1542019.04  www.365master
Trouble Shooting 责任编辑:赵志远  投稿信箱:netadmin@365master
故障诊断与处理
单位门户网站在春节前后发生三次在单位内或外部无法打开
的故障,这三次故障发生时检测门户网站的服务器正常,用此服务器内网IP 地址可正常打开门户网站,三次故障都是因为相关的网络、安全问题造成的,下面记录了这三次故障的排查过程,图1为单位网络拓扑图。
第一次单位门户网站在单位内使用域名打不开
春节前的一天有用户反应单位门户网站无法打开,测试在单位内用域名无法打开,而用门户网站的内外网IP 地址可以正常打开,说明门户站在内网运行正常。用手机也打开正常,用17CE
网站测试门户网站各站点基本都能打开,显示都是云WAF 的地址,这说域名和门户网站运行正常,肯定是单位内哪里阻断了云WAF 地址。
在等保测评后为加强安全管理,将单位门户网站WWW
口前安全设备组上面增加一个攻击源地址段的阻断,手工
添加了安全探针报警的攻击地址。
安全、网络这些设备配置近期基本没动过,每天变化的就是办公出口前的安全设备上的攻击源阻断,人工添加的攻击源地址有上千个,阻断了几百万次的攻击。但是该攻击源地址并没有查功能,人工看了几次没有看出问题。
笔者想到添加新地址如过是已经存在的就会报冲突,于是就将几个云WAF 地址一一添加,不冲突的添加
单位网站打不开故障排查
■ 湖南 郭兆宏
编者按:笔者单位门户网站近期有三次先后打不开,原因各异,在排查时要根据自己的网络拓朴结构,还需要出口的运营商、联网的上级单位、云WAF 等协助排查。
域名指到某个云WAF 上进行流量清冼,然后再指回到单位门户网站真实电信地址,而单位的域名是通过教育网解析的,单位网站正常打开至少要教育网、电信、单位、云WAF 这4方都正常才行。
为此在单位的三组安全设备上放通这几个云WAF 地
址。又因为单位安装了安全探针,每天报有大量的攻击风险事件,其中大部分是单位门户网站的。而有关部门要求要及时处理这些安全事件。为减少攻击,在办公出
图1 单位网络拓扑图
责任编辑:赵志远  投稿信箱:netadmin@365master故障诊断与处理
Trouble Shooting
一个删一个,添加第三个时124.232.X.X时发现冲突,仔细查后到并删除,然后用域名打开单位门户网站可以正常打开了。
至此这个故障解决了,是因为在办公出口前的安全设备里误添加了一个云WAF的地址阻断,虽然此设备里第一条规则就是对几个云WAF 地址的放通,但下面攻击源阻断规则里也有一个云WAF 的地址,还是阻断了,所以在单位内无法用域名打开门户网站。
第二次单位门户网站在公网打不开
在开学前,笔者利用寒假将4条在WAF外服务器线路放到WAF里,当时以为跳线足够长就没有再布置新线,于是在2排机柜之间硬拉长4根光跳线,虽然当时也是注意规则轻拉轻放,可当时有一条路由配置可能多了空格,无法连通。检查配置一时看不出问题,最后删除了相关配置后再重新配置才显示正常,为此花了好些时间,只对相关线路网络检查下就下班了。
第二天发现单位门户网站打不开了,在外网也打不
开,笔者马上远程到机房用
门户网站服务器的内外网IP
地址都可正常打开,同时又
请云WAF的人帮助查看。因
为当时负责DNS的人员一时
联系不上,只能重启DNS。
用17CE网测试各站点
基本都打不开,检查教育网
的隧道,接口有上下行流量,
ping教育网接口地址也是通自己可以开网站吗
的,只能查看DNS服务器线
路,发现教育网的地址不通,
查看教育网的交换机,发现
无法打开。
在上级交换机ping不通
教育网交换机,发现是教育
网的交换机没有电,再仔细
查看原来是此交换机的电源
插头从线板上掉下来了。插
好电源后此交换机指示灯亮
了,很可能是昨天拉光跳线
时把此交换机的电源碰掉
了。
同时云WAF的人反馈是
教育网域名不通,10分钟后
再用17CE测试各站点基本
都能打开了了,但显示最多
的是115.231.X.X的地址,
且用手机也打开了,但在办
公室还是无法用域名打开单
位网站,而其他几个子域名
都能正常打开。
笔者下班后思考,门户网
站是指到云WAF后再指回来
的,而子域名是直接到单位,
子域名能打开说明DNS服务
器是正常的,肯定还是有地
方阻断了,马上再查看办公
出口前安全设备,于是添加
云WAF的IP地址115.231.
