路?

  六、故障处理:按照网络连接的顺序进行正向、反向的验证、分析

  五一节后的一天,某外地企业用户打电话给俺,说刚对4月份部署的一台防火墙在做了策略调整后整个公司不能访问互联网,导致全厂职工和领导极大的不满,联名说周一前弄不好就扣信息中心的工资。。。。。

  这个一个“十万火急”的求助电话,于是,俺放下了其他的工作,开始接手这个企业发生的断网事故。

  一、了解事故企业的网络现况

  通过咨询,了解这个企业的网络状况表现如下:

  该企业现有的架构较简单,没有设置DMZ区,仅仅使用防火墙进行上网访问控制,物理连接和地址分配如上拓扑图。其中内部网将172.15.0.0/16进行子网划分成24个子网,对应不同的厂区部门所在的VLAN。

    1、不能通过域名上网,也不能通过已知的外网网站的ip上网,但是可以ping通外网的地址;(注意!此处位为用户的说法)

  2、可以登陆到该防火墙进行策略的调整设置;

     二、远程分析诊断:初步判断为DNS服务器没有起效

  根据用户所描述的现象,初步判断为DNS服务器没有起效,因此让他们看看防火墙设置中的DNS服务器地址是否正确,能否ping通该服务器。回答是防火墙中设置的DNS服务器的地址是当地电信提供的,但是无法ping通到该dns地址。

  根据以上ping当地DNS服务器地址不通的结果,以及用户提到可以ping通外网地址,分析为当地的dns服务器服务可能有中断。准备叫他们换其它dns服务器进行尝试,并寻求他们该防火墙的管理员密码以进行更加详细的设置查询和设置,但是他们以公司内部机密等原因不提供,并希望我们到现场进行解决。

  没有办法,只有去一趟咯!

    三、奔赴现场:实地测试得两种可能

  公司--的士--源长途车站--睡觉2小时--目标长途车站--的士--现场

  到达现场后,对该企业描述的现象进行测试:

  1、        整个企业内部网网络连通正常;

  2、        任何网段中允许上网的工作站无法通过域名访问互联网;

  3、        任何网段中允许上网的工作站无法通过已知的IP访问互联网网站及其它服务;

  4、        任何网段中允许上网的工作站能ping通到防火墙外网口网关(即电信端);

  5、        任何网段中允许上网的工作站无法ping通到电信端以外的地址(此处跟用户最

  先说的可以ping通外网的ip地址不符合。后经了解,用户当时以为能ping通到电信端就以为是ping通到外网所有的地址,没有进行进一步的测试。)

  根据以上的表象,初步认为有两种可能:

  1、        电信端出问题,该公司所处的公网网段地址没有发布出去;

  2、        本地的防火墙设置有问题。

     四、路由跟踪:交换机和防火墙之间进行环路传递

  为了进一步进行查询问题出在什么地方,决定进行一次路由跟踪,看是否是电信端的关于该企业的公网网段发布问题。

  tracert  61.172.255.19      (允许ping,实在是测试网络设置效果时的必备之暗器)

  1     3 ms    <1 ms    <1 ms  172.15.0.254(本机网关)

  2     6 ms    99 ms   102 ms  172.16.0.250(防火墙内网口)

  3     6 ms    99 ms   102 ms  172.16.0.254(交换机联防火墙端口)

  4     6 ms    99 ms   102 ms  172.16.0.250(防火墙内网口)

  5     6 ms    99 ms   102 ms  172.16.0.254(交换机联防火墙端口)

  6     6 ms    99 ms   102 ms  172.16.0.250(防火墙内网口)

  7     6 ms    99 ms   102 ms  172.16.0.254(交换机联防火墙端口)

  8     6 ms    99 ms   102 ms  172.16.0.250

  9     6 ms    99 ms   102 ms  172.16.0.254

  10    6 ms    99 ms   102 ms  172.16.0.250

  11    6 ms    99 ms   102 ms  172.16.0.254

  12    6 ms    99 ms   102 ms  172.16.0.250

  13    6 ms    99 ms   102 ms  172.16.0.254

  14    6 ms    99 ms   102 ms  172.16.0.250

  15    6 ms    99 ms   102 ms  172.16.0.254

  16    6 ms    99 ms   102 ms  172.16.0.250

  。。。。。。(陷入循环状态直至30跳中止)

     五、分析:如何造成了路由环路?

