科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换防火墙暗中阻止,引发网络访问失败

防火墙暗中阻止,引发网络访问失败

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 无法访问网络的故障经常会出现,造成这种故障的原因也是多种多样;按照普通思路对网络故障进行依次排查,也能很快地将故障现象解决掉。可是,笔者曾经遭遇到一则非常奇怪的网络不通故障,这种故障现象竟然是由于地址冲突后,防火墙暗中阻止引起的,考虑到这则故障的特殊性,现在本文就将它的排查过程贡献出来,希望大家能从中受到启发!

来源:chinaitlab 2010年7月10日

关键字: 故障解决 网络管理

  • 评论
  • 分享微博
  • 分享邮件

  无法访问网络的故障经常会出现,造成这种故障的原因也是多种多样;按照普通思路对网络故障进行依次排查,也能很快地将故障现象解决掉。可是,笔者曾经遭遇到一则非常奇怪的网络不通故障,这种故障现象竟然是由于地址冲突后,防火墙暗中阻止引起的,考虑到这则故障的特殊性,现在本文就将它的排查过程贡献出来,希望大家能从中受到启发!

  故障现象

  笔者所在单位的局域网网络规模不是很大,只有二十台左右的普通计算机,所有计算机都通过100M网络线缆连接到局域网的交换机上,交换机又与一台TP-LINK品牌的宽带路由器直接相连,最后通过租用本地电信的10M光纤宽带线路,连接到省网络中心,同时能通过省中心网络访问Internet网络。局域网中有一台性能不错的文件服务器,平时单位中的各类通知信息以及其他政务信息全部发布在该服务器上,单位员工可以直接在自己的计算机上通过Web方式轻易地访问到上面的内容;为了保证服务器访问的安全,笔者特意在文件服务器上安装了费尔防火墙,并将该防火墙的工作模式设置成服务器模式。

  可是,最近有一位员工向笔者电话反映,说他的计算机不能访问单位的文件服务器;由于,其他员工没有同时反映故障情况,笔者下意识认为这个问题很可能是员工自己计算机存在问题,特别有可能是他的网络连接线缆没有接触牢靠,于是建议那位故障报修员工重新插拔一下网络线缆,实在不行的话可以尝试重新启动一下计算机系统。然而,没有多长时间,那位员工再次来电回复说,按照笔者的建议进行操作后,还是不能让自己的计算机正常访问单位的文件服务器。

  故障追查

  考虑到其他员工都反映文件服务器访问一切正常,笔者想也没想,立即赶到网络故障现场;经过重插网络线缆以及重新启动计算机系统等一系列常规操作后,笔者发现网络故障果然没有被解决,难道是物理连接出现了意外?为了判断连接故障计算机的网络线缆连通性是否正常,笔者在故障计算机系统中依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,执行ping命令来测试一下目标文件服务器的IP地址,结果发现目标地址果然不能被正常ping通,难道故障计算机与文件服务器之间的网络连接真的不通?笔者担心物理线缆自身可能存在短路或断裂现象,为此特意找来了专业的线缆测试仪,来对这根网络线缆进行连通性测试,结果发现这根网络线缆的连通性是正常的,那为什么故障计算机不能正常ping通文件服务器呢?后来,笔者随意ping了一下局域网中的其他计算机上网地址,得到的结果让笔者很是吃惊,可以正常ping通其他计算机的上网地址,而且也能通过网上邻居窗口访问其他计算机中的共享资源,这说明员工计算机不存在问题。

  既然从员工的计算机系统中找不到明显的错误,笔者只好尝试着将目光转移到文件服务器系统中;赶到文件服务器现场,笔者先是重新启动一下文件服务器系统;待系统重新启动成功后,笔者意外发现系统桌面上竟然出现了一个错误提示,说有计算机的IP地址与文件服务器的IP地址存在冲突现象,难道是地址冲突造成了故障计算机不能正常访问文件服务器的内容?为了判断自己的分析是否正确,笔者立即到故障计算机现场,依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击目标本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标本地连接的属性设置对话框,选中其中的TCP/IP协议选项,单击“属性”按钮后,进入TCP/IP协议的属性设置对话框,在这里笔者果然发现故障计算机使用的上网地址与文件服务器的上网地址是相同的,看来故障计算机网络不通问题的确是由于地址冲突因素引起的。

  原以为只要为故障计算机更换一个IP地址,就能解决故障计算机网络不通的问题了,可是当笔者尝试着为故障计算机分配一个新的上网地址后,发现网络不通现象仍然存在,这是怎么回事呢?难道引起服务器访问失败故障另有“祸首”?在排除地址冲突因素后,笔者认为现在应该能够正常ping通文件服务器的IP地址了,于是再次打开故障计算机的系统运行对话框,在其中执行ping命令测试文件服务器的上网地址能否被顺利ping通,结果还是让笔者非常失望,文件服务器的上网地址仍然无法被正常ping通;可是,当笔者尝试着在文件服务器系统中,使用ping命令测试故障计算机的上网地址时,发现这种测试操作居然能够成功,为什么会存在单向ping通的故障现象呢?思来想去,笔者认为很可能是故障计算机的网卡设备存在记忆效应?为了消除网卡记忆效应,笔者立即打开故障计算机系统的设备管理器窗口,从中找到网卡设备选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“卸载”命令,将目标网卡设备彻底地从对应系统中删除出去;之后,重新启动一下故障计算机系统,让其自动安装、识别网卡设备的驱动程序,待网卡设备驱动程序安装完成后,笔者又为网卡设备手工分配了一个地址,再次进行上网测试时,发现故障计算机还是无法访问到单位文件服务器中的内容。

