巧用交換機(jī)流統(tǒng)功能判斷網(wǎng)絡(luò)故障

■ 山東廣電網(wǎng)絡(luò)有限公司濟(jì)寧分公司 崔冬梅 韓磊

近期因受“新冠”疫情的影響，筆者單位處于半工作狀態(tài)，客服中心提出新需求，需要在家接聽用戶電話，并能登錄公司內(nèi)網(wǎng)訪問業(yè)務(wù)支撐系統(tǒng)。

單位因先期在內(nèi)外網(wǎng)之間部署過一臺(tái)防火墻，已經(jīng)實(shí)現(xiàn)了互聯(lián)網(wǎng)用戶與業(yè)務(wù)支撐系統(tǒng)的互通。這次為了盡快實(shí)現(xiàn)該功能，我們的想法是繼續(xù)使用該方案通過路由和ACL進(jìn)行訪問控制。但是在配置的過程中出現(xiàn)了外網(wǎng)用戶到業(yè)務(wù)支撐系統(tǒng)通但是到話務(wù)系統(tǒng)不通的故障，以下是網(wǎng)絡(luò)拓?fù)浼芭挪檫^程。

網(wǎng)絡(luò)拓?fù)?/h2>

通過圖1看出，網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，用戶需求是從外網(wǎng)PC可以訪問業(yè)務(wù)支撐系統(tǒng)及話務(wù)系統(tǒng)。

排查過程

圖1 整體網(wǎng)絡(luò)拓?fù)?/p>

設(shè)備的配置主要是路由和NAT，即在所經(jīng)的三層設(shè)備上互指靜態(tài)路由，防火墻上針對(duì)trust和untrust做NAT及訪問控制，這里就不再敘述配置過程。

故障現(xiàn)象就是在外網(wǎng)PC可以ping通業(yè)務(wù)支撐系統(tǒng)，ping不通話務(wù)系統(tǒng)，通過tracert話務(wù)系統(tǒng)內(nèi)網(wǎng)地址，路由只能到圖1中的內(nèi)網(wǎng)交換機(jī)，但是可以正常訪問的業(yè)務(wù)支撐系統(tǒng)路由可以正常到達(dá)。經(jīng)過反復(fù)檢查對(duì)比設(shè)備路由及防火墻的配置，沒發(fā)現(xiàn)與業(yè)務(wù)支撐系統(tǒng)配置不同的地方。

因?yàn)橐咔橛绊懀槐闳ガF(xiàn)場(chǎng)抓包分析，既然路由已經(jīng)到了內(nèi)網(wǎng)交換機(jī)，所以分析故障點(diǎn)應(yīng)該在內(nèi)網(wǎng)交換機(jī)上，但通過檢查內(nèi)網(wǎng)交換機(jī)配置，也沒有發(fā)現(xiàn)與業(yè)務(wù)支撐系統(tǒng)配置不同的地方。既然路由已到了該交換機(jī)，為什么沒有到話務(wù)系統(tǒng)？這是我們要排查的問題。

因話務(wù)系統(tǒng)有兩塊網(wǎng)卡，初步懷疑話務(wù)系統(tǒng)沒有設(shè)置網(wǎng)關(guān)或網(wǎng)關(guān)設(shè)置錯(cuò)誤，但經(jīng)排查話務(wù)系統(tǒng)網(wǎng)關(guān)設(shè)置完全正確。

接下來就要看看數(shù)據(jù)到了交換機(jī)后是否到了話務(wù)系統(tǒng)，以前我們使用交換機(jī)的流統(tǒng)功能處理過數(shù)據(jù)丟包的故障，流統(tǒng)就是通過在接口上應(yīng)用ACL抓取源地址及目的地址的數(shù)據(jù)包收發(fā)情況，所以這次繼續(xù)使用流統(tǒng)看看數(shù)據(jù)包有沒有轉(zhuǎn)發(fā)給話務(wù)系統(tǒng)。

華為交換機(jī)的流統(tǒng)配置分為以下幾步：

1.定義ACL，配置流量統(tǒng)計(jì)的源與目的地址。

2.定義流分類，匹配ACL。

3.定義流行為。

4.定義流策略，綁定以上的流分類及流行為。

5.在端口應(yīng)用流策略。

具體配置如下：

acl number 3001定義ACL

rule 1 permit ip source 10.*.247.242 0 destination 10.*.6.12 0

rule 2 permit ip source 10.*.6.12 0 destination 10.*.247.242 0//需要統(tǒng)計(jì)的流量,源做目的,目的做源.需要正反寫兩條rule條目，其中10.*。247.242為外網(wǎng)一主機(jī)，10.*.6.12為話務(wù)系統(tǒng)的一臺(tái)Linux系統(tǒng)服務(wù)器

