由于网页服务器子网掩码配置错误导致部分用户无法访问网页服务器

现象描述

1、组网概述：

Quidway S8016->C公司 12012->C公司5509->O公司交换机->防火墙（往外网的接口地址A1.B1.C1.41，往内网的接口地址A1.B1.C1.40）->MP交换机->网页服务器2（WIN2000操作系统，A1.B1.C1.39）和网页服务器3（WIN2000操作系统，A1.B1.C1.60） 另外O公司交换机下还接有网页服务器1（A1.B1.C1.39）

描述：

1）原有C公司 5509下接的设备的组网如上，网页服务器1中页面部分链接在网页服务器2上。O公司交换机下接网页服务器1和防火墙，防火墙的作用只是透传。

2）O公司交换机没有进行任何配置。

3）5509与12012使用一根多模光纤，2根以太网线连接。GE口为主用路由，ETH口为备用路由。

4）S8016、C公司 12012、C公司5509均起用OSPF协议，自动生成路由表。5509配置为AREA 0，S8016配置为AREA 1。S8016配置了到网页服务器网段的静态路由。

2、故障现象：

将C公司5509下所有设备组网、相关配置均保持不变割接到S8016下之后出现问题，原数据局中心机房的机器可以访问所有的网页服务器，但是割接之后不能访问网页服务器1和2。公网用户访问所有服务器正常。详细描述如下：

1)A地拨号用户可以正常访问网站（A地用户IP地址：61.*.*.*）。

2）B地ADSL宽带用户可以正常访问网站（宽带用户ip地址为218.*.*.*）。

3)只有数据局中心机房几台机器无法访问部分网页服务器。数据局中心机房PC地址为A1.B1.C1.1~31/27，可以PING通网页服务器3（A1.B1.C1.60），而不能PING通网页服务器2（A1.B1.C1.39），最多能PING到interface vlan 4的接口地址（网页服务器的网关A1.B1.C1.62/27）。

4）将便携机配置为网页服务器4，直接连接到8016的5/0/2口上，配置IP地址为A1.B2.C2.93/30，其网关为三层VLAN 4接口地址A1.B2.C2.94/30，测试发现，公网用户和数据局机房PC均可以访问网页服务器4。将网页服务器4放置到O公司交换机下和放置到防火墙内的MP交换机下，配置地址为A1.B1.C1.23/27，发现公网用户和机房PC也均可以访问到它。

5）从数据局中心机房PC机和S8016上PING部分服务器均会出现丢包现象。

告警信息

无

原因分析

数据局中心机房PC无法访问网页服务器1和2的原因分析：

1、找出S8016的告警信息并进行分析。

2、C公司5509上原有数据是否删除掉，原有端口是否已经shutdown。

3、S8016数据配置是否有错误。

3、O公司交换机是否相关配置有问题。

4、防火墙是否有什么限制访问的设置。

5、服务器是否配置有问题。

从PC机和S8016上PING服务器丢包的原因分析：

由于从S8016上PING O公司交换机直接挂的服务器和下面防火墙下的服务器都有丢包现象，而且用display interface eth 5/0/2（此接口连接O公司交换机）查看接口状态，发现output发出去的包均正常，而input进来的包存在error和crc校验错误。问题锁定在O公司交换机上。

处理过程

1、分析告警信息：

1）机房湿度告警，由于机房没有相应的加湿设备，比较干燥，造成这个告警，与故障无关。

2）风扇框告警和-48V电源告警均与机房环境有关系，与出现的故障无关。

3）不断出现的VP_send(......)是由于打开的调试信息，显示的error其实只是提示信息，其出现的信息均为正常的信息，与故障无关。

2、查看防火墙，防火墙配置为透传所有报文，没有限制服务器访问；查看O公司交换机，O公司实际只是一个HUB，没有配置VLAN；撤掉O公司交换机和防火墙，故障仍然存在，排除防火墙和O公司交换机的问题。

