防火墙一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,下面让我们看一下防火墙下接的用户不能访问外网的故障是怎么解决的。
网络环境
如图所示,Eudemon防火墙下接的企业用户通过路由器访问外部网络。
企业接入Internet组网图
网络部署完毕后,发现防火墙后的企业用户不能访问外部Internet网络。
故障分析
企业用户不能访问Internet网络的可能原因为:
链路状态问题
路由配置错误
步骤 1 路由器、防火墙之间、防火墙和企业网之间的链路状态异常可能造成用户访问不了外网。执行命令display ip interface brief查看路由器和防火墙相应接口的状态信息,发现接口状态均为Up,排除链路异常的可能性。
步骤 2 在路由器上tracert企业用户地址,发现***一跳为路由器,根据现象猜测路由器与防火墙之间的路由有问题,于是在路由器上ping与它直连的防火墙的接口地址,结果正常。
步骤 3 将Eudemon1断开,将用户侧二层设备(下面接PC1和PC2)直接与路由器接口相连,PC1配置防火墙接口地址。在路由器上ping PC1的地址,发现PC1收不到来自路由器的Ping报文,却收到了查询Eudemon 2接口MAC地址的的ARP报文。由此断定路由器和两台Eudemon间的路由配置有问题,而且很可能是将下一跳路由配反了(即静态路由中指定到Eudemon1的下一跳地址错误配置成了指定到Eudemon2的下一跳地址)。在路由器上执行命令display ip routing-table,证实了猜测的正确性。
—-结束
处理步骤
更正路由器到企业用户静态路由的下一跳地址。
—-结束
完成上述操作后,企业用户可以通过路由器访问Internet网络,故障排除。
案例总结
当路由器无法Ping通对端设备时,首先检查接口的链路状态,其次检查路由的配置。在检查路由配置的过程中,利用tracert和ping命令对链路分段进行检测排除,将出问题的链路范围逐步缩小。
转载请注明:IT运维空间 » 运维技术 » 路由器故障:防火墙下接的用户不能访问外网
发表评论