本期分享的案例是有線網(wǎng)絡(luò)的相關(guān)問題。

1. 背景介紹

某企業(yè)為提升辦公效率，計劃對老舊辦公區(qū)域網(wǎng)絡(luò)進(jìn)行升級改造，確保至少80臺辦公設(shè)備能穩(wěn)定連接網(wǎng)絡(luò)。該辦公區(qū)域有100臺辦公電腦，使用年限超八年，部分電腦運(yùn)行緩慢，此次主要工作是升級電腦硬件并排查網(wǎng)絡(luò)隱患。

拓?fù)湟彩呛芎唵危?/p>

• 光貓—路由器—交換機(jī)—所有的辦公電腦
• 網(wǎng)段：192.168.1.0/24

2. 故障現(xiàn)象

在升級完5臺電腦硬件后進(jìn)行網(wǎng)絡(luò)連接測試，發(fā)現(xiàn)這5臺電腦顯示已連接公司網(wǎng)絡(luò)，但無法訪問公司內(nèi)部服務(wù)器和外網(wǎng)，基礎(chǔ)排查，這些電腦均獲取到了正確網(wǎng)段（192.168.1.x）的IP地址，然而ping網(wǎng)關(guān)（192.168.1.1）時出現(xiàn)超時情況。

使用測線儀檢查網(wǎng)線質(zhì)量，八芯全通。

3. 排查分析

第一步：基礎(chǔ)對比分析

網(wǎng)絡(luò)技術(shù)人員深入排查，發(fā)現(xiàn)關(guān)鍵點(diǎn)：

• 內(nèi)網(wǎng)的新舊電腦之間是能通的；
• 新電腦訪問不了路由器也上不了網(wǎng)
• 舊電腦卻可以正常訪問路由器和上網(wǎng)。

基本結(jié)論：說明新電腦是正常接入網(wǎng)絡(luò)的，交換機(jī)轉(zhuǎn)發(fā)正常，猜測是路由器對新電腦做了相關(guān)限制。

那么新舊電腦有之間有什么區(qū)別呢？

拋開硬件不談，網(wǎng)絡(luò)層面的區(qū)別是IP和MAC地址，這不禁就讓我們聯(lián)想到IP-MAC綁定了。

第二步：檢查路由器ARP綁定設(shè)置

登錄路由器的Web頁面，發(fā)現(xiàn)MAC地址綁定列表的“白名單”中，部分故障電腦的IP-MAC地址與已淘汰的舊設(shè)備綁定在一起。

所以ARP白名單的IP-MAC地址與新電腦不符，故新設(shè)備無法正常上網(wǎng)。

第三步：問題溯源

經(jīng)調(diào)查，路由器是三年前從另一個廢棄辦公區(qū)域搬來的，當(dāng)時直接沿用了舊配置，導(dǎo)致過去淘汰設(shè)備的MAC地址綁定信息依然存在，新設(shè)備獲取IP時與這些殘留綁定產(chǎn)生沖突。

4. 原理及解決方案

(1) 故障原理

舊路由器的綁定設(shè)置中，同一MAC地址被錯誤地關(guān)聯(lián)到多個不同的IP；新電腦通過DHCP獲取IP時，路由器優(yōu)先分配“僵尸IP”；這些“僵尸IP”對應(yīng)的MAC地址是舊的錯誤參數(shù)，使得網(wǎng)絡(luò)數(shù)據(jù)無法正常傳輸，導(dǎo)致網(wǎng)絡(luò)連接失敗。

(2) 解決方案

針對新舊電腦全局做IP-MAC綁定白名單，保證正常的辦公上網(wǎng)需求。

(3) 經(jīng)驗教訓(xùn)

• 網(wǎng)絡(luò)設(shè)備維護(hù)要定期進(jìn)行，建議每季度檢查一次MAC綁定情況；
• 設(shè)備淘汰時，務(wù)必及時刪除其在網(wǎng)絡(luò)設(shè)備中的綁定信息；
• 遇到類似網(wǎng)絡(luò)連接問題，優(yōu)先檢查網(wǎng)關(guān)配置是否正確、MAC地址與設(shè)備實(shí)際是否相符、網(wǎng)絡(luò)設(shè)備中是否存在沖突的綁定設(shè)置。