环境描述:
在一个局域网中有10.112.1.0\5.0\19.0\9.0四个网段,各个网段之间都是互通的。现在需要在1.0和5.0之间架一台TMG,两网卡分别连1.0(Int)和5.0(Ext)网段。9.0网段规划加入到内网(Int)网络,19.0网段规划加入到外网(Ext)网络。TMG两块网卡都不配置网关,否则会形成路由循环,在TMG中会报IP地址欺骗。如果要到达其他网段,需要添加静态路由。
1.故障现象:
在TMG上新建策略,允许TMG使用PING所有网络。但是在TMG上ping5.0网段的某些机器时,发现有些ping的通,有的不通。当停掉TMG的防火墙服务时,发现都可以ping通。
2.故障分析:
通过如上现象,我们可以看出,当启动防火墙服务后,就ping不通,关掉防火墙服务后就可以ping通,说明问题在TMG上面,与客户端无关。再分析,通过这条策略,可以ping通其他客户端,说明策略配置的没有问题。可能是TMG里面配置某些特定设置项影响了到达这几台特定客户端的连接。
3.故障原因:
发现是因为在TMG中新建了一个网络,这个网络中的客户端刚好是TMG无法ping通的机器的IP地址,这样问题的根源就找到了。因为新建的PING策略里面,运行TMG服务器ping到内网、外网、本地主机,但是没有新建的这个网络,这样就无法ping通这个网络中的客户端了。删掉这个网络,发现马上就可以ping通了。
如果有需要新建一个具有统一标志的客户端,那么可以新建计算机集,不要新建网络。新建网络之后,这个网络就独立于内网、外网、VPN网络的另外一个独立的网络。这样如果策略配置有问题的话,就会出问题。