在管理與維護(hù)局域網(wǎng)的過程中，網(wǎng)絡(luò)管理員遇到各類形形色色的故障是常有的事情，要想快速有效地將網(wǎng)絡(luò)故障排除、解決掉，需要網(wǎng)絡(luò)管理員在日常工作中不斷積累故障排除經(jīng)驗(yàn)。下面就是筆者曾經(jīng)遭遇到的一則奇怪的網(wǎng)絡(luò)故障，現(xiàn)借助本文向各位朋友們介紹如何在日后的網(wǎng)絡(luò)維護(hù)中解決類似的網(wǎng)絡(luò)故障。

故障現(xiàn)象

單位局域網(wǎng)網(wǎng)絡(luò)共分成了三個工作子網(wǎng)，其中10.168.1.0網(wǎng)段被標(biāo)識為A子網(wǎng)，并且該子網(wǎng)專門用于接入單位的各種服務(wù)器主機(jī)，其他所有子網(wǎng)都能訪問該網(wǎng)段中的各個服務(wù)器;另外，10.168.2.0網(wǎng)段被標(biāo)識為B子網(wǎng)，10.168.3.0網(wǎng)段被標(biāo)識為C子網(wǎng)，每一個網(wǎng)段的掩碼地址都為255.255.255.0，同時各個工作子網(wǎng)通過二層交換機(jī)與單位的核心交換機(jī)直接相聯(lián)，并且每一個網(wǎng)段中的所有主機(jī)都能正常訪問網(wǎng)絡(luò)。

最近C子網(wǎng)中的許多工作站在訪問A子網(wǎng)中的服務(wù)器系統(tǒng)時，卻遇到了非常奇怪的現(xiàn)象，具體表現(xiàn)為當(dāng)C子網(wǎng)中的1號工作站、2號工作站、3號工作站訪問A子網(wǎng)中的服務(wù)器出現(xiàn)頻繁掉線現(xiàn)象時，4號工作站、5號工作站、6號工作站訪問相同子網(wǎng)中的服務(wù)器卻很穩(wěn)定。

當(dāng)4號工作站、5號工作站、6號工作站訪問服務(wù)器出現(xiàn)頻繁掉線現(xiàn)象時，1號工作站、2號工作站、3號工作站訪問相同的服務(wù)器系統(tǒng)又恢復(fù)正常了。

然而讓人感到非常意外的是，C子網(wǎng)中的每一臺工作站互相訪問時卻非常正常，而且各自相互訪問的速度還很快。

更讓人吃驚的是，上述網(wǎng)絡(luò)故障一到了晚上就會自動消失，但是白天正常上班期間這種網(wǎng)絡(luò)故障又會毫無規(guī)律性地出現(xiàn)在我們的面前，很顯然這種故障不被徹底根治，將會嚴(yán)重影響單位的日常工作。

故障排除

從上面的故障描述中，我們不難看出同一子網(wǎng)中的每一臺工作站相互訪問時一切正常，這也表明了C子網(wǎng)在網(wǎng)絡(luò)連線上是沒有任何問題的。之后，筆者檢查了連接C子網(wǎng)的二層交換機(jī)以及單位的核心交換機(jī)的參數(shù)配置情況，發(fā)現(xiàn)配置還是以前的配置，于是筆者斷定交換機(jī)的參數(shù)設(shè)置肯定不會出現(xiàn)問題，但想到交換機(jī)工作時間變長之后，很可能出現(xiàn)緩存出錯的故障。

于是筆者不放心，特意將二層交換機(jī)以及單位的核心交換機(jī)的電源暫時斷開一會兒，然后重新啟動交換機(jī)系統(tǒng)，這樣一來保存在各個交換機(jī)緩存中的所有內(nèi)容全部被清除干凈了。經(jīng)過這樣的處理之后，上述網(wǎng)絡(luò)故障突然消失了，筆者原以為網(wǎng)絡(luò)無規(guī)律掉線的故障至此就被順利排除了;可誰知道，過了兩三天后，C子網(wǎng)中又出現(xiàn)了相同的網(wǎng)絡(luò)故障了。

