前两天,某知名连锁药店出现网络故障,突然无法与某医疗生产厂家的ERP系统进行数据交互,在这个时间节点,出这样的问题无疑是非常着急的,药企的IT联系了中国电信,但是电信技术人员表示接入的网络没有问题,需要他们自己排查。
药企的IT辗转找到笔者,请求协助诊断此故障。听上去是十万火急的事情,又是朋友介绍的,啥也不说了,直接上手检测故障吧。
一、远程登录客户的服务器,测试访问外部网络是否正常,检测网关设备是否正常,是否有限制策略
1、通过客户提供的帐户和密码,远程登录到一台Windows Server 2012的服务器,访问外网一切正常,执行命令tracert -d www.baidu.com,显示路由跟踪正常,紧接着执行tracert 211.xx.xx.xx (医疗生产厂家的IP),很不幸,路由跟踪失败了
2、初步怀疑网关设备上可能有某个策略,是不是正好限制了这个IP。于是登录客户的华为USG6570防火墙,正分析策略呢,IT已经来催了。策略太多还没看完呢,时间这么紧,索性建立一条允许与那个IP通讯的策略,放在最前面得了,可是,这条策略并没有被命中,看来与防火墙无关啊。
二、跳过网关设备,直连电信的光猫,进一步检测
1、由于门店众多,这台华为的USG6570配置了相当多的策略,时间紧迫,没空进一步分析了,让客户找了台笔记本电脑,直接连接到电信的光猫上面,并且直接配置电信的公网IP:58.XX.XX.XX,上网正常,再次执行命令:tracert 211.xx.xx.xx (医疗生产厂家的IP),又失败了!
2、难道问题出在上一层?遂联系电信的技术人员,请求他在上一层的网络环境中,同样用tracert命令排查,结果他回复说,跟踪路由正常,并且有截图为证。笔者又要求他把IP切换到药店的网段再测试,结果同样失败,看来跟客户的内网没关系,问题出在电信?
3、电信的技术人员,根据tracert的有限信息继续分析,发现58开头的这一段IP,走到移动的网络之后,就开始丢失路径了,怀疑是移动那边把这一段IP错误地放到黑名单了。
三、联系药厂那边的IT,以及他们的网络供应商——中国移动
1、情况紧急,笔者立刻联系生产厂家的IT,请求他协助诊断,结果他还在老家,另外两位IT,同样因为疫情影响,无法返回工作岗位,一共就仨人,全都不在岗。他只能试着找一位略懂电脑的同事,帮我们执行一下tracert命令,并且同时帮我们联系移动公司,让他们也帮着诊断一下;
2、等啊等,移动公司的技术人员终于回电话,表示他们那边可以访问到药店的IP,并且发来tracert命令的截图,没想到,他们那边过来的路径特别短,很快就到了药店的服务器
3、看两端执行tracert命令的截图,发现来往路径有很大的不同,所以移动那边虽然能申通无阻地访问取药店的电信 IP,但是这并不代表,电信的IP就不在移动的限制列表里面。
到这里,好像这个问题是没办法解决了,可是现在情况紧急,怎么破?
四、转机:电信直接把上一层的IP下发到光猫
为了迅速地解决问题,电信的技术人员汇报领导后,把上一层的IP直接下发到了光猫,笔者首先用笔记本电脑进行测试,发现与厂家那边通讯正常。小小地兴奋了一下,很快就冷静了——不行, 防火墙一旦更改IP,下面所有的连锁药店,将会与服务器断开连接,这将直接导致药店销售系统中断。
如果药店的销售系统是用域名访问服务器就好了,在域名注册商那边修改一下IP,一般10分钟就生效了,可是问了IT才知道,所有药店的软件平台,都是用IP地址来连接服务器的,又是个坏消息,怎么办?
赶紧联系了药店销售系统的厂商,还算好,技术人员回复,能够支持域名的方式连接,可是只能一个个药店、一台台电脑手动修改。已经不错了,这算是个好消息,立刻让这位技术人员截图过来——在哪把IP修改为域名。
笔者登录了药店的域名注册商网站,在控制台新建了一条A记录,指向电信给的新IP地址,果然10分钟以内就生效了,就等着在防火墙上修改IP地址了。
五、所有门店改为域名方式连接服务器,防火墙配置新的IP地址
1、等到晚上21点,笔者远程登录客户的华为USG6570,将外网口的IP修改为电信新给的IP地址,并且在服务器上再次执行命令:tracert 211.xx.xx.xx (医疗生产厂家的IP),总算成功了,软件及数据库也同步正常!
2、所有药店暂停销售,夜班人员根据截图,将软件平台的IP地址修改为域名方式,全部重新接入服务器,所有软件系统正常连接到服务器,销售停摆时间不超过10分钟,基本上没有任何影响,至此,可以说是大功告成。
写在最后:虽然问题解决了,但是并不清楚原来的IP到底是哪里出了问题,时间紧迫、情况紧急,来不及想那么多,连锁药店能够正常运转,已经是最好的结局了。
——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,觉得有用的,可以关注一下,并请点赞、转发,如有相同或者不同观点,欢迎评论,谢谢!
文章来源: https://twgreatdaily.com/zh-hans/PcmILnABgx9BqZZIj9RK.html