搬迁遇到的网络问题

vlan 与 ping

vlan

vlan隔离 - 自动分配IP 、 手动设置IP ping不通网关，跟机房交换机的链路有关。事件起因为在三楼共享打印机的主机分配ip与当前楼层的网段不一样。

ping

做独立的测试网连接傻瓜交换机发现ip ping不通，显示一般故障、常见故障，后来使用排除法，先使用侧线器检测网线，用一台笔记本接入网线配上测试网的ip，逐根拔网线连接。

回环（loopback）

回环 - 部分同网段、主机IP可以ping通，过了一个钟左右整个网络被堵死，光纤入口的二楼核心交换机被堵死，近而影响到了一楼机柜的核心交换机以及其他上网设备。

事件起因是一楼软件工程师不能正常上网，但能ping通ac网关，与此同时只可以ping通部分同楼层主机，有一部分主机也是无法正常ping通的。

这时候，用交换机或ac的某些功能，排查环路并断开它，或使用分段排除法，具体如下：

1. 当前故障点在一楼，在机柜将交换机与座位端口的线路断开。再用测试电脑接入到交换机使用同楼层同网段ip测试，看看是否正常，等15分钟左右再排查确认一下。
2. 同上测试后还是不正常就到一楼用同样的办法接入交换机上网，在二楼上网正常，可确定问题点出在二楼办公区，二楼办公区因装修搬迁至三楼，于是再到三楼排查。
3. 由于正好是周末所以大部分电脑是关机的，交换机的指示灯全部都是亮的，说明有回环。分别断开网线以及逐个排查端口的上网接线是否有问题。

以及断电或重启故障点上网入口的核心交换机，等一小段时间网络恢复正常。其实这些知识在课本里有述，但实际工作中如果没想到这一点的话，当场看到这个现象是非常莫名其妙甚至摸不着头脑的。

光纤到户(FTTH)

找联通做光缆迁移，从二楼迁移到一楼，从二楼搬迁下来的交换机再接到一楼的交换机上。这种设置并不需要在交换机做什么变更。在这期间，施工师傅拉根很长且粗厚的光缆线从弱电井接入到其他楼层弱电井，再从弱电井沿着天花板的暗井放线延伸到公司办公区直至机房。

拉好线缆后，施工师傅会对光揽进行熔接，并做好光纤熔接颜色顺序放入光纤盒子，再使用光纤相关类型接口接入到盒子以及交换机两端（前提是交换机需要具备光纤接口）。

代理上网异常排查问题

情景：按照代理软件默认的安装方式，登录帐号连接节点发现软件报错，并提示乱码，软件日志难以找到，去切实排查原因。一想法是软件字符编码及兼容性问题，可win7、win10测试无效，即使设置了UTF-8编码，情况依旧；从以前经验想当然认为“乱码不影响使用（连接、功能逻辑操作）”，这个时候也是一头雾水。

在这个时候联系了客服，登录官网了解到不能含特殊字符、空格的目录如常见的：

C:\Program Files
C:\Program Files (x86)

.按照软件官网说明安装，登录连接服务器确实成功的；但访问Google还是被阻断了有些异常，联系了厂商客服，他们也表示他们的提供服务器没有问题，页面空白如下图现象...为了临时能让同事连接上网，使用ss连接依旧如此。（该图为过程复盘）

然而自己主机这边却是可以的，这又是怎么回事呢？

初步了解原来是上网帐号权限问题，我的上网认证帐号，访问网站是不受限的；所带来的疑问点是为什么部门同事明明勾选了代理工具，但用代理工具却又访问不了Google这般类型的搜索页面呢？

防火墙对代理、VPN程序的协议识别机制有关，由于年限原因一些新型代理、VPN使用新型的协议导致无法识别相关的代理工具，也是存在这种可能性。

通过深入发现设置LAN->WAN并制定端口范围的访问方式，限制代理、VPN翻墙；泛泛来说，企业职员一般有百来个，部门也有十几个左右及以上，根据相关需求也得制定不同的上网规则。将上网规则集合在一起组成策略，将部门上网行为规范应用于策略，极大方便了对企业职员上网行为管理。

深信服访问准入设备的开放端口限制，浏览器所打开的各个站点是是否端口各不相同？于是参考知乎-浏览器对于每个网页会使用不同的端口号吗？的两篇回答得出结论：

各个站点的网址服务器端口不会变，默认设置443、80，加端口号都是额外设置的；客户端，也就是我们的浏览器 ，本质上是启用多个独立程序打开相应所访问的多个页面，与此同时， 也就有了相应进程与多个端口。并不是访问各个网址的端口各不相同。

代理上网逻辑网络

最开始用户是通过互联网联系到能够直连外网的代理商访问外网

用户与代理商双方建立连接关系，也是需要相互之间信任验证的，不建立信任验证，谁都可以建立连接就乱套了。于是就有了客户端与服务器端完成帐号登录与密码验证这一过程。建立信任关系后，代理商就如同用户的下手助理，接代用户的意愿去完成一系列的行为操作。

