早上剛上班���,學(xué)校一位實(shí)驗(yàn)教師急匆匆來(lái)到辦公室���,說(shuō)實(shí)驗(yàn)室出了大毛病���,Lanstar不能使用了,所有的計(jì)算機(jī)運(yùn)行都非常慢����,前排的計(jì)算機(jī)都不能啟動(dòng),教師機(jī)也不能訪問(wèn)網(wǎng)絡(luò)了���。
其實(shí)那間實(shí)驗(yàn)室的網(wǎng)絡(luò)結(jié)構(gòu)是比較簡(jiǎn)單的����,而且還是比較可靠的����,如圖1所示。我們使用了3臺(tái)華為-3COM公司的S3928TP-SI交換機(jī)��,并使用了IRF智能彈性架構(gòu)技術(shù)�,將3臺(tái)交換機(jī)連接起來(lái)組成一個(gè)聯(lián)合設(shè)備(Fabric),在管理和使用時(shí)只需將這些設(shè)備看作單一設(shè)備����,降低了管理成本。而且使用IRF技術(shù)后�,能夠在整個(gè)堆疊組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份����,一定程度上避免了網(wǎng)絡(luò)的中斷����。在Fabric中的第一臺(tái)交換機(jī)上,我們還裝了一個(gè)光纖模塊���,用于和實(shí)驗(yàn)中心的核心交換機(jī)—華為S6506相連�����。
發(fā)現(xiàn)故障端口
帶著筆記本來(lái)到實(shí)驗(yàn)室�����,打開(kāi)機(jī)柜,看到三臺(tái)交換機(jī)的指示燈都在閃爍��,將筆記本連到交換機(jī)上�����,頓時(shí)筆記本的速度明顯下降�。會(huì)不會(huì)是交換機(jī)的配置出了差錯(cuò)��?于是用筆記本依次接到每個(gè)交換機(jī)的Console口�,將交換機(jī)恢復(fù)到默認(rèn)配置并重新啟動(dòng)���,可是故障依舊�����。
開(kāi)始懷疑也許是廣播風(fēng)暴造成的故障�����,進(jìn)入光纖端口�,將其Shutdown����,排除同一VLAN下其他實(shí)驗(yàn)室對(duì)該實(shí)驗(yàn)室的廣播風(fēng)暴和別的實(shí)驗(yàn)室使用Lanstar對(duì)該實(shí)驗(yàn)室的控制,可故障依舊存在����。問(wèn)題一定出在該實(shí)驗(yàn)室了。
是計(jì)算機(jī)中毒導(dǎo)致的廣播風(fēng)暴����?在服務(wù)器上更新最新的病毒庫(kù)�,實(shí)驗(yàn)室內(nèi)所有計(jì)算機(jī)下載了該病毒庫(kù)后開(kāi)始?xì)⒍?��,沒(méi)有發(fā)現(xiàn)可能造成廣播風(fēng)暴的病毒存在�。將實(shí)驗(yàn)室內(nèi)所有計(jì)算機(jī)關(guān)閉�����,用UPS對(duì)交換機(jī)供電�,徹底排除因病毒造成的廣播風(fēng)暴,可是問(wèn)題仍然存在���。當(dāng)計(jì)算機(jī)都已經(jīng)關(guān)閉時(shí)�����,接計(jì)算機(jī)的端口指示燈應(yīng)該都是熄滅的�����,而第三臺(tái)交換機(jī)的7號(hào)端口仍在不停閃爍。問(wèn)題一定出在這7號(hào)端口了��。
風(fēng)暴來(lái)自無(wú)線網(wǎng)卡
查看相關(guān)資料�����,原來(lái)在建設(shè)實(shí)驗(yàn)室時(shí),把一個(gè)無(wú)線基站連到了這個(gè)實(shí)驗(yàn)室的交換機(jī)上����,再通過(guò)交換機(jī)接到華為S6506上,如圖2所示����。接著把互連的3臺(tái)交換機(jī)斷開(kāi),第一�����、二臺(tái)交換機(jī)的指示燈立刻不再閃爍���,恢復(fù)了正常�����。一定是由無(wú)線網(wǎng)絡(luò)造成的廣播風(fēng)暴����。再次用UPS對(duì)交換機(jī)供電,拔掉7號(hào)端口的水晶接頭��,交換機(jī)頓時(shí)恢復(fù)正常�,故障點(diǎn)終于找到。重新把3臺(tái)交換機(jī)連接���,打開(kāi)電源�,啟動(dòng)所有計(jì)算機(jī)�,一切工作正常,故障排除�����。
