核心交換機(jī)是目前最常用的一種組網(wǎng)設(shè)備，其安全性能也是不錯(cuò)的，但如果我們使用不當(dāng)，也會(huì)引起一些問(wèn)題，Internet網(wǎng)絡(luò)上既有藍(lán)天白云，也有潛流暗壑，稍微不注意的話，各式各樣的網(wǎng)絡(luò)病毒可能就會(huì)“不請(qǐng)自來(lái)”。而局域網(wǎng)網(wǎng)絡(luò)中一旦遭遇了網(wǎng)絡(luò)病毒的襲擊，輕則上網(wǎng)速度不正常，嚴(yán)重時(shí)整個(gè)網(wǎng)絡(luò)都能發(fā)生崩潰現(xiàn)象。

要想保證局域網(wǎng)網(wǎng)絡(luò)始終能夠穩(wěn)定運(yùn)行，我們必須想法設(shè)法拒絕網(wǎng)絡(luò)病毒在局域網(wǎng)中進(jìn)行大面積傳播;這不，筆者曾經(jīng)遭遇過(guò)一則局域網(wǎng)不能上網(wǎng)故障，經(jīng)過(guò)不懈追查之后，竟然發(fā)現(xiàn)是由幾個(gè)來(lái)歷不明的網(wǎng)絡(luò)病毒修改網(wǎng)關(guān)地址引起的，現(xiàn)在就把該故障的詳細(xì)解決方案貢獻(xiàn)出來(lái)，供各位朋友借鑒、交流!

故障現(xiàn)象

單位局域網(wǎng)采用MyPowerS3026G型號(hào)的普通樓層交換機(jī)，將位于大樓一、二、三層中的所有計(jì)算機(jī)全部連接起來(lái)，這些樓層交換機(jī)全部連接到單位的核心交換機(jī)中，核心交換機(jī)又通過(guò)天融信硬件防火墻與Internet網(wǎng)絡(luò)進(jìn)行了連接。由于單位交換機(jī)都支持即插即用功能，網(wǎng)絡(luò)管理員對(duì)它們沒(méi)有進(jìn)行任何配置，就直接連接到局域網(wǎng)網(wǎng)絡(luò)中;在這種連接狀態(tài)下，局域網(wǎng)中所有樓層的計(jì)算機(jī)相互之間都能訪問(wèn)，這樣一來(lái)單位同事們經(jīng)常利用局域網(wǎng)網(wǎng)絡(luò)進(jìn)行共享交流。剛開(kāi)始的時(shí)候，局域網(wǎng)運(yùn)行一直很穩(wěn)定;最近不知道由于什么緣故，單位所有計(jì)算機(jī)都不能通過(guò)局域網(wǎng)進(jìn)行共享訪問(wèn)Internet網(wǎng)絡(luò)了，不過(guò)相互之間它們卻能夠正常訪問(wèn)。

分析解決

對(duì)于這種故障現(xiàn)象，筆者想當(dāng)然地認(rèn)為問(wèn)題肯定出在硬件防火墻或核心交換機(jī)上，而與普通計(jì)算機(jī)的上網(wǎng)設(shè)置以及網(wǎng)絡(luò)線纜連通性沒(méi)有任何關(guān)系;不過(guò)，當(dāng)筆者斷開(kāi)所有樓層交換機(jī)以及單位的服務(wù)器或重要工作站，僅讓一臺(tái)工作狀態(tài)正常的筆記本電腦與核心交換機(jī)保持連接時(shí)，該筆記本電腦卻能夠正常訪問(wèn)Internet網(wǎng)絡(luò)，顯然核心交換機(jī)與硬件防火墻的工作狀態(tài)也是正常的。那問(wèn)題究竟出現(xiàn)在什么地方呢?

