如何快速定位网络故障？ 推荐

昨天晚上把几台在线交易的网站和后台迁移到另外一个数据中心。本以为这属于轻量级的迁移。不会出现什么问题。就让一个兄弟主导，我负责帮忙打下手。没有想到，途中出现好几个问题，看起来很简单，但让他很棘手。感觉不可思议。
从下午5点开始，本以为，满打满算2个小时完全可以搞定。当我们把服务器搬到数据中心，并按照设想的思路配置。结果发现无法从internet访问我们的网站。
网络架构我用图描述一下：



网络架构非常简单。如果你碰到这个问题，如何快速定位问题? 思路很重要，否则只能乱忙一整子。
本来我在边上看书等他搞定，没有想到，快7点了，他一直在折腾，我过去看了看，好像他遇到了什么问题。他欲言又止，面露难色。我问了才知道，碰到上面的问题了。一直在尝试解决，可是目前还没有头绪。
如果是你遇到这个问题，想好如何定位问题了吗？如果想好了，就继续看.
我的排故过程，也许你的方法和我的不尽相同，但思路大体一致。
1、在和web服务器相同的网段中接入笔记本电脑，修改本地hosts文件，使用浏览器访问网站。结果是可以正常访问。这步说明web服务器web服务已经正常启动，基本没有问题。本来就不应该有问题，因为就是搬个地方，IP地址也没有变动。

2、在A10负载均衡上（就是一帮F5的人出来单干开发的。性价比要比F5高）。测试A10和web服务器连通性。ping是ok的。telnet web服务器的80端口也是ok的。基本说明A10到web服务器之间的网络访问时正常的。

3、测试A10和ASA5520之间的网络连通性，使用ping就可以了。结果是ok的，但穿过A10到后端的web服务怎么样呢？由于ASA5520上没有telnet命令，就在A10和ASA5520之间接入笔记本，还是修改host记录，访问网站。结果是ok的。说明A10和ASA5520之间的网段到内部的web服务器是ok的。
4、测试A10设备和防火墙之间的连通性。直接使用ping命令。发现不通。查看路由表，防火墙和A10都有直连路由。在交换机上确认vlan。发现A10连接的端口不在一个vlan中。修改。再测试ok。

4、把笔记本接入到防火墙外网口上，修改host记录。再访问web服务器，结果是failure。在防火墙上查看static列表，发现web服务器地址写成A10后面web服务器的真实IP了（因为A10启用nat动能了，所以正确的应该填写A10外网IP地址）。修改后再测试访问web服务器。结果ok。

5、检查公网dns服务器A记录解析，ping web服务器公网域名，发现dns解析是正确的。
6、在internet上访问web服务器，结果还是不行。

到这里，总共差不多5分钟时间，你知道原因是什么了吗？
故障现象是从internet无法访问web服务器，而现在直接从防火墙的外网口是可以访问web服务器的。
如果看到这里还没有搞清楚，那真的要好好学习网络基础知识了。其实原因是我们的联通公网IP地址的80端口被关闭了。赶紧打电话给联通，一问才知道，线路在迁移过程中，线路的配置被恢复到默认状态，也就是80端口默认是关闭的，即使IP地址不变更。
其实网络故障排除，把网络想象为自来水管道。分段逐级查找原因，按部就班就很容易解决问题。不要乱猜测是什么问题，东一头，西一头。很容易把自己思绪搞乱。

期间还碰到另外两个问题：
1、ESX服务器直连华为s5700交换机，ping vlan 30接口ip不通。
原因：ESX网卡启用trunk，在调试配置时，误把服务器连接交换机的接口分配给了vlan31。而没有配置为trunk接口。
2、防火墙连直连华为S5700的vlan 31，ping vlan 31接口IP地址不通。
原因：华为的交换机接口命名不同。我们的小伙子本 以为连接的是G0/0/1（用习惯了cisco）,就插在了第一排，左边第一个接口。可是，华为的第一排，左面第一个口是2号口。浪费不少时间。