信息網(wǎng)絡(luò)結(jié)構(gòu)等交換機(jī)常見故障的解決方法，邊界路由設(shè)置不當(dāng)，導(dǎo)致交換機(jī)無法管理。筆者將會(huì)從信息網(wǎng)絡(luò)結(jié)構(gòu)，交換機(jī)常見故障現(xiàn)象描述，交換機(jī)常見故障分析，交換機(jī)常見故障處理。

我們公司的技術(shù)人員在為某單位集成跨區(qū)域信息網(wǎng)時(shí)，由于在調(diào)測(cè)過程中對(duì)一臺(tái)邊緣路由器路由設(shè)置不當(dāng)，而造成信息網(wǎng)交換機(jī)無法管理。這例網(wǎng)絡(luò)故障的排錯(cuò)讓我們的技術(shù)人員大傷腦筋。由于這個(gè)案例比較典型，而且其排錯(cuò)過程可供借鑒，因此寫下來與大家分享。

信息網(wǎng)絡(luò)結(jié)構(gòu)

為了便于大家了解排錯(cuò)過程，筆者先對(duì)該單位的網(wǎng)絡(luò)結(jié)構(gòu)做一番介紹。該單位組建跨區(qū)域信息網(wǎng)，實(shí)現(xiàn)該單位所屬部門內(nèi)部聯(lián)網(wǎng)，采用一條100Mb/s專線通過防火墻實(shí)現(xiàn)寬帶網(wǎng)絡(luò)接人。在進(jìn)行網(wǎng)絡(luò)集成時(shí)，為便于調(diào)試技術(shù)人員在A地信息網(wǎng)邊緣節(jié)點(diǎn)通過五類線和寬帶網(wǎng)絡(luò)實(shí)現(xiàn)物理聯(lián)接。

兩個(gè)網(wǎng)絡(luò)之間的路由不進(jìn)行互通，只在互聯(lián)地址(192.168.17.56/30)實(shí)現(xiàn)對(duì)信息網(wǎng)所有交換機(jī)常見故障的管理該單位信息網(wǎng)。信息網(wǎng)IP地址分配原則如下：交換機(jī)管理和互聯(lián)IP地址采用192.168.16.0/22網(wǎng)段，用戶接入網(wǎng)絡(luò)IP地址采用10.18.0.0/15網(wǎng)段。

交換機(jī)常見故障現(xiàn)象描述

該單位的技術(shù)人員在對(duì)所有二層交換機(jī)登錄時(shí)發(fā)現(xiàn)，所有二層交換機(jī)管理地址都無法進(jìn)行正常登錄，速度明顯變慢。技術(shù)人員在對(duì)交換機(jī)的管理地址采用PING命令測(cè)試時(shí)發(fā)現(xiàn)所有交換機(jī)均能正常PING通。

在出現(xiàn)該情況后，技術(shù)人員對(duì)所有二層交換機(jī)進(jìn)行了關(guān)電重啟，所有交換機(jī)均恢復(fù)正常管理。但經(jīng)過約半天時(shí)間后，所有交換機(jī)又出現(xiàn)無法正常管理的現(xiàn)象，經(jīng)過多次重啟測(cè)試后，仍無法解決該故障現(xiàn)象。

交換機(jī)常見故障分析

鑒于以上故障現(xiàn)象，考慮到該故障是該網(wǎng)絡(luò)普遍存在的現(xiàn)象，我們按以下方式進(jìn)行了分析。

◆首先，鑒于所有交換機(jī)均存在無法管理的現(xiàn)象，為保證故障定位的準(zhǔn)確性，我們?nèi)詫?duì)一臺(tái)交換機(jī)進(jìn)行了更換;同時(shí)，將更換下來的交換機(jī)接至單獨(dú)的網(wǎng)絡(luò)環(huán)境，經(jīng)過一段時(shí)間的觀察后發(fā)現(xiàn)，接至單獨(dú)網(wǎng)絡(luò)的交換機(jī)可以正常管理，而新接至信息網(wǎng)絡(luò)的交換機(jī)仍無法實(shí)現(xiàn)正常管理。根據(jù)以上現(xiàn)象，排除了交換機(jī)本身出現(xiàn)故障的可能性。

◆在排除了交換機(jī)出現(xiàn)交換機(jī)常見故障的可能性后，我們對(duì)全網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)狀況進(jìn)行了分析?？紤]到所有的用戶均能正常上網(wǎng)，我們將其中一臺(tái)交換機(jī)的管理地址設(shè)置用戶網(wǎng)段的地址(IP地址：10.18.9.2，網(wǎng)關(guān)地址：10.18.9.1)，在經(jīng)過一段時(shí)間的觀察后發(fā)現(xiàn)，只有更換為用戶網(wǎng)段(10.18.9.0網(wǎng)段)地址的交換機(jī)可以實(shí)現(xiàn)正常管理。