考慮到重新啟動交換機(jī)系統(tǒng)后，網(wǎng)絡(luò)故障的確消失了一段時間，為此筆者認(rèn)定該網(wǎng)絡(luò)故障肯定還是與交換機(jī)有一定的關(guān)系;為了徹底找到引起上述網(wǎng)絡(luò)故障的真正原因，筆者找來了一臺備用的交換機(jī)，并按照C子網(wǎng)先前的網(wǎng)絡(luò)配置設(shè)置好了這臺備用交換機(jī)的工作參數(shù)，之后又按正確的方法將它接入到網(wǎng)絡(luò)中，可是C子網(wǎng)的工作站還是出現(xiàn)了以前的不規(guī)則掉線現(xiàn)象，看來這則故障現(xiàn)象與交換機(jī)毫無關(guān)系。這究竟是什么原因呢?

偶然之間，筆者登錄進(jìn)C子網(wǎng)的一臺工作站系統(tǒng)中，并在該工作站中對C子網(wǎng)的網(wǎng)關(guān)地址執(zhí)行Ping命令測試，測試結(jié)果發(fā)現(xiàn)該網(wǎng)關(guān)地址有時能夠被Ping通，有時無法Ping通;更讓筆者感到困惑的是，在Ping通網(wǎng)關(guān)地址的情況下，筆者又執(zhí)行了一次“arp -a”字符串命令，發(fā)現(xiàn)C子網(wǎng)的網(wǎng)關(guān)MAC地址顯示為00-08-02-65-B7-60，但是在Ping不通網(wǎng)關(guān)地址的情況下，筆者在本地工作站執(zhí)行“arp -a”字符串命令后，發(fā)現(xiàn)發(fā)現(xiàn)C子網(wǎng)的網(wǎng)關(guān)MAC地址竟然變成了0F-01-0E-68-F7-90。

后來筆者不放心，特地從C子網(wǎng)中又找了其他幾臺工作站進(jìn)行測試，結(jié)果發(fā)現(xiàn)C子網(wǎng)的網(wǎng)關(guān)MAC地址變化情形完全相同;按理來說，C子網(wǎng)的網(wǎng)關(guān)MAC地址應(yīng)該是固定不變的，現(xiàn)在怎么會突然發(fā)生了變化呢?事實(shí)上，C子網(wǎng)的網(wǎng)關(guān)MAC地址正確的應(yīng)該為00-08-02-65-B7-60，在無法Ping通C子網(wǎng)的網(wǎng)關(guān)地址時，其MAC地址才變成了0F-01-0E-68-F7-90。

這說明C子網(wǎng)中存在ARP地址欺騙現(xiàn)象，換句話說就是C子網(wǎng)中的某一臺工作站不小心感染了ARP欺騙木馬病毒。當(dāng)局域網(wǎng)中的某工作站感染了ARP木馬病毒后，會自動對局域網(wǎng)中的所有工作站以及缺省網(wǎng)關(guān)進(jìn)行自動欺騙，這么一來所有嘗試訪問網(wǎng)絡(luò)的工作站需要首先連接病毒工作站，從而引起了C子網(wǎng)中的工作站無法正常訪問其他網(wǎng)段中的工作站，當(dāng)然也不能正常訪問A子網(wǎng)中的各臺服務(wù)器主機(jī)了。#p#

故障解決

找到了C子網(wǎng)無規(guī)律掉線原因之后，我們需要想辦法阻止ARP病毒實(shí)施欺騙攻擊。要做到這一點(diǎn)，我們首先要做的就是找出C子網(wǎng)中究竟是哪一臺工作站感染了ARP病毒?？紤]到在Ping不通網(wǎng)關(guān)地址的情況下，C子網(wǎng)的網(wǎng)關(guān)MAC地址由原來的00-08-02-65-B7-60變成了0F-01-0E-68-F7-90，這說明網(wǎng)卡MAC地址為0F-01-0E-68-F7-90的工作站就是我們所要找的故障工作站。

