在思科路由器組網(wǎng)的環(huán)境中,動態(tài)路由被防火墻阻擋時所引發(fā)的問題。
一、故障現(xiàn)象
局域網(wǎng)中的所有電腦都不能成功訪問內(nèi)網(wǎng)平臺系統(tǒng),任意登錄一臺電腦,并在該系統(tǒng)中執(zhí)行ping命令,測試路由器的IP地址是否連通時,發(fā)現(xiàn)都不能成功,防火墻工作在透明模式狀態(tài)下,同時沒有設(shè)置任何安全過濾規(guī)則,而去掉該防火墻,發(fā)現(xiàn)局域網(wǎng)中的所有電腦都能順利地訪問到內(nèi)網(wǎng)平臺了,確定防火墻設(shè)備存在問題。
二、故障排查
1、由于去掉硬件防火墻,局域網(wǎng)中的電腦都能正常訪問內(nèi)網(wǎng),同時硬件防火墻后臺系統(tǒng)中也沒有設(shè)置明顯的安全過濾規(guī)則,初步判斷問題可能出在軟件設(shè)置方面。
2、為了檢查硬件防火墻的軟件設(shè)置是否存在問題,我們通過console端口登錄進(jìn)入該設(shè)備的后臺管理界面,由于局域網(wǎng)中任意一臺電腦的數(shù)據(jù)包始終無法達(dá)到內(nèi)網(wǎng)的路由器,所以可能是核心交換機(jī)將上網(wǎng)數(shù)據(jù)包自動過濾掉了,于是登錄進(jìn)入核心交換機(jī)后臺系統(tǒng),發(fā)現(xiàn)沒有達(dá)到內(nèi)網(wǎng)的路由,這就造成局域網(wǎng)中的電腦不能正常訪問內(nèi)網(wǎng)了。
三、故障解決
1、初步判定是由于OSPF協(xié)議造成的,OSPF協(xié)議在尋找建立動態(tài)鄰居時,需要以組播方式向網(wǎng)絡(luò)發(fā)送hello包,可是硬件防火墻在默認(rèn)狀態(tài)下是不允許組播數(shù)據(jù)包通過,那樣一來硬件防火墻就會阻礙核心交換機(jī)從路由器那里學(xué)到動態(tài)路由,在動態(tài)路由被阻擋之后,局域網(wǎng)中的電腦自然就不能訪問內(nèi)網(wǎng)平臺了。
2、重新配置了合適的訪問規(guī)則,確保該設(shè)備不會阻擋動態(tài)路由,經(jīng)過這樣的設(shè)置后,發(fā)現(xiàn)電腦已經(jīng)能夠順利地訪問內(nèi)網(wǎng)了,至此,無法訪問內(nèi)網(wǎng)的故障現(xiàn)象就被成功解決了。