|
如果把人比作单位的网络设备、安全设备、系统、数据等其他各种资产,把新冠比作对资产产生威胁的各种网络攻击,那么,如何保证资产的安全? 而最危险的是,资产可以不动,人却不可能禁锢在某一个地方,所以,应对新冠比防范网络攻击要难的多! 那么,是不是突然对工作又有信心了呢?如果你的资产今天在一楼,明天跑二楼去了,你会不会疯?
1、替换AF
1.1 背景 3月底的周末,接到销售电话,说客户机房断电后,合闸后网络中断,需要排查。
1.2 现场故障排查 1.2.1 AF故障 AF部署在网络出口,AF当前是关机状态。AF的型号是VPBJ-115,对应标准型号是AF-1320。
1.2.2 硬件排查 尝试开机,无法开机;更换电源线,无法开机。
1.2.3 替换故障AF 由于有之前设备备份,我们把配置导入。 我们使用一台AF-1320进行替换。 1.2.3.1 出口IP 第一步就卡了,我记录的配置太老,中间有做过更新,使用之前的公网IP无法上网。 联系运营商、同事确认更新的公网IP信息。 1.2.3.2 网络配置 接口IP、路由、地址转换、策略、DHCP。 1.2.3.3 测试 在排查完2个小问题后,网络恢复正常。
结束了????
2、排查政务外网问题 2.1 事由 大早上8点,接到销售电话,说客户政务外网断了。
2.2 排查 2.2.1 确认现象 OA地址访问不了。 https://172.16.82.13
2.2.2 AF设备自身能否访问到 AF也访问去ping 172.16.82.13这个IP,无法ping通。 端口尝试访问:也访问不到。
2.2.3 检查策略路由 去往172.16.0.0/16的数据交给eth3口,下一跳为110.130.137.X。
2.2.4 NAT转换 NAT转换后IP为100.157.157.X。 更改为100.151.157.X+1。
2.2.5 跟踪路由 无法发现去往172.16.82.13的路由。
2.2.6 带源ping 带接口上的两个地址ping均ping不通。
2.2.7 抓包 抓不到去往172.16.82.13的数据包。
2.2.8 现场访问PC设备IP确认 PC:192.168.20.38/24 192.168.20.1 DNS1:211.99.129.210 DNS2:211.99.129.211
上面是远程处理,下面开始是现场处理。去时我带了三个硬件设备,分别是AF、AC、STA(稍后再说有啥用)。
2.2.9 使用AF-1020搭建政务网测试环境 配置政务外网接口、配置NAT策略、配置地址转换,不通。
2.2.10 确认VPBJ-115配置。 对政务业务网段进行确认,比对两台,不三台设备的配置。
2.2.11 升级 尝试升级 5.1到5.3。 从5.1升级到5.2,从5.2升级到5.3。 小伙伴说你疯了,5.X版本升啥级?不怕挂了吗?还是给7年前的设备升级? 2.2.12 更换VPBJ-115的电源 不是VPBJ-115挂了吗?我要看你的配置。你给我活起来。 现在AC、AF、STA上派上用场了。 拆,电源,匹配。 VPBJ-115电源:
更换后的电源:
好了,故障的设备好了。虽然能开机,但由于电池型号不同,无法正常开关机,只能插拔电源的方式进行开关机。
我把政务外网接上这台设备,PC模拟下面的电脑,政务外网还是不通。 这里感谢下帮我拆卸电池的同事!  2.2.13 结局 结局很舒适,搞好了。至于是哪一步搞好的,我也不是很清楚,因为在我即将给AF-1320升级成功,准备把VPBJ-115的配置导入到AF-1320时,客户给我打电话说,网络正常了。
然后就没有然后了,你问我为什么不去找找最终是啥导致的?
因为我累了啊。  中间真的有一阵感觉是很无力的,没有办法解释,感觉找不到着力点。 3、非暴力沟通 我认真倾听了你的相法,你的关注点是什么,我的关注点是什么,我们下一步怎么做? 问题搞不定不可怕,可怕的是什么呢????
| 
发表于 2024-9-10 09:46
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家4级 
