论文部分内容阅读
单位局域网已经稳定运行了五、六年,当初选购的防火墙设备运行性能也比较稳定,安全防护性能也比较强,不过最近由于电源风扇损坏,造成设备内部的电子元件被烧毁,从而发生网络访问故障。损坏的防火墙设备已经过了维保期限,生成厂商已经不提供免费维修服务了,为了快速恢复网络故障,同时有效节约维修费用,笔者就尝试着自己动手来排查故障,经过一番分析、处理之后,终于解决了防火墙无法工作的故障,使网络又恢复到正常的运行状态,延长了防火墙的“服役”时间,也节约了一笔不菲的维修资金。现在,本文就将这则故障的详细排查过程贡献出来,希望大家能从中得到帮助!
防火墙有故障嫌疑
单位局域网的组网拓扑图很简单,所有上网终端通过分布在各个楼层的接入交换机,连接到局域网核心交换机上,而核心交换机通过宽带光纤线缆依次连接防火墙、路由器等设备,实现Internet网络的连接访问。最近,单位局域网突然无法正常上网访问,依照正确的排查顺序,逐一观察了核心交换机、防火墙、路由器等重要网络设备的信号灯状态,并没有发现异常之处。在局域网的客户端系统中,使用ping命令测试核心交换机IP地址时,命令回包时间很正常,而对路由器的IP地址进行ping测试操作时,发现返回结果为“请求超时”(如图1所示);当尝试跳过防火墙设备,使用网络线缆直接将路由器与核心交换机连接在一起时,局域网中的所有客户端系统都能正常上网,而且上网速度也很迅速,显然局域网中的防火墙设备存在故障嫌疑。
深入追查故障原因
起初,笔者怀疑网络无法访问故障,是由于防火墙设备在长时间运行过程中,发生了意外死机现象,于是尝试切断该设备的输入电源,过一段时间后,再次接通电源进行设备重新启动操作,可是等到设备启动稳定后,网络故障现象仍然存在,这说明上述故障不是防火墙突然死机造成的。通过仔细观察防火墙设备,笔者看到该设备控制面板中的电源信号灯虽然处于点亮状态,但是机箱背面的电源出风口,觉察不到空气的流动,再一靠近观察,竟然发现该设备的电源风扇已经不转了,难道是防火墙设备的输入电源部分发生了故障?为了一探究竟,笔者迅速找来相关工具,对防火墙设备进行“开腔破肚”后,看到电源风扇表面已经积聚了很多灰尘,尝试利用手指转动电源风扇时,明显感觉到有不小的阻力,看来电源风扇已经老化了。不得已,只好找来一只新的电源风扇进行更换(如图2所示),并将防火墙的各个部件迅速归位,同时接入局域网进行上网测试,但是局域网无法上网的故障现象仍然没有消失。
再次拆开防火墙的电源模块部分,对其内部的电路板进行详细观察,看到电路板中的许多电子元件周围有明显烧焦的痕迹,这种迹象表明在电源风扇无法正常转动的情况下,电源工作时产生的热量无法及时从电源模块中散发出来,时间一长之后,该模块内部的温度会越来越高,直到烧毁部分电子元器件。而该设备的电源信号灯之所以处于点亮状态,主要是电源部分的输入电压一直存在,通过万用表测试相关部分的输出时,发现电压数值都小于正常时的工作电压,因此造成防火墙设备不能正常工作。
尝试手工恢复设备
既然防火墙的电源部分存在问题,按理来说,只要更换新的电源模块就能解决上述网络故障。不过,在经过仔细观察后,笔者看到该防火墙的电源输入模块,与普通计算机的电源输入模块构造很相像,于是笔者打算手工恢复电源故障,看看能不能解决网络故障。笔者先是找来一台空闲的计算机,将其电源部分拆下来后,替换安装到防火墙机箱中,之后对电源部分进行通电操作,发现防火墙的各个部分都能正常工作,不过局域网还是不能上网,分析认为防火墙之前的配置参数可能意外丢失了,必须进入防火墙后台系统对其参数进行重新配置。
想到做到,笔者立即利用专业控制线缆,将自己随身携带的笔记本电脑直接连接到防火墙设备的Console端口,通过Windows系统自带的超级终端程序,并配置好相关的终端通信参数,准备登录进入防火墙后台系统,可是登录操作始终不能成功。仔细分析这种情况,可能有两个方面的原因,一是防火墙设备的C onsole端口发生模块损坏不能正常使用,二是防火墙软件系统没有启动成功,考虑到C 0nsole端口平时很少使用,该端口发生损坏的可能性相当少,于是排除了第一种因素,准备按照第二种因素来解决故障。
由于防火墙设备的系统主板与普通计算机主板也比较接近,它的主板上不仅有鼠标、键盘接口,也有PCI总线插槽,为了监控防火墙的启动运行过程,笔者接上鼠标和键盘,同时找来显示卡插入到防火墙主板的PCI总线插槽中,连接上显示器。重新启动防火墙设备时,发现系统在启动到检测软驱状态时就停滞不前了。根据这种现象,判断防火墙设备可能工作时间比较长,主板中的CMOS电池电量快要消耗殆尽,造成主板中的BIOS配置信息发生丢失,最终引发防火墙系统不能正常启动故障。为此,笔者特意找来一个新的CMOS电池进行替换,并且对主板BIOS参数进行重新配置,同时调整系统时间参数,再将使用不到的软驱设备关闭,最后保存上述配置操作。
