今天一客户遇到一个比较棘手的问题,让我帮他解决,该客户大约有400台计算机,拓扑如图,有一条线路通过我们公司网络与internet互联,三条ddn透明线路分别与上海、广州、香港相连。cisco3620边界路由器,主要起路由作用,而在netscreen50防火墙上作了nat和包过滤。整个网络处于同一局域网络,400多台机器,处于同一vlan(由于有特殊需求,客户没有做vlan规划),ip网段是b类地址172.16.0.0/16 网关:172.16.0.1设置在了netscreen内网接口上,客户端通过一dhcp服务器获取ip地址,另外一条线路通过adsl route连接一特殊用户(临时接入的)。

解决步骤:
  (1)、由于网管不在现场并无法进入客户的机房,所以只能在客户端进行测试,ping 172.16.0.1 -t 正常,同时再ping www.sina.com.cn -t  也正常,但过不了一分钟,就会出现如故障描述现象。
  (2)、使用tracert 进行路由测试,刚开始也没有发现异常,过一会再进行测试就无法到达目的地。
  (3)、telnet网关,刚开始进入的是网关netscreen设备,但过一会再telnet进入的却是adsl route。
  (4)、由于刚开始并不了解客户的拓扑结构,拓扑图是问题解决后画的。所以并不知道,其adsl设备有何用处。
  (5)、由于在内部网关都出现如上现象,所以完全可以判定问题是出在了内部网络,然后与其网管联系,需要进入机房测试。
  (6)、进入机房,首先了解其拓扑,初步判断可能是arp欺骗造成的,网关地址冲突了,我在cisco3550上开启了span,使用sniffer分析数据包,并未发现异常。
  (7)、然后我使用笔记本直接接在了netscreen网关上进行测试(断掉了内部网络),一切正常。但内部网络的一客户端机器一直使用ping进行探测网关,竟然还是通的。也就是说在内网中还有一个设备配置了网关的地址172.16.0.1。
  (8)、接下来,我使用客户端机器telnet 172.16.0.1进入的竟然是adsl router(前边提到过,因为刚开始不了解拓扑,无法判断),马上找来网管,问清楚该adslroute怎么回事。这个时候网管也明白了,是adsl route原因。
  (9)、该adsl route用户是临时接入的特殊用户,但网管并不知道,该用户竟然在adsl设备上配置了网关的地址,造成的冲突,后来网管把该用户断开,再进行测试,一切正常。
  网络故障比较简单,但关键是看网管是否细心了。