误配路由导致断网怎么办？

编者按：一起由于在防火墙路由上做了策略调整后，造成整个公司不能访问互联网，导致全厂职工和领导极大的不满，联名要扣信息中心的工资。巨大的压力下，信息中心该如何办？

一、了解事故企业的网络现况

二、远程分析诊断：初步判断为DNS服务器没有起效

四、路由跟踪：交换机和防火墙之间进行环路传递

五、分析：如何造成了路由环路？

六、故障处理：按照网络连接的顺序进行正向、反向的验证、分析。

五一节后的一天，某外地企业用户打电话给俺，说刚对4月份部署的一台防火墙在做了策略调整后整个公司不能访问互联网，导致全厂职工和领导极大的不满，联名说周一前弄不好就扣信息中心的工资。。。。。

这个一个“十万火急”的求助电话，于是，俺放下了其他的工作，开始接手这个企业发生的断网事故。

一、了解事故企业的网络现况

通过咨询，了解这个企业的网络状况表现如下：

该企业现有的架构较简单，没有设置DMZ区，仅仅使用防火墙进行上网访问控制，物理连接和地址分配如上拓扑图。其中内部网将172.15.0.0/16进行子网划分成24个子网，对应不同的厂区部门所在的VLAN。

1、不能通过域名上网，也不能通过已知的外网网站的ip上网，但是可以ping通外网的地址；（注意！此处位为用户的说法）

2、可以登陆到该防火墙进行策略的调整设置；

二、远程分析诊断：初步判断为DNS服务器没有起效

根据用户所描述的现象，初步判断为DNS服务器没有起效，因此让他们看看防火墙设置中的DNS服务器地址是否正确，能否ping通该服务器。回答是防火墙中设置的DNS服务器的地址是当地电信提供的，但是无法ping通到该dns地址。

根据以上ping当地DNS服务器地址不通的结果，以及用户提到可以ping通外网地址，分析为当地的dns服务器服务可能有中断。准备叫他们换其它dns服务器进行尝试，并寻求他们该防火墙的管理员密码以进行更加详细的设置查询和设置，但是他们以公司内部机密等原因不提供，并希望我们到现场进行解决。

没有办法，只有去一趟咯！

三、奔驰现场：实地测试得两种可能

公司－－的士－－源长途车站－－睡觉2小时－－目标长途车站－－的士－－现场

到达现场后，对该企业描述的现象进行测试：

1、整个企业内部网网络连通正常；

3、任何网段中允许上网的工作站无法通过已知的IP访问互联网网站及其它服务；

4、任何网段中允许上网的工作站能ping通到防火墙外网口网关（即电信端）；

5、任何网段中允许上网的工作站无法ping通到电信端以外的地址（此处跟用户最

先说的可以ping通外网的ip地址不符合。后经了解，用户当时以为能ping通到电信端就以为是ping通到外网所有的地址，没有进行进一步的测试。）

根据以上的表象，初步认为有两种可能：

1、电信端出问题，该公司所处的公网网段地址没有发布出去；

2、本地的防火墙设置有问题。

四、路由跟踪：交换机和防火墙之间进行环路传递

为了进一步进行查询问题出在什么地方，决定进行一次路由跟踪，看是否是电信端的关于该企业的公网网段发布问题。

tracert61.172.255.19（允许ping，实在是测试网络设置效果时的必备之暗器） 13ms<1ms<1ms172.15.0.254（本机网关） 26ms99ms102ms172.16.0.250（防火墙内网口） 36ms99ms102ms172.16.0.254（交换机联防火墙端口） 46ms99ms102ms172.16.0.250（防火墙内网口） 56ms99ms102ms172.16.0.254（交换机联防火墙端口） 66ms99ms102ms172.16.0.250（防火墙内网口） 76ms99ms102ms172.16.0.254（交换机联防火墙端口） 86ms99ms102ms172.16.0.250 96ms99ms102ms172.16.0.254 106ms99ms102ms172.16.0.250 116ms99ms102ms172.16.0.254 126ms99ms102ms172.16.0.250 136ms99ms102ms172.16.0.254 146ms99ms102ms172.16.0.250 156ms99ms102ms172.16.0.254 166ms99ms102ms172.16.0.250 。。。。。。（陷入循环状态直至30跳中止） 

五、分析：如何造成了路由环路？

从以上结果，我们可以看是防火墙的对目的为61.172.255.19的数据包没有正确的路由，数据在交换机和防火墙之间进行环路传递。

确定是防火墙的路由有问题，登陆到该防火墙，查询路由状态：

Yty->getroute

untrust-vr(0entries)

--------------------------------------------------------------------------------

C-Connected,S-Static,A-Auto-Exported,I-Imported,R–RIPtrust-vr(4entries)

