来源:安全中国

现象描述

　　1、组网概述：

　　Quidway S8016->C公司 12012->C公司5509->O公司交换机->防火墙（往外网的接口地址A1.B1.C1.41，往内网的接口地址A1.B1.C1.40）->MP交换机->网页服务器2（WIN2000操作系统，A1.B1.C1.39）和网页服务器3（WIN2000操作系统，A1.B1.C1.60） 另外O公司交换机下还接有网页服务器1（A1.B1.C1.39）

　　描述：

　　1）原有C公司5509下接的设备的组网如上，网页服务器1中页面部分链接在网页服务器2上。O和防火墙，防火墙的作用只是透传。

　　2）O公司交换机没有进行任何配置。

　　3）5509与12012使用一根多模光纤，2根以太网线连接。GE口为主用路由，ETH口为备用路由。

　　4）S8016、C公司12012、C公司5509均起用OSPF协议，自动生成路由表。5509配置为AREA 0，S8016配置为AREA 1。配置了到网页服务器网段的静态路由。

　　2、故障现象：

　　将C公司5509下所有设备组网、相关配置均保持不变割接到S8016下之后出现问题，原数据局中心机房的机器可以访问所有的网页服务器，但是割接之后不能访问网页服务器1和2。公网用户访问所有服务器正常。详细描述如下：

　　1)A地拨号用户可以正常访问网站（A地用户IP地址：61.*.*.*）。

　　2）B地ADSL宽带用户可以正常访问网站（宽带用户ip地址为218.*.*.*）。

　　3)只有数据局中心机房几台机器无法访问部分网页服务器。数据局中心机房PC地址为A1.B1.C1.1~31/27，可以PINGA1.B1.C1.60），而不能PING通网页服务器2（A1.B1.C1.39），最多能PING到interface vlan 4A1.B1.C1.62/27）。

　　4）将便携机配置为网页服务器4，直接连接到8016的5/0/2口上，配置IP地址为A1.B2.C2.93/30，其网关为三层A1.B2.C2.94/30，测试发现，公网用户和数据局机房PC均可以访问网页服务器4。将网页服务器4放置到OMP交换机下，配置地址为A1.B1.C1.23/27，发现公网用户和机房PC也均可以访问到它。

　　5）从数据局中心机房PC机和S8016上PING部分服务器均会出现丢包现象。

　　告警信息

　　无

　　原因分析

　　数据局中心机房PC无法访问网页服务器1和2的原因分析：

　　1、找出S8016的告警信息并进行分析。

　　2、C公司5509上原有数据是否删除掉，原有端口是否已经shutdown。

　　3、S8016数据配置是否有错误。

　　3、O公司交换机是否相关配置有问题。

　　4、防火墙是否有什么限制访问的设置。

　　5、服务器是否配置有问题。

　　从PC机和S8016上PING服务器丢包的原因分析：

　　由于从S8016上PING O公司交换机直接挂的服务器和下面防火墙下的服务器都有丢包现象，而且用（此接口连接O公司交换机）查看接口状态，发现output发出去的包均正常，而input进来的包存在error和crc公司交换机上。

　　处理过程

　　1、分析告警信息：

　　1）机房湿度告警，由于机房没有相应的加湿设备，比较干燥，造成这个告警，与故障无关。

　　2）风扇框告警和-48V电源告警均与机房环境有关系，与出现的故障无关。

　　3）不断出现的VP_send(......)是由于打开的调试信息，显示的error

　　2、查看防火墙，防火墙配置为透传所有报文，没有限制服务器访问；查看O公司交换机，O公司实际只是一个HUB公司交换机和防火墙，故障仍然存在，排除防火墙和O公司交换机的问题。

　　3、将便携机配置为网页服务器4，直接连接到8016的5/0/2口上，配置IP地址为A1.B2.C2.93/30，其网关为三层A1.B2.C2.94/30，测试发现，公网用户和数据局机房PC均可以访问网页服务器4。将网页服务器4放置到OMP交换机下，配置地址为A1.B1.C1.23/27，发现公网用户和机房PC也均可以访问到他，且S8016上数据配置正确，排除

　　4、怀疑为C公司5509上数据没有删除掉会出现ip地址冲突，查看C公司5509数据发现，原有的vlan 4已经shutdown地址冲突，排除S5509的问题。

　　5、配置S8016端口镜像：

　　port monitor eth 5/0/15 //配置5/0/15为监测端口，此端口上接PC机，运行抓包软件。

　　port mirroring eth 5/0/2 both //配置5/0/2为镜像端口，此端口的进出报文全部转发给5/0/15接口

　　PC机上运行SpyNet Sniffer软件进行抓包。发现S8016已经将外网发过来的报文转发给了网页服务器2（A1.B1.C1.39并没有回包。此时怀疑服务器配置可能存在问题，经检查发现网页服务器1和2的子网掩码为24位的，网页服务器服务器位的。将所有网页服务器的子网掩码均更改为正确的27位掩码，故障解决。

　　2、从PC机和S8016上PING服务器丢包的处理：

　　由于从S8016上PING O公司交换机直接挂的服务器和下面防火墙下的服务器都有丢包现象，而且用（此接口连接O公司交换机）查看接口状态，发现OUTPUT发出去的包均正常，而INTPUT进来的包存在error和crc公司交换机上。更换O公司交换机更换为S2403H交换机，丢包现象消除。

　　建议与总结

　　设备挂接在C公司5509下通信的原理：

　　1）公网用户访问网页服务器，服务器收到报文之后，由于用户跟服务器在不同网段，响应报文直接发送给服务器的网关，由C公司5509的路由模块转发至C公司12012路由器，再转发给用户，通信正常。

　　2）数据局中心机房的机器访问网页服务器3（A1.B1.C1.60/28）的通信原理跟公网用户相同。而访问网页服务器1时，由于服务器配置的子网掩码是24位的，那么服务器认为中心机房PC（A1.B1.C1.1~31/27）跟自己是同一网段的，那么就不走三层，直接走二层通信，而C公司5509有交换模块，此时可以将C公司5509，服务器通过ARP广播得到PC机网卡的MAC地址，直接二层通信。

　　设备挂接在S8016下通信的原理：

　　1）公网用户访问网页服务器，服务器收到报文之后，由于用户跟服务器在不同网段，响应报文直接发送给服务器的网关，由S8016转发至C公司12012路由器，再转发给用户，通信正常。

　　2）数据局中心的机器访问网页服务器3（A1.B1.C1.60/28）的通信原理跟公网用户相同，也利用S8016时，由于服务器配置的子网掩码是24位的，那么服务器认为中心机房PC（A1.B1.C1.1~31）跟自己是同一网段的，那么就不走三层，直接走二层通信，而服务器发送的广播报文到达S8016的接口时，S8016不会往别的子网转发广播报文。所以造成了S8016的包可以发送到网页服务器2，但是网页服务器2PC机就无法访问网页服务器2，但是可以访问网页服务器3。将服务器的子网掩码更改为27位后，故障解决。

　　接O公司交换机丢包、接S2403H不丢包的原理：

　　经检查，发现此WEB SERVER上行接的O公司交换机实际上是一个HUB，而HUB采用的是冲突检测机制，当缓冲区数据满的时候，再有数据发送过来，就采取丢弃策略，就造成了用户数据包的丢失。而交换机有更大、更健全的缓冲区机制，就可以解决HUB功能的不足，不会出现频繁的丢包。