系統(tǒng)服務(wù)器網(wǎng)絡(luò)通信失敗排查分析方法

摘要：在數(shù)字化、智能化的大環(huán)境下，企業(yè)規(guī)模日漸擴(kuò)大，終端計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的數(shù)量也隨之增長(zhǎng)，為保障信息系統(tǒng)及設(shè)備的安全運(yùn)行，通過安全策略應(yīng)用及加固設(shè)置，提高信息系統(tǒng)及設(shè)備的安全性。當(dāng)出現(xiàn)系統(tǒng)服務(wù)器網(wǎng)絡(luò)通信失敗時(shí)，在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，增加了問題排查、分析的難度。本文就系統(tǒng)服務(wù)器網(wǎng)絡(luò)通信失敗排查分析方法進(jìn)行了闡述。

關(guān)鍵詞：設(shè)備運(yùn)維;通信失敗;問題排查

1.相關(guān)概念

1.1 防火墻：是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，隔離技術(shù)。防火墻技術(shù)的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護(hù)，同時(shí)可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項(xiàng)操作實(shí)施記錄與檢測(cè)，以確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計(jì)算機(jī)網(wǎng)絡(luò)使用體驗(yàn)。

1.2 NAT：NAT即為Network Address Translation，中文名稱為網(wǎng)絡(luò)地址轉(zhuǎn)換。NAT技術(shù)可使得私網(wǎng)IP可以訪問外網(wǎng)。NAT不僅能解決IP地址不足問題，還能有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

2.排查思路

系統(tǒng)服務(wù)器與其他區(qū)域的系統(tǒng)服務(wù)器進(jìn)行訪問，整個(gè)通信鏈路涉及到的物理通信設(shè)備包括：本地服務(wù)器、網(wǎng)絡(luò)傳輸介質(zhì)（雙絞線或光纖）、交換機(jī)、防火墻和目標(biāo)服務(wù)器等，在進(jìn)行網(wǎng)絡(luò)通信失敗排查時(shí)，掌握的信息越多，對(duì)接下來的問題定位越有幫助。如當(dāng)前獲取的信息較少，問題點(diǎn)較多，在此情況下，可通過對(duì)整個(gè)通信鏈路上的設(shè)備逐一進(jìn)行排查、分析，定位問題點(diǎn)。若能從某一表象定位問題點(diǎn)，可根據(jù)問題表象對(duì)相關(guān)設(shè)備進(jìn)行排查、分析。

3.排查內(nèi)容及方法

3.1測(cè)試驗(yàn)證目標(biāo)系統(tǒng)服務(wù)器端口開啟情況

在本地系統(tǒng)服務(wù)器上，使用telnet命令，telnet對(duì)端系統(tǒng)服務(wù)器相關(guān)業(yè)務(wù)端口，確認(rèn)本地系統(tǒng)服務(wù)器與目標(biāo)系統(tǒng)服務(wù)器的聯(lián)接狀態(tài)。能telnet通說明本地系統(tǒng)服務(wù)器與目標(biāo)系統(tǒng)服務(wù)器之間已建立聯(lián)接關(guān)系，可正常進(jìn)行業(yè)務(wù)訪問。若不通，在確認(rèn)目標(biāo)系統(tǒng)服務(wù)器運(yùn)行正常的情況下，需對(duì)整個(gè)通信鏈路涉及到的設(shè)備進(jìn)行排查、定位。

3.2本地服務(wù)器排查

（1）檢查本地服務(wù)器的網(wǎng)絡(luò)配置

檢查本地服務(wù)器的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息的配置是否正確。如正確，問題點(diǎn)可能在于本地網(wǎng)卡損壞或網(wǎng)絡(luò)通信故障，可從網(wǎng)絡(luò)連通性方面進(jìn)行排查、定位。

