將路由器更換為防火墻后，安裝發(fā)票認(rèn)證程序無法完成注冊，提示無法連接到服務(wù)器

故障現(xiàn)象

某沙特化工企業(yè)分公司系統(tǒng)改造，將原來H3C的路由器更換為Juniper企業(yè)級防火墻，改造后所有網(wǎng)絡(luò)和服務(wù)器設(shè)備運(yùn)維管理權(quán)移交總部IT。

改造完成后內(nèi)外網(wǎng)都能正常訪問，財(cái)務(wù)因發(fā)票認(rèn)證程序因升級需要重新安裝，安裝完成后運(yùn)行提示要注冊，按提示注冊時(shí)報(bào)錯(cuò)無法連接到服務(wù)器：

故障排查

關(guān)于快速排查故障，我們可以連接其他網(wǎng)絡(luò)做測試，例如連接到你手機(jī)的熱點(diǎn)。這臺是臺式機(jī)，不方便做測試。

網(wǎng)絡(luò)改造之前老路由器訪問策略自由度高，改造后需要遵循IT統(tǒng)一策略標(biāo)準(zhǔn)，特殊的網(wǎng)絡(luò)及端口只有設(shè)定允許策略才能訪問。因此出現(xiàn)上述故障的原因是當(dāng)更新后的發(fā)票認(rèn)證程序需要與注冊服務(wù)器聯(lián)系時(shí)，不能成功建立鏈接。所以解決問題的關(guān)鍵就是，我們需要知道這個(gè)發(fā)票認(rèn)證軟件注冊服務(wù)器以及建立連接需要的端口號，然后發(fā)給總部IT安全組讓同事開通允許訪問。

解決方法

咨詢負(fù)責(zé)這個(gè)園區(qū)的航天稅控技術(shù)支持，他們對這個(gè)注冊服務(wù)器也不太清楚，聯(lián)系航天稅控顯示排隊(duì)中。其實(shí)我們可以自己查，效果應(yīng)該一樣。

排查步驟：
1.退出發(fā)票認(rèn)證軟件；
2.在命令行下輸入：netstat -an
3.運(yùn)行發(fā)票認(rèn)證軟件，按提示執(zhí)行注冊操作；
4.在命令行框口再次輸入：netstat -an；
5.對比命令行下新增建立的會話，因?yàn)椴荒苓B接上注冊服務(wù)器，連接的狀態(tài)應(yīng)該是發(fā)送數(shù)據(jù)包嘗試建立會話（SYN_SENT），如下圖，我就可以得到注冊服務(wù)器的IP地址和端口號是X.X.X.63 7001：

6.提供這些信息給到總部IT安全組，開通后可以使用telnet測試一下端口是否開通成功：

7.到客戶現(xiàn)場完成注冊操作，并讓客戶測試使用確認(rèn)，完成這個(gè)Case:

經(jīng)驗(yàn)總結(jié)

公司網(wǎng)絡(luò)變動后若出現(xiàn)不能正常訪問情況，就要考慮到路由器或防火墻上的策略設(shè)置，一般常用的端口會被開啟，例如訪問互聯(lián)網(wǎng)的80端口等，其他的非常規(guī)的端口一般都是禁用的。我們可以通過netstat 這簡單的DOS命令就能定位IP地址和端口號，在通過Telnet測試無誤后再到用戶現(xiàn)場操作，非常實(shí)用。