  从以上结果,我们可以看是防火墙的对目的为61.172.255.19的数据包没有正确的路由,数据在交换机和防火墙之间进行环路传递。

  确定是防火墙的路由有问题,登陆到该防火墙,查询路由状态:

  Yty-> get route

  untrust-vr (0 entries)

  --------------------------------------------------------------------------------

  C - Connected, S - Static, A - Auto-Exported, I - Imported, R – RIP  trust-vr (4 entries)

  --------------------------------------------------------------------------------

  ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys

  --------------------------------------------------------------------------------

  *   5            0.0.0.0/0           eth1    172.16.0.254   S   20      1     Root

  *   3            0.0.0.0/0           eth3    216.X.X.241   S   20      1     Root

  *   1        172.16.0.0/24           eth1         0.0.0.0   C    0      0     Root

  *   2      216.X.X.240/28           eth3         0.0.0.0   C    0      0     Root

 

  从上表中,我们可以看到除了有两条直联路由外,配置了两条默认路由,到达未知IP可通过E1或E3到达,而且访问回来的路由没有,看来问题应当出在这个地方了。

  让我们来假设一下数据报的流向:

  1、 访问目标为路由已知的地址

  采用此路由表,我们在内网中能访问到的最远的地址为该企业专线在电信端的地址,即216.X.X.241/28。其流向为工作站―――工作站网关(vlan地址)―――所在vlan网关(交换机同防火墙直联端口地址172.16.0.254)―――防火墙内网口地址(172.16.0.250),防火墙通过路由表查询,发现到达216.X.X.241的地址为自己的直联路由,将该数据报交给E3,这样我们访问的数据报能到达该地址。

 

  2、  访问目标为路由未知的地址

 

  在访问目标为路由未知的地址时,数据报到达E1后,E1发现有两条默认路由,因此将数据重新转发到交换机(为什么不选用另一默认路由未知?难道是针对E1口而言这条默认路由的优先级高一些?寻求答案!),交换机根据自己的路由表又发到防火墙,而防火墙根据路由表又发回。。。。。。,最终导致路由环路。

  后经了解,负责防火墙的管理人员为了让返回的数据包到达目的,将原有的路由表进行勒修改,增加了这条造成环路的路由。

  原路由设置为:

  set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241

  set route  172.15.13.0/24 interface ethernet1 gateway 172.16.101.254

  set route  172.15.3.0/24 interface ethernet1 gateway 172.16.101.254

  (原来只允许13和3两个VLAN访问互联网)

  错误的路由设置为:

  set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241

  set route  0.0.0.0/0 interface ethernet1 gateway 172.16.101.254

     六、故障处理:按照网络连接的顺序进行正向、反向的验证、分析

  将路由  0.0.0.0/0      eth1    172.16.0.254   S   20      1     Root删除;

  重新添加新的路由条目:

  *   4        100.0.0.0/8           eth1    172.16.0.254   S   20      1     Root

  (回应包路由,到达100.0.0.0网段的数据报将交给Eeh1处理,下一跳的地址为交换机到防火墙的级联口)

  *   5      172.15.0.0/16           eth1    172.16.0.254   S   20      1     Root

  (回应包路由,到达172.15.0.0/16的任一网段的数据将转发到eth1,下一跳地址为交换机端口地址。)

  set route  0.0.0.0/0 interface ethernet3 gateway 216.x.x.241

  set route  100.100.10.0/8 interface ethernet1 gateway 172.16.101.254

  set route  172.15.0.0/16 interface ethernet1 gateway 172.16.101.254

  查询路由

  yty-> get route

  untrust-vr (0 entries)

  --------------------------------------------------------------------------------

  C - Connected, S - Static, A - Auto-Exported, I - Imported, R - RIP

  trust-vr (5 entries)

  ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys

  --------------------------------------------------------------------------------

  *   3           0.0.0.0/0           eth3     216.X.X.241   S   20      1     Root

  *   1       172.16.0.0/24           eth1          0.0.0.0   C    0      0     Root

  *   2     216.X.X.240/28           eth3          0.0.0.0   C    0      0     Root

  *   4         100.0.0.0/8           eth1    172.16.0.254    S   20      1     Root

  *   5       172.15.0.0/16           eth1    172.16.0.254    S   20      1     Root

  结果测试

  Tracing route to www.netexpert.cn [61.172.255.19]

  over a maximum of 30 hops:

  1     3 ms    <1 ms    <1 ms  172.15.0.254  (本机网关)

  2     6 ms    99 ms   102 ms  172.16.0.250  (防火墙内网口)

  3   257 ms   300 ms   317 ms  216.X.X.241   (防火墙外网口网关,电信)