剩下的問(wèn)題就是找到誰(shuí)在使用無(wú)線網(wǎng)絡(luò)���,造成了廣播風(fēng)暴��。知道無(wú)線網(wǎng)絡(luò)加密密鑰的只有實(shí)驗(yàn)室工作人員��?;氐睫k公室逐一詢(xún)問(wèn)在那一時(shí)段使用無(wú)線網(wǎng)絡(luò)的同事�����,把他們使用無(wú)線設(shè)備都拿到實(shí)驗(yàn)室逐一排除�����。當(dāng)試到一塊筆記本專(zhuān)用網(wǎng)卡時(shí)��,故障再次出現(xiàn)�����,造成廣播風(fēng)暴的罪魁禍?zhǔn)捉K于找到����。用Sniffer查看網(wǎng)絡(luò)數(shù)據(jù)流量,原來(lái)這塊網(wǎng)卡在不停地向交換機(jī)發(fā)送大量的數(shù)據(jù)包�,導(dǎo)致了這次廣播風(fēng)暴,由于無(wú)線網(wǎng)絡(luò)的帶寬不是很大���,所以沒(méi)有造成實(shí)驗(yàn)室的所有計(jì)算機(jī)不能使用��。
徹底遏止廣播風(fēng)暴
為了以后不再發(fā)生類(lèi)似情況��,重新配置了交換機(jī)�,把接無(wú)線網(wǎng)絡(luò)的那個(gè)端口單獨(dú)劃到VLAN 3�����,認(rèn)為無(wú)線網(wǎng)絡(luò)再發(fā)生廣播風(fēng)暴,也不會(huì)再威脅到實(shí)驗(yàn)室的計(jì)算機(jī)����。
可沒(méi)過(guò)多久,無(wú)線網(wǎng)絡(luò)連不上網(wǎng)絡(luò)了�����,肯定是把無(wú)線網(wǎng)絡(luò)端口劃分到VLAN 3造成的���。再次連接Console口����,發(fā)現(xiàn)交換機(jī)只配置了VLAN 150可以穿過(guò)光纖端口���。就算允許VLAN 3穿過(guò)����,接入上層交換機(jī)時(shí)���,也行不通��。因?yàn)?���,學(xué)校網(wǎng)絡(luò)中心只允許院實(shí)驗(yàn)室的VLAN 150穿過(guò)。因此單獨(dú)劃分VLAN的方法不可取�����。只好再把端口7重新劃回到VLAN 150��,這樣以后再發(fā)生類(lèi)似情況���,肯定還會(huì)影響到實(shí)驗(yàn)室。
與其對(duì)一個(gè)端口做防范�,不如對(duì)實(shí)驗(yàn)室所有機(jī)器都做預(yù)防。這樣不僅縮小了廣播風(fēng)暴的影響范圍��,甚至可以徹底遏止廣播風(fēng)暴���。
首先����,通過(guò)命令直接對(duì)每個(gè)端口限制廣播流量的大小�����。要想設(shè)置的值合理,必須要滿(mǎn)足教師上課時(shí)發(fā)布文件���、廣播教學(xué)�����、演示等操作時(shí)所需的最大廣播流量�。再用Sniffer查看教師機(jī)的網(wǎng)絡(luò)數(shù)據(jù)流量�,在廣播視頻時(shí)也沒(méi)超過(guò)60%。于是��,將各個(gè)以太網(wǎng)端口廣播風(fēng)暴抑制配置為60%�。
再有,利用交換機(jī)MAC地址學(xué)習(xí)功能����,獲取與端口相連的網(wǎng)段上網(wǎng)絡(luò)設(shè)備的MAC地址,使發(fā)往這些MAC地址的報(bào)文直接使用硬件轉(zhuǎn)發(fā)�����,提高交換機(jī)工作的效率�。并且為了防止黑客利用工具產(chǎn)生欺騙MAC地址�����,迅速填滿(mǎn)MAC地址表���,通過(guò)設(shè)置合適的系統(tǒng)MAC地址老化時(shí)間,可以有效避免黑客的此類(lèi)攻擊��。我們使用了華為推薦的老化時(shí)間為300秒���。
最后,由于實(shí)驗(yàn)室課程只需訪問(wèn)校園網(wǎng)和院里的FTP網(wǎng)站��,而對(duì)于無(wú)線網(wǎng)絡(luò)特定的5個(gè)IP地址則可以訪問(wèn)任何網(wǎng)絡(luò)��。我們對(duì)光纖端口配置了訪問(wèn)控制列表�����,既滿(mǎn)足了實(shí)驗(yàn)室使用的要求�,又最大限度地減少了感染病毒和受到攻擊的機(jī)率。
關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò),網(wǎng)卡
提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問(wèn)題多種解決方法