编者按：一起由于在防火墙路由上做了策略调整后，造成整个公司不能访问互联网，导致全厂职工和领导极大的不满，联名要扣信息中心的工资。巨大的压力下，信息中心该如何办？

一、了解事故企业的网络现况

二、远程分析诊断：初步判断为DNS服务器没有起效

三、奔驰现场：实地测试得两种可能

四、路由跟踪：交换机和防火墙之间进行环路传递

五、分析：如何造成了路由环路？

六、故障处理：按照网络连接的顺序进行正向、反向的验证、分析。

五一节后的一天，某外地企业用户打电话给俺，说刚对4月份部署的一台防火墙在做了策略调整后整个公司不能访问互联网，导致全厂职工和领导极大的不满，联名说周一前弄不好就扣信息中心的工资。。。。。

这个一个“十万火急”的求助电话，于是，俺放下了其他的工作，开始接手这个企业发生的断网事故。

一、了解事故企业的网络现况

通过咨询，了解这个企业的网络状况表现如下：

该企业现有的架构较简单，没有设置DMZ区，仅仅使用防火墙进行上网访问控制，物理连接和地址分配如上拓扑图。其中内部网将172.15.0.0/16进行子网划分成24个子网，对应不同的厂区部门所在的VLAN。

1、不能通过域名上网，也不能通过已知的外网网站的ip上网，但是可以ping通外网的地址；（注意！此处位为用户的说法）

2、可以登陆到该防火墙进行策略的调整设置；

二、远程分析诊断：初步判断为DNS服务器没有起效

根据用户所描述的现象，初步判断为DNS服务器没有起效，因此让他们看看防火墙设置中的DNS服务器地址是否正确，能否ping通该服务器。回答是防火墙中设置的DNS服务器的地址是当地电信提供的，但是无法ping通到该dns地址。

根据以上ping当地DNS服务器地址不通的结果，以及用户提到可以ping通外网地址，分析为当地的dns服务器服务可能有中断。准备叫他们换其它dns服务器进行尝试，并寻求他们该防火墙的管理员密码以进行更加详细的设置查询和设置，但是他们以公司内部机密等原因不提供，并希望我们到现场进行解决。

没有办法，只有去一趟咯！

[1] [2] [3] [4] 下一页

【责编:snow】