一起由于在防火墻路由上做了策略調(diào)整后，造成整個公司不能訪問互聯(lián)網(wǎng)，導(dǎo)致全廠職工和領(lǐng)導(dǎo)極大的不滿，聯(lián)名要扣信息中心的工資。巨大的壓力下，信息中心該如何辦？

一、了解事故企業(yè)的網(wǎng)絡(luò)現(xiàn)況二、遠程分析診斷：初步判斷為沒有起效三、奔馳現(xiàn)場：實地測試得兩種可能四、路由跟蹤：交換機和防火墻之間進行環(huán)路傳遞五、分析：如何造成了路由環(huán)路？六、故障處理：按照網(wǎng)絡(luò)連接的順序進行正向、反向的驗證、分析

五一節(jié)后的一天，某外地企業(yè)用戶打電話給俺，說剛對4月份部署的一臺防火墻在做了策略調(diào)整后整個公司不能訪問互聯(lián)網(wǎng)，導(dǎo)致全廠職工和領(lǐng)導(dǎo)極大的不滿，聯(lián)名說周一前弄不好就扣信息中心的工資。。。。。

這個一個“十萬火急”的求助電話，于是，俺放下了其他的工作，開始接手這個企業(yè)發(fā)生的斷網(wǎng)事故。

一、了解事故企業(yè)的網(wǎng)絡(luò)現(xiàn)況

通過咨詢，了解這個企業(yè)的網(wǎng)絡(luò)狀況表現(xiàn)如下：

該企業(yè)現(xiàn)有的架構(gòu)較簡單，沒有設(shè)置DMZ區(qū)，僅僅使用防火墻進行上網(wǎng)訪問控制，物理連接和地址分配如上拓撲圖。其中內(nèi)部網(wǎng)將172.15.0.0/16進行子網(wǎng)劃分成24個子網(wǎng)，對應(yīng)不同的廠區(qū)部門所在的VLAN。

1、不能通過域名上網(wǎng)，也不能通過已知的外網(wǎng)網(wǎng)站的ip上網(wǎng)，但是可以ping通外網(wǎng)的地址；（注意！此處位為用戶的說法）

2、可以登陸到該防火墻進行策略的調(diào)整設(shè)置；

二、遠程分析診斷：初步判斷為DNS服務(wù)器沒有起效

根據(jù)用戶所描述的現(xiàn)象，初步判斷為DNS服務(wù)器沒有起效，因此讓他們看看防火墻設(shè)置中的DNS服務(wù)器地址是否正確，能否ping通該服務(wù)器。回答是防火墻中設(shè)置的DNS服務(wù)器的地址是當(dāng)?shù)仉娦盘峁┑模�但是無法ping通到該dns地址。

根據(jù)以上ping當(dāng)?shù)谼NS服務(wù)器地址不通的結(jié)果，以及用戶提到可以ping通外網(wǎng)地址，分析為當(dāng)?shù)氐膁ns服務(wù)器服務(wù)可能有中斷。準(zhǔn)備叫他們換其它dns服務(wù)器進行嘗試，并尋求他們該防火墻的管理員密碼以進行更加詳細的設(shè)置查詢和設(shè)置，但是他們以公司內(nèi)部機密等原因不提供，并希望我們到現(xiàn)場進行解決。

沒有辦法，只有去一趟咯！