防火墻一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，下面讓我們看一下防火墻下接的用戶不能訪問外網的故障是怎么解決的。

　　網絡環境

　　如圖所示，Eudemon防火墻下接的企業用戶通過路由器訪問外部網絡。

　　企業接入Internet組網圖

　　

　　網絡部署完畢后，發現防火墻后的企業用戶不能訪問外部Internet網絡。

　　故障分析

　　企業用戶不能訪問Internet網絡的可能原因為：

　　鏈路狀態問題

　　路由配置錯誤

　　步驟 1 路由器、防火墻之間、防火墻和企業網之間的鏈路狀態異常可能造成用戶訪問不了外網。執行命令display ip interface brief查看路由器和防火墻相應接口的狀態信息，發現接口狀態均為Up，排除鏈路異常的可能性。

　　步驟 2 在路由器上tracert企業用戶地址，發現最后一跳為路由器，根據現象猜測路由器與防火墻之間的路由有問題，于是在路由器上ping與它直連的防火墻的接口地址，結果正常。

　　步驟 3 將Eudemon1斷開，將用戶側二層設備（下面接PC1和PC2）直接與路由器接口相連，PC1配置防火墻接口地址。在路由器上ping PC1的地址，發現PC1收不到來自路由器的Ping報文，卻收到了查詢Eudemon 2接口MAC地址的的ARP報文。由此斷定路由器和兩臺Eudemon間的路由配置有問題，而且很可能是將下一跳路由配反了（即靜態路由中指定到Eudemon1的下一跳地址錯誤配置成了指定到Eudemon2的下一跳地址）。在路由器上執行命令display ip routing-table，證實了猜測的正確性。

　　----結束

　　處理步驟

　　更正路由器到企業用戶靜態路由的下一跳地址。

　　----結束

　　完成上述操作后，企業用戶可以通過路由器訪問Internet網絡，故障排除。

　　案例總結

　　當路由器無法Ping通對端設備時，首先檢查接口的鏈路狀態，其次檢查路由的配置。在檢查路由配置的過程中，利用tracert和ping命令對鏈路分段進行檢測排除，將出問題的鏈路范圍逐步縮小。