traffic classifier test operator or precedence 10 定義名為test的流分類，優(yōu)先級(jí)為10

if-match acl 3001 綁定ACL3001

traffic behavior test定義流行為名為test

Permit 定義行為動(dòng)作為允許

statistic enable 在流行為中開啟流量統(tǒng)計(jì)功能

traffic policy test match-order config 創(chuàng)建流策略名為test

classifier test behavior test 在流策略中匹配流分類及流行為

interface Gigabit Ethernet2/0/0 在流量進(jìn)入交換機(jī)的接口和出交換機(jī)的接口上雙方向調(diào)用流策略，該端口為內(nèi)網(wǎng)與防火墻連接端口

description HuaWei USG5000

port link-type access

port default vlan 200

loopback-detect enable

traffic-policy test inbound

traffic-policy test outbound

interface Gigabit Ethernet2/0/3 在交換機(jī)連話務(wù)系統(tǒng)的接口上雙方向調(diào)用流策略

description HuJiao ZhongXin

port link-type access

port default vlan 200

loopback-detect enable

traffic-policy test inbound

traffic-policy test outbound

首先在接話務(wù)系統(tǒng)的端口上應(yīng)用了流策略，在外網(wǎng)服務(wù)器10.*.247.242上ping話務(wù)系統(tǒng)10.*.6.12的同時(shí)，在交換機(jī)上使用“display traffic policy statistics interface GigabitEthernet 2/0/3 inbound”查看端口流量統(tǒng)計(jì)信息，在出方向和入方向均為發(fā)現(xiàn)數(shù)據(jù)包存在，如圖2所示。接著又在內(nèi)網(wǎng)交換機(jī)2/0/0上（與防火墻互聯(lián)接口）應(yīng)用流策略，同樣也未發(fā)現(xiàn)數(shù)據(jù)包過來。

據(jù)此我們可以判斷數(shù)據(jù)沒有到達(dá)該交換機(jī)上，繼續(xù)向上級(jí)設(shè)備查找故障原因，通過在防火墻上查看會(huì)話表的信息，發(fā)現(xiàn)從10.*.247.242去往10.*.6.12的報(bào)文最終到了10.*.6.115,而沒有到達(dá)12這臺(tái)服務(wù)器上。

display firewall session table destination inside 10.66.6.12

icmp VPN:public-->public 10.*.247.242:1[10.*.6.115:2072]

根據(jù)該線索去防火墻上查找該10.*.6.115地址，通過排查發(fā)現(xiàn)該地址在源NAT中應(yīng)用了“nat address-group index 0 name 內(nèi)網(wǎng)地址 10.*.6.115 10.*.6.115”，該命令的意思是從外網(wǎng)訪問內(nèi)網(wǎng)時(shí)NAT成內(nèi)網(wǎng)地址10.*.6.115找了Web界面中的配置，如圖3所示。

將圖中源地址轉(zhuǎn)換為接口IP地址后業(yè)務(wù)恢復(fù)正常。但是筆者仍有疑問，為什么同樣的NAT，業(yè)務(wù)支撐系統(tǒng)正常呢？

再次返回內(nèi)網(wǎng)交換機(jī)上查看路由發(fā)現(xiàn)，在內(nèi)網(wǎng)交換機(jī)上與內(nèi)網(wǎng)交換機(jī)2上起了OSPF，將10.*.6.0 255.255.255.0通過OSPF發(fā)布出去了，也就是說在業(yè)務(wù)支撐系統(tǒng)可以通過OSPF路由學(xué)習(xí)到10.*.6.115的路由，所以網(wǎng)絡(luò)可達(dá)，但是想訪問話務(wù)系統(tǒng)10.*.6.12，防火墻只會(huì)將源地址NAT成10.*.6.115，而10.*.6.115是防火墻上的一個(gè)虛地址，并非接口地址，這樣數(shù)據(jù)就不會(huì)再到話務(wù)系統(tǒng)了。

圖2 接口流量統(tǒng)計(jì)

圖3 防火墻的源NAT配置

當(dāng)改成NAT成接口地址后，在防火墻及內(nèi)網(wǎng)交換機(jī)上通過靜態(tài)路由可以正常到達(dá)話務(wù)系統(tǒng)。

結(jié)語

雖然只是一個(gè)小小的配置出了錯(cuò)，但是在排查的過程中卻受了不少周折。網(wǎng)絡(luò)管理是一項(xiàng)全面而細(xì)致的工作，需要我們具備必要的理論知識(shí)及豐富的經(jīng)驗(yàn)，排查故障的思路一定要清晰，排查手段更是關(guān)鍵，就像本文中使用的交換機(jī)的流量統(tǒng)計(jì)，可以幫助我們判斷出故障點(diǎn)，免去抓包的繁瑣。

雖然網(wǎng)絡(luò)通了，但是仍存在一定的安全隱患，下一步我們將使用安全性較高的L2TP over IPSec VPN打通內(nèi)外網(wǎng)。