都是路由惹的禍

網絡環境

最近，筆者單位網絡接入市里協同大平臺系統，為避免為每個學校另外拉一根光纖（各學校都已通過裸光纖接入教育城域網），教育局準備將協同平臺接入光纖放入教育城域網中心機房，學校統一通過教育城域網中心機房接入協同平臺，既節約費用，也便于教育局統一管理。網絡結構如圖1所示。

各學校通過光纖接入綿竹教育城域網中心機房，再經過思科防火墻ASA5540上因特網（拓撲圖左邊那條線路）。如果各學校要訪問外網，通過華為Eudemon 200訪問（拓撲圖右邊那條線路）。

圖1 網絡拓撲結構

網絡配置

筆者接到任務時，覺得不難，這就是一個雙線接入的配置，是很容易實現的。置外網分配的IP地址）

故障現象

配置好核心交換機華為9306和華為Eudemon 200后，卻發現10.5.x1.xxx和59.213.x3.xxx這兩個IP不能訪問，其他4個IP都能夠訪問。怎么會有兩個不能訪問呢？要么就是全部可以訪問，要么就是都不能訪問啊！

難道是這兩個IP有問題？馬上打電話確認，教育局那邊說，就是訪問不了這兩個地址（注：教育局另外放了一根外網光纖，能夠訪問外網）。筆者放心了，原來和我的配置沒有多大關系，就沒有放在心上。第二天到教育局辦事，教育局工作人員反映，通過教育城域網不能訪問外網。

筆者當時覺得不可思議，馬上試驗了一下，結果，6個IP地址，只有10.5.x1.xxx不能訪問，而這個IP是必須用的（這個IP是政務外網首頁）。當時的第一個反應是，這個地址的服務器沒有開機，結果用另一根光纖訪問，是能夠訪問的。

教育局的工作人員提醒我說，這些接入政務網的光纖都有固定的IP，對IP都是有限制的。我一聽，馬上聯系放光纖的移動公司，結果移動公司說，沒有限制，其他單位也用這種方式接入，沒有問題。當聽我說用防火墻接入時，移動公司建議我用路由器，說防火墻接入有時就是會出一些問題，還舉了一些例子。

下午到教育城域網中心機房，首先梳理了一下故障排除步驟：

1.筆記本單獨接光纖能否訪問政務外網。

2.筆記本直接接入防火墻能否訪問外網（防火墻不接入教育城域網）。

3.換一臺路由器試一試。

通過這三步判斷故障到底出在哪里。

實驗的最終結果是：筆記本單獨接光纖一點問題也沒 有，10.5.x1.xxx能 夠 訪問；筆記本接入防火墻也能訪問；換了一臺路由器（華為2621）故障情況也一樣。

這個問題困擾了我好幾天，也咨詢了很多人。有的說是防火墻軟件版本的問題，有的說是機器軟硬件配合問題等，我甚至在考慮是否是NAT轉換的原因：10.5.x1.xxx是私有地址，教育城域網也是私有地址，防火墻（路由器）就不NAT轉換了，所以不能訪問。

故障解決

問題的最終解決是在一次無意試驗之中。一次，我將防火墻接核心交換機端口的網線拔了，通過Console口登錄防火墻，在防火墻上ping 10.5.x1.xxx能 通，但只要一接入核心交換機，ping 10.5.x1.xxx就不通了。我突然反應過來，難道是路由出了問題？

仔細檢查防火墻Eudemon 200的 路 由，路由只有兩條：默認路由：ip route-static 0.0.0.0 0.0.0.0 10.76.x2.xxx；回指 路 由 ：ip route-static 10.0.0.0 255.0.0.0 192.168.200.245。 這 兩條路由中，默認路由肯定沒有問題，那么就是回指路由錯了。馬上刪除了這條路由，添加新的路由（我所在的網段）：ip rout 10.1.11.0 255.255.255.0 192.168.200.245，再ping 10.5.x1.xxx，結果一下就通了，也能訪問了，至此，問題得到圓滿解決。

故障分析

事后，我分析了一下原因。為什么回指路由ip route-static 10.0.0.0 255.0.0.0 192.168.200.245這條路由不行，而ip rout 10.1.11.0 255.255.255.0 192.168.200.245能 行 呢？原因就在于，當用戶訪問10.5.x1.xxx時，IP數據經過防火墻Eudemon 200轉發，這時防火墻Eudemon 200使用的路由是ip routestatic 10.0.0.0 255.0.0.0 192.168.200.245（此 時10.5.x1.xxx這個IP包含在回指路由中），沒有使用默認路由ip route-static 0.0.0.0 0.0.0.0 10.76.x2.xxx，所以導致不能訪問10.5.x1.xxx。當把回指路由更改為ip route-static 10.1.11.0 255.255.255.0 192.168.200.245時，由于防火墻Eudemon 200在路由表中無法找到其他路由（此時10.5.x1.xxx這個IP不在回指路由中），這時就走默認路由ip route-static 0.0.0.0 0.0.0.0 10.76.x2.xxx，也就能夠訪問10.5.x1.xxx了。

這就是出現此類問題的原因所在，也就是說，回指路由中一定不能包含要訪問的IP，否則不能訪問。那么就有人說，調低回指路由的優先級，如ip route-static 10.0.0.0 255.0.0.0 1 9 2.1 6 8.2 0 0.2 4 5 preference 70，我也試過，不行，只能這樣解決。

經驗總結

通過此次故障排查，總結如下：

1.首先確保接入的線路能正常使用（單獨接電腦確認）。

2.配置好防火墻（路由器），確認能否訪問（不接入內部網絡）。

3.接入內部網絡，再確認能否正常訪問。

通過此三步，將有效定位故障位置，快速排除故障。

附：華為Eudemon 200配置（主要配置）：