■

在互聯(lián)網(wǎng)發(fā)展的今天，廣電網(wǎng)絡(luò)行業(yè)為了能盡快適應(yīng)“三網(wǎng)融合”的步伐，只得通過租賃的方式來獲取互聯(lián)網(wǎng)出口，然后再使用該互聯(lián)網(wǎng)出口發(fā)展互聯(lián)網(wǎng)用戶，近日我單位又新租賃了一個(gè)移動(dòng)的互聯(lián)網(wǎng)出口，為了檢驗(yàn)該互聯(lián)網(wǎng)出口的穩(wěn)定性和帶寬承載力，我們將公司辦公網(wǎng)用戶切換至該出口上，完成互聯(lián)網(wǎng)切換工作后，就陸陸續(xù)續(xù)的接到同事的報(bào)修電話，大多表現(xiàn)的現(xiàn)象是用戶寬帶撥號(hào)連接正常，但是打不開網(wǎng)頁。

我們對(duì)部分出現(xiàn)網(wǎng)絡(luò)故障的電腦進(jìn)行查看，首先使用Ping命令進(jìn)行一步一步的排查，得到的結(jié)論是能正常Ping通BRAS、防火墻的內(nèi)網(wǎng)口和外網(wǎng)口IP地址，就是Ping不通該出口的網(wǎng)關(guān)，有同事反映固定IP地址也不能正常上網(wǎng)，出現(xiàn)的故障現(xiàn)象和進(jìn)行PPPoE撥號(hào)的用戶是一樣的，值得一提的是為了方便我們內(nèi)部辦公軟件服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器的登錄以及網(wǎng)絡(luò)維護(hù)的需要，我們?cè)谂渲肈HCP地址池時(shí)，將部分IP地址進(jìn)行了排除作為靜態(tài)使用。

根據(jù)這一網(wǎng)絡(luò)故障特征，，我們立即對(duì)網(wǎng)絡(luò)進(jìn)行排查。我們首先對(duì)瀏覽器進(jìn)行了嘗試恢復(fù)，然后使用命令ipconfig/flushdns進(jìn)行了DNS緩存清理，最后重新PPPoE撥號(hào)連接，出現(xiàn)網(wǎng)絡(luò)故障的部分電腦能夠正常上網(wǎng)了，完成這三步操作后我們就把問題歸結(jié)為互聯(lián)網(wǎng)出口更換后，由于部分電腦的DNS緩存沒有及時(shí)清理，才造成上不去網(wǎng)。但是后期還是有同事的電腦上不去網(wǎng)，就在問題陷入僵局的時(shí)候，我們重新梳理思路，思考從我們調(diào)整互聯(lián)網(wǎng)出口時(shí)只是將辦公網(wǎng)段的地址進(jìn)行了NAT地址的映射，然后將防火墻上的辦公網(wǎng)地址段用戶使用策略路由指向了移動(dòng)的網(wǎng)關(guān)，最后修改了BRAS上的DNS，我們按照這三步進(jìn)行逐級(jí)排查后發(fā)現(xiàn)NAT地址池存在錯(cuò)誤，移動(dòng)公司分配給我們的公網(wǎng)地址段是112.52.69.192/28，通過計(jì)算得知該網(wǎng)段的IP地址范圍是112.52.69.192-112.52.69.207， 其 中112.52.69.194作 為 我 們防火墻的互聯(lián)接口地址，112.52.69.193是移動(dòng)互聯(lián)網(wǎng) 的 網(wǎng) 關(guān)，112.52.69.192是網(wǎng)絡(luò)地址不能使用，112.52.69.207是廣播地址不能使用，那么除去這四個(gè)地址還剩下112.52.69.195-112.52.69.206這7個(gè) 地址可以正常使用，但是在我們?cè)诜阑饓ι吓渲玫腘AT池 是112.52.69.195-112.52.69.207，包括了廣播地址112.52.69.207在內(nèi)，這個(gè)地址我們剛才介紹到它是一個(gè)廣播地址不能被使用，我們隨即將NAT池進(jìn)行了重新配置，刪除了112.52.69.207，然后對(duì)有網(wǎng)絡(luò)故障的電腦進(jìn)行了重新?lián)芴?hào)連接網(wǎng)絡(luò)恢復(fù)了正常，使用固定IP上網(wǎng)的同事也向我們反饋網(wǎng)絡(luò)恢復(fù)了正常。

此次網(wǎng)絡(luò)故障排除后，我們對(duì)故障原因和排除故障的方法進(jìn)行思考，之所以出現(xiàn)部分電腦上不去網(wǎng)是因?yàn)橛脩粽芴?hào)成功后，會(huì)從BRAS上獲取到一個(gè)合法的網(wǎng)絡(luò)地址，然后通過防火墻進(jìn)行私網(wǎng)到公網(wǎng)的地址轉(zhuǎn)換，正是這一環(huán)節(jié)由于NAT地址池中出現(xiàn)IP地址配置錯(cuò)誤，才導(dǎo)致部分電腦將私網(wǎng)地址轉(zhuǎn)換成了112.52.69.207，也就出現(xiàn)了文章開頭的那一幕，主機(jī)只能Ping通防火墻的外網(wǎng)口的地址，但是不能正常訪問外網(wǎng)。為什么有的私網(wǎng)地址會(huì)轉(zhuǎn)換成公網(wǎng)地址112.52.69.207呢，這是因?yàn)樗骄W(wǎng)地址轉(zhuǎn)換成的公網(wǎng)IP地址是從NAT地址池中隨機(jī)抽取的，和IP地址的大小沒有任何關(guān)系。

經(jīng)過這件事情以后，為了進(jìn)一步提升網(wǎng)絡(luò)性能，我們計(jì)劃購買一臺(tái)交換機(jī)放置在防火墻的上游，租賃的互聯(lián)網(wǎng)出口首先連接到交換機(jī)上，然后再連接到防火墻的外網(wǎng)口上，這樣做的好處一來方便我們及時(shí)對(duì)互聯(lián)網(wǎng)出口的網(wǎng)速進(jìn)行測(cè)試，二來方便了我們對(duì)互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)進(jìn)行故障排除。作為網(wǎng)絡(luò)管理員在進(jìn)行設(shè)備配置時(shí)，特別是核心設(shè)備的配置改動(dòng)，需要提交一個(gè)可行的方案，或者最起碼將關(guān)鍵步驟進(jìn)行書面展示，這樣可以有效防止因?yàn)槠渌陀^因素造成的網(wǎng)絡(luò)設(shè)備參數(shù)配置錯(cuò)誤，還有一點(diǎn)就是細(xì)心，特別是核心網(wǎng)絡(luò)設(shè)備的配置更改直接影響到成千上百個(gè)互聯(lián)網(wǎng)用戶的上網(wǎng)體驗(yàn)，只有認(rèn)識(shí)到操作失誤的嚴(yán)重性，才能真正做到設(shè)備的細(xì)心和慎重配置，這樣才能保證設(shè)備的穩(wěn)定良好運(yùn)行，最終也提高了互聯(lián)網(wǎng)用戶的良好網(wǎng)絡(luò)體驗(yàn)。