本期分享的案例是有線網(wǎng)絡(luò)的相關(guān)問(wèn)題。

1. 背景介紹

某企業(yè)為提升辦公效率，計(jì)劃對(duì)老舊辦公區(qū)域網(wǎng)絡(luò)進(jìn)行升級(jí)改造，確保至少80臺(tái)辦公設(shè)備能穩(wěn)定連接網(wǎng)絡(luò)。該辦公區(qū)域有100臺(tái)辦公電腦，使用年限超八年，部分電腦運(yùn)行緩慢，此次主要工作是升級(jí)電腦硬件并排查網(wǎng)絡(luò)隱患。

拓?fù)湟彩呛芎?jiǎn)單：

• 光貓—路由器—交換機(jī)—所有的辦公電腦
• 網(wǎng)段：192.168.1.0/24

2. 故障現(xiàn)象

在升級(jí)完5臺(tái)電腦硬件后進(jìn)行網(wǎng)絡(luò)連接測(cè)試，發(fā)現(xiàn)這5臺(tái)電腦顯示已連接公司網(wǎng)絡(luò)，但無(wú)法訪問(wèn)公司內(nèi)部服務(wù)器和外網(wǎng)，基礎(chǔ)排查，這些電腦均獲取到了正確網(wǎng)段（192.168.1.x）的IP地址，然而ping網(wǎng)關(guān)（192.168.1.1）時(shí)出現(xiàn)超時(shí)情況。

使用測(cè)線儀檢查網(wǎng)線質(zhì)量，八芯全通。

3. 排查分析

第一步：基礎(chǔ)對(duì)比分析

網(wǎng)絡(luò)技術(shù)人員深入排查，發(fā)現(xiàn)關(guān)鍵點(diǎn)：

• 內(nèi)網(wǎng)的新舊電腦之間是能通的；
• 新電腦訪問(wèn)不了路由器也上不了網(wǎng)
• 舊電腦卻可以正常訪問(wèn)路由器和上網(wǎng)。

基本結(jié)論：說(shuō)明新電腦是正常接入網(wǎng)絡(luò)的，交換機(jī)轉(zhuǎn)發(fā)正常，猜測(cè)是路由器對(duì)新電腦做了相關(guān)限制。

那么新舊電腦有之間有什么區(qū)別呢？

拋開(kāi)硬件不談，網(wǎng)絡(luò)層面的區(qū)別是IP和MAC地址，這不禁就讓我們聯(lián)想到IP-MAC綁定了。

第二步：檢查路由器ARP綁定設(shè)置

登錄路由器的Web頁(yè)面，發(fā)現(xiàn)MAC地址綁定列表的“白名單”中，部分故障電腦的IP-MAC地址與已淘汰的舊設(shè)備綁定在一起。

所以ARP白名單的IP-MAC地址與新電腦不符，故新設(shè)備無(wú)法正常上網(wǎng)。

第三步：?jiǎn)栴}溯源

經(jīng)調(diào)查，路由器是三年前從另一個(gè)廢棄辦公區(qū)域搬來(lái)的，當(dāng)時(shí)直接沿用了舊配置，導(dǎo)致過(guò)去淘汰設(shè)備的MAC地址綁定信息依然存在，新設(shè)備獲取IP時(shí)與這些殘留綁定產(chǎn)生沖突。

4. 原理及解決方案

(1) 故障原理

舊路由器的綁定設(shè)置中，同一MAC地址被錯(cuò)誤地關(guān)聯(lián)到多個(gè)不同的IP；新電腦通過(guò)DHCP獲取IP時(shí)，路由器優(yōu)先分配“僵尸IP”；這些“僵尸IP”對(duì)應(yīng)的MAC地址是舊的錯(cuò)誤參數(shù)，使得網(wǎng)絡(luò)數(shù)據(jù)無(wú)法正常傳輸，導(dǎo)致網(wǎng)絡(luò)連接失敗。

(2) 解決方案

針對(duì)新舊電腦全局做IP-MAC綁定白名單，保證正常的辦公上網(wǎng)需求。

(3) 經(jīng)驗(yàn)教訓(xùn)

• 網(wǎng)絡(luò)設(shè)備維護(hù)要定期進(jìn)行，建議每季度檢查一次MAC綁定情況；
• 設(shè)備淘汰時(shí)，務(wù)必及時(shí)刪除其在網(wǎng)絡(luò)設(shè)備中的綁定信息；
• 遇到類(lèi)似網(wǎng)絡(luò)連接問(wèn)題，優(yōu)先檢查網(wǎng)關(guān)配置是否正確、MAC地址與設(shè)備實(shí)際是否相符、網(wǎng)絡(luò)設(shè)備中是否存在沖突的綁定設(shè)置。