長期做網(wǎng)絡(luò)工程，為客戶提供技術(shù)支持已經(jīng)習(xí)慣了隨叫隨到。春節(jié)長假歸來，這段時間特別忙。很奇怪，一個不算長的假期，倒讓客戶的網(wǎng)絡(luò)滋生了不少毛病!本人有做網(wǎng)絡(luò)維護筆記的習(xí)慣，下面和大家共享兩例這幾天為客戶排除的網(wǎng)絡(luò)故障，頗具典型，希望能夠幫助到你。

案例1：合法用戶被防火墻拒之門外

故障現(xiàn)象

這次的客戶是本市社會保險局。正月初八全局工作人員上班***天，許多Intranet內(nèi)部有權(quán)用戶打電話反映在查詢和操作保險資料時出現(xiàn)無法進行數(shù)據(jù)調(diào)用和修改的故障現(xiàn)象，此時屏幕提示登錄者為“非法用戶”;系統(tǒng)管理員同時還發(fā)現(xiàn)只有從防火墻處可以訪問網(wǎng)絡(luò)并修改數(shù)據(jù)。同時，一個有趣的現(xiàn)象卻是，Internet外部普通用戶在查詢各種用戶資料時卻沒有問題，他們無論從何處都可以順利地訪問Web服務(wù)器。

網(wǎng)絡(luò)結(jié)構(gòu)

該社會保險局的網(wǎng)絡(luò)工程是我們承建的，其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，含業(yè)務(wù)專用網(wǎng)、OA網(wǎng)、Intranet網(wǎng)和Internet網(wǎng)等。業(yè)務(wù)數(shù)據(jù)的安全設(shè)計為雙Web服務(wù)器，Internet用戶和Intranet用戶各用一個。Intranet的Web服務(wù)器兼有備份數(shù)據(jù)的功能，兩個Web服務(wù)器互聯(lián)，之間的業(yè)務(wù)數(shù)據(jù)同時更新。Internet用戶只能瀏覽、查詢數(shù)據(jù)并可以進行網(wǎng)上申報等各種服務(wù)，不能更改數(shù)據(jù)。對Intranet內(nèi)部用戶實行有權(quán)訪問和申報、數(shù)據(jù)修改特權(quán)限制等體制。局內(nèi)的OA網(wǎng)用戶可以象Internet用戶那樣隨時訪問和查詢Internet的Web數(shù)據(jù)服務(wù)器，其中設(shè)置了部分有權(quán)用戶，他們可以訪問Intranet業(yè)務(wù)網(wǎng)的Web服務(wù)器。安裝的防火墻對IP包進行過濾，只允許合法IP用戶進入。

故障診斷

顯然，故障現(xiàn)象與防火墻系統(tǒng)有很大關(guān)系。將網(wǎng)絡(luò)測試儀接入服務(wù)器所在網(wǎng)段，啟動網(wǎng)段搜索功能，可以發(fā)現(xiàn)Internet用戶的Web服務(wù)器，但不能發(fā)現(xiàn)Intranet的Web服務(wù)器。去掉防火墻，則可以搜索到該服務(wù)器。說明確實是防火墻的問題。但昨天安裝防火墻時整個系統(tǒng)是正常的，所以查找故障的焦點要放在安裝防火墻以后有無更改過防火墻參數(shù)。此即故障排除經(jīng)驗中的所謂“動則有過”故障查找原則。如果能弄清網(wǎng)管人員都動過哪些參數(shù)和設(shè)置，查找故障的工作會便捷得多。經(jīng)常讓人感到遺憾且奇怪的是，多數(shù)維護管理人員都不會承認(rèn)更動過網(wǎng)絡(luò)的任何設(shè)置，這次也同以往一樣。

用網(wǎng)絡(luò)測試儀連續(xù)作ICMP類型PING測試發(fā)現(xiàn)，Web服務(wù)器是存在的，且反應(yīng)率為***。說明Web服務(wù)器在網(wǎng)絡(luò)上且可以正常工作。同時用網(wǎng)絡(luò)一點通One Touch選擇Web服務(wù)器的IP地址為目標(biāo)地址發(fā)送流量，啟動網(wǎng)絡(luò)測試儀的協(xié)議分析功能，發(fā)現(xiàn)數(shù)據(jù)幀指向防火墻以后就沒有任何反應(yīng)了：任何回應(yīng)數(shù)據(jù)幀都未出現(xiàn)。將網(wǎng)絡(luò)助理One Touch的IP地址設(shè)置成任何一個已經(jīng)存在的有權(quán)用戶的IP地址，然后對Web服務(wù)器發(fā)送流量，這時網(wǎng)絡(luò)測試儀可以觀察到防火墻有回應(yīng)數(shù)據(jù)幀出現(xiàn)。這說明防火墻對合法IP地址的有權(quán)用戶是有反應(yīng)的，但一般返回的數(shù)據(jù)幀是非法用戶的提示信息。注意到前述現(xiàn)象中提到過只有防火墻能訪問Web服務(wù)器，我們就將網(wǎng)絡(luò)測試儀的MAC地址改為與防火墻相同的MAC地址，用網(wǎng)絡(luò)測試儀假冒防火墻進入網(wǎng)絡(luò)，啟動網(wǎng)段搜索時則可以看到久別了的Web服務(wù)器。

