一起由于在防火墻路由上做了策略調(diào)整后，造成整個公司不能訪問互聯(lián)網(wǎng)，導致全廠職工和領導極大的不滿，聯(lián)名要扣信息中心的工資。巨大的壓力下，信息中心該如何辦？

一、了解事故企業(yè)的網(wǎng)絡現(xiàn)況二、遠程分析診斷：初步判斷為沒有起效三、奔馳現(xiàn)場：實地測試得兩種可能四、路由跟蹤：交換機和防火墻之間進行環(huán)路傳遞五、分析：如何造成了路由環(huán)路？六、故障處理：按照網(wǎng)絡連接的順序進行正向、反向的驗證、分析

五一節(jié)后的一天，某外地企業(yè)用戶打電話給俺，說剛對4月份部署的一臺防火墻在做了策略調(diào)整后整個公司不能訪問互聯(lián)網(wǎng)，導致全廠職工和領導極大的不滿，聯(lián)名說周一前弄不好就扣信息中心的工資。。。。。

這個一個“十萬火急”的求助電話，于是，俺放下了其他的工作，開始接手這個企業(yè)發(fā)生的斷網(wǎng)事故。

一、了解事故企業(yè)的網(wǎng)絡現(xiàn)況

通過咨詢，了解這個企業(yè)的網(wǎng)絡狀況表現(xiàn)如下：

該企業(yè)現(xiàn)有的架構較簡單，沒有設置DMZ區(qū)，僅僅使用防火墻進行上網(wǎng)訪問控制，物理連接和地址分配如上拓撲圖。其中內(nèi)部網(wǎng)將172.15.0.0/16進行子網(wǎng)劃分成24個子網(wǎng)，對應不同的廠區(qū)部門所在的VLAN。

1、不能通過域名上網(wǎng)，也不能通過已知的外網(wǎng)網(wǎng)站的ip上網(wǎng)，但是可以ping通外網(wǎng)的地址；（注意！此處位為用戶的說法）

2、可以登陸到該防火墻進行策略的調(diào)整設置；

二、遠程分析診斷：初步判斷為DNS服務器沒有起效

根據(jù)用戶所描述的現(xiàn)象，初步判斷為DNS服務器沒有起效，因此讓他們看看防火墻設置中的DNS服務器地址是否正確，能否ping通該服務器。回答是防火墻中設置的DNS服務器的地址是當?shù)仉娦盘峁┑模�但是無法ping通到該dns地址。

根據(jù)以上ping當?shù)谼NS服務器地址不通的結果，以及用戶提到可以ping通外網(wǎng)地址，分析為當?shù)氐膁ns服務器服務可能有中斷。準備叫他們換其它dns服務器進行嘗試，并尋求他們該防火墻的管理員密碼以進行更加詳細的設置查詢和設置，但是他們以公司內(nèi)部機密等原因不提供，并希望我們到現(xiàn)場進行解決。

沒有辦法，只有去一趟咯！