網關位置設置錯誤惹麻煩

引言：筆者單位網絡分業務內網和外網，在外網設備上投入有限，只有一個接入路由和若干交換機。網絡整體架構為網絡辦公區和服務器區，局域網辦公區就是上互聯網和內部辦公使用，而服務區內有服務器提供網站服務。隨著分支機構建立和接入終端的數量增多，增加了三個VLAN。本以為一切會平滑過渡，但實際實施之后，內部網站不能訪問。本文就向大家介紹故障的排查過程。

筆者所在單位為一小型單位，網絡分業務內網和外網。內外網分離于去初才完成，因此在外網設備上投入有限，只有一個接入路由和若干交換機。網絡整體架構為網絡辦公區和服務器區，局域網辦公區就是上互聯網和內部辦公使用，而服務區內有服務器提供網站服務；因網站要同時提供對內和對外服務（如圖1）。

整個網絡中，路由器R1起路由互聯和NAT作用；將172.16.15網段的地址NAT，其中將公網的IP的80端口靜態轉換成172.16.15.33網站服務器地址的80端口，以便提供WWW服務。為便于內部人員通過域名也能訪問內部網站，所以又在服務器區的服務器上搭建了DNS服務，只對網站服務www.abc.gov.cn進行解析成172.16.15.33內網地址，這樣網絡辦公區的人員無論訪問互聯網時還是內部網站都比較順利。網絡辦公區和服務區為同一網段，在以太網內相互通訊不需要通過網關，直接通過ARP廣播即可尋找到對方，然后在二層的數據鏈接路進行通訊。

圖1 網絡拓撲結構

故障現象

隨著本單位分支機構建立和接入終端的數量增多，對接入的數量（一個網段限制在256個）還是安全性提出了分段管理的要求，于是提出了VLAN方案，將SW1從二層交換機變成三層交換機（172.16.15.2），并在此機上增加了三個VLAN，ID 為 16（172.16.16.x）、17（172.16.17.x）、18（172.16.18.x），然后將三個網絡的網關都設在SW1上，即將網絡辦公室劃分為三個區，整體網絡架構和原有172.16.15網段保持不變。

本以為一切會平滑過渡，但實際實施之后，網絡辦公區 PC（172.16.16.2）訪 問外網沒有任何問題，內部網站http://www.abc.gov.cn不能訪問，表現為ping www.abc.gov.cn request Timed out 超時。考慮到Server1到網絡辦公室的回路問題，所以在Server1上加了一段路由：

ip route 172.16.16.0 255.255.255.0 172.16.15.2

然后，再在服務器上traceroute，反饋如下：

還是不通!應該不是簡單的網絡回路問題了。

故障分析

PC訪問服務器（Server1）時， 網絡流量包的走向和動作為：

1 7 2.1 6.1 6.X(P C)172.16.16.1（SW1） → 除入口包發查找MAC表或以太網廣播包→172.16.15.33（Server1）去的通路正常，但返回時（即從Server1服務器返回PC），網絡流量包的走向和動作為：

172.16.15.33（Server1）→172.16.15.1（R1）→在路由上找不到相應的IP路由→throw（丟棄），導致辦公區訪問服務區服務器時出現異常。這是由于TCP/IP在802.3以太網的實現機制造成的。

以太網IEEE 802.3即具有CSMA/CD（載波監聽多路訪問/沖突檢測）的網絡。CSMA/CD是IEEE 802.3采用的媒體接入控制技術，或稱介質訪問控制技術。一般的兩層交換機是工作在數據鏈路層，也就是第二層，工作原因比較簡單，只解析以太網幀，即MAC層的Frame，根據以太網幀的MAC地址來轉發報文。由于MAC地址是物理地址，而且采用平坦的地址結構，只能通過廣播來進行識別而不能用于劃分子網。而路由器工作在TCP/IP的網絡層，路由器識別IP地址，IP地址是邏輯地址且IP地址具有層次結構，被劃分成網絡號和主機號，可以非常方便地用于劃分子網，路由器的主要功能就是用于連接不同的網絡。

信息在網絡流通時，數據包（三層）或數據幀（二層）都需要知道終點地址（Final destination address）和下一跳的地址（Next hop address）。IP地址本質上是終點地址，它在跳過路由器（hop）的時候不會改變，而MAC地址則是下一跳的地址，每跳過一次路由器都會改變。