--------------------------------------------------------------------------------

IDIP-PrefixInterfaceGatewayPPrefMtrVsys

--------------------------------------------------------------------------------

*50.0.0.0/0eth1172.16.0.254S201Root

*30.0.0.0/0eth3216.X.X.241S201Root

*1172.16.0.0/24eth10.0.0.0C00Root

*2216.X.X.240/28eth30.0.0.0C00Root

从上表中，我们可以看到除了有两条直联路由外，配置了两条默认路由，到达未知IP可通过E1或E3到达，而且访问回来的路由没有，看来问题应当出在这个地方了。

让我们来假设一下数据报的流向：

1、访问目标为路由已知的地址

采用此路由表，我们在内网中能访问到的最远的地址为该企业专线在电信端的地址，即216.X.X.241/28。其流向为工作站―――工作站网关（vlan地址）―――所在vlan网关（交换机同防火墙直联端口地址172.16.0.254）―――防火墙内网口地址（172.16.0.250），防火墙通过路由表查询，发现到达216.X.X.241的地址为自己的直联路由，将该数据报交给E3,这样我们访问的数据报能到达该地址。

2、访问目标为路由未知的地址

在访问目标为路由未知的地址时，数据报到达E1后，E1发现有两条默认路由，因此将数据重新转发到交换机（为什么不选用另一默认路由未知？难道是针对E1口而言这条默认路由的优先级高一些？寻求答案！），交换机根据自己的路由表又发到防火墙，而防火墙根据路由表又发回。。。。。。，最终导致路由环路。

后经了解，负责防火墙的管理人员为了让返回的数据包到达目的，将原有的路由表进行勒修改，增加了这条造成环路的路由。

原路由设置为：

setroute0.0.0.0/0interfaceethernet3gateway216.x.x.241

setroute172.15.13.0/24interfaceethernet1gateway172.16.101.254

setroute172.15.3.0/24interfaceethernet1gateway172.16.101.254

（原来只允许13和3两个VLAN访问互联网）

错误的路由设置为：

setroute0.0.0.0/0interfaceethernet3gateway216.x.x.241

setroute0.0.0.0/0interfaceethernet1gateway172.16.101.254

六、故障处理：按照网络连接的顺序进行正向、反向的验证、分析

将路由0.0.0.0/0eth1172.16.0.254S201Root删除;

重新添加新的路由条目：

*4100.0.0.0/8eth1172.16.0.254S201Root

（回应包路由，到达100.0.0.0网段的数据报将交给Eeh1处理，下一跳的地址为交换机到防火墙的级联口）

*5172.15.0.0/16eth1172.16.0.254S201Root

（回应包路由，到达172.15.0.0/16的任一网段的数据将转发到eth1，下一跳地址为交换机端口地址。）

setroute0.0.0.0/0interfaceethernet3gateway216.x.x.241

setroute100.100.10.0/8interfaceethernet1gateway172.16.101.254

setroute172.15.0.0/16interfaceethernet1gateway172.16.101.254

查询路由

yty->getroute

untrust-vr(0entries)

-------------------------------------------------------------
C-Connected,S-Static,A-Auto-Exported,I-Imported,R-RIP

trust-vr(5entries)

IDIP-PrefixInterfaceGatewayPPrefMtrVsys

-------------------------------------------------------------

*30.0.0.0/0eth3216.X.X.241S201Root

*1172.16.0.0/24eth10.0.0.0C00Root

*2216.X.X.240/28eth30.0.0.0C00Root

*4100.0.0.0/8eth1172.16.0.254S201Root

*5172.15.0.0/16eth1172.16.0.254S201Root

结果测试

Tracingroutetowww.netexpert.cn[61.172.255.19]

overamaximumof30hops:

13ms<1ms<1ms172.15.0.254（本机网关）

26ms99ms102ms172.16.0.250（防火墙内网口）

3257ms300ms317ms216.X.X.241（防火墙外网口网关，电信）

4298ms141ms128ms221.232.254.1

5188ms265ms387ms202.97.37.149

6270ms130ms79ms202.97.35.77

7490ms372ms495ms61.152.86.13

8102ms91ms87ms61.152.87.134

941ms46ms95ms61.152.83.38

1089ms252ms81ms61.152.83.162

11304ms333ms439ms218.78.213.102

12448ms463ms173ms61.172.255.19

至此问题解决，将工作站划分到不同vlan上网都正常。

总结

对故障的排除并不一定需要专业的网络分析软件，很多系统自带的工具能很方便的反映问题所在，定义问题点，此次能找到问题点就是因为使用tracert进行路由跟踪，确定了故障的原因是环路路由造成的；

对于问题出在三层交换、网关位置时，问题一般是数据报路由的问题，因此出现故障首先检查路由表，这样会省很多事情；

对于故障现象应当进行验证操作，以免出现实际和描述不一致的地方，影响故障诊断。