信息網(wǎng)絡(luò)結(jié)構(gòu)等交換機(jī)常見故障的解決方法
信息網(wǎng)絡(luò)結(jié)構(gòu)等交換機(jī)常見故障的解決方法,邊界路由設(shè)置不當(dāng),導(dǎo)致交換機(jī)無法管理。筆者將會(huì)從信息網(wǎng)絡(luò)結(jié)構(gòu),交換機(jī)常見故障現(xiàn)象描述,交換機(jī)常見故障分析,交換機(jī)常見故障處理。
我們公司的技術(shù)人員在為某單位集成跨區(qū)域信息網(wǎng)時(shí),由于在調(diào)測過程中對(duì)一臺(tái)邊緣路由器路由設(shè)置不當(dāng),而造成信息網(wǎng)交換機(jī)無法管理。這例網(wǎng)絡(luò)故障的排錯(cuò)讓我們的技術(shù)人員大傷腦筋。由于這個(gè)案例比較典型,而且其排錯(cuò)過程可供借鑒,因此寫下來與大家分享。
信息網(wǎng)絡(luò)結(jié)構(gòu)
為了便于大家了解排錯(cuò)過程,筆者先對(duì)該單位的網(wǎng)絡(luò)結(jié)構(gòu)做一番介紹。該單位組建跨區(qū)域信息網(wǎng),實(shí)現(xiàn)該單位所屬部門內(nèi)部聯(lián)網(wǎng),采用一條100Mb/s專線通過防火墻實(shí)現(xiàn)寬帶網(wǎng)絡(luò)接人。在進(jìn)行網(wǎng)絡(luò)集成時(shí),為便于調(diào)試技術(shù)人員在A地信息網(wǎng)邊緣節(jié)點(diǎn)通過五類線和寬帶網(wǎng)絡(luò)實(shí)現(xiàn)物理聯(lián)接。
兩個(gè)網(wǎng)絡(luò)之間的路由不進(jìn)行互通,只在互聯(lián)地址(192.168.17.56/30)實(shí)現(xiàn)對(duì)信息網(wǎng)所有交換機(jī)常見故障的管理該單位信息網(wǎng)。信息網(wǎng)IP地址分配原則如下:交換機(jī)管理和互聯(lián)IP地址采用192.168.16.0/22網(wǎng)段,用戶接入網(wǎng)絡(luò)IP地址采用10.18.0.0/15網(wǎng)段。
交換機(jī)常見故障現(xiàn)象描述
該單位的技術(shù)人員在對(duì)所有二層交換機(jī)登錄時(shí)發(fā)現(xiàn),所有二層交換機(jī)管理地址都無法進(jìn)行正常登錄,速度明顯變慢。技術(shù)人員在對(duì)交換機(jī)的管理地址采用PING命令測試時(shí)發(fā)現(xiàn)所有交換機(jī)均能正常PING通。
在出現(xiàn)該情況后,技術(shù)人員對(duì)所有二層交換機(jī)進(jìn)行了關(guān)電重啟,所有交換機(jī)均恢復(fù)正常管理。但經(jīng)過約半天時(shí)間后,所有交換機(jī)又出現(xiàn)無法正常管理的現(xiàn)象,經(jīng)過多次重啟測試后,仍無法解決該故障現(xiàn)象。
交換機(jī)常見故障分析
鑒于以上故障現(xiàn)象,考慮到該故障是該網(wǎng)絡(luò)普遍存在的現(xiàn)象,我們按以下方式進(jìn)行了分析。
◆首先,鑒于所有交換機(jī)均存在無法管理的現(xiàn)象,為保證故障定位的準(zhǔn)確性,我們?nèi)詫?duì)一臺(tái)交換機(jī)進(jìn)行了更換;同時(shí),將更換下來的交換機(jī)接至單獨(dú)的網(wǎng)絡(luò)環(huán)境,經(jīng)過一段時(shí)間的觀察后發(fā)現(xiàn),接至單獨(dú)網(wǎng)絡(luò)的交換機(jī)可以正常管理,而新接至信息網(wǎng)絡(luò)的交換機(jī)仍無法實(shí)現(xiàn)正常管理。根據(jù)以上現(xiàn)象,排除了交換機(jī)本身出現(xiàn)故障的可能性。
◆在排除了交換機(jī)出現(xiàn)交換機(jī)常見故障的可能性后,我們對(duì)全網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)狀況進(jìn)行了分析。考慮到所有的用戶均能正常上網(wǎng),我們將其中一臺(tái)交換機(jī)的管理地址設(shè)置用戶網(wǎng)段的地址(IP地址:10.18.9.2,網(wǎng)關(guān)地址:10.18.9.1),在經(jīng)過一段時(shí)間的觀察后發(fā)現(xiàn),只有更換為用戶網(wǎng)段(10.18.9.0網(wǎng)段)地址的交換機(jī)可以實(shí)現(xiàn)正常管理。
