星期五下午在江干采集部处理CASE的时候,接到老刘的电话,说卫生监督所那边有台交换机DOWN掉了,让我联系一下过去帮忙处理一下,于是我就联系了帮德驻那里的工程师,询问了相关情况,弄完这边的事,就立即打的过去了。
过去才知原因,由于停电,一台核心交换机来电后无法启动,那里的工程师怀疑是IOS的问题,我过去的时候他正在用超级终端传IOS,那个时候我们还不知道可以用交换机上的以太口传IOS,害得14M的IOS传了一个多小时,传上去后好像无法读取,提供CRC checksum 失败,我估计是在传IOS的时候调整串口速率的原因。
传好后,无法启动,便立即想起了我那个考上了H3CIE的网友Learning 2.0,正好他在QQ上,我向他要了电话,电话里他很热情的给我们指导,给了我们启发,最后问题解决了,由于交换机原本是用CF卡中的IOS启动,而之前选择CF卡启动的设置没有保存,所以交换机断电后,还是采用默认的FLASH中的IOS启动,而FLASH中的IOS有问题,所以启动失败。
修改从CF卡启动后,并保存相关配置,交换机启动成功。
交换机虽然启动成功了,但部分电脑无法上网,上网部分拓扑如下:
只有VLAN 10 内的电话可以上网,VLAN 10 与20 30 40都可以互通,当后者均不能上网,PING 各自的网关,均可PING 通,VLAN 30 40 50 可以PING 通192.168.0.1,但PING不能防火墙的内口IP:192.168.0.2于是我怀疑是防火墙的问题,于是将一台笔记本的的IP设成:192.168.0.2 255.255.255.192 网关设成192.168.0.1 这些VLAN均可以PING 通知192.168.0.2
于是问题定位在防火墙上。仔细检查发现内口IP为192.168.0.2 255.255.255.0,于是我修改一下掩码,网络通了。但奇怪的是,以前就是这个配置上网不成问题的。(难怪我在防火墙上想配置192.168.0.64/26位的路由的时候,提示掩码出错,因为之前的接口已包括这条路由。)
分析:之所以掩码为255.255.255.0的时候不通,是因为回来的数据包在查询vlan 20 vlan 30 vlan 40的源的时候,在内口防火墙以为和这个接口在同一个网段所以在这个接口发广播包建找源主机的MAC,内口是vlan 10网段,所以回来的数据包找不到数据源。所以网络不通。
最后一个故障是卫生监督所的业务系统无法对外提供服务,发现电信和网通的防火墙上的路由丢失了。
防火墙上没有到达10.0.0.0网段的路由。
注:
1.修改网络配置等都要保存配置文件到内存中去,不然断电配置会丢失。
2.出口VLAN不建议和用户VLAN一致,因为这样会出现ICMP重定向包,影响网络稳定。