代理上网拓扑流程如下：

其它上网问题

追踪IP冲突

通过ping网关提示的“ping传输失败，常见故障”，在 ipconfig /all 中所显示的IP地址居然是169.254.181.73，在这地址右边括弧首选，更让人愈发莫名其妙不明所以。检查网线、网口是没问题的，把机器换到扫描仪工位启动，情况却依旧如此，可这究竟是什么问题呢？

就在一筹莫展之时，拔掉扫描仪主机的网线，将扫描仪主机的IP更换到我们遇到故障的当前机器上。此时使用 ipconfig /all 发现ip地址不再是169.254网段，而是我们所设置的192.168.1.xx；于是通过arp -a查看路由跃点找到了故障机器所设置的ip——1.99的mac地址，再ping该ip时，惊奇发现居然能ping通。由此可确定此次异常为ip冲突造成，可究竟是谁？

一般相当规模化的公司一般会将工位上的主机直接与姓名关联，但测试办公区域人员流动性大，测试人员因研发需求通常会自行设定ip地址，由于规定范围不是强制性措施，因此普遍自主设定ip网段数值较为随意。由于经理的IP处在测试的同网段中，IP最后的四位十进制数在随机测试IP的邻近十以内，风险性也随之增高。

使用飞秋输入ip地址并未查找到主机，此时1.99却能依旧ping通，于是我们使用管控端工具去锁定目标。可管控工具只能在主机在线的情况才能看到，于是打开机柜将网线插入核心交换机，将插入交换机的主机改为办公区局域网ip，ping 192.168.1.99 -t，逐根拔网线。

在此事件后，百度经验-如何防止局域网IP冲突 检测并防止电脑IP冲突 给了我很好的启发。

• 使用上网管控软件将IP- Mac绑定
• 路由器添加静态地址保留

小型服务器上网问题

同事报故障为“安卓服务器上不了网”，查看IP信息为主机内网IP，另一个网卡IP不知做什么用的，通常主机内网是需要登录上网认证的，可Linux命令行是无法完成这一操作的。网线从信息点端口接入到傻瓜交换机，服务器这边有两个网口，一个连接着交换机，一个连接着路由器，而这究竟代表什么意思呢？

服务器一般有2-4网卡，这里的服务器有两块网卡，一个网口连接在傻瓜交换机上，另一个接到家用路由器上。一般企业上网的主机是需要进行上网终端认证的，但安卓服务器的系统是Linux命令行界面，所以没办法使用上网认证的终端，也不能登录到网页端。

这个时候，从傻瓜交换机的网口中接入新加入的家用路由器，将家用路由器的ip解除登录认证限制，服务器网关设置成家用路由器的IP地址，再将网口IP设置成路由器同网段内的IP。

从下图中可以感受到实物与拓扑之间的差异，拓扑是条理清晰的，实体由于环境需要被重新规划部署多根网线连接到其他主机或服务器，就显得有些杂乱无章。

关于Linux的网络配置修改可参考：shuaixf-Linux修改网络配置

从内网Hub接入Wi-Fi路由器到加密客户端主机资源访问通信

因调试网页手机画面需要，内网上的生成的网页在手机上也能访问到，为了解决这一问题，在内网Hub上接入Wi-Fi路由器，再用手机访问内网主机生成的调试站点。基于这样的设想，我首先在Hub上接上Wi-Fi路由器，wan口配置内网IP，lan口则分配成其他网段，就等着手机连上去访问生成的内网主机站点了。但手机连上Wi-Fi后却访问不了内网主机生成的站点，却不知道为什么，一时半会没想明白，后来经过指点，用拓扑图一画，真是猛然间豁然开朗的感觉，啊，🤦‍♂️，原来内网主机还是得接入到路由器lan口上来访问…

接下来就是发生让我十分疑惑不解的现象：接上路由器lan口的主机能ping通内网生成站点的主机、加密服务器、网关，可就是用网页访问不了生成的站点。看拦截事件找不到有关联的拦截记录，也就发现站点生成器node的拦截记录，经过主管提醒主要的是查找winsock的拦截记录，当还在忙瞎找的同时，主管再一次提起画拓扑图，于是事情也就再一次有了眉目。 

看一下拓扑的网络访问图示，我恍然察觉我并没有用另一台加密沙盒主机去访问内网生成站点的加密沙盒主机，想到这一点立即实施后惊奇地发现“可以哦”，能正常访问站点的。之后就是为什么找不到拦截记录？也就是找不到拦截记录的原因分析：

• 受总控影响，加密沙盒客户端拒绝向外部发送资源，只能是都装有沙盒主机相互访问文件资源
• 沙盒服务器端，由于是主控的原因，可能并不受多台沙盒主机配对一致才能访问的影响

由于手机并没有沙盒客户端，所以这事也就暂时先用着仿真软件模拟实机测试网页画面了。

事后细想，一开始内网IP不能ping通同级路由器下的lan口子网想不明白，其实上我对静态路由 的不理解，知识点也相当不扎实；在追踪拦截记录上，后来也是查阅了相关winsock的资料：winsock简介 ，了解了为什么针对winsock拦截的原因；加密客户端通信机制与资源访问上，由于我缺乏基础了解该软件产品特性，逻辑推理嘛，很差…临场能力有待加强。