记公司换电信线路的网络调试过程（电信网关更换后如何调试）

记公司换电信线路的网络调试过程（电信网关更换后如何调试）

以下内容记录本人负责更换公司互联网线路的整个配置及排错过程，用于本人记录及分享给大家参考：

更换前网络物理设备配置：网康NF-S320-C防火墙（厂商已经不存在了），双联通50M ADSL,深信服AC 1600（桥接），H3C S6300三层交换

更换后：电信300M ADSL光纤宽带（防火墙前增加了一台光纤猫）+ 联通50M ADSL

目的：节省成本，大厦联通最高带宽只提供50M，网线连接到某楼层交换机，比光纤宽带更高的价格、更低的带宽；宽带如此普及，再也不是运营商拿着专线抢劫企业的时代了，100M专线一个月近万元的价格，没有互联网服务要固定IP有毛用呢，又有多少需要对等带宽呢，又有多少民营企业能承受专线的价格呢。

1.9月11日：公司换电信300M光纤宽带，电信带的光猫是带wifi的，基本的2.4g，主要目的应该是为了调试方便，安装时装机员问是猫拨号还是自己拨号，告知其用猫拨号，后来觉得路由太多了，心里一直有障碍。安装完运行半天，没发现什么明显问题，当日调整如下：a.防火墙的链路负载做了调整，取消原来的双链路5-5权重，改成优先级，首选电信，集中做一下测试，联通50M出口最终是要拆除的。b.逐渐发现的问题是，终端原来在核心交换机获取的dns服务器都是联通的，用电信网络后大量出现解析问题，下班后把核心配置的dns全部替换成电信dns:219.149.6.99和219.148.204.66

2.9月14日：周一上班，大量终端访问网页异常，防火墙显示一部分流量走向联通线路，防火墙报电信链路检测问题，排查发现防火墙对电信口的链路检测使用的是联通的DNS地址，于是调整成电信，一段时间以后链路检测仍有问题，再对链路检测附加114DNS，检测策略改为两个DNS同时异常才判定为异常，到接近10点时候网络恢复正常。

当天中午发现某网站间接性不能访问，有点怀疑电信那个“小猫”的nat能力，联系电信装机员，通过高级管理员密码将电信光纤猫调整为桥接，采用防火墙直接拨号，减少一层nat，到下午，中断再次发生。

间接中断问题最终结果是对端的某C安全设备将常规的信息发布操作误判为XSS后暂时封IP，这种宁可错杀一万也不放过一个的安全设备，其实技术水平真不怎么样。好在对端是本公司服务范围，受控，否则真是难处理。

还有个发现是电信宽带的互联网的地址和pppoe获取的地址不同，电信应该是在局端又进行了nat，这个可以理解为ipv4地址不够or防止最终客户使用获取的互联网地址，毕竟固定IP这块是一个收费点，之前的联通虽然能获取到公网地址，但是会定时更换IP，这几天观察了一下电信，获取地址基本固定了。

4.9月15日：上午同一时间段再次出现一部分终端无法访问网页，防火墙依旧提示电信链路检测异常，一部分流量被分配到联通线路，从链路检测策略来看，设置上已经没什么问题了，于是关闭链路检测，问题终端随之恢复正常。目前对问题的判断是：早高峰，电信线路应该有丢包现象，链路检测失败自动将流量转移到联通，这时候终端配置的电信DNS在使用联通线路时又出现解析异常，最终导致终端无法上网。关闭链路检测后，当天没再异常，待明天继续测试，特别是8-10点时间段。但是目前还有个可能：网康防火墙的链路检测方法不可靠。

5.9月16、17、18日，三天观察看来，电信自己的DNS和114DNS都有一定的丢包率，但一般不会同时发生，至少可以判定不是公司内部设备问题，这种丢包率我认为是可以接受的，发生的原因很难判定，中间很多节点都可能导致丢包。比较尴尬的是如果某个甚至某些终端恰好这个时候做了一下DNS请求，那么很有可能发现浏览器卡住了，然后刷新一下又好了。另外昨天某部门同事反映网速慢，阿里云服务器不能访问，告知其把DNS换成电信的就解决了，但是实际上他们访问阿里云服务器使用的是IP地址，跟DNS没什么关系。另外在公司重新启动了一个WIF ssid名为“DNS114”，DHCP的DNS设置为114的，专门提供那些喜欢114DNS的同事，另外用于网页访问故障时切换调试。测试工作就终上了，计划下周一拆除防火墙，直接用深信服拨号路由了，现在只有拨号宽带，用防火墙没什么意义了，拆掉降低一下网络拓扑复杂度，同时能给公司省点电费。

6.9月21日，今天9：30之前网络极其不稳定，过了9:30就一切正常了，严重怀疑电信服务器的负载能力，跟装机员说了一下，装机员说局端给调整一下，下午让重启设备，发现接口能直接获取到公网IP了。今天剔除了防火墙，将深信服上网行为管理直接调整成路由模式，用作网关，由于公司这台深信服支持双链路，调试起来遇到了很多波折，总结一点：最好的调试方法是删除所有多链路策略，当单链路设备调通以后再加上另外一条链路。

7.9月27日，早高峰再次出现网络故障，nslookup发现timeout，切换为114dns后正常，查看设备，报DNS链路故障，检测方式是DNS解析baidu.com ，关闭链路检测后，网络恢复正常，这个问题在之前使用网康防火墙时候出现过，初步判定设备的链路检测使用类似nslookup的返回值，这种形式并不可靠，本地电脑执行nslookup经常是报timeout故障，但是链路正常，网页访问正常，这种检测方式尤其是针对pppoe拨号上网极不可靠，最终调整为ping114DNS、百度DNS，阿里DNS，其实很多运营商的DNS也禁止ping了。

待续，继续测试ing...

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。