今天一客户遇到一个比较棘手的问题，让我帮他解决，该客户大约有400台计算机，拓扑如图，有一条线路通过我们公司网络与internet互联，三条ddn透明线路分别与上海、广州、香港相连。cisco3620边界路由器，主要起路由作用，而在netscreen50防火墙上作了nat和包过滤。整个网络处于同一局域网络，400多台机器，处于同一vlan（由于有特殊需求，客户没有做vlan规划），ip网段是b类地址172.16.0.0/16　网关：172.16.0.1设置在了netscreen内网接口上，客户端通过一dhcp服务器获取ip地址，另外一条线路通过adsl route连接一特殊用户（临时接入的）。

解决步骤：
　　（１）、由于网管不在现场并无法进入客户的机房，所以只能在客户端进行测试，ping 172.16.0.1 －t 正常，同时再ping　www.sina.com.cn －t 　也正常，但过不了一分钟，就会出现如故障描述现象。
　　（２）、使用tracert　进行路由测试，刚开始也没有发现异常，过一会再进行测试就无法到达目的地。
　　（３）、telnet网关，刚开始进入的是网关netscreen设备，但过一会再telnet进入的却是adsl route。
　　（４）、由于刚开始并不了解客户的拓扑结构，拓扑图是问题解决后画的。所以并不知道，其adsl设备有何用处。
　　（５）、由于在内部网关都出现如上现象，所以完全可以判定问题是出在了内部网络，然后与其网管联系，需要进入机房测试。
　　（６）、进入机房，首先了解其拓扑，初步判断可能是arp欺骗造成的，网关地址冲突了，我在cisco3550上开启了span，使用sniffer分析数据包，并未发现异常。
　　（７）、然后我使用笔记本直接接在了netscreen网关上进行测试（断掉了内部网络），一切正常。但内部网络的一客户端机器一直使用ping进行探测网关，竟然还是通的。也就是说在内网中还有一个设备配置了网关的地址172.16.0.1。
　　（８）、接下来，我使用客户端机器telnet　172.16.0.1进入的竟然是adsl router（前边提到过，因为刚开始不了解拓扑，无法判断），马上找来网管，问清楚该adslroute怎么回事。这个时候网管也明白了，是adsl route原因。
　　（９）、该adsl route用户是临时接入的特殊用户，但网管并不知道，该用户竟然在adsl设备上配置了网关的地址，造成的冲突，后来网管把该用户断开，再进行测试，一切正常。
　　网络故障比较简单，但关键是看网管是否细心了。

 

本文出自 51CTO.COM技术博客