こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティエンジニアになるため勉強中です。
今回は、ネットワークに関する業務を行っている人には絶対にある。ネットワークのトラブルが発生した時にどのように確認するのかを簡単にまとめてみます。
ネットワークトラブル発生時に確認すること
今回の想定は、あるサーバのシステムを新規で導入したがシステムが使用できないということを想定します。
構成(仮)
PC --- ルータ ---- ルータ兼FW ----- WEBサーバ
- まずは、落ち着いて深呼吸しましょう
息を5秒吸って。。。5秒で吐く。。。
息を5秒吸って。。。5秒で吐く。。。
息を5秒吸って。。。5秒で吐く。。。
慌てているとさらに状況を悪化させることがあるので、まずは落ち着きましょう - ネットワーク構成図を開きましょう
- 該当のサーバへ、pingコマンドで疎通確認
- pingが通れば、L3レベルでの疎通は問題ないため、L4~L7で問題があることが切り分け可能。
- ping疎通が取れない場合は、traceコマンドを実行し、どのルータまで疎通が届いているかを確認
- 途中で疎通が止まっている場合は、該当のルータまたはFWのルーティング情報や、ポリシー/ACLを確認する
こんな感じで切り分けを行い、障害ポイントを絞っていきトラブルの原因を突き止めていきましょう。
L3レベルで疎通が取れない場合は、まずはルータの設定を確認しましょう。
- 行きのルートはあるのか。
- 帰りのルートはあるのか。
ルータの設定に問題ないようであれば、L2レベルの確認をします。
- スイッチのリンクは上がっているか。
- スイッチの設定でポートがシャットダウンされていないか。
- 違うVLANにポートが設定されていないか。
- PCに指したポートがTrunkの設定になっていないか。
スイッチの設定に問題ないようであれば、L1レベルの確認をします。
- LANケーブルはちゃんと結線されているか。
- 違うポートにさしていないか。
L4~L7レベルで疎通が取れない場合は、サーバのアプリケーション、またはFWのポリシーを確認しましょう。
- サーバのコンテンツにアクセスする権限はあるのか。
- サービスは稼働しているか。
- FWポリシーは許可されているか。
- FWのDENYポリシーに該当していないか。
今まで経験したトラブル事例
私がこれまで経験したトラブル事例を並べてみたいと思います。
少しでも、トラブル解決の役に立てれば幸いです。
-
SSG → Fortigateへ機器入れ替え時
現象:WEBサイトへアクセスできない
原因:Fortigate側でProxyサーバ宛のルート情報が入っていなかった。
SSGのデフォルトの仕様でルーティング情報がなくても、応答パケットは、ルーティングテーブルに関係なく、要求パケットを送ってきた機器(のMACアドレス)に対して返されるというものがあるらしい。以下はそのことが書いてあるブログです。
哀しみの貴公子対策:Fortigate側でProxyサーバ宛のルートを追加することで解決。
今後の対応:SSG調査時にルートに書いていないからと言って安心せずに、ポリシーのログで送信元のIPアドレスを確認する。
-
クラウドにあるサーバと通信するエージェントが、通信できない
現象:クラウド上の管理サーバと通信できない
原因:Proxyサーバが途中でSSLを復号化していることにより、復号化に時間がかかり、タイムアウトが発生していたため、通信できなかった。
対策:Proxyサーバに該当のエージェントの通信を復号化しないように設定追加。
今後の対応:新たなエージェントを追加する場合に、SSLの復号化を登録する必要があるかを確認する。
-
バックアップのアプライアンスを導入したが、バックアップできない
現象:バックアップのアプライアンスを導入し検証のため、バックアップ・リストアの試験を行ったが、バックアップに失敗する。
原因:ファイアウォールのポリシーで許可されていないため、ブロックされていた
対策:ファイアウォールの許可ポリシーに追加
今後の対応:新しい機器を導入する場合には、ファイアウォールのポリシーは必ず確認する。
まだまだ、トラブルにあったことはありますが、今後このように追加していきたいともいます。
以上です。ありがとうございました。
以下は参考本です。
トラブルシューティングは、トラブルを経験した数により解決の糸口を見つけ出せると思っています。
そのため、普段から他の方のトラブルを疑似体験することも必要かなと思います。
コメント