信息網(wǎng)絡(luò)結(jié)構(gòu)等交換機常見故障的解決方法，邊界路由設(shè)置不當，導(dǎo)致交換機無法管理。筆者將會從信息網(wǎng)絡(luò)結(jié)構(gòu)，交換機常見故障現(xiàn)象描述，交換機常見故障分析，交換機常見故障處理。

我們公司的技術(shù)人員在為某單位集成跨區(qū)域信息網(wǎng)時，由于在調(diào)測過程中對一臺邊緣路由器路由設(shè)置不當，而造成信息網(wǎng)交換機無法管理。這例網(wǎng)絡(luò)故障的排錯讓我們的技術(shù)人員大傷腦筋。由于這個案例比較典型，而且其排錯過程可供借鑒，因此寫下來與大家分享。

信息網(wǎng)絡(luò)結(jié)構(gòu)

為了便于大家了解排錯過程，筆者先對該單位的網(wǎng)絡(luò)結(jié)構(gòu)做一番介紹。該單位組建跨區(qū)域信息網(wǎng)，實現(xiàn)該單位所屬部門內(nèi)部聯(lián)網(wǎng)，采用一條100Mb/s專線通過防火墻實現(xiàn)寬帶網(wǎng)絡(luò)接人。在進行網(wǎng)絡(luò)集成時，為便于調(diào)試技術(shù)人員在A地信息網(wǎng)邊緣節(jié)點通過五類線和寬帶網(wǎng)絡(luò)實現(xiàn)物理聯(lián)接。

兩個網(wǎng)絡(luò)之間的路由不進行互通，只在互聯(lián)地址(192.168.17.56/30)實現(xiàn)對信息網(wǎng)所有交換機常見故障的管理該單位信息網(wǎng)。信息網(wǎng)IP地址分配原則如下：交換機管理和互聯(lián)IP地址采用192.168.16.0/22網(wǎng)段，用戶接入網(wǎng)絡(luò)IP地址采用10.18.0.0/15網(wǎng)段。

交換機常見故障現(xiàn)象描述

該單位的技術(shù)人員在對所有二層交換機登錄時發(fā)現(xiàn)，所有二層交換機管理地址都無法進行正常登錄，速度明顯變慢。技術(shù)人員在對交換機的管理地址采用PING命令測試時發(fā)現(xiàn)所有交換機均能正常PING通。

在出現(xiàn)該情況后，技術(shù)人員對所有二層交換機進行了關(guān)電重啟，所有交換機均恢復(fù)正常管理。但經(jīng)過約半天時間后，所有交換機又出現(xiàn)無法正常管理的現(xiàn)象，經(jīng)過多次重啟測試后，仍無法解決該故障現(xiàn)象。

交換機常見故障分析

鑒于以上故障現(xiàn)象，考慮到該故障是該網(wǎng)絡(luò)普遍存在的現(xiàn)象，我們按以下方式進行了分析。

◆首先，鑒于所有交換機均存在無法管理的現(xiàn)象，為保證故障定位的準確性，我們?nèi)詫σ慌_交換機進行了更換;同時，將更換下來的交換機接至單獨的網(wǎng)絡(luò)環(huán)境，經(jīng)過一段時間的觀察后發(fā)現(xiàn)，接至單獨網(wǎng)絡(luò)的交換機可以正常管理，而新接至信息網(wǎng)絡(luò)的交換機仍無法實現(xiàn)正常管理。根據(jù)以上現(xiàn)象，排除了交換機本身出現(xiàn)故障的可能性。

◆在排除了交換機出現(xiàn)交換機常見故障的可能性后，我們對全網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)狀況進行了分析?？紤]到所有的用戶均能正常上網(wǎng)，我們將其中一臺交換機的管理地址設(shè)置用戶網(wǎng)段的地址(IP地址：10.18.9.2，網(wǎng)關(guān)地址：10.18.9.1)，在經(jīng)過一段時間的觀察后發(fā)現(xiàn)，只有更換為用戶網(wǎng)段(10.18.9.0網(wǎng)段)地址的交換機可以實現(xiàn)正常管理。