3、将便携机配置为网页服务器4，直接连接到8016的5/0/2口上，配置IP地址为A1.B2.C2.93/30，其网关为三层VLAN 4接口地址A1.B2.C2.94/30，测试发现，公网用户和数据局机房PC均可以访问网页服务器4。将网页服务器4放置到O公司交换机下和放置到防火墙内的MP交换机下，配置地址为A1.B1.C1.23/27，发现公网用户和机房PC也均可以访问到他，且S8016上数据配置正确，排除S8016的问题。

4、怀疑为C公司5509上数据没有删除掉会出现ip地址冲突，查看C公司5509数据发现，原有的vlan 4已经shutdown，不会存在ip地址冲突，排除S5509的问题。

5、配置S8016端口镜像：

port monitor eth 5/0/15       //配置5/0/15为监测端口，此端口上接PC机，运行抓包软件。

port mirroring eth 5/0/2 both  //配置5/0/2为镜像端口，此端口的进出报文全部转发给5/0/15接口

PC机上运行SpyNet Sniffer软件进行抓包。发现S8016已经将外网发过来的报文转发给了网页服务器 2（A1.B1.C1.39），但是网页服务器2并没有回包。此时怀疑服务器配置可能存在问题，经检查发现网页服务器1和2的子网掩码为24位的，网页服务器服务器3的子网掩码是28位的。将所有网页服务器的子网掩码均更改为正确的27位掩码，故障解决。

2、从PC机和S8016上PING服务器丢包的处理：

由于从S8016上PING O公司交换机直接挂的服务器和下面防火墙下的服务器都有丢包现象，而且用display interface eth 5/0/2（此接口连接O公司交换机）查看接口状态，发现OUTPUT发出去的包均正常，而INTPUT进来的包存在error和crc校验错误。问题锁定在O公司交换机上。更换O公司交换机更换为S2403H交换机，丢包现象消除。

建议与总结

设备挂接在C公司 5509下通信的原理：

1）公网用户访问网页服务器，服务器收到报文之后，由于用户跟服务器在不同网段，响应报文直接发送给服务器的网关A1.B1.C1.62/27，由C公司 5509的路由模块转发至C公司 12012路由器，再转发给用户，通信正常。

2）数据局中心机房的机器访问网页服务器3（A1.B1.C1.60/28）的通信原理跟公网用户相同。而访问网页服务器1和2时，由于服务器配置的子网掩码是24位的，那么服务器认为中心机房PC（A1.B1.C1.1~31/27）跟自己是同一网段的，那么就不走三层，直接走二层通信，而C公司 5509有交换模块，此时可以将C公司 5509看成是交换机或者HUB，服务器通过ARP广播得到PC机网卡的MAC地址，直接二层通信。

设备挂接在S8016下通信的原理：

1）公网用户访问网页服务器，服务器收到报文之后，由于用户跟服务器在不同网段，响应报文直接发送给服务器的网关A1.B1.C1.62/27，由S8016转发至C公司 12012路由器，再转发给用户，通信正常。

2）数据局中心的机器访问网页服务器3（A1.B1.C1.60/28）的通信原理跟公网用户相同，也利用S8016进行路由转发。而访问网页服务器2时，由于服务器配置的子网掩码是24位的，那么服务器认为中心机房PC（A1.B1.C1.1~31）跟自己是同一网段的，那么就不走三层，直接走二层通信，而服务器发送的广播报文到达S8016的接口时，S8016不会往别的子网转发广播报文。所以造成了S8016的包可以发送到网页服务器2，但是网页服务器2没有往外的回包，这样数据局中心机房的PC机就无法访问网页服务器2，但是可以访问网页服务器3。将服务器的子网掩码更改为27位后，故障解决。

接O公司交换机丢包、接S2403H不丢包的原理：

经检查，发现此WEB SERVER上行接的O公司交换机实际上是一个HUB，而HUB采用的是冲突检测机制，当缓冲区数据满的时候，再有数据发送过来，就采取丢弃策略，就造成了用户数据包的丢失。而交换机有更大、更健全的缓冲区机制，就可以解决HUB功能的不足，不会出现频繁的丢包。