信息網絡結構等交換機常見故障的解決方法，邊界路由設置不當，導致交換機無法管理。筆者將會從信息網絡結構，交換機常見故障現象描述，交換機常見故障分析，交換機常見故障處理。

我們公司的技術人員在為某單位集成跨區域信息網時，由于在調測過程中對一臺邊緣路由器路由設置不當，而造成信息網交換機無法管理。這例網絡故障的排錯讓我們的技術人員大傷腦筋。由于這個案例比較典型，而且其排錯過程可供借鑒，因此寫下來與大家分享。

信息網絡結構

為了便于大家了解排錯過程，筆者先對該單位的網絡結構做一番介紹。該單位組建跨區域信息網，實現該單位所屬部門內部聯網，采用一條100Mb/s專線通過防火墻實現寬帶網絡接人。在進行網絡集成時，為便于調試技術人員在A地信息網邊緣節點通過五類線和寬帶網絡實現物理聯接。

兩個網絡之間的路由不進行互通，只在互聯地址(192.168.17.56/30)實現對信息網所有交換機常見故障的管理該單位信息網。信息網IP地址分配原則如下：交換機管理和互聯IP地址采用192.168.16.0/22網段，用戶接入網絡IP地址采用10.18.0.0/15網段。

交換機常見故障現象描述

該單位的技術人員在對所有二層交換機登錄時發現，所有二層交換機管理地址都無法進行正常登錄，速度明顯變慢。技術人員在對交換機的管理地址采用PING命令測試時發現所有交換機均能正常PING通。

在出現該情況后，技術人員對所有二層交換機進行了關電重啟，所有交換機均恢復正常管理。但經過約半天時間后，所有交換機又出現無法正常管理的現象，經過多次重啟測試后，仍無法解決該故障現象。

交換機常見故障分析

鑒于以上故障現象，考慮到該故障是該網絡普遍存在的現象，我們按以下方式進行了分析。

◆首先，鑒于所有交換機均存在無法管理的現象，為保證故障定位的準確性，我們仍對一臺交換機進行了更換;同時，將更換下來的交換機接至單獨的網絡環境，經過一段時間的觀察后發現，接至單獨網絡的交換機可以正常管理，而新接至信息網絡的交換機仍無法實現正常管理。根據以上現象，排除了交換機本身出現故障的可能性。

◆在排除了交換機出現交換機常見故障的可能性后，我們對全網的網絡結構和網絡狀況進行了分析。考慮到所有的用戶均能正常上網，我們將其中一臺交換機的管理地址設置用戶網段的地址(IP地址：10.18.9.2，網關地址：10.18.9.1)，在經過一段時間的觀察后發現，只有更換為用戶網段(10.18.9.0網段)地址的交換機可以實現正常管理。

◆針對以上現象進行分析后，我們認為可能是192.168.16.0/22網段的地址受到攻擊所致。為便于對該故障現象進行分析，我們在該信息網絡出口采用網絡監聽軟件對出入該網絡的數據包進行分析。

◆考慮到出口的數據量較大，為便于分析問題，我們只對192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152和10.18.9.2等管理地址流入和流出的數據包進行監控。

◆在對上行端口的數據包監聽后發現，該端口上只有源地址為192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152網段的管理地址，而目的地址為合法地址的數據包，且源端口均為80端口。

◆而管理地址為10.18.9.2的管理地址卻無任何數據包流入和流出，這顯然是一種有目的地針對192.168.18.O/16網段進行攻擊的行為。根據上面的分析，我們可以看出交換機的源地址向防火墻之外的地址發送了數據包，而作為交換機本身是不可能直接向外發送數據包的。因而必定存在一個“源”觸發交換機不斷地發送數據包，從而極大地消耗了交換機的資源，而造成交換機無法管理。

◆為進一步分析問題，我們針對一臺管理地址為192.168.18.150的交換機(該交換機端口不接任何用戶，以便于進行分析)的上行口進行數據包監測，在監測過程中發現流人和流出該上行口的數據包均為192.168.18.15O流向合法地址，以及合法地址流向192.168.18.150。

◆通過以上分析，根據防火墻的特點(防火墻在采用地址轉換后，源地址不可能為合法地址)，我們可以判斷，流人和流出交換機的數據包所經過的路徑不一樣，從而排除外網通過防火墻進行攻擊的可能性。

◆通過以上分析后，我們對網絡結構再次進行了仔細的分析。為便于網絡調測，在A地邊緣節點有一端口聯至寬帶互聯網的邊緣路由器，仔細查看該路由器的配置和路由表，發現

◆192.168.18.0/23的靜態路由設置錯誤，導致該段地址的路由都注入了該路由器，并通過路由到達信息網管理地址為192.168.18.0/23段的交換機。從寬帶網上的攻擊數據通過A地流向該信息網的交換機，交換機返回的數據又通過防火墻流向寬帶互聯網。

交換機常見故障處理

基于上面的分析，處理交換機常見故障就變得非常簡單了。將寬帶網絡和信息網絡的連接電纜斷開，并對所有二層交換機重啟后，所有交換機管理恢復正常，故障排除。總結：通過對該故障的分析，可以看出，在配置網絡過程中，一定要注意仔細考慮路由的配鼉和清晰了解整個網絡的結構。

同時，在出現網絡攻擊或網絡上出現大量不正常數據包后.為排除交換機常見故障點，必須在對IP協議了解的基礎上，通過網絡監聽軟件在網絡出口處和攻擊點對數據包進行監聽，通過對網絡結構和不正常數據包流向的仔細分析，判斷故障點所在。