  联想到宽带路由器中设置了安全访问控制规则,会不会是这其中的安全规则限制了目标计算机正常访问文件服务器呢?为了检验自己的猜测是否正确,笔者立即以系统管理员身份登录进入宽带路由器后台系统,在其中找到安全访问控制规则列表,发现其中并没有针对故障计算机的访问控制规则;为了排除安全控制规则因素的干扰,笔者索性将规则列表中的所有安全控制规则暂时全部清除掉,之后又把把静态的地址分配与MAC地址都清空,最后又把宽带路由器重新启动了一下,可是这么大的动作仍然没有换来应有的回报。

  故障解决

  在万般无奈之下,笔者开始将问题的“责任”推卸给网络病毒,因为很多时候网络病毒总会产生一些意想不到的效果;为了排除网络病毒的嫌疑,笔者打算对故障计算机系统进行全面、彻底地病毒查杀操作。在准备查杀网络病毒的时候,笔者偶然看到该系统中也安装有网络防火墙,会不会是网络防火墙在阻止该计算机进行网络连接?于是,笔者小心翼翼地将故障计算机系统中的防火墙程序暂时关闭掉,并重新进行网络访问测试,结果发现故障计算机的网络还是不通;后来,笔者又想到了文件服务器系统中也安装有网络防火墙,为了担心这个防火墙在暗中“捣乱”,笔者再次登录进入文件服务器系统,将正在启用的网络防火墙也给关闭掉了,之后笔者重新在故障计算机系统中访问文件服务器系统中的内容时,发现网络连接已经恢复正常了,看来问题的确是由于文件服务器系统中的网络防火墙引起的。

  故障总结

  上面的问题虽然已经被成功解决了,但是笔者还有一件事情一直没有弄清楚,那就是文件服务器中的网络防火墙程序为什么会暗中阻止故障计算机的网络访问行为,而对局域网中的其他计算机网络行为不予以阻止呢?后来,经过仔细查看网络防火墙的日志记录,笔者终于弄清楚了这则奇怪故障的产生原因,原来单位员工由于操作失误导致自己的计算机系统发生崩溃,不得已他只好重新安装了一遍操作系统,之后自己随手设置了一个IP地址,恰好这个上网地址与单位文件服务器的地址相冲突,这个冲突行为被文件服务器中的网络防火墙发现后,错误认为目标计算机系统在尝试攻击文件服务器,于是防火墙擅自作主强行断开了那个故障计算机的网络连接,于是就出现了故障计算机无论如何也不能访问文件服务器的奇怪现象。

  小提示:为了避免局域网中频繁发生地址冲突现象,我们可以尝试使用下面的方法,来阻止普通用户随意修改计算机的上网参数:

  1、隐藏本地连接图标

  依次单击“开始”/“运行”命令,执行“gpedit.msc”命令,逐一展开“用户配置”/“管理模板”/“网络”/“网络及拨号连接”,双击“可以访问lan连接组件的属性”,选中“禁用”选项,再单击“确定”按钮。也可以在系统运行框中,依次执行字符串命令“regsvr32 Netcfgx.dll/u”、“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”,最后重新启动计算机系统。还可以对地址进行绑定操作,在使用该方法时,先获取计算机网卡的物理地址;如果局域网中只有少数几台计算机的IP地址需要绑定时,只要通过“ipconfig /all”命令,来获得目标网卡设备的MAC地址,要是想快速获取若干台计算机的网卡MAC地址时,可以考虑使用类似“MAC地址扫描器”这样的专业查找工具,来批量得到整个网络中的所有计算机网卡物理地址。一旦得到目标网卡设备的物理地址后,再依次单击“开始”/“运行”命令,在系统运行框中执行字符串命令“cmd”,将系统屏幕转到Ms-dos工作窗口,然后在命令行提示符下执行类似“arp -s ip mac”这样的字符串命令,就能将目标IP地址限制在指定网卡设备上使用了。

  2、自动分配地址

  使用手工方法为计算机系统逐一分配IP地址,不但费时费力,而且还很容易发生IP地址冲突现象,明显不利于局域网网络的管理与维护。为此,在条件许可的情况下,可以考虑在局域网中架设一台DHCP服务器,让DHCP服务器自动为局域网中的所有计算机分配动态IP地址,这样不但解放了网络管理员自己,而且也解决了IP地址频繁冲突的故障现象。当然,对于局域网中的一些重要主机,例如服务器、路由器等,我们可以在DHCP服务器中设置好保留IP地址,以便让重要主机仍然能够正常使用静态IP地址为局域网网络提供服务。

  3、限制设置权限

  如果将计算机用户的操作权限降低为普通用户组权限,而不是Administrators组权限时,那么计算机用户自然就不能随意对IP地址等系统参数进行修改了,那样的话局域网网络的运行稳定性也就能得到有效保证了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章