（2）檢查網(wǎng)絡(luò)連通性

1）檢查本地服務(wù)器的網(wǎng)絡(luò)連通性

在命令符窗口ping 127.0.0.1（回送地址，即本地機(jī)，常用于網(wǎng)絡(luò)通信測(cè)試），確認(rèn)本機(jī)的網(wǎng)絡(luò)連通性狀態(tài)。能ping通說明服務(wù)器的網(wǎng)絡(luò)配置正確，本地網(wǎng)卡無損壞。

2）檢查本地服務(wù)器與上聯(lián)網(wǎng)絡(luò)設(shè)備的連通性

一般情況下，基本的安全訪問設(shè)置是限制不同網(wǎng)段之間的系統(tǒng)服務(wù)器進(jìn)行通信，測(cè)試本地服務(wù)器與上聯(lián)網(wǎng)絡(luò)設(shè)備的連通性，可通過ping同網(wǎng)段系統(tǒng)服務(wù)器確認(rèn)網(wǎng)絡(luò)鏈路的運(yùn)行狀態(tài)。能ping通說明本地服務(wù)器與上聯(lián)網(wǎng)絡(luò)設(shè)備的連通性正常，不存在網(wǎng)絡(luò)通信故障情況。

（3）檢查本地服務(wù)器的安全設(shè)置

系統(tǒng)服務(wù)器在上線運(yùn)行前，為確保其安全性和健壯性，系統(tǒng)服務(wù)器需進(jìn)行安全整改及加固，并完成上線前的安全測(cè)評(píng)，通過安全測(cè)評(píng)后方能上線運(yùn)行。因此，需從服務(wù)器上的安全設(shè)置入手，檢查本地安全策略、本地防火墻和安全防護(hù)軟件等的安全設(shè)置情況，確認(rèn)是否禁用業(yè)務(wù)所需端口、設(shè)置允許特定系統(tǒng)服務(wù)器出入站的安全規(guī)則，若已設(shè)置相關(guān)安全限制，可根據(jù)業(yè)務(wù)需要在滿足安全防護(hù)要求的前提下進(jìn)行調(diào)整。若無設(shè)置相關(guān)安全限制，則需要對(duì)網(wǎng)絡(luò)路由進(jìn)行跟蹤，定位問題點(diǎn)。

（4）檢查路由跟蹤情況

1）在系統(tǒng)服務(wù)器上，通過路由跟蹤命令，確定數(shù)據(jù)包在網(wǎng)絡(luò)上的停止位置。不同的操作系統(tǒng)，其路由跟蹤命令也有不同，在WINDOWS操作系統(tǒng)中，路由跟蹤命令為tracert;LINUX操作系統(tǒng)為tracepath -n/traceroute。由于LINUX操作系統(tǒng)使用tracepath -n/traceroute命令后，無法顯示路由跟蹤點(diǎn)，在網(wǎng)絡(luò)環(huán)境較為復(fù)雜的情況下，可使用WINDOWS操作系統(tǒng)臨時(shí)搭建測(cè)試服務(wù)器進(jìn)行路由跟蹤測(cè)試，查看最后一跳的所在位置，定位問題點(diǎn)。

2）各行業(yè)的安全要求不同，在實(shí)施安全防護(hù)時(shí)，可能會(huì)關(guān)閉ICMP協(xié)議，在此情況下，無法通過路由跟蹤命令進(jìn)行與目標(biāo)系統(tǒng)服務(wù)器通信鏈路的路由跟蹤，需通過網(wǎng)絡(luò)防火墻進(jìn)行排查。

3.3檢查網(wǎng)絡(luò)防火墻設(shè)置

（1）查看數(shù)據(jù)包流量

通過防火墻的輔助功能抓包，可分析接收到的數(shù)據(jù)包報(bào)文（包含將要發(fā)送的完整數(shù)據(jù)信息）。

1）有發(fā)送包和接收包，說明防火墻策略及路由配置無誤。無發(fā)送包和接收包，則查看策略命中數(shù)，確認(rèn)防火墻策略及路由配置是否正確。

2）有發(fā)送包，但無接收包，說明該數(shù)據(jù)包未經(jīng)過防火墻，需排查本地服務(wù)器與網(wǎng)絡(luò)防火墻之間的其他網(wǎng)絡(luò)設(shè)備是否攔截阻塞的情況。