考慮到局域網(wǎng)中的所有計(jì)算機(jī)都不能上網(wǎng)，筆者估計(jì)可能出現(xiàn)了網(wǎng)絡(luò)環(huán)路，或者存在類似ARP這樣的網(wǎng)絡(luò)病毒，只有這些因素才能造成整個(gè)局域網(wǎng)大面積不能正常上網(wǎng)。由于網(wǎng)絡(luò)環(huán)路故障排查起來(lái)相對(duì)復(fù)雜一些，筆者打算先從網(wǎng)絡(luò)病毒因素開(kāi)始查起;想到做到，筆者立即與其他幾個(gè)單位員工分頭行動(dòng)，使用最新版本的殺毒軟件依次對(duì)每一臺(tái)普通工作站進(jìn)行病毒查殺操作;經(jīng)過(guò)一番持久戰(zhàn)，潛藏在局域網(wǎng)中的許多病毒的確被我們消滅干凈了。原本以為解決了網(wǎng)絡(luò)病毒，局域網(wǎng)不能上網(wǎng)的故障現(xiàn)象也應(yīng)該自動(dòng)消除了，可是重新將所有計(jì)算機(jī)接入到單位局域網(wǎng)中后，發(fā)現(xiàn)上述故障現(xiàn)象依然存在，難道這樣的故障現(xiàn)象真的與網(wǎng)絡(luò)病毒沒(méi)有任何關(guān)系?

之后，筆者打算檢查局域網(wǎng)中是否存在網(wǎng)絡(luò)環(huán)路現(xiàn)象。經(jīng)過(guò)仔細(xì)分析，筆者認(rèn)為要是某個(gè)交換端口下面的子網(wǎng)絡(luò)存在網(wǎng)絡(luò)環(huán)路現(xiàn)象時(shí)，那么對(duì)應(yīng)交換端口的輸入、輸出流量都應(yīng)該很大才對(duì);基于這樣的認(rèn)識(shí)，筆者立即進(jìn)入單位局域網(wǎng)的核心交換機(jī)后臺(tái)管理系統(tǒng)，利用該系統(tǒng)自帶的診斷功能，對(duì)每一個(gè)交換端口進(jìn)行了掃描檢查，從反饋回來(lái)的結(jié)果中筆者發(fā)現(xiàn)每一個(gè)交換端口的輸入、輸出流量正常，這說(shuō)明網(wǎng)絡(luò)環(huán)路現(xiàn)象也不存在。

在萬(wàn)般無(wú)奈之下，筆者任意找了一臺(tái)故障計(jì)算機(jī)，利用系統(tǒng)自帶的ping、tracert等命令，對(duì)局域網(wǎng)網(wǎng)關(guān)地址進(jìn)行了跟蹤測(cè)試，結(jié)果發(fā)現(xiàn)系統(tǒng)竟然會(huì)去尋找一個(gè)并不存在的網(wǎng)關(guān)地址，顯然計(jì)算機(jī)系統(tǒng)中存在網(wǎng)絡(luò)病毒，那么為什么殺毒軟件沒(méi)有將這些病毒掃描出來(lái)呢?經(jīng)過(guò)上網(wǎng)搜索，筆者得知網(wǎng)絡(luò)存在一種特殊的網(wǎng)絡(luò)病毒，它們專門(mén)修改局域網(wǎng)的網(wǎng)關(guān)地址，造成計(jì)算機(jī)無(wú)法上網(wǎng)，并且這種網(wǎng)絡(luò)病毒可以躲避殺毒軟件的“圍剿”，這也是我們使用殺毒軟件沒(méi)有找到該網(wǎng)絡(luò)病毒的原因。后來(lái)，筆者按照網(wǎng)上提供的方案將該網(wǎng)絡(luò)病毒清除后，故障計(jì)算機(jī)果然能夠正常上網(wǎng)了;按照相同的處理方法，其他計(jì)算機(jī)無(wú)法上網(wǎng)故障一一被解決了。

深入應(yīng)對(duì)

雖然上述故障已經(jīng)被解決了，但是該局域網(wǎng)無(wú)法阻止網(wǎng)絡(luò)病毒大面積傳播的事實(shí)，警醒了筆者和同事;為了提升網(wǎng)絡(luò)運(yùn)行安全性，確保網(wǎng)絡(luò)運(yùn)行穩(wěn)定性，筆者決定對(duì)單位局域網(wǎng)組網(wǎng)方式進(jìn)行適當(dāng)調(diào)整，以便讓每個(gè)樓層的交換端口相互隔離，從而拒絕網(wǎng)絡(luò)病毒在局域網(wǎng)中的快速傳播。

