故障现象
某沙特化工企业分公司系统改造,将原来H3C的路由器更换为Juniper企业级防火墙,改造后所有网络和服务器设备运维管理权移交总部IT。
改造完成后内外网都能正常访问,财务因发票认证程序因升级需要重新安装,安装完成后运行提示要注册,按提示注册时报错无法连接到服务器:
故障排查
关于快速排查故障,我们可以连接其他网络做测试,例如连接到你手机的热点。这台是台式机,不方便做测试。
网络改造之前老路由器访问策略自由度高,改造后需要遵循IT统一策略标准,特殊的网络及端口只有设定允许策略才能访问。因此出现上述故障的原因是当更新后的发票认证程序需要与注册服务器联系时,不能成功建立链接。所以解决问题的关键就是,我们需要知道这个发票认证软件注册服务器以及建立连接需要的端口号,然后发给总部IT安全组让同事开通允许访问。
解决方法
咨询负责这个园区的航天税控技术支持,他们对这个注册服务器也不太清楚,联系航天税控显示排队中。其实我们可以自己查,效果应该一样。
排查步骤:
1.退出发票认证软件;
2.在命令行下输入:netstat -an
3.运行发票认证软件,按提示执行注册操作;
4.在命令行框口再次输入:netstat -an;
5.对比命令行下新增建立的会话,因为不能连接上注册服务器,连接的状态应该是发送数据包尝试建立会话(SYN_SENT),如下图,我就可以得到注册服务器的IP地址和端口号是X.X.X.63 7001:
6.提供这些信息给到总部IT安全组,开通后可以使用telnet测试一下端口是否开通成功:
7.到客户现场完成注册操作,并让客户测试使用确认,完成这个Case:
经验总结
公司网络变动后若出现不能正常访问情况,就要考虑到路由器或防火墙上的策略设置,一般常用的端口会被开启,例如访问互联网的80端口等,其他的非常规的端口一般都是禁用的。我们可以通过netstat 这简单的DOS命令就能定位IP地址和端口号,在通过Telnet测试无误后再到用户现场操作,非常实用。
原文地址:http://blog.51cto.com/lander/2163174