圖2 辦公用戶(hù)訪問(wèn)FTP服務(wù)器的數(shù)據(jù)流向圖示
辦公區(qū)用戶(hù)PC訪問(wèn)核心區(qū)FTP服務(wù)器的數(shù)據(jù)流向如圖2所示。因?yàn)樵谵k公區(qū)的兩臺(tái)Cisco 3750�����,和核心區(qū)的兩臺(tái)防火墻�、兩臺(tái)Cisco 2960,以及兩臺(tái)核心交換機(jī)Cisco 6509-E都是雙機(jī)熱備或負(fù)載均衡的運(yùn)行模式�����,所以數(shù)據(jù)流向只要通過(guò)兩臺(tái)中的任意一臺(tái)就都是正常的����。
圖3 可能發(fā)生故障的網(wǎng)絡(luò)簡(jiǎn)潔拓?fù)鋱D
既然已經(jīng)知道了數(shù)據(jù)的流向,也就能大致確定故障發(fā)生在什么地方�����。為了圖示的簡(jiǎn)潔明了,把圖2再進(jìn)一步精簡(jiǎn)����,得到如圖3所示的拓?fù)鋱D。從圖3中可以看出���,整個(gè)的數(shù)據(jù)流向就一條線����,這樣排查故障也就比較簡(jiǎn)單����,排查故障的步驟如下:
第一步:在辦公區(qū)用戶(hù)的PC“命令行”CMD中執(zhí)行命令“telnet 192.168.5.2 21”得到的輸出結(jié)果為:
“正在連接192.168.5.2…無(wú)法打開(kāi)到主機(jī)的連接。 在端口 21: 連接失敗”���。
這就說(shuō)明在PC上不能登錄到FTP服務(wù)器的21端口上�。原因可能有很多種���,可能是用戶(hù)PC和FTP服務(wù)器之間的網(wǎng)絡(luò)不通��,也可能是FTP服務(wù)器上的21端口根本就沒(méi)有打開(kāi)��。
第二步:確定是不是網(wǎng)絡(luò)的故障����。在辦公區(qū)用戶(hù)的PC“命令行”CMD中執(zhí)行命令“ping 192.168.5.2”,得到如下的輸出結(jié)果:
C:UsersAdministrator>ping 192.168.5.2
正在 Ping 192.168.5.2 具有 32 字節(jié)的數(shù)據(jù):
請(qǐng)求超時(shí)�����。
請(qǐng)求超時(shí)��。
請(qǐng)求超時(shí)��。
請(qǐng)求超時(shí)���。
192.168.5.2 的 Ping 統(tǒng)計(jì)信息:
數(shù)據(jù)包: 已發(fā)送 = 4���,已接收 = 0�,丟失 = 4 (100% 丟失)
從上面的輸出結(jié)果可以看出PC和FTP服務(wù)器之間的網(wǎng)絡(luò)是不通的。既然不通就要找出在圖3中的“一條線”中到底是在那個(gè)設(shè)備上出了問(wèn)題����。
第三步:在辦公區(qū)用戶(hù)PC的“命令行”CMD中執(zhí)行命令“tracert 192.168.5.2”,它可以定位到數(shù)據(jù)包在傳輸過(guò)程中到底在哪個(gè)設(shè)備上出了問(wèn)題�。執(zhí)行命令得到如下的輸出結(jié)果:
C:UsersAdministrator>tracert 192.168.5.2
通過(guò)最多 30 個(gè)躍點(diǎn)跟蹤到 192.168.5.2 的路由
1 1 ms <1 毫秒 <1 毫秒 192.168.115.254
2 * * * 請(qǐng)求超時(shí)
3 * * * 請(qǐng)求超時(shí)
上面的輸出在第“3”行的下面本來(lái)還有很多,都省略了。因?yàn)閿?shù)據(jù)包不能成功到達(dá)目的地192.168.5.2�,所以它只能像第“3”行那樣往下延續(xù)的輸出。從輸出的結(jié)果可以看出��,PC上發(fā)出的數(shù)據(jù)包只能到達(dá)Cisco 6509上�,因?yàn)榈?ldquo;1”行輸出中的192.168.115.254就是6509上Vlan 115的IP地址。也就是PC和6509之間的路由是通的����,為了驗(yàn)證這個(gè)結(jié)果,我們?cè)赑C的命令行中執(zhí)行了命令“ping 192.168.115.254”��,結(jié)果能成功ping通��。
其實(shí)���,這也很好理解�,PC發(fā)出的數(shù)據(jù)包���,通過(guò)兩個(gè)交換機(jī)Cisco 2960和Cisco 3750的二層廣播功能�����,直接把數(shù)據(jù)包發(fā)送到了6509的三層端口VLAN 115上�,VLAN 115收到數(shù)據(jù)包后發(fā)現(xiàn)是Ping命令,就再把收到的數(shù)據(jù)包返回給PC�����。所以���,在PC上能ping通6509�����。但是��,從電腦PC上發(fā)出的Ping數(shù)據(jù)包�����,在6509上就不能路由到FTP服務(wù)器����,因?yàn)閺膱?zhí)行命令“tracert 192.168.5.2”����,輸出的第“2”行一直往下�����,收不到返回的數(shù)據(jù)包。所以現(xiàn)在可以把故障定位在6509和FTP服務(wù)器之間���。
第四步:這一步需要確定是不是因?yàn)镕TP服務(wù)器引起的這種故障現(xiàn)象�。所以就找了一臺(tái)狀態(tài)良好的筆記本電腦���,把插在FTP服務(wù)器上的網(wǎng)線拔下來(lái)插到筆 記本電腦的網(wǎng)口上����,然后把筆記本電腦網(wǎng)口的IP地址�、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān),都配置成和FTP服務(wù)器完全一樣的�。然后,再次在辦公區(qū)的電腦上執(zhí)行和上面一樣 的Ping命令���、Telent命令和Tracert命令���。結(jié)果與上面前三步的測(cè)試結(jié)果一樣,還是不通�。這就排除了不是FTP服務(wù)器引起的這種故障現(xiàn)象。其 實(shí)�,在這一步中所使用排除故障的方法�,就是最簡(jiǎn)單,也是最常用的“替換法”。
第五步:因?yàn)樵?509和FTP服務(wù)器之間�,所經(jīng)過(guò)的網(wǎng)絡(luò)設(shè)備就只有6509�、防火墻和2960,而2960上都是非常簡(jiǎn)單的二層配置�,出現(xiàn)錯(cuò)誤配置的可能性不大。6509在前三步的測(cè)試中���,也沒(méi)有發(fā)現(xiàn)有什么異?��,F(xiàn)象。所以問(wèn)題最有可能出在防火墻上�����。
打開(kāi)防火墻的WEB管理配置界面�����,查看其中的安全策略配置���,發(fā)現(xiàn)其中并沒(méi)有配置允許192.168.115.2訪問(wèn)192.168.5.2的策略�。 因?yàn)樗褂玫姆阑饓Σ呗?�,默認(rèn)是全禁止的�����,也就是默認(rèn)情況下防火墻不允許任何數(shù)據(jù)包通過(guò)����,除非在它上面配置了允許某個(gè)數(shù)據(jù)包通過(guò)的策略。所以��,只要在防火 墻上添加了允許辦公區(qū)用戶(hù)訪問(wèn)FTP服務(wù)器的安全策略���,就可以解決上面的問(wèn)題����。同時(shí)也要添加允許192.168.115.2的IP地址Ping地址 192.168.5.2的策略���,這樣在PC上也就能Ping通FTP服務(wù)器了�。
果.jpg)