您的位置:首页 > 理论基础 > 计算机网络

记公司换电信线路的网络调试过程

qq12132434 2020-09-15 18:35 351 查看 https://blog.51cto.com/baihong

以下内容记录本人负责更换公司互联网线路的整个配置及排错过程,用于本人记录及分享给大家参考:

更换前网络物理设备配置:网康NF-S320-C防火墙(厂商已经不存在了),双联通50M ADSL,深信服AC 1600(桥接),H3C S6300三层交换

更换后:电信300M ADSL光纤宽带(防火墙前增加了一台光纤猫)+ 联通50M ADSL

目的:节省成本,大厦联通最高带宽只提供50M,网线连接到某楼层交换机,比光纤宽带更高的价格、更低的带宽;宽带如此普及,再也不是运营商拿着专线抢劫企业的时代了,100M专线一个月近万元的价格,没有互联网服务要固定IP有毛用呢,又有多少需要对等带宽呢,又有多少民营企业能承受专线的价格呢。

1.9月11日:公司换电信300M光纤宽带,电信带的光猫是带wifi的,基本的2.4g,主要目的应该是为了调试方便,安装时装机员问是猫拨号还是自己拨号,告知其用猫拨号,后来觉得路由太多了,心里一直有障碍。
安装完运行半天,没发现什么明显问题,当日调整如下:
a.防火墙的链路负载做了调整,取消原来的双链路5-5权重,改成优先级,首选电信,集中做一下测试,联通50M出口最终是要拆除的。
b.逐渐发现的问题是,终端原来在核心交换机获取的dns服务器都是联通的,用电信网络后大量出现解析问题,下班后把核心配置的dns全部替换成电信dns:219.149.6.99和219.148.204.66

2.9月14日:周一上班,大量终端访问网页异常,防火墙显示一部分流量走向联通线路,防火墙报电信链路检测问题,排查发现防火墙对电信口的链路检测使用的是联通的DNS地址,于是调整成电信,一段时间以后链路检测仍有问题,再对链路检测附加114DNS,检测策略改为两个DNS同时异常才判定为异常,到接近10点时候网络恢复正常。

当天中午发现某网站间接性不能访问,有点怀疑电信那个“小猫”的nat能力,联系电信装机员,通过高级管理员密码将电信光纤猫调整为桥接,采用防火墙直接拨号,减少一层nat,到下午,中断再次发生。

间接中断问题最终结果是对端的某C安全设备将常规的信息发布操作误判为XSS后暂时封IP,这种宁可错杀一万也不放过一个的安全设备,其实技术水平真不怎么样。好在对端是本公司服务范围,受控,否则真是难处理。

还有个发现是电信宽带的互联网的地址和pppoe获取的地址不同,电信应该是在局端又进行了nat,这个可以理解为ipv4地址不够or防止最终客户使用获取的互联网地址,毕竟固定IP这块是一个收费点,之前的联通虽然能获取到公网地址,但是会定时更换IP,这几天观察了一下电信,获取地址基本固定了。

4.9月15日:上午同一时间段再次出现一部分终端无法访问网页,防火墙依旧提示电信链路检测异常,一部分流量被分配到联通线路,从链路检测策略来看,设置上已经没什么问题了,于是关闭链路检测,问题终端随之恢复正常。
目前对问题的判断是:早高峰,电信线路应该有丢包现象,链路检测失败自动将流量转移到联通,这时候终端配置的电信DNS在使用联通线路时又出现解析异常,最终导致终端无法上网。关闭链路检测后,当天没再异常,待明天继续测试,特别是8-10点时间段。但是目前还有个可能:网康防火墙的链路检测方法不可靠。

标签: