故障現象和網絡概況

近期，單位網站進行了升級，并重新部署，前期很順利，但最后通過負載均衡映射到公網后，發(fā)現外網用戶訪問正常，內外用戶只能用內網地址訪問，用公網地址無法訪問，給在單位上班的同事登錄網站造成了不便，因為外包運維人員出差沒時間，只好自己嘗試進行故障的排查，單位局域網的大致拓撲圖如圖1所示。

圖1 單位局域網拓撲圖

圖中負載 均 衡（Load Balance簡 稱LB），負責多線路接入，同時提供網絡NAT服務，互聯網接入線路有電信和聯通各一條，LB和防火墻（Firewall簡稱FW）是采用背靠背連接，FW同時實施對服務器區(qū)的訪問控制保護，網站服務器位于服務器區(qū)，FW下連核心交換機，終端用戶通過接入交換機連接到核心交換機。具體的IP地址如下。

LB的互聯網接口：61.xxx.xxx.115/248電 信、220.xxx.xxx.19/248聯通、61.xxx.xxx.119/248網站公網，分別用于內外用戶上網和網站訪問。

FW連服務器區(qū)接口 ：192.168.3.254/24 ；連核心交換機接口：192.168.200. 17/24。

網站Web Server:192.168.3.88/24，單位終端用戶地址范圍192.168.4.0-192.168.30.0/24。

LB和FWl背 靠背IP地 址 分 別 是192.168.100.1和192.168.100.2。

檢查流程

根據故障現象，考慮問題多出現在路由設置上，遂根據終端數據包的發(fā)送和接受路徑，對網絡設備參數配置逐一進行檢查：

FWl上有一條默認路由可以保證訪公網是通往LB：0.0.0.0/0 192.168.100.1 eth1

數據到達LB的eth1，訪問網站公網IP，LB的網絡映射會把數據包指向內網web服務器。

圖2 LB上端口映射內容

圖3 防火墻上設置了訪問控制策略

圖4 入接口選擇電信接口

LB上端口映射內容如圖2所示。

在訪問Web服務器前，FW會檢查訪問數據是否被允許通過，在此FW上也做了訪問控制策略，如圖3所示。

接下來分析網站內容返回到客戶端的過程，問題應該就出在這里了，因為公網接入有電信和聯通兩條線路，LB上已經設置了智能路由，保證訪問資源時，是電信線路的走電信線路，聯通的走聯通的線路，仔細檢查圖2的Web映射設置，發(fā)現選擇的入接口是“所有接口”，也就是既可以是電信也可以是聯通，但我們網站本身是用的電信的IP，所以入接口嚴格的講應該選電信接口，嘗試把入接口改為“電信”，如圖4所示，修改保存后，問題解決。

經驗總結

通過此次網絡故障的排除可以看出，當網絡出口有多線路接入時，雖然能通過負載均衡設備提高網速，針對不同線路實施高效的路由策略，但在遇到網絡故障的時候，多線路接入也增加了參數配置和故障排除的復雜性，故需要熟悉網絡設備使用手冊中有關多線路方面的內容并加以實踐，才有可能在遇到問題的時候去快速解決問題。