  4   298 ms   141 ms   128 ms  221.232.254.1

  5   188 ms   265 ms   387 ms  202.97.37.149

  6   270 ms   130 ms    79 ms  202.97.35.77

  7   490 ms   372 ms   495 ms  61.152.86.13

  8   102 ms    91 ms    87 ms  61.152.87.134

  9    41 ms    46 ms    95 ms  61.152.83.38

  10    89 ms   252 ms    81 ms  61.152.83.162

  11   304 ms   333 ms   439 ms  218.78.213.102

  12   448 ms   463 ms   173 ms  61.172.255.19

  至此问题解决,将工作站划分到不同vlan上网都正常。

  小结

  对故障的排除并不一定需要专业的网络分析软件,很多系统自带的工具能很方便的反映问题所在,定义问题点,此次能找到问题点就是因为使用tracert进行路由跟踪,确定了故障的原因是环路路由造成的;

  网络出现故障时一定要对网络的架构有所了解,根据问题表现按照网络连接的顺序进行正向、反向的验证、分析,找出故障所在。

  对于问题出在三层交换、网关位置时,问题一般是数据报路由的问题,因此出现故障首先检查路由表,这样会省很多事情;

  对于故障现象应当进行验证操作,以免出现实际和描述不一致的地方,影响故障诊断。

     总结:企业专线依旧可 能发生断网和掉线事故

     千万不要以为安装了企业专线就可以高枕无忧了,理论上讲,世界上没有永远不会中断的网络,没有永远不会掉线的专线,导致企业专线断网原因很多,常见的如服务商调试网络设备、定期检查维护、硬件故障等,企业要对这类事故做好应急预案,以免遇到手忙脚乱。

     最常用的应急预案,包含断网及时报警+及时处理恢复网络通畅。这就离不开“千际智能断网监测报警器”这类设备。我们必须要第一时间知道,发生断网了,然后才能以最快的速度来解决问题,恢复网络畅通,才能最大限度地减少损失!这是第一重要的。

     断网和断电,一直是困扰着国内企业专线用户的最大难题,尤其是搭建了企业服务器的用户,服务器能否安全稳定连接运行时时刻刻关乎企业生计,要保持连续性和及时性,但是客观上讲,有网络和电路,就难免会发生断网、断电事件,世界上没有绝对不会断线的网络,所以,如何做好断网断电的预防应急准备工作,如何在事故发生时立刻发现、立刻解决、立刻恢复,就是企业专线用户必须深思熟虑早做安排的大事。国内各级气象部门都非常重视这个问题,多年来不断与科研部门、专业厂商联手研发各种科技设备,其中最突出的成就无疑是北京千际时代科技有限公司在2015年推出的企业专线专用“千际牌智能断网(断电)监测报警器”(www.1000g.net),在国内逐步在各地企业专线用户部署后,反响良好,在重大事故发生时发挥了卓越的作用,受到国内外专业人士的广泛赞誉。

千际断网报警器

     现在“千际牌智能断网(断电)监测报警器”已经成为国内外大型企业、气象基站、环境监测基站、交通管理系统等专线用户的必备设备,重要的企业最怕的就是断网和服务器死机,而千际断网报警器,可以7*24实时监控基站通信线路是否发生断网,企业服务器是否发生死机,然后第一时间发出警报,报警方式可以是声光警笛,也可以自动发短信或打电话报警,通知值班员来处理,避免数据丢失重大事故!

千际断网报警器

    “千际牌智能断网(断电)监测报警器”可以很好地解决这个问题,它能自动侦测网络是否通畅,检测服务器是否还有响应,发现网络掉线断网、服务器不能正常响应时,立刻发送短信、拨打电话通知值班员尽快处理,也可连接各种警笛警铃报警器,发出报警信号,通知值班人员来恢复网络通畅、重启服务器,最快速度恢复数据正常传输。也可以用来控制用户自己的其他警报器装置,作为监控触发开关使用。

     有了“千际牌智能断网(断电)监测报警器”,从此为企业专线用户请了一位24小时不休息的机器人值班员,每一分每一秒认真地监控着企业专线的传输,绝对不会再发生大规模数据长时间中断的重大事故,保障着企业专线用户的生命财产安全。

    “千际牌智能断网(断电)监测报警器”除了用于企业专线用户之外,也可广泛应用于各类需要监控网络断网、断电的场所,例如:气象局观测基站、IDC数据中心机房、交通管理部门、军事部门、银行金融部门、企事业单位网络、网络监控摄像头等等。

     “千际牌智能断网(断电)监测报警器”的出现,填补了国内外断网监测自动化领域的空白,引起了国际气象界的重视,现在以后德国、美国等国家和地区的气象部门开始采购部署,如果你确定要使用企业专线接入方式,那么“千际牌智能断网(断电)监测报警器”无疑是必不可少的重要设备之一。(www.1000g.net)

读完这篇文章后,您心情如何?
0
0
0
0
0
0
0
0
本文网址: