摘要：在数字化、智能化的大环境下，企业规模日渐扩大，终端计算机、网络设备、安全设备和服务器的数量也随之增长，为保障信息系统及设备的安全运行，通过安全策略应用及加固设置，提高信息系统及设备的安全性。当出现系统服务器网络通信失败时，在复杂的网络环境下，增加了问题排查、分析的难度。本文就系统服务器网络通信失败排查分析方法进行了阐述。

关键词：设备运维;通信失败;问题排查

1.相关概念

1.1 防火墻：是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

1.2 NAT：NAT即为Network Address Translation，中文名称为网络地址转换。NAT技术可使得私网IP可以访问外网。NAT不仅能解决IP地址不足问题，还能有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

2.排查思路

系统服务器与其他区域的系统服务器进行访问，整个通信链路涉及到的物理通信设备包括：本地服务器、网络传输介质（双绞线或光纤）、交换机、防火墙和目标服务器等，在进行网络通信失败排查时，掌握的信息越多，对接下来的问题定位越有帮助。如当前获取的信息较少，问题点较多，在此情况下，可通过对整个通信链路上的设备逐一进行排查、分析，定位问题点。若能从某一表象定位问题点，可根据问题表象对相关设备进行排查、分析。

3.排查内容及方法

3.1测试验证目标系统服务器端口开启情况

在本地系统服务器上，使用telnet命令，telnet对端系统服务器相关业务端口，确认本地系统服务器与目标系统服务器的联接状态。能telnet通说明本地系统服务器与目标系统服务器之间已建立联接关系，可正常进行业务访问。若不通，在确认目标系统服务器运行正常的情况下，需对整个通信链路涉及到的设备进行排查、定位。

3.2本地服务器排查

（1）检查本地服务器的网络配置

检查本地服务器的IP地址、子网掩码、默认网关等信息的配置是否正确。如正确，问题点可能在于本地网卡损坏或网络通信故障，可从网络连通性方面进行排查、定位。

（2）检查网络连通性

1）检查本地服务器的网络连通性

在命令符窗口ping 127.0.0.1（回送地址，即本地机，常用于网络通信测试），确认本机的网络连通性状态。能ping通说明服务器的网络配置正确，本地网卡无损坏。

2）检查本地服务器与上联网络设备的连通性

一般情况下，基本的安全访问设置是限制不同网段之间的系统服务器进行通信，测试本地服务器与上联网络设备的连通性，可通过ping同网段系统服务器确认网络链路的运行状态。能ping通说明本地服务器与上联网络设备的连通性正常，不存在网络通信故障情况。

（3）检查本地服务器的安全设置

系统服务器在上线运行前，为确保其安全性和健壮性，系统服务器需进行安全整改及加固，并完成上线前的安全测评，通过安全测评后方能上线运行。因此，需从服务器上的安全设置入手，检查本地安全策略、本地防火墙和安全防护软件等的安全设置情况，确认是否禁用业务所需端口、设置允许特定系统服务器出入站的安全规则，若已设置相关安全限制，可根据业务需要在满足安全防护要求的前提下进行调整。若无设置相关安全限制，则需要对网络路由进行跟踪，定位问题点。

（4）检查路由跟踪情况

1）在系统服务器上，通过路由跟踪命令，确定数据包在网络上的停止位置。不同的操作系统，其路由跟踪命令也有不同，在WINDOWS操作系统中，路由跟踪命令为tracert;LINUX操作系统为tracepath -n/traceroute。由于LINUX操作系统使用tracepath -n/traceroute命令后，无法显示路由跟踪点，在网络环境较为复杂的情况下，可使用WINDOWS操作系统临时搭建测试服务器进行路由跟踪测试，查看最后一跳的所在位置，定位问题点。

2）各行业的安全要求不同，在实施安全防护时，可能会关闭ICMP协议，在此情况下，无法通过路由跟踪命令进行与目标系统服务器通信链路的路由跟踪，需通过网络防火墙进行排查。

3.3检查网络防火墙设置

（1）查看数据包流量

通过防火墙的辅助功能抓包，可分析接收到的数据包报文（包含将要发送的完整数据信息）。

1）有发送包和接收包，说明防火墙策略及路由配置无误。无发送包和接收包，则查看策略命中数，确认防火墙策略及路由配置是否正确。

2）有发送包，但无接收包，说明该数据包未经过防火墙，需排查本地服务器与网络防火墙之间的其他网络设备是否拦截阻塞的情况。

（2）查看策略命中数

防火墙策略设置后，会根据数据包信息匹配策略，从而生产命中数。若防火墙策略中已产生命中数，说明策略已生效。若无产生命中数，则说明该数据包未经过防火墙，可能是当前策略的资源配置有误（源IP、目标IP、端口等信息）或因防火墙策略优先级低未匹配命中当前策略。

（3）查看防火墙策略优先级

1）网络防火墙默认情况下，不具备日志记录功能，需额外搭建日志服务器进行日志记录。通过查看防火墙策略日志，根据策略日志信息判断该数据包是否已经过防火墙，若动作为允许，则该数据包已经过防火墙。若动作为拒绝，则是防火墙策略优先级低未匹配命中到当前策略，需对上层策略进行核查，并根据业务需要对策略优先级进行调整。

2）若不具备日志服务器，则结合数据包流量和策略命中数排查结果，进行人工核查。

（4）防火墙设置排查注意事项

1）区域之间的通信访问，是通过网络防火墙进行访问控制。如通信链路中，有多台网络防火墙，可按照上述网络防火墙设置的检查内容及方法进行排查、定位。

2）存在VPN互访的系统服务器，需在防火墙设置NAT地址转换，当此类服务器出现通信失败，可在源地址服务器使用telnet命令测试端口，查看防火墙策略是否有相关命中数，有命中数说明转换成功，若无命中数则需查看相关NAT日志，并检查NAT地址转换信息和防火墙策略信息是否有误。

4.结束语

信息系统的稳定性和可靠性是企业运营中最为关注的问题，信息通信失效直接影响企业运作，从而对企业带来一定的经济影响。因此，排查分析方法的方向性和针对性，是决定问题处理效率的关键因素，以上内容只是信息通信失效排查、分析的基础步骤，还需要结合企业的网络运行环境和实践经验不断进行完善。

参考文献：

[1]江义.局域网常见故障诊断及解决方法.电脑迷，2016.

[2]张涛.浅析计算机通讯网络的故障处理与日常维护.信息系统工程，2016.

[3]项保利.浅谈网络通信中信息安全对策与建议.信息化建设，2015.

作者简介：封祐钧 男，汉，高级技师，工程硕士

联系地址：广东省东莞市东城区东城路239号东莞供电局信息中心