◆針對以上現(xiàn)象進行分析后，我們認為可能是192.168.16.0/22網(wǎng)段的地址受到攻擊所致。為便于對該故障現(xiàn)象進行分析，我們在該信息網(wǎng)絡(luò)出口采用網(wǎng)絡(luò)監(jiān)聽軟件對出入該網(wǎng)絡(luò)的數(shù)據(jù)包進行分析。

◆考慮到出口的數(shù)據(jù)量較大，為便于分析問題，我們只對192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152和10.18.9.2等管理地址流入和流出的數(shù)據(jù)包進行監(jiān)控。

◆在對上行端口的數(shù)據(jù)包監(jiān)聽后發(fā)現(xiàn)，該端口上只有源地址為192.168.18.147、192.168.18.148、192.168.18.149、192.168.18.150、192.168.18.151、192.168.18.152網(wǎng)段的管理地址，而目的地址為合法地址的數(shù)據(jù)包，且源端口均為80端口。

◆而管理地址為10.18.9.2的管理地址卻無任何數(shù)據(jù)包流入和流出，這顯然是一種有目的地針對192.168.18.O/16網(wǎng)段進行攻擊的行為。根據(jù)上面的分析，我們可以看出交換機的源地址向防火墻之外的地址發(fā)送了數(shù)據(jù)包，而作為交換機本身是不可能直接向外發(fā)送數(shù)據(jù)包的。因而必定存在一個“源”觸發(fā)交換機不斷地發(fā)送數(shù)據(jù)包，從而極大地消耗了交換機的資源，而造成交換機無法管理。

◆為進一步分析問題，我們針對一臺管理地址為192.168.18.150的交換機(該交換機端口不接任何用戶，以便于進行分析)的上行口進行數(shù)據(jù)包監(jiān)測，在監(jiān)測過程中發(fā)現(xiàn)流人和流出該上行口的數(shù)據(jù)包均為192.168.18.15O流向合法地址，以及合法地址流向192.168.18.150。

◆通過以上分析，根據(jù)防火墻的特點(防火墻在采用地址轉(zhuǎn)換后，源地址不可能為合法地址)，我們可以判斷，流人和流出交換機的數(shù)據(jù)包所經(jīng)過的路徑不一樣，從而排除外網(wǎng)通過防火墻進行攻擊的可能性。

◆通過以上分析后，我們對網(wǎng)絡(luò)結(jié)構(gòu)再次進行了仔細的分析。為便于網(wǎng)絡(luò)調(diào)測，在A地邊緣節(jié)點有一端口聯(lián)至寬帶互聯(lián)網(wǎng)的邊緣路由器，仔細查看該路由器的配置和路由表，發(fā)現(xiàn)

◆192.168.18.0/23的靜態(tài)路由設(shè)置錯誤，導(dǎo)致該段地址的路由都注入了該路由器，并通過路由到達信息網(wǎng)管理地址為192.168.18.0/23段的交換機。從寬帶網(wǎng)上的攻擊數(shù)據(jù)通過A地流向該信息網(wǎng)的交換機，交換機返回的數(shù)據(jù)又通過防火墻流向?qū)拵Щヂ?lián)網(wǎng)。

交換機常見故障處理

基于上面的分析，處理交換機常見故障就變得非常簡單了。將寬帶網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的連接電纜斷開，并對所有二層交換機重啟后，所有交換機管理恢復(fù)正常，故障排除?？偨Y(jié)：通過對該故障的分析，可以看出，在配置網(wǎng)絡(luò)過程中，一定要注意仔細考慮路由的配鼉和清晰了解整個網(wǎng)絡(luò)的結(jié)構(gòu)。

同時，在出現(xiàn)網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)上出現(xiàn)大量不正常數(shù)據(jù)包后.為排除交換機常見故障點，必須在對IP協(xié)議了解的基礎(chǔ)上，通過網(wǎng)絡(luò)監(jiān)聽軟件在網(wǎng)絡(luò)出口處和攻擊點對數(shù)據(jù)包進行監(jiān)聽，通過對網(wǎng)絡(luò)結(jié)構(gòu)和不正常數(shù)據(jù)包流向的仔細分析，判斷故障點所在。