◆針對(duì)以上現(xiàn)象進(jìn)行分析后，我們認(rèn)為可能是192.168.16.0/22網(wǎng)段的地址受到攻擊所致。為便于對(duì)該故障現(xiàn)象進(jìn)行分析，我們?cè)谠撔畔⒕W(wǎng)絡(luò)出口采用網(wǎng)絡(luò)監(jiān)聽軟件對(duì)出入該網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析。

◆考慮到出口的數(shù)據(jù)量較大，為便于分析問題，我們只對(duì)192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152和10.18.9.2等管理地址流入和流出的數(shù)據(jù)包進(jìn)行監(jiān)控。

◆在對(duì)上行端口的數(shù)據(jù)包監(jiān)聽后發(fā)現(xiàn)，該端口上只有源地址為192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152網(wǎng)段的管理地址，而目的地址為合法地址的數(shù)據(jù)包，且源端口均為80端口。

◆而管理地址為10.18.9.2的管理地址卻無任何數(shù)據(jù)包流入和流出，這顯然是一種有目的地針對(duì)192.168.18.O/16網(wǎng)段進(jìn)行攻擊的行為。根據(jù)上面的分析，我們可以看出交換機(jī)的源地址向防火墻之外的地址發(fā)送了數(shù)據(jù)包，而作為交換機(jī)本身是不可能直接向外發(fā)送數(shù)據(jù)包的。因而必定存在一個(gè)“源”觸發(fā)交換機(jī)不斷地發(fā)送數(shù)據(jù)包，從而極大地消耗了交換機(jī)的資源，而造成交換機(jī)無法管理。

◆為進(jìn)一步分析問題，我們針對(duì)一臺(tái)管理地址為192.168.18.150的交換機(jī)(該交換機(jī)端口不接任何用戶，以便于進(jìn)行分析)的上行口進(jìn)行數(shù)據(jù)包監(jiān)測(cè)，在監(jiān)測(cè)過程中發(fā)現(xiàn)流人和流出該上行口的數(shù)據(jù)包均為192.168.18.15O流向合法地址，以及合法地址流向192.168.18.150。

◆通過以上分析，根據(jù)防火墻的特點(diǎn)(防火墻在采用地址轉(zhuǎn)換后，源地址不可能為合法地址)，我們可以判斷，流人和流出交換機(jī)的數(shù)據(jù)包所經(jīng)過的路徑不一樣，從而排除外網(wǎng)通過防火墻進(jìn)行攻擊的可能性。

◆通過以上分析后，我們對(duì)網(wǎng)絡(luò)結(jié)構(gòu)再次進(jìn)行了仔細(xì)的分析。為便于網(wǎng)絡(luò)調(diào)測(cè)，在A地邊緣節(jié)點(diǎn)有一端口聯(lián)至寬帶互聯(lián)網(wǎng)的邊緣路由器，仔細(xì)查看該路由器的配置和路由表，發(fā)現(xiàn)

◆192.168.18.0/23的靜態(tài)路由設(shè)置錯(cuò)誤，導(dǎo)致該段地址的路由都注入了該路由器，并通過路由到達(dá)信息網(wǎng)管理地址為192.168.18.0/23段的交換機(jī)。從寬帶網(wǎng)上的攻擊數(shù)據(jù)通過A地流向該信息網(wǎng)的交換機(jī)，交換機(jī)返回的數(shù)據(jù)又通過防火墻流向?qū)拵Щヂ?lián)網(wǎng)。

交換機(jī)常見故障處理

基于上面的分析，處理交換機(jī)常見故障就變得非常簡(jiǎn)單了。將寬帶網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的連接電纜斷開，并對(duì)所有二層交換機(jī)重啟后，所有交換機(jī)管理恢復(fù)正常，故障排除?？偨Y(jié)：通過對(duì)該故障的分析，可以看出，在配置網(wǎng)絡(luò)過程中，一定要注意仔細(xì)考慮路由的配鼉和清晰了解整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)。

同時(shí)，在出現(xiàn)網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)上出現(xiàn)大量不正常數(shù)據(jù)包后.為排除交換機(jī)常見故障點(diǎn)，必須在對(duì)IP協(xié)議了解的基礎(chǔ)上，通過網(wǎng)絡(luò)監(jiān)聽軟件在網(wǎng)絡(luò)出口處和攻擊點(diǎn)對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽，通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和不正常數(shù)據(jù)包流向的仔細(xì)分析，判斷故障點(diǎn)所在。