由于MyPowerS3026G型號(hào)的交換機(jī)共包含26個(gè)交換端口，筆者打算使用每個(gè)樓層交換機(jī)的25、26兩個(gè)端口，級(jí)聯(lián)到單位局域網(wǎng)的核心交換機(jī)上，其他的交換端口全部設(shè)置為隔離端口，單位中的所有普通計(jì)算機(jī)全部連接到隔離端口上，那樣一來(lái)局域網(wǎng)中的所有普通計(jì)算機(jī)之間就只能通過(guò)核心交換機(jī)訪問(wèn)Internet網(wǎng)絡(luò)，它們相互之間就不能進(jìn)行訪問(wèn)了，這樣可以保證網(wǎng)絡(luò)病毒無(wú)法大面積傳播了?？紤]到單位局域網(wǎng)中還有一些服務(wù)器和重要工作站，為了讓普通用戶能訪問(wèn)到它們，筆者決定將核心交換機(jī)的1、2、3、4、5、6端口設(shè)置為共享端口，這些端口連接單位服務(wù)器或重要工作站，25、26兩個(gè)端口作為上行連接端口，用于連接局域網(wǎng)中的硬件防火墻，其他交換端口設(shè)置為隔離端口，全部用來(lái)連接普通的樓層交換機(jī)或者普通計(jì)算機(jī)。

基于這樣的思路，筆者使用百兆雙絞線將位于大樓一、二、三層中的樓層交換機(jī)上行端口，全部連接到核心交換機(jī)的7-24端口上，將核心交換機(jī)的上行端口連接到天融信硬件防火墻的接口上，將單位中的重要工作站和各種服務(wù)器連接到核心交換機(jī)的1、2、3、4、5、6端口上，以便讓所有普通的計(jì)算機(jī)都能共享訪問(wèn)到，所有計(jì)算機(jī)都位于同一個(gè)網(wǎng)段之中。

在完成上面的物理連接之后，筆者使用MyPowerS3026G交換機(jī)自帶的控制線纜連接到核心交換機(jī)后臺(tái)管理系統(tǒng)，同時(shí)進(jìn)入該系統(tǒng)的全局配置狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“isolate-portallowedethernet0/0/1-6;25;26”，將核心交換機(jī)的1、2、3、4、5、6端口設(shè)置為共享端口，將25、26兩個(gè)端口作為上行連接端口;接著切換進(jìn)入指定網(wǎng)段，例如假設(shè)執(zhí)行“vlan10”字符串命令，將交換機(jī)切換到vlan10網(wǎng)段配置狀態(tài)，再執(zhí)行字符串命令“switchportinterfaceethernet0/0/1-26”，將核心交換機(jī)的其他交換端口配置成隔離端口，之后依次執(zhí)行“exit”、“write”命令，完成上述配置的保存操作，最后使用“reload”命令完成上述配置的重新加載工作，那樣一來(lái)核心交換機(jī)的各項(xiàng)配置就能正式生效了。

按照同樣的操作方法，在普通樓層交換機(jī)的全局配置狀態(tài)下，執(zhí)行“isolate-portallowedethernet0/0/25;26”字符串命令，將樓層交換機(jī)的25、26兩個(gè)端口設(shè)置為上行端口，執(zhí)行“switchportinterfaceethernet0/0/1-26”字符串命令，將其他端口全部設(shè)置為隔離端口，最后再加載、保存好上述交換配置。

經(jīng)過(guò)上述重新連接以及交換配置操作后，局域網(wǎng)中的所有普通用戶只能通過(guò)局域網(wǎng)訪問(wèn)Interent網(wǎng)絡(luò)，同時(shí)也能夠訪問(wèn)局域網(wǎng)中的服務(wù)器或重要工作站，但是不能訪問(wèn)其他普通計(jì)算機(jī)，而局域網(wǎng)中的服務(wù)器或重要工作站卻能夠訪問(wèn)所有普通計(jì)算機(jī)，如此一來(lái)日后普通計(jì)算機(jī)中即便存在網(wǎng)絡(luò)病毒，也不會(huì)通過(guò)網(wǎng)絡(luò)發(fā)生大面積的病毒傳播，那么局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行安全性就能得到保證了，同時(shí)網(wǎng)絡(luò)訪問(wèn)更加暢通了。