摘要：在數字化、智能化的大環(huán)境下，企業(yè)規(guī)模日漸擴大，終端計算機、網絡設備、安全設備和服務器的數量也隨之增長，為保障信息系統及設備的安全運行，通過安全策略應用及加固設置，提高信息系統及設備的安全性。當出現系統服務器網絡通信失敗時，在復雜的網絡環(huán)境下，增加了問題排查、分析的難度。本文就系統服務器網絡通信失敗排查分析方法進行了闡述。

關鍵詞：設備運維;通信失敗;問題排查

1.相關概念

1.1 防火墻：是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，隔離技術。防火墻技術的功能主要在于及時發(fā)現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網絡使用體驗。

1.2 NAT：NAT即為Network Address Translation，中文名稱為網絡地址轉換。NAT技術可使得私網IP可以訪問外網。NAT不僅能解決IP地址不足問題，還能有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。

2.排查思路

系統服務器與其他區(qū)域的系統服務器進行訪問，整個通信鏈路涉及到的物理通信設備包括：本地服務器、網絡傳輸介質（雙絞線或光纖）、交換機、防火墻和目標服務器等，在進行網絡通信失敗排查時，掌握的信息越多，對接下來的問題定位越有幫助。如當前獲取的信息較少，問題點較多，在此情況下，可通過對整個通信鏈路上的設備逐一進行排查、分析，定位問題點。若能從某一表象定位問題點，可根據問題表象對相關設備進行排查、分析。

3.排查內容及方法

3.1測試驗證目標系統服務器端口開啟情況

在本地系統服務器上，使用telnet命令，telnet對端系統服務器相關業(yè)務端口，確認本地系統服務器與目標系統服務器的聯接狀態(tài)。能telnet通說明本地系統服務器與目標系統服務器之間已建立聯接關系，可正常進行業(yè)務訪問。若不通，在確認目標系統服務器運行正常的情況下，需對整個通信鏈路涉及到的設備進行排查、定位。

3.2本地服務器排查

（1）檢查本地服務器的網絡配置

檢查本地服務器的IP地址、子網掩碼、默認網關等信息的配置是否正確。如正確，問題點可能在于本地網卡損壞或網絡通信故障，可從網絡連通性方面進行排查、定位。

（2）檢查網絡連通性

1）檢查本地服務器的網絡連通性

在命令符窗口ping 127.0.0.1（回送地址，即本地機，常用于網絡通信測試），確認本機的網絡連通性狀態(tài)。能ping通說明服務器的網絡配置正確，本地網卡無損壞。

2）檢查本地服務器與上聯網絡設備的連通性

一般情況下，基本的安全訪問設置是限制不同網段之間的系統服務器進行通信，測試本地服務器與上聯網絡設備的連通性，可通過ping同網段系統服務器確認網絡鏈路的運行狀態(tài)。能ping通說明本地服務器與上聯網絡設備的連通性正常，不存在網絡通信故障情況。

（3）檢查本地服務器的安全設置

系統服務器在上線運行前，為確保其安全性和健壯性，系統服務器需進行安全整改及加固，并完成上線前的安全測評，通過安全測評后方能上線運行。因此，需從服務器上的安全設置入手，檢查本地安全策略、本地防火墻和安全防護軟件等的安全設置情況，確認是否禁用業(yè)務所需端口、設置允許特定系統服務器出入站的安全規(guī)則，若已設置相關安全限制，可根據業(yè)務需要在滿足安全防護要求的前提下進行調整。若無設置相關安全限制，則需要對網絡路由進行跟蹤，定位問題點。

（4）檢查路由跟蹤情況

1）在系統服務器上，通過路由跟蹤命令，確定數據包在網絡上的停止位置。不同的操作系統，其路由跟蹤命令也有不同，在WINDOWS操作系統中，路由跟蹤命令為tracert;LINUX操作系統為tracepath -n/traceroute。由于LINUX操作系統使用tracepath -n/traceroute命令后，無法顯示路由跟蹤點，在網絡環(huán)境較為復雜的情況下，可使用WINDOWS操作系統臨時搭建測試服務器進行路由跟蹤測試，查看最后一跳的所在位置，定位問題點。

2）各行業(yè)的安全要求不同，在實施安全防護時，可能會關閉ICMP協議，在此情況下，無法通過路由跟蹤命令進行與目標系統服務器通信鏈路的路由跟蹤，需通過網絡防火墻進行排查。

3.3檢查網絡防火墻設置

（1）查看數據包流量

通過防火墻的輔助功能抓包，可分析接收到的數據包報文（包含將要發(fā)送的完整數據信息）。

1）有發(fā)送包和接收包，說明防火墻策略及路由配置無誤。無發(fā)送包和接收包，則查看策略命中數，確認防火墻策略及路由配置是否正確。

2）有發(fā)送包，但無接收包，說明該數據包未經過防火墻，需排查本地服務器與網絡防火墻之間的其他網絡設備是否攔截阻塞的情況。

（2）查看策略命中數

防火墻策略設置后，會根據數據包信息匹配策略，從而生產命中數。若防火墻策略中已產生命中數，說明策略已生效。若無產生命中數，則說明該數據包未經過防火墻，可能是當前策略的資源配置有誤（源IP、目標IP、端口等信息）或因防火墻策略優(yōu)先級低未匹配命中當前策略。

（3）查看防火墻策略優(yōu)先級

1）網絡防火墻默認情況下，不具備日志記錄功能，需額外搭建日志服務器進行日志記錄。通過查看防火墻策略日志，根據策略日志信息判斷該數據包是否已經過防火墻，若動作為允許，則該數據包已經過防火墻。若動作為拒絕，則是防火墻策略優(yōu)先級低未匹配命中到當前策略，需對上層策略進行核查，并根據業(yè)務需要對策略優(yōu)先級進行調整。

2）若不具備日志服務器，則結合數據包流量和策略命中數排查結果，進行人工核查。

（4）防火墻設置排查注意事項

1）區(qū)域之間的通信訪問，是通過網絡防火墻進行訪問控制。如通信鏈路中，有多臺網絡防火墻，可按照上述網絡防火墻設置的檢查內容及方法進行排查、定位。

2）存在VPN互訪的系統服務器，需在防火墻設置NAT地址轉換，當此類服務器出現通信失敗，可在源地址服務器使用telnet命令測試端口，查看防火墻策略是否有相關命中數，有命中數說明轉換成功，若無命中數則需查看相關NAT日志，并檢查NAT地址轉換信息和防火墻策略信息是否有誤。

4.結束語

信息系統的穩(wěn)定性和可靠性是企業(yè)運營中最為關注的問題，信息通信失效直接影響企業(yè)運作，從而對企業(yè)帶來一定的經濟影響。因此，排查分析方法的方向性和針對性，是決定問題處理效率的關鍵因素，以上內容只是信息通信失效排查、分析的基礎步驟，還需要結合企業(yè)的網絡運行環(huán)境和實踐經驗不斷進行完善。

參考文獻：

[1]江義.局域網常見故障診斷及解決方法.電腦迷，2016.

[2]張濤.淺析計算機通訊網絡的故障處理與日常維護.信息系統工程，2016.

[3]項保利.淺談網絡通信中信息安全對策與建議.信息化建設，2015.

作者簡介：封祐鈞 男，漢，高級技師，工程碩士

聯系地址：廣東省東莞市東城區(qū)東城路239號東莞供電局信息中心