時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)
早上剛上班,學校一位實驗教師急匆匆來到辦公室,說實驗室出了大毛病,Lanstar不能使用了,所有的計算機運行都非常慢,前排的計算機都不能啟動,教師機也不能訪問網(wǎng)絡了。
其實那間實驗室的網(wǎng)絡結(jié)構(gòu)是比較簡單的,而且還是比較可靠的,如圖1所示。我們使用了3臺華為-3COM公司的S3928TP-SI交換機,并使用了IRF智能彈性架構(gòu)技術(shù),將3臺交換機連接起來組成一個聯(lián)合設備(Fabric),在管理和使用時只需將這些設備看作單一設備,降低了管理成本。而且使用IRF技術(shù)后,能夠在整個堆疊組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份,一定程度上避免了網(wǎng)絡的中斷。在Fabric中的第一臺交換機上,我們還裝了一個光纖模塊,用于和實驗中心的核心交換機—華為S6506相連。
發(fā)現(xiàn)故障端口
帶著筆記本來到實驗室,打開機柜,看到三臺交換機的指示燈都在閃爍,將筆記本連到交換機上,頓時筆記本的速度明顯下降。會不會是交換機的配置出了差錯?于是用筆記本依次接到每個交換機的Console口,將交換機恢復到默認配置并重新啟動,可是故障依舊。
開始懷疑也許是廣播風暴造成的故障,進入光纖端口,將其Shutdown,排除同一VLAN下其他實驗室對該實驗室的廣播風暴和別的實驗室使用Lanstar對該實驗室的控制,可故障依舊存在。問題一定出在該實驗室了。
是計算機中毒導致的廣播風暴?在服務器上更新最新的病毒庫,實驗室內(nèi)所有計算機下載了該病毒庫后開始殺毒,沒有發(fā)現(xiàn)可能造成廣播風暴的病毒存在。將實驗室內(nèi)所有計算機關(guān)閉,用UPS對交換機供電,徹底排除因病毒造成的廣播風暴,可是問題仍然存在。當計算機都已經(jīng)關(guān)閉時,接計算機的端口指示燈應該都是熄滅的,而第三臺交換機的7號端口仍在不停閃爍。問題一定出在這7號端口了。
風暴來自無線網(wǎng)卡
查看相關(guān)資料,原來在建設實驗室時,把一個無線基站連到了這個實驗室的交換機上,再通過交換機接到華為S6506上,如圖2所示。接著把互連的3臺交換機斷開,第一、二臺交換機的指示燈立刻不再閃爍,恢復了正常。一定是由無線網(wǎng)絡造成的廣播風暴。再次用UPS對交換機供電,拔掉7號端口的水晶接頭,交換機頓時恢復正常,故障點終于找到。重新把3臺交換機連接,打開電源,啟動所有計算機,一切工作正常,故障排除。
剩下的問題就是找到誰在使用無線網(wǎng)絡,造成了廣播風暴。知道無線網(wǎng)絡加密密鑰的只有實驗室工作人員;氐睫k公室逐一詢問在那一時段使用無線網(wǎng)絡的同事,把他們使用無線設備都拿到實驗室逐一排除。當試到一塊筆記本專用網(wǎng)卡時,故障再次出現(xiàn),造成廣播風暴的罪魁禍首終于找到。用Sniffer查看網(wǎng)絡數(shù)據(jù)流量,原來這塊網(wǎng)卡在不停地向交換機發(fā)送大量的數(shù)據(jù)包,導致了這次廣播風暴,由于無線網(wǎng)絡的帶寬不是很大,所以沒有造成實驗室的所有計算機不能使用。
徹底遏止廣播風暴
為了以后不再發(fā)生類似情況,重新配置了交換機,把接無線網(wǎng)絡的那個端口單獨劃到VLAN 3,認為無線網(wǎng)絡再發(fā)生廣播風暴,也不會再威脅到實驗室的計算機。
可沒過多久,無線網(wǎng)絡連不上網(wǎng)絡了,肯定是把無線網(wǎng)絡端口劃分到VLAN 3造成的。再次連接Console口,發(fā)現(xiàn)交換機只配置了VLAN 150可以穿過光纖端口。就算允許VLAN 3穿過,接入上層交換機時,也行不通。因為,學校網(wǎng)絡中心只允許院實驗室的VLAN 150穿過。因此單獨劃分VLAN的方法不可取。只好再把端口7重新劃回到VLAN 150,這樣以后再發(fā)生類似情況,肯定還會影響到實驗室。
與其對一個端口做防范,不如對實驗室所有機器都做預防。這樣不僅縮小了廣播風暴的影響范圍,甚至可以徹底遏止廣播風暴。
首先,通過命令直接對每個端口限制廣播流量的大小。要想設置的值合理,必須要滿足教師上課時發(fā)布文件、廣播教學、演示等操作時所需的最大廣播流量。再用Sniffer查看教師機的網(wǎng)絡數(shù)據(jù)流量,在廣播視頻時也沒超過60%。于是,將各個以太網(wǎng)端口廣播風暴抑制配置為60%。
再有,利用交換機MAC地址學習功能,獲取與端口相連的網(wǎng)段上網(wǎng)絡設備的MAC地址,使發(fā)往這些MAC地址的報文直接使用硬件轉(zhuǎn)發(fā),提高交換機工作的效率。并且為了防止黑客利用工具產(chǎn)生欺騙MAC地址,迅速填滿MAC地址表,通過設置合適的系統(tǒng)MAC地址老化時間,可以有效避免黑客的此類攻擊。我們使用了華為推薦的老化時間為300秒。
最后,由于實驗室課程只需訪問校園網(wǎng)和院里的FTP網(wǎng)站,而對于無線網(wǎng)絡特定的5個IP地址則可以訪問任何網(wǎng)絡。我們對光纖端口配置了訪問控制列表,既滿足了實驗室使用的要求,又最大限度地減少了感染病毒和受到攻擊的機率。
關(guān)鍵詞標簽:網(wǎng)絡,網(wǎng)卡
相關(guān)閱讀
熱門文章 提示dns服務錯誤怎么辦 dns錯誤問題多種解決IS-IS同時下發(fā)缺省路由出現(xiàn)路由環(huán)路問題的解IBGP鄰居無法建立連接問題的解決方法對稱結(jié)構(gòu)承載網(wǎng)流量出現(xiàn)異常問題的故障解決
人氣排行 光纖上網(wǎng) 路由器設置頁面進不去怎么辦登錄SSH服務器失敗問題的分析及解決無線網(wǎng)卡連接不上怎么辦_無線網(wǎng)卡連接不上解決方法提示dns服務錯誤怎么辦 dns錯誤問題多種解決方法本機IP設置不當造成路由異常故障分析路由設置不當 導致VPN無法訪問外網(wǎng)無線路由器無不能上網(wǎng)的秘密ADSL頻繁掉線如何解決?