APP下载

保密机与防火墙互联故障

2015-12-03

网络安全和信息化 2015年6期
关键词:保密路由器交换机

故障现象

笔者单位近期需同另一单位进行网络数据的传输,从安全保密的角度考虑,在网络建设时购置了保密机和天融信的防火墙。两个单位的设备连接关系均为:保密机的外网口连接华为路由器,保密机的内网口连接防火墙的外网口,防火墙的内网口连接接入交换机。设备安装配置完毕后,一开始网络业务能连通,但过一段时间后两个单位的用户均无法访问对方。网络结构如图1所示。

图1 网络结构

故障排查

由于链路涉及的环节较多,因此需按照分段排查的思想处理故障。首先要比对两个单位路由器、交换机的配置是否正确,确认保密机和防火墙的策略是否一致。经过比较确认,路由器、交换机、保密机和防火墙的配置均没有问题,且当交换机直接与路由器互联时,两个单位的用户均可访问对方。其次将保密机和防火墙逐个串接入网络链路,结果发现无论是保密机还是防火墙串接入网络链路,两个单位的用户也均可访问对方。初步分析是保密机和防火墙之间的链路存在问题。

故障分析

经过与两个设备厂家的技术人员沟通,确认网络保密机的网口为100M,而防火墙的网口却为1000M。由于两个设备网口类型不匹配,使得两个设备连通一段时间后无法协商通信,造成链路中断。

故障排除

找到了故障产生的根源后,那怎么解决保密机和防火墙网口不一致的问题呢?是否可以将防火墙的网口设置为100M呢?但防火墙技术人员的话否定了这个解决措施,因为防火墙的网口是由硬件决定的,不能进行软件更改。正当束手无策的时候,笔者看见了一台正在使用的2M转网络的桥接器,想到既然保密机和防火墙不能直连,那么能否通过中间设备转接一下呢?于是笔者在保密机和防火墙之间串接了一个支持1000M网口的二层交换机,将端口的速率设置为自动,进行网络业务测试,两个单位的用户均可访问对方了。

经验总结

如今,网络链路串接的设备不断增多,故障点也随之增加。在网络出现业务故障时,首要的是以分段的思想排除可能的疑点,不断缩小故障范围,直到确认故障原因。其次,在安装新设备的时候,必须与厂家的技术人员进行沟通,尽量对设备有一个详细的了解,或者到官方网站查询也是一个可行的方法。总之,网络出现问题并不可怕,怕的就是网络管理人员没有处理故障的思路,有了思路,困难必定迎刃而解。

猜你喜欢

保密路由器交换机
买千兆路由器看接口参数
多措并举筑牢安全保密防线
《信息安全与通信保密》征稿函
修复损坏的交换机NOS
使用链路聚合进行交换机互联
论中国共产党的保密观
你所不知道的WIFI路由器使用方法?
PoE交换机雷击浪涌防护设计
保密
罗克韦尔自动化交换机Allen-Bradley ArmorStratix 5700