網絡環境
如圖所示,Eudemon防火墻下接的企業用戶通過路由器訪問外部網絡。
企業接入Internet組網圖
網絡部署完畢后,發現防火墻后的企業用戶不能訪問外部Internet網絡。
故障分析
企業用戶不能訪問Internet網絡的可能原因為:
鏈路狀態問題
路由配置錯誤
步驟 1 路由器、防火墻之間、防火墻和企業網之間的鏈路狀態異常可能造成用戶訪問不了外網。執行命令display ip interface brief查看路由器和防火墻相應接口的狀態信息,發現接口狀態均為Up,排除鏈路異常的可能性。
步驟 2 在路由器上tracert企業用戶地址,發現最后一跳為路由器,根據現象猜測路由器與防火墻之間的路由有問題,于是在路由器上ping與它直連的防火墻的接口地址,結果正常。
步驟 3 將Eudemon1斷開,將用戶側二層設備(下面接PC1和PC2)直接與路由器接口相連,PC1配置防火墻接口地址。在路由器上ping PC1的地址,發現PC1收不到來自路由器的Ping報文,卻收到了查詢Eudemon 2接口MAC地址的的ARP報文。由此斷定路由器和兩臺Eudemon間的路由配置有問題,而且很可能是將下一跳路由配反了(即靜態路由中指定到Eudemon1的下一跳地址錯誤配置成了指定到Eudemon2的下一跳地址)。在路由器上執行命令display ip routing-table,證實了猜測的正確性。
----結束
處理步驟
更正路由器到企業用戶靜態路由的下一跳地址。
----結束
完成上述操作后,企業用戶可以通過路由器訪問Internet網絡,故障排除。
案例總結
當路由器無法Ping通對端設備時,首先檢查接口的鏈路狀態,其次檢查路由的配置。在檢查路由配置的過程中,利用tracert和ping命令對鏈路分段進行檢測排除,將出問題的鏈路范圍逐步縮小。
