相關(guān)敏感信息去除
創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設(shè)����、做網(wǎng)站���、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站���、公司建網(wǎng)站等業(yè)務(wù)����。立足成都服務(wù)云州,10多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠�����、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):18982081108
1.故障情況
在2019年7月11日接收到值班人員反饋,在23:45開始����,三套網(wǎng)管終端顯示XXXXX、XXXXX���、XXXXX所有網(wǎng)元脫管����,在00:00恢復(fù)���,持續(xù)15分鐘����。同時(shí)相關(guān)技術(shù)人員也反饋在此時(shí)間段�����,三套網(wǎng)管的服務(wù)器也與各自網(wǎng)元中斷聯(lián)系�����,也是持續(xù)15分鐘����。本次故障從7月11日發(fā)現(xiàn)���,到7月14日解決,一共持續(xù)了4天�。
2.拓?fù)湔f(shuō)明
防火墻采用采用透明模式部署在服務(wù)器與網(wǎng)管網(wǎng)絡(luò)之間,配置相應(yīng)的安全策略�����。
整個(gè)網(wǎng)絡(luò)使用二層數(shù)據(jù)交換�,不涉及路由轉(zhuǎn)發(fā)
3.采取措施
經(jīng)過(guò)線路檢測(cè),設(shè)備檢測(cè)�����,數(shù)據(jù)包抓包���,防火墻日志分析,設(shè)備日志分析和主機(jī)日志分析都未能定位故障原因�����。后經(jīng)過(guò)防火墻售后工程師協(xié)助定位�,定位出故障原因�����,并同時(shí)更改防火墻配置��,解決故障��。
4.故障解決
4.1.XX網(wǎng)管網(wǎng)絡(luò)抓包分析
在針對(duì)XX網(wǎng)管系統(tǒng)進(jìn)行抓包分析����,故障事件段內(nèi)有大量OSPF的HELLO報(bào)文從XX網(wǎng)元匯聚交換機(jī)上進(jìn)行轉(zhuǎn)發(fā)��,但是無(wú)法通過(guò)防火墻轉(zhuǎn)發(fā)到服務(wù)器上���,說(shuō)明防火墻相關(guān)配置阻止了OSPF報(bào)文抓發(fā)����。
4.2.XX網(wǎng)管網(wǎng)絡(luò)抓包分析
針對(duì)XXXXX���,XXXXX傳輸網(wǎng)管網(wǎng)絡(luò)進(jìn)行抓包分析��,故障事件段內(nèi)�,有大量二層以太網(wǎng)幀從XXXXX�����,匯聚交換機(jī)上轉(zhuǎn)發(fā),但是無(wú)法通過(guò)防火墻轉(zhuǎn)發(fā)到服務(wù)器上����,說(shuō)明防火墻阻止了相關(guān)二層數(shù)據(jù)包
4.3.更改防火墻配置
針對(duì)以上現(xiàn)象,并通過(guò)測(cè)試���,調(diào)整防火墻相關(guān)配置:
1����、配置全局網(wǎng)絡(luò)-非IP報(bào)文轉(zhuǎn)發(fā)
針對(duì)XX網(wǎng)管網(wǎng)絡(luò)存在OSPF不能轉(zhuǎn)發(fā)問(wèn)題���,設(shè)置防火墻轉(zhuǎn)發(fā)非IP報(bào)文���。
2、配置虛擬交換機(jī)-轉(zhuǎn)發(fā)帶有標(biāo)記數(shù)據(jù)包
針對(duì)XX網(wǎng)管網(wǎng)絡(luò)存在部分二層數(shù)據(jù)包不能抓發(fā)問(wèn)題����,設(shè)置防火墻轉(zhuǎn)發(fā)帶有標(biāo)記的數(shù)據(jù)包�。
經(jīng)過(guò)以上配置,同時(shí)進(jìn)行充分的測(cè)試��,故障消失。
5.網(wǎng)絡(luò)中斷事件分析
經(jīng)過(guò)分析和推斷��,為何23:45-00:00固定事件段網(wǎng)管網(wǎng)絡(luò)中斷�����,為何防火墻上線一個(gè)多月期間并未發(fā)生此次故障�����,總結(jié)出以下可能原因:
1��、XX網(wǎng)管網(wǎng)絡(luò)中的設(shè)備在23:45-00:00需要發(fā)送OSPF報(bào)文與服務(wù)器建立通信機(jī)制��,進(jìn)行某種業(yè)務(wù)操作�,而在故障之前并未采取這種業(yè)務(wù)操作。
2����、XX網(wǎng)管網(wǎng)絡(luò)中的設(shè)備在23:00-00:00需要建立帶有TAG的二層數(shù)據(jù)包與服務(wù)器建立通信機(jī)制,進(jìn)行某種業(yè)務(wù)操作����,而在故障之前并未采取這種業(yè)務(wù)操作。
3�、XX���,XX三套網(wǎng)管網(wǎng)絡(luò)在故障事件段同時(shí)進(jìn)行業(yè)務(wù)操作機(jī)制不明,如有需要�,要進(jìn)行徹底排查。
6.相關(guān)建議
防火墻是嚴(yán)格按照指定策略規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾和抓發(fā)���,此次業(yè)務(wù)故障確實(shí)是因?yàn)榉阑饓ε渲貌划?dāng)造成��,但是同時(shí)也說(shuō)明整個(gè)網(wǎng)絡(luò)存在網(wǎng)絡(luò)環(huán)境不合規(guī)和異常舉動(dòng)����,建議按照以下幾個(gè)方面對(duì)風(fēng)險(xiǎn)進(jìn)行規(guī)避:
1����、核實(shí)XX、XX網(wǎng)管網(wǎng)絡(luò)中設(shè)備是否存在定時(shí)業(yè)務(wù)操作在23:45-00:00執(zhí)行
2�、對(duì)網(wǎng)管服務(wù)器進(jìn)行漏洞掃描安全加固
3、推進(jìn)等保評(píng)測(cè)�����,推進(jìn)業(yè)務(wù)堡壘機(jī)使用
分享文章:一次客戶防火墻配置導(dǎo)致業(yè)務(wù)故障分析
URL分享:
http://weahome.cn/article/ghcgcp.html
重慶分公司
重慶分公司