由于C子網(wǎng)中包含的工作站數(shù)量比較多，如果使用手工方法逐一查看每一臺工作站網(wǎng)卡MAC地址時，操作效率肯定非常低下;有鑒于此，筆者從網(wǎng)上找來IP-MacScan地址掃描工具，打開該工具的掃描界面(如圖1所示)。

在該界面左側(cè)顯示區(qū)域輸入C子網(wǎng)的起始IP地址和結(jié)束IP地址，并單擊“開始掃描”按鈕，隨后IP-MacScan地址掃描工具就會自動掃描整個C子網(wǎng)中的所有工作站，并且自動把每一臺工作站的IP地址和MAC地址對應(yīng)關(guān)系記錄顯示出來。

根據(jù)掃描結(jié)果，筆者發(fā)現(xiàn)C子網(wǎng)中的4號工作站網(wǎng)卡MAC地址就是0F-01-0E-68-F7-90，立即將該工作站從局域網(wǎng)中隔離開來，然后重新嘗試在C子網(wǎng)的工作站中訪問A子網(wǎng)的服務(wù)器時，發(fā)現(xiàn)先前的網(wǎng)絡(luò)掉線現(xiàn)象立即消失了，而且持續(xù)半個小時沒有再次發(fā)生，很明顯C子網(wǎng)中的4號工作站就是上述網(wǎng)絡(luò)故障的“罪槐禍?zhǔn)住薄?/P>

為了清除C子網(wǎng)中的4號工作站的ARP病毒，筆者立即對安裝在該系統(tǒng)中的殺毒軟件進(jìn)行了更新，并使用最新版本的殺毒軟件對整個系統(tǒng)進(jìn)行了徹底地病毒查殺，在漫長的殺毒等待之后，還真從對應(yīng)的工作站系統(tǒng)中找到了一些網(wǎng)絡(luò)病毒，可惜的是殺毒軟件均提示無法刪除病毒。

不得已，筆者只好將該工作站重新啟動到安全運(yùn)行模式下，并嘗試在該運(yùn)行模式下重新查殺了一遍病毒，遺憾的是先前能夠發(fā)現(xiàn)的網(wǎng)絡(luò)病毒這一次居然無法找到了，在萬般無奈之下，筆者只好將故障工作站進(jìn)行了格式化操作，之后又重新安裝了操作系統(tǒng)，并將該工作站再次接入到C子網(wǎng)中，到現(xiàn)在為止C子網(wǎng)運(yùn)行一直很正常，至此C子網(wǎng)無規(guī)律掉線的網(wǎng)絡(luò)故障就被徹底解決了。

小提示：

許多工作站都是在上網(wǎng)瀏覽網(wǎng)頁的時候，不小心感染了各種網(wǎng)絡(luò)病毒，為了避免日后在沖浪的時候感染病毒或木馬，我們可以下載MS06-014 中文版系統(tǒng)補(bǔ)丁，下載MS07-017 中文版系統(tǒng)補(bǔ)丁，并將這兩個補(bǔ)丁程序正確安裝到網(wǎng)絡(luò)的每一臺工作站系統(tǒng)中，這樣一來工作站中的IE程序就能免疫絕大多數(shù)網(wǎng)頁木馬和病毒程序了，那么工作站在瀏覽網(wǎng)頁的時候遭遇各種病毒或木馬攻擊的機(jī)率就大大下降了。

【編輯推薦】

1. 切中網(wǎng)絡(luò)要害解決無厘頭網(wǎng)絡(luò)掉線故障
2. 網(wǎng)管應(yīng)急：網(wǎng)吧瞬間掉線故障的解決方法