再次重新启动防火墙设备,从显示屏幕上的信息来看,这次防火墙系统已经可以正常启动了,在防火墙命令行提示符下,执行字符串命令“ipconfig”,从返回的结果信息中,看到该设备的相关网络接口配置已经全部丢失,全部配置已经变成了默认数值。之后执行“brcfg off”命令,临时停用防火墙设备的透明网桥工作模式,确保日后可以通过防火墙管理程序进行远程登录和配置,接下来关闭防火墙设备的电源,拆下临时安装在主板中的显示卡,拔出键盘和鼠标设备,安装好该设备的机箱外壳。
下面在局域网的一台计算机终端系统中,安装防火墙设备的管理程序,并且依次单击“开始”、“设置”、“网络连接”命令,打开该系统的网络连接属性对话框(如图3所示),在其中将计算机的IP地址调整为与防火墙设备处于同一个工作网段,再用普通网络线缆将防火墙的网络配置接口与计算机的网卡直接相连,之后通过防火墙管理程序登录进入防火墙后台系统,按照提示要求调整好相关网络接口的IP地址以及其他参数,同时设置好有关控制规则,再执行设置保存操作,退出防火墙后台系统。
最后再通过C onsole线缆连接到防火墙设备的Console端口,并使用超级终端程序进入到防火墙的命令行提示符状态,在该状态下执行字符串命令“brcfgon”,让防火墙后台系统重新运行于透明网桥模式状态,之后保存好防火墙的配置操作。重新启动一遍防火墙后台系统,等到启动稳定之后,笔者在局域网中随意选择了几台计算机终端系统进行上网测试,发现它们的网络连接都已经恢复到了正常状态,这说明上述防火墙损坏引起的网络故障已经被成功解决了。
最后的故障总结
回顾上面的故障排查过程不难发现,该故障当初的起因仅仅是防火墙设备的电源风扇不转,由于用户没有及时发现这一现象,时间一长之后,造成防火墙设备的电源主板被烧毁了,从而使得整台防火墙系统不能正常启动运行。所以,从这次故障排查实践中,用户一定要重视局域网重要设备的安全巡检工作,定期清理网络设备的灰尘,要是看到类似风扇不转的意外现象时,一定要立即进行更换,不然的话会因小失大的。此外,重要网络设备一旦发生故障时,不要简单认为故障有多么严重,要么更换新的设备,要么送到厂家返修,不妨拓宽思路、尝试着自己动手,从小处着手,使用土办法来解决问题;比方说,在本文中,笔者将防火墙系统当作普通的计算机系统,进行逐一排查、分析,并使用替代方法解决了问题。
防火墙有故障嫌疑
单位局域网的组网拓扑图很简单,所有上网终端通过分布在各个楼层的接入交换机,连接到局域网核心交换机上,而核心交换机通过宽带光纤线缆依次连接防火墙、路由器等设备,实现Internet网络的连接访问。最近,单位局域网突然无法正常上网访问,依照正确的排查顺序,逐一观察了核心交换机、防火墙、路由器等重要网络设备的信号灯状态,并没有发现异常之处。在局域网的客户端系统中,使用ping命令测试核心交换机IP地址时,命令回包时间很正常,而对路由器的IP地址进行ping测试操作时,发现返回结果为“请求超时”(如图1所示);当尝试跳过防火墙设备,使用网络线缆直接将路由器与核心交换机连接在一起时,局域网中的所有客户端系统都能正常上网,而且上网速度也很迅速,显然局域网中的防火墙设备存在故障嫌疑。
深入追查故障原因
起初,笔者怀疑网络无法访问故障,是由于防火墙设备在长时间运行过程中,发生了意外死机现象,于是尝试切断该设备的输入电源,过一段时间后,再次接通电源进行设备重新启动操作,可是等到设备启动稳定后,网络故障现象仍然存在,这说明上述故障不是防火墙突然死机造成的。通过仔细观察防火墙设备,笔者看到该设备控制面板中的电源信号灯虽然处于点亮状态,但是机箱背面的电源出风口,觉察不到空气的流动,再一靠近观察,竟然发现该设备的电源风扇已经不转了,难道是防火墙设备的输入电源部分发生了故障?为了一探究竟,笔者迅速找来相关工具,对防火墙设备进行“开腔破肚”后,看到电源风扇表面已经积聚了很多灰尘,尝试利用手指转动电源风扇时,明显感觉到有不小的阻力,看来电源风扇已经老化了。不得已,只好找来一只新的电源风扇进行更换(如图2所示),并将防火墙的各个部件迅速归位,同时接入局域网进行上网测试,但是局域网无法上网的故障现象仍然没有消失。
