巧设路由解决政务内网无法互访难题

巧设路由解决政务内网无法互访难题

作者: 弯弯

为了深入开展行政权力网上公开透明运行工作，我市通过方案论证、公开招标、设备采购、软件开发、在线测试等一系列工作，完成了电子政务内网平台系统的搭建，这套系统具有高可靠性、高安全性、24小时不间断运行等特点。

为了深入开展行政权力网上公开透明运行工作，我市通过方案论证、公开招标、设备采购、软件开发、在线测试等一系列工作，完成了电子政务内网平台系统的搭建，这套系统具有高可靠性、高安全性、24小时不间断运行等特点。各个县(市、区)电子政务内网，通过租用本地电信宽带光纤线路与市电子政务内网进行互连，其简易的网络连接结构图见如图1所示。其中，1区电子政务内网的核心交换机采用的是H3C公司S7506系列产品，市政务内网采用的是H3C公司S8512系列产品，2区政务内网的核心交换机采用的是合勤7206系列产品，1区、2区交换机全部通过本地电信宽带光纤线路与市电子政务平台的核心交换机直接连接，连接时统一采用40公里1.25G光纤交换模块;经过一系列的配置操作后，我们发现1区电子政务内网中的用户，可以通过宽带光纤线路访问市平台中的内容，可是2区用户始终不能访问市平台，同时市内网用户也不能访问2区内网网络。

排查故障

由于1区内网用户可以与市内网用户相互访问，网络管理员认为上述故障应该与市内网的核心交换机无关，问题多半出在2区内网用户中。基于这样的认识，网络管理员认真检查了2区内网与市内网核心交换机之间的连接，发现这两个交换机分别设置了一个基于端口的虚拟工作子网，同时交换端口的工作模式被设置成了Access模式，这作用就与路由器的三层接口相当;检查各自虚拟工作子网的IP地址时，并没有发现任何错误。

难道是2区内网与市内网之间的物理线路存在问题？为了排除这种因素，网络管理员准备先用ping命令测试一下这两个内网之间的线路连通性。考虑到2区电子政务内网网络配置的都是静态私有IP地址，网络管理员立即在市电子政务内网中任意找了一台终端系统，依次单击“开始”、“运行”命令，在弹出的系统运行框中执行“ping 12.178.6.1”字符串命令，来测试2区内网网关地址的连通性，结果发现该命令测试操作一切正常;网络管理员还是不放心，又请2区内网的工作人员使用ping命令测试一下市内网网关的地址，得到的反馈也是正常的，这说明这两个内网之间的物理线路连接是正常的。

在ping测试操作正常的情况下，2区内网与市内网之间不能相互访问，会不会是这两个内网之间的核心交换机上没有配置好路由参数，造成它们相互之间不能正确寻找路径？网络管理员刚开始的时候，认为这种可能性不大，因为他清楚地记得在市内网的核心交换机上，已经对各个县(市、区)电子政务内网的路由指向进行了集中配置，现在指向1区内网的路由记录已经生效，难道指向2区的路由记录不能正常发挥作用？为了判断自己的猜测是否正确，网络管理员立即查看了S8512核心路由交换机的路由配置，果然看到其中有一条路由记录没有发挥作用，上网请求信息没有按照规定的路径进行传输，而是全部传输到默认路由上了;依照路由记录工作的优先级别，这样传输上网请求信息自然是不正常的，这也难怪市电子政务内网中的用户不能访问2区电子政务内网中的资源，显然S8512核心路由交换机上的路由配置存在问题。

不过，网络管理员再仔细看看时，发现指向2区电子政务内网的路由配置又是正确的，因为其他县(市、区)的核心交换机与S8512核心路由交换机进行连接时，采用的配置与现在是一样的，而其他内网与市内网却能正常相互访问。

巧改路由

既然相同的路由配置，出现了不一样的访问结果，这让网络管理员简直一点脾气也没有。在毫无头绪的情况下，网络管理员只好联系H3C公司驻本地的技术人员;在听了网络管理员的详细描述之后，这位技术人员思索了一段时间，认为这个问题可能与不同品牌的交换设备有关，并建议网络管理员将指向2区内网的路由进行细化。听从厂商技术人员的建议，网络管理员立即在S8512核心路由交换机上，将指向2区内网的路由进行细化，配置完成后再次进行上网测试，发现这种细化操作果然有效果;不过经过检查，网络管理员发现指向12.178.6.0网段的路由记录还是不能发挥作用，只是该路由记录同时包含两个内网直连的IP 地址12.178.6.1/30，会不会是路由记录细化得还不够？抱着试试看的心态，网络管理员继续进行了路由细化操作，在核心交换机的路由表中将12.178.6.1/30直接去掉，最后重新启动了一下核心路由交换系统，结果发现市内网用户已经可以正常访问2区内网中的资源了。

上面的问题虽然被成功解决了，但是让网络管理员感到十分纳闷的是，为什么其他区的核心交换机与S8512核心路由交换机互联时，采用相同的路由配置可以正常与市平台相互访问，而2区内网用户却不能正常访问市内平台？经过与厂商技术人员的反复沟通、交流，了解到这种问题可能与不同品牌的交换机系统软件有关，例如后台系统软件在当初开发、设计时，可能存在某些方面的限制，禁止路由表中存在直接互联的路由记录。

故障反思

在规模较大的局域网工作环境中，可能同时存在若干个不同厂家、不同品牌的交换机，这些交换机相互连接的时候，虽然采用的通信协议是通用的，但是在具体的参数配置过程中不同的产品可能会有不同的配置，例如本文中出现的合勤交换机就不允许静态路由表包含互联的接口IP地址，而华为、H3C、神州数码、中兴等品牌的设备则没有这方面的限制。从该网络故障的排查过程来看，当日后再次遇到相同类型的网络故障时，我们应该首先了解故障发生前的网络连接结构图，以及完善的网络文件资料，包括设备的型号、网络布线图、配置信息等，通过查看这些配置信息我们可能会快速找到解决问题的办法。