假設主機A訪問主機B，首先A知道B的IP地址，主機A首先會發ARP報文，ARP報文最終在MAC層被封裝成以太網幀，其源MAC地址是主機A自己，目的MAC地址是廣播地址，就是向外廣播詢問，請求主機B回答。交換機接收到主機A的包含ARP廣播報文的數據幀（Frame），會解析該Frame，發現目的MAC地址是廣播地址，就是向自己的所有端口廣播該Frame，源MAC地址依然是主機A，目的MAC地址依然是廣播地址。同時，如果源MAC地址，交換機之前沒有學習過，就會添加到自己的MAC地址表中，也就是交換機學習到主機A的MAC地址。

如果是主機，發現目的MAC不是自己，就會丟棄該報文。最后，經交換機廣播后，ARP報文被主機B接收到，主機B發現被請求的IP是自己，就會按報文要求處理，發一個回應報文，同樣在MAC層被封裝成以太網幀，源MAC地址是主機B，目的MAC地址是主機A，告訴主機A你請求的IP就是自己，最后發報文到交換機，交換機就會學習到B的MAC地址。同時主機A接收到主機B的回應后，就知道主機B的MAC，添加到自己的ARP表中，下次再和B通信就不需要再發ARP報文了。簡單的總結如圖2所示。

那么在A與B跨網段（即路由器R）通訊時，交換機SW1開了代理arp，則把自己的端口MAC地址告訴A，A得知后，開始向B發送報文，報文的三層目標IP為B的IP，報文的二層目標MAC地址為剛交換機給它的MAC。交換機收到報文首先看二層，是發給自己的這個端口的，再看三層，是另一個接口所連接的路由R，則直接發過去，報文的二層目標為交換機MAC地址表里學習到的R的MAC，三層目標為B的IP，而路由器R在接到交換機的報文后，將報文的二層目標改為交換機SW2的端口MAC，IP地址不變，這是正常情況，傳輸過程中源目IP沒有變化，MAC地址發生了變化。

正常情況下就會出現A→報文格式（源：ipA macA 目標：ipB macSW）→SW（交換機）→報文格式（源：ipA macA 目 標：ipB macR））路由器R）報文格式（源：ipA macA 目標 ：ipB macB），反之亦然。

圖2 網絡主干

圖3 修改網絡拓撲結構

注：一般來說，IP地址經過路由器是不變的，不過NAT（Network address translation）例外。

解決步驟

知道了以上的原因，解決方案有兩個。

1.單獨為此條通訊設置一條“專線”網絡，即在圖1的R1和SW1相連的端口處單獨加一個互聯的地址，可以類似于192.168.222.1/30，然后在三層交換機SW和Server1上做策略路由，讓172.16.15網段與172.16.16-18網段相通時不用通過172.16.15.1這個網關，此網關只負責用于Server1提供互聯網服務用即可。

2.對網絡進行全新規劃，加裝防火墻取代路由器R1，服務器區位于防火墻的DMZ區，IP地址進行重新劃分，內部網絡架構互聯用14網段，而服務器區因為系統安裝的原因保持原15網段不變，進行平滑升級（如圖3）。

經驗總結

故障看上去不大，但其實非常有意義，這個故障還可以進一步通過traceroute、pathping、arp等讓網絡管理員對于什么是TCP/IP、以太網有更多更深的認識，在排除故障和升級網絡的過程有以下心得。

1.對于網絡要有總體規則，對于功能區和安全性都要有所考慮，特別是IP地址規劃和VLAN劃分。為了生產網絡環境的安全性，推薦使用IOU Web等模擬器進網絡架構進行模擬測試，然后再對關鍵的設備進行配置，以保證設計的科學性和有效性。

2.要對網絡中各個設備，路由器、三層交換機和二層交換機、防火墻都要了解相應的功能，要學習理解時最好通過各個設備之間功能的對比進行，在應用中要結合現實的網絡環境，特別是三層的交換機什么時候作用于二層，什么時候要啟用三層。

3.要學會使用各類網絡工具，包括實驗工具。理論有時候學的很清楚，但在現實中由于操作的方便性或者為了平滑過渡，在現有的基礎上進行新的擴展時會想當然，當出現問題時，要學會Wireshark抓包軟件對網絡流量進行分析。