多線路接入網(wǎng)站發(fā)布故障排除

故障現(xiàn)象和網(wǎng)絡概況

近期，單位網(wǎng)站進行了升級，并重新部署，前期很順利，但最后通過負載均衡映射到公網(wǎng)后，發(fā)現(xiàn)外網(wǎng)用戶訪問正常，內外用戶只能用內網(wǎng)地址訪問，用公網(wǎng)地址無法訪問，給在單位上班的同事登錄網(wǎng)站造成了不便，因為外包運維人員出差沒時間，只好自己嘗試進行故障的排查，單位局域網(wǎng)的大致拓撲圖如圖1所示。

圖1 單位局域網(wǎng)拓撲圖

圖中負載 均 衡（Load Balance簡 稱LB），負責多線路接入，同時提供網(wǎng)絡NAT服務，互聯(lián)網(wǎng)接入線路有電信和聯(lián)通各一條，LB和防火墻（Firewall簡稱FW）是采用背靠背連接，F(xiàn)W同時實施對服務器區(qū)的訪問控制保護，網(wǎng)站服務器位于服務器區(qū)，F(xiàn)W下連核心交換機，終端用戶通過接入交換機連接到核心交換機。具體的IP地址如下。

LB的互聯(lián)網(wǎng)接口：61.xxx.xxx.115/248電 信、220.xxx.xxx.19/248聯(lián)通、61.xxx.xxx.119/248網(wǎng)站公網(wǎng)，分別用于內外用戶上網(wǎng)和網(wǎng)站訪問。

FW連服務器區(qū)接口 ：192.168.3.254/24 ；連核心交換機接口：192.168.200. 17/24。

網(wǎng)站W(wǎng)eb Server:192.168.3.88/24，單位終端用戶地址范圍192.168.4.0-192.168.30.0/24。

LB和FWl背 靠背IP地 址 分 別 是192.168.100.1和192.168.100.2。

檢查流程

根據(jù)故障現(xiàn)象，考慮問題多出現(xiàn)在路由設置上，遂根據(jù)終端數(shù)據(jù)包的發(fā)送和接受路徑，對網(wǎng)絡設備參數(shù)配置逐一進行檢查：

FWl上有一條默認路由可以保證訪公網(wǎng)是通往LB：0.0.0.0/0 192.168.100.1 eth1

數(shù)據(jù)到達LB的eth1，訪問網(wǎng)站公網(wǎng)IP，LB的網(wǎng)絡映射會把數(shù)據(jù)包指向內網(wǎng)web服務器。

圖2 LB上端口映射內容

圖3 防火墻上設置了訪問控制策略

圖4 入接口選擇電信接口

LB上端口映射內容如圖2所示。

在訪問Web服務器前，F(xiàn)W會檢查訪問數(shù)據(jù)是否被允許通過，在此FW上也做了訪問控制策略，如圖3所示。

接下來分析網(wǎng)站內容返回到客戶端的過程，問題應該就出在這里了，因為公網(wǎng)接入有電信和聯(lián)通兩條線路，LB上已經(jīng)設置了智能路由，保證訪問資源時，是電信線路的走電信線路，聯(lián)通的走聯(lián)通的線路，仔細檢查圖2的Web映射設置，發(fā)現(xiàn)選擇的入接口是“所有接口”，也就是既可以是電信也可以是聯(lián)通，但我們網(wǎng)站本身是用的電信的IP，所以入接口嚴格的講應該選電信接口，嘗試把入接口改為“電信”，如圖4所示，修改保存后，問題解決。

經(jīng)驗總結

通過此次網(wǎng)絡故障的排除可以看出，當網(wǎng)絡出口有多線路接入時，雖然能通過負載均衡設備提高網(wǎng)速，針對不同線路實施高效的路由策略，但在遇到網(wǎng)絡故障的時候，多線路接入也增加了參數(shù)配置和故障排除的復雜性，故需要熟悉網(wǎng)絡設備使用手冊中有關多線路方面的內容并加以實踐，才有可能在遇到問題的時候去快速解決問題。