保密機與防火墻互聯故障

■

故障現象

筆者單位近期需同另一單位進行網絡數據的傳輸，從安全保密的角度考慮，在網絡建設時購置了保密機和天融信的防火墻。兩個單位的設備連接關系均為：保密機的外網口連接華為路由器，保密機的內網口連接防火墻的外網口，防火墻的內網口連接接入交換機。設備安裝配置完畢后，一開始網絡業務能連通，但過一段時間后兩個單位的用戶均無法訪問對方。網絡結構如圖1所示。

圖1 網絡結構

故障排查

由于鏈路涉及的環節較多，因此需按照分段排查的思想處理故障。首先要比對兩個單位路由器、交換機的配置是否正確，確認保密機和防火墻的策略是否一致。經過比較確認，路由器、交換機、保密機和防火墻的配置均沒有問題，且當交換機直接與路由器互聯時，兩個單位的用戶均可訪問對方。其次將保密機和防火墻逐個串接入網絡鏈路，結果發現無論是保密機還是防火墻串接入網絡鏈路，兩個單位的用戶也均可訪問對方。初步分析是保密機和防火墻之間的鏈路存在問題。

故障分析

經過與兩個設備廠家的技術人員溝通，確認網絡保密機的網口為100M，而防火墻的網口卻為1000M。由于兩個設備網口類型不匹配，使得兩個設備連通一段時間后無法協商通信，造成鏈路中斷。

故障排除

找到了故障產生的根源后，那怎么解決保密機和防火墻網口不一致的問題呢？是否可以將防火墻的網口設置為100M呢？但防火墻技術人員的話否定了這個解決措施，因為防火墻的網口是由硬件決定的，不能進行軟件更改。正當束手無策的時候，筆者看見了一臺正在使用的2M轉網絡的橋接器，想到既然保密機和防火墻不能直連，那么能否通過中間設備轉接一下呢？于是筆者在保密機和防火墻之間串接了一個支持1000M網口的二層交換機，將端口的速率設置為自動，進行網絡業務測試，兩個單位的用戶均可訪問對方了。

經驗總結

如今，網絡鏈路串接的設備不斷增多，故障點也隨之增加。在網絡出現業務故障時，首要的是以分段的思想排除可能的疑點，不斷縮小故障范圍，直到確認故障原因。其次，在安裝新設備的時候，必須與廠家的技術人員進行溝通，盡量對設備有一個詳細的了解，或者到官方網站查詢也是一個可行的方法。總之，網絡出現問題并不可怕，怕的就是網絡管理人員沒有處理故障的思路，有了思路，困難必定迎刃而解。