X.X,报冲突。到后马上删
除,然后单位网站可以正常
打开了。立即在这台安全设
备上面再添加一条规则,即
云WAF地址的放通。
至此这个故障解决了,先
是因为教育网交换机断电从
而无法进行域名解析,而后
是因为安全设备对云WAF地
址的阻断。
第三次单位门户网站在公网
打不开
开学没几天,有用户反
映单位门户网站在公网打不
开,用IP地址的网站正常打
开。于是检查发现门户网站
用IP地址在单位内是可以
正常打开的,说明门户网站
服务器运行正常。
当天上班就有用户反映
有2个使用IP地址+端口
号的网站在公网打不开,当
时反复检查网络、安全设备
都没有发现问题,用正常的1
155
www.365master  2019.04
1562019.04  www.365master
Trouble Shooting 责任编辑:赵志远  投稿信箱:netadmin@365master
故障诊断与处理
个IP 地址+端口号的网站与2个不正常做映射互换对比,正常的IP 地址+端口号换了映射后还可以打开,不正常的换了映射后还是打不开。于是联系电信请求帮助查原因,之后都恢复正常了,电信回复是哪里也没动,也没阻断。
因为这是在前,门户网站打不开在后,当时笔者也以为是映射及端口有问题,马上换映射、添加映射测试,用IP+端口号都可以正常打开,再用17CE 测试,门户网站用IP 能打开,用域名打不开,几个子域名也打不开。
笔者马上再查看办公出口设备,发现教育网的隧道的接口没什么流量,再ping 对方网关不通,判定是教育网不通,无法进行域名解析,所以单位门户网站用域名打不开。
这几天核心设备配置没动过,不会有配置问题。上级教育网反馈说设备、配置都正常,也联系了电信部门也说网络都正常没有阻断。没办法只能重启多台办公出口、核心交换机、安全等设备,重启后教育网还是不通,为减少故障点将办公出口前
后的安全设备全部取消直通了,教育网还是不通。
因办公出口设备是去年12月才换新的,笔者又到以前出口设备配置的多个备份反复对比查看,配置是正确的,判定肯定上级教育单位的问题。
后来有用户反映是从昨天晚上发现打不开门户网站的,昨晚没人动过设备,只能再向上级单位反映情况。直到下班后一个多小时发现单位网站正常了。反馈说是上级教育网单位到电信的一条线路出了故障已经解决好了,而此线路正好是单位教育网隧道对方IP 所使用的这条线路。
至此故障解决,原因是上级教育网单位的电信线路故障,单位的教育网线路走的
是电信的虚拟隧道,上级教育网单位使用隧道的电信网络不通,从而造成我们的教育网线路不通,从而域名无法解析。
总结
单位门户网站春节前后的三次打不开,原因各异,因此要根据网络拓朴结构来排查,还需要出口的运营商、联网的上级单位、云WAF 等协助来排查。首先一定要保证单位自己的网络、安全设备正常,网络出口有问题时要与上级单位多沟通。
如今网络、越来越复杂了,故障点也增加了很多,有时可以通过直通简化网络来排查,用17CE 网这样的测试网站对单位网站的测试有很
大帮助。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。