再次拆开防火墙的电源模块部分,对其内部的电路板进行详细观察,看到电路板中的许多电子元件周围有明显烧焦的痕迹,这种迹象表明在电源风扇无法正常转动的情况下,电源工作时产生的热量无法及时从电源模块中散发出来,时间一长之后,该模块内部的温度会越来越高,直到烧毁部分电子元器件。而该设备的电源信号灯之所以处于点亮状态,主要是电源部分的输入电压一直存在,通过万用表测试相关部分的输出时,发现电压数值都小于正常时的工作电压,因此造成防火墙设备不能正常工作。
尝试手工恢复设备
既然防火墙的电源部分存在问题,按理来说,只要更换新的电源模块就能解决上述网络故障。不过,在经过仔细观察后,笔者看到该防火墙的电源输入模块,与普通计算机的电源输入模块构造很相像,于是笔者打算手工恢复电源故障,看看能不能解决网络故障。笔者先是找来一台空闲的计算机,将其电源部分拆下来后,替换安装到防火墙机箱中,之后对电源部分进行通电操作,发现防火墙的各个部分都能正常工作,不过局域网还是不能上网,分析认为防火墙之前的配置参数可能意外丢失了,必须进入防火墙后台系统对其参数进行重新配置。
想到做到,笔者立即利用专业控制线缆,将自己随身携带的笔记本电脑直接连接到防火墙设备的Console端口,通过Windows系统自带的超级终端程序,并配置好相关的终端通信参数,准备登录进入防火墙后台系统,可是登录操作始终不能成功。仔细分析这种情况,可能有两个方面的原因,一是防火墙设备的C onsole端口发生模块损坏不能正常使用,二是防火墙软件系统没有启动成功,考虑到C 0nsole端口平时很少使用,该端口发生损坏的可能性相当少,于是排除了第一种因素,准备按照第二种因素来解决故障。
由于防火墙设备的系统主板与普通计算机主板也比较接近,它的主板上不仅有鼠标、键盘接口,也有PCI总线插槽,为了监控防火墙的启动运行过程,笔者接上鼠标和键盘,同时找来显示卡插入到防火墙主板的PCI总线插槽中,连接上显示器。重新启动防火墙设备时,发现系统在启动到检测软驱状态时就停滞不前了。根据这种现象,判断防火墙设备可能工作时间比较长,主板中的CMOS电池电量快要消耗殆尽,造成主板中的BIOS配置信息发生丢失,最终引发防火墙系统不能正常启动故障。为此,笔者特意找来一个新的CMOS电池进行替换,并且对主板BIOS参数进行重新配置,同时调整系统时间参数,再将使用不到的软驱设备关闭,最后保存上述配置操作。
再次重新启动防火墙设备,从显示屏幕上的信息来看,这次防火墙系统已经可以正常启动了,在防火墙命令行提示符下,执行字符串命令“ipconfig”,从返回的结果信息中,看到该设备的相关网络接口配置已经全部丢失,全部配置已经变成了默认数值。之后执行“brcfg off”命令,临时停用防火墙设备的透明网桥工作模式,确保日后可以通过防火墙管理程序进行远程登录和配置,接下来关闭防火墙设备的电源,拆下临时安装在主板中的显示卡,拔出键盘和鼠标设备,安装好该设备的机箱外壳。
下面在局域网的一台计算机终端系统中,安装防火墙设备的管理程序,并且依次单击“开始”、“设置”、“网络连接”命令,打开该系统的网络连接属性对话框(如图3所示),在其中将计算机的IP地址调整为与防火墙设备处于同一个工作网段,再用普通网络线缆将防火墙的网络配置接口与计算机的网卡直接相连,之后通过防火墙管理程序登录进入防火墙后台系统,按照提示要求调整好相关网络接口的IP地址以及其他参数,同时设置好有关控制规则,再执行设置保存操作,退出防火墙后台系统。
最后再通过C onsole线缆连接到防火墙设备的Console端口,并使用超级终端程序进入到防火墙的命令行提示符状态,在该状态下执行字符串命令“brcfgon”,让防火墙后台系统重新运行于透明网桥模式状态,之后保存好防火墙的配置操作。重新启动一遍防火墙后台系统,等到启动稳定之后,笔者在局域网中随意选择了几台计算机终端系统进行上网测试,发现它们的网络连接都已经恢复到了正常状态,这说明上述防火墙损坏引起的网络故障已经被成功解决了。
最后的故障总结
回顾上面的故障排查过程不难发现,该故障当初的起因仅仅是防火墙设备的电源风扇不转,由于用户没有及时发现这一现象,时间一长之后,造成防火墙设备的电源主板被烧毁了,从而使得整台防火墙系统不能正常启动运行。所以,从这次故障排查实践中,用户一定要重视局域网重要设备的安全巡检工作,定期清理网络设备的灰尘,要是看到类似风扇不转的意外现象时,一定要立即进行更换,不然的话会因小失大的。此外,重要网络设备一旦发生故障时,不要简单认为故障有多么严重,要么更换新的设备,要么送到厂家返修,不妨拓宽思路、尝试着自己动手,从小处着手,使用土办法来解决问题;比方说,在本文中,笔者将防火墙系统当作普通的计算机系统,进行逐一排查、分析,并使用替代方法解决了问题。