◆針對(duì)以上現(xiàn)象進(jìn)行分析后,我們認(rèn)為可能是192.168.16.0/22網(wǎng)段的地址受到攻擊所致。為便于對(duì)該故障現(xiàn)象進(jìn)行分析,我們?cè)谠撔畔⒕W(wǎng)絡(luò)出口采用網(wǎng)絡(luò)監(jiān)聽軟件對(duì)出入該網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析。
◆考慮到出口的數(shù)據(jù)量較大,為便于分析問題,我們只對(duì)192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152和10.18.9.2等管理地址流入和流出的數(shù)據(jù)包進(jìn)行監(jiān)控。
◆在對(duì)上行端口的數(shù)據(jù)包監(jiān)聽后發(fā)現(xiàn),該端口上只有源地址為192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152網(wǎng)段的管理地址,而目的地址為合法地址的數(shù)據(jù)包,且源端口均為80端口。
◆而管理地址為10.18.9.2的管理地址卻無任何數(shù)據(jù)包流入和流出,這顯然是一種有目的地針對(duì)192.168.18.O/16網(wǎng)段進(jìn)行攻擊的行為。根據(jù)上面的分析,我們可以看出交換機(jī)的源地址向防火墻之外的地址發(fā)送了數(shù)據(jù)包,而作為交換機(jī)本身是不可能直接向外發(fā)送數(shù)據(jù)包的。因而必定存在一個(gè)“源”觸發(fā)交換機(jī)不斷地發(fā)送數(shù)據(jù)包,從而極大地消耗了交換機(jī)的資源,而造成交換機(jī)無法管理。
◆為進(jìn)一步分析問題,我們針對(duì)一臺(tái)管理地址為192.168.18.150的交換機(jī)(該交換機(jī)端口不接任何用戶,以便于進(jìn)行分析)的上行口進(jìn)行數(shù)據(jù)包監(jiān)測,在監(jiān)測過程中發(fā)現(xiàn)流人和流出該上行口的數(shù)據(jù)包均為192.168.18.15O流向合法地址,以及合法地址流向192.168.18.150。
◆通過以上分析,根據(jù)防火墻的特點(diǎn)(防火墻在采用地址轉(zhuǎn)換后,源地址不可能為合法地址),我們可以判斷,流人和流出交換機(jī)的數(shù)據(jù)包所經(jīng)過的路徑不一樣,從而排除外網(wǎng)通過防火墻進(jìn)行攻擊的可能性。
◆通過以上分析后,我們對(duì)網(wǎng)絡(luò)結(jié)構(gòu)再次進(jìn)行了仔細(xì)的分析。為便于網(wǎng)絡(luò)調(diào)測,在A地邊緣節(jié)點(diǎn)有一端口聯(lián)至寬帶互聯(lián)網(wǎng)的邊緣路由器,仔細(xì)查看該路由器的配置和路由表,發(fā)現(xiàn)
◆192.168.18.0/23的靜態(tài)路由設(shè)置錯(cuò)誤,導(dǎo)致該段地址的路由都注入了該路由器,并通過路由到達(dá)信息網(wǎng)管理地址為192.168.18.0/23段的交換機(jī)。從寬帶網(wǎng)上的攻擊數(shù)據(jù)通過A地流向該信息網(wǎng)的交換機(jī),交換機(jī)返回的數(shù)據(jù)又通過防火墻流向?qū)拵Щヂ?lián)網(wǎng)。
交換機(jī)常見故障處理
基于上面的分析,處理交換機(jī)常見故障就變得非常簡單了。將寬帶網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的連接電纜斷開,并對(duì)所有二層交換機(jī)重啟后,所有交換機(jī)管理恢復(fù)正常,故障排除。總結(jié):通過對(duì)該故障的分析,可以看出,在配置網(wǎng)絡(luò)過程中,一定要注意仔細(xì)考慮路由的配鼉和清晰了解整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)。
同時(shí),在出現(xiàn)網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)上出現(xiàn)大量不正常數(shù)據(jù)包后.為排除交換機(jī)常見故障點(diǎn),必須在對(duì)IP協(xié)議了解的基礎(chǔ)上,通過網(wǎng)絡(luò)監(jiān)聽軟件在網(wǎng)絡(luò)出口處和攻擊點(diǎn)對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽,通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和不正常數(shù)據(jù)包流向的仔細(xì)分析,判斷故障點(diǎn)所在。
