■

故障现象

笔者单位近期需同另一单位进行网络数据的传输，从安全保密的角度考虑，在网络建设时购置了保密机和天融信的防火墙。两个单位的设备连接关系均为：保密机的外网口连接华为路由器，保密机的内网口连接防火墙的外网口，防火墙的内网口连接接入交换机。设备安装配置完毕后，一开始网络业务能连通，但过一段时间后两个单位的用户均无法访问对方。网络结构如图1所示。

图1 网络结构

故障排查

由于链路涉及的环节较多，因此需按照分段排查的思想处理故障。首先要比对两个单位路由器、交换机的配置是否正确，确认保密机和防火墙的策略是否一致。经过比较确认，路由器、交换机、保密机和防火墙的配置均没有问题，且当交换机直接与路由器互联时，两个单位的用户均可访问对方。其次将保密机和防火墙逐个串接入网络链路，结果发现无论是保密机还是防火墙串接入网络链路，两个单位的用户也均可访问对方。初步分析是保密机和防火墙之间的链路存在问题。

故障分析

经过与两个设备厂家的技术人员沟通，确认网络保密机的网口为100M，而防火墙的网口却为1000M。由于两个设备网口类型不匹配，使得两个设备连通一段时间后无法协商通信，造成链路中断。

故障排除

找到了故障产生的根源后，那怎么解决保密机和防火墙网口不一致的问题呢？是否可以将防火墙的网口设置为100M呢？但防火墙技术人员的话否定了这个解决措施，因为防火墙的网口是由硬件决定的，不能进行软件更改。正当束手无策的时候，笔者看见了一台正在使用的2M转网络的桥接器，想到既然保密机和防火墙不能直连，那么能否通过中间设备转接一下呢？于是笔者在保密机和防火墙之间串接了一个支持1000M网口的二层交换机，将端口的速率设置为自动，进行网络业务测试，两个单位的用户均可访问对方了。

经验总结

如今，网络链路串接的设备不断增多，故障点也随之增加。在网络出现业务故障时，首要的是以分段的思想排除可能的疑点，不断缩小故障范围，直到确认故障原因。其次，在安装新设备的时候，必须与厂家的技术人员进行沟通，尽量对设备有一个详细的了解，或者到官方网站查询也是一个可行的方法。总之，网络出现问题并不可怕，怕的就是网络管理人员没有处理故障的思路，有了思路，困难必定迎刃而解。