以上現(xiàn)象說明，該防火墻的功能比較強，除了能過濾IP地址外，還能對各站點的MAC地址進行過濾，以防止“擁有合法IP地址的非法用戶”進入系統(tǒng)，是一個比較好的“看門人”。但讓人疑惑的是昨天安裝防火墻時，網(wǎng)絡(luò)管理人員只啟動了IP包過濾功能，并未啟動MAC地址鑒別功能，那么，MAC地址濾波功能是誰啟動的呢?答案是：不得而知。查看防火墻幫助文件，按提示按下format下拉列表中的MAC地址過濾菜單，關(guān)閉MAC地址過濾功能，系統(tǒng)隨即恢復(fù)正常。

故障總結(jié)

不少防火墻是靠對IP地址進行過濾和用戶密碼識別等方法來鑒別有權(quán)用戶及其合法性等級的，一般不對網(wǎng)卡的MAC地址進行識別。對于具有固定用戶的Intranet網(wǎng)絡(luò)，具有MAC地址過濾功能的防火墻是非常有效的，它可以阻止對網(wǎng)絡(luò)的各種試探性進攻。在該網(wǎng)絡(luò)中對于Internet用戶，這一功能不能啟用，否則會造成正常用戶的訪問被屏蔽。 #p#

案例2：數(shù)據(jù)中心服務(wù)器造成的廣播風(fēng)暴

故障現(xiàn)象

這次的客戶是本市某醫(yī)院。醫(yī)院各科室與電腦中心的聯(lián)絡(luò)基本中斷，只偶爾有部分?jǐn)?shù)據(jù)交互能達成，但速度很慢，不知何故。由于電腦中心的網(wǎng)管系統(tǒng)也陷于癱瘓狀態(tài)，無法觀察任何網(wǎng)上設(shè)備的情況。

網(wǎng)絡(luò)結(jié)構(gòu)

該醫(yī)院的網(wǎng)絡(luò)也是由我們承建的，其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜。整個網(wǎng)絡(luò)設(shè)置三臺核心WS-C6509交換機，分別位于三座建筑的設(shè)備間，三臺核心交換機通過千兆單模光纖互連。另外，還有一個數(shù)據(jù)中心，該中心部署了一臺服務(wù)器，各科室與這臺服務(wù)器進行數(shù)據(jù)的交互。

故障診斷

詢問各科室網(wǎng)絡(luò)內(nèi)部工作情況，回答正常，只是與數(shù)據(jù)中心服務(wù)器的數(shù)據(jù)交互動作無法實現(xiàn)?？梢曰緮喽ü收暇驮谥行牡挠嬎銠C系統(tǒng)中。中心除了配置有HP公司的網(wǎng)管軟件OpenView外，沒有再配備其它任何網(wǎng)絡(luò)維護工具。所以一旦網(wǎng)管系統(tǒng)不能正常工作，運行維護人員也就無從下手。東城區(qū)和西城區(qū)的網(wǎng)絡(luò)主服務(wù)器分別在兩個不同的網(wǎng)段中，之間用交換器連接起來。全城結(jié)算主機與東城區(qū)主服務(wù)器在同一網(wǎng)段。用F683網(wǎng)絡(luò)測試儀接入東城區(qū)正常工作的網(wǎng)段觀察，發(fā)現(xiàn)Cisco5500交換機的Plot3Port4(第3插槽的第4端口)有異常流量，而該端口連接的正是西城區(qū)主服務(wù)器和網(wǎng)管系統(tǒng)所在的網(wǎng)段。為更仔細(xì)地觀察此網(wǎng)段的工作情況，將F683網(wǎng)絡(luò)測試儀和協(xié)議診斷器PI接入該網(wǎng)段，測得網(wǎng)絡(luò)持續(xù)流量為97%，其中錯誤幀占98%。錯誤類型為短幀40%，幀常50～60字節(jié)不等，長幀58%，幀長3000～5200字節(jié)不等，并報告了出錯機器的Mac地址。依此地址查找對應(yīng)的機器，遺憾的是該電腦中心沒有Mac地址備份表(只有IP地址和符號名對應(yīng)表)。試著用ICMP的Ping查找網(wǎng)管機和服務(wù)器，顯示Mac地址對應(yīng)的是服務(wù)器的IP地址。重裝服務(wù)器網(wǎng)卡驅(qū)動程序，無效，用F683測試服務(wù)器端口，協(xié)議顯示Unknown，更換服務(wù)器網(wǎng)卡，重裝驅(qū)動程序并設(shè)置響應(yīng)參數(shù)，重啟系統(tǒng)即恢復(fù)正常。

故障總結(jié)

服務(wù)器網(wǎng)卡已經(jīng)損壞，發(fā)出的數(shù)據(jù)幀錯誤率為98%，只有不足1%的數(shù)據(jù)正常。所以網(wǎng)絡(luò)偶爾還有數(shù)據(jù)交互可以達成。我們知道，超長幀有封閉網(wǎng)絡(luò)的作用，主要是引起網(wǎng)絡(luò)速度變慢或網(wǎng)絡(luò)癱瘓，而短幀達到一定流量則會對網(wǎng)絡(luò)設(shè)備的工作協(xié)議造成一定程度的破壞，引起設(shè)備死機(實際測試中發(fā)現(xiàn)工作站對此更敏感些)。

網(wǎng)絡(luò)故障千奇百怪，已經(jīng)完全超長了我們的想象。如果快速高效地排除故障呢?我的排故心得是：冷靜分析、故障隔離、軟硬兼施、積累經(jīng)驗。

【編輯推薦】

1. 主動式網(wǎng)絡(luò)管理“粉碎”網(wǎng)絡(luò)故障
2. 升級導(dǎo)致網(wǎng)絡(luò)故障經(jīng)典案例引發(fā)網(wǎng)管員深思