（2）查看策略命中數(shù)

防火墻策略設(shè)置后，會(huì)根據(jù)數(shù)據(jù)包信息匹配策略，從而生產(chǎn)命中數(shù)。若防火墻策略中已產(chǎn)生命中數(shù)，說明策略已生效。若無產(chǎn)生命中數(shù)，則說明該數(shù)據(jù)包未經(jīng)過防火墻，可能是當(dāng)前策略的資源配置有誤（源IP、目標(biāo)IP、端口等信息）或因防火墻策略優(yōu)先級(jí)低未匹配命中當(dāng)前策略。

（3）查看防火墻策略優(yōu)先級(jí)

1）網(wǎng)絡(luò)防火墻默認(rèn)情況下，不具備日志記錄功能，需額外搭建日志服務(wù)器進(jìn)行日志記錄。通過查看防火墻策略日志，根據(jù)策略日志信息判斷該數(shù)據(jù)包是否已經(jīng)過防火墻，若動(dòng)作為允許，則該數(shù)據(jù)包已經(jīng)過防火墻。若動(dòng)作為拒絕，則是防火墻策略優(yōu)先級(jí)低未匹配命中到當(dāng)前策略，需對(duì)上層策略進(jìn)行核查，并根據(jù)業(yè)務(wù)需要對(duì)策略優(yōu)先級(jí)進(jìn)行調(diào)整。

2）若不具備日志服務(wù)器，則結(jié)合數(shù)據(jù)包流量和策略命中數(shù)排查結(jié)果，進(jìn)行人工核查。

（4）防火墻設(shè)置排查注意事項(xiàng)

1）區(qū)域之間的通信訪問，是通過網(wǎng)絡(luò)防火墻進(jìn)行訪問控制。如通信鏈路中，有多臺(tái)網(wǎng)絡(luò)防火墻，可按照上述網(wǎng)絡(luò)防火墻設(shè)置的檢查內(nèi)容及方法進(jìn)行排查、定位。

2）存在VPN互訪的系統(tǒng)服務(wù)器，需在防火墻設(shè)置NAT地址轉(zhuǎn)換，當(dāng)此類服務(wù)器出現(xiàn)通信失敗，可在源地址服務(wù)器使用telnet命令測(cè)試端口，查看防火墻策略是否有相關(guān)命中數(shù)，有命中數(shù)說明轉(zhuǎn)換成功，若無命中數(shù)則需查看相關(guān)NAT日志，并檢查NAT地址轉(zhuǎn)換信息和防火墻策略信息是否有誤。

4.結(jié)束語

信息系統(tǒng)的穩(wěn)定性和可靠性是企業(yè)運(yùn)營(yíng)中最為關(guān)注的問題，信息通信失效直接影響企業(yè)運(yùn)作，從而對(duì)企業(yè)帶來一定的經(jīng)濟(jì)影響。因此，排查分析方法的方向性和針對(duì)性，是決定問題處理效率的關(guān)鍵因素，以上內(nèi)容只是信息通信失效排查、分析的基礎(chǔ)步驟，還需要結(jié)合企業(yè)的網(wǎng)絡(luò)運(yùn)行環(huán)境和實(shí)踐經(jīng)驗(yàn)不斷進(jìn)行完善。

參考文獻(xiàn)：

[1]江義.局域網(wǎng)常見故障診斷及解決方法.電腦迷，2016.

[2]張濤.淺析計(jì)算機(jī)通訊網(wǎng)絡(luò)的故障處理與日常維護(hù).信息系統(tǒng)工程，2016.

[3]項(xiàng)保利.淺談網(wǎng)絡(luò)通信中信息安全對(duì)策與建議.信息化建設(shè)，2015.

作者簡(jiǎn)介：封祐鈞 男，漢，高級(jí)技師，工程碩士

聯(lián)系地址：廣東省東莞市東城區(qū)東城路239號(hào)東莞供電局信息中心