【51CTO.com獨(dú)家特稿】遭遇上網(wǎng)不正常現(xiàn)象

近日，筆者所在單位局域網(wǎng)遇到了一則非常奇怪的故障，那就是有七八臺(tái)電腦突然不能正常訪問(wèn)病毒服務(wù)器，那樣一來(lái)就無(wú)法正常在線更新病毒庫(kù)了，特別是在訪問(wèn)高峰期時(shí)段，幾乎所有電腦的上網(wǎng)速度都很緩慢。剛剛開始的時(shí)候，筆者也沒有太在意，并且簡(jiǎn)單地認(rèn)為重新啟動(dòng)一下防病毒服務(wù)器，就能解決問(wèn)題了，可是重啟以后，上面的故障并沒有消失，難道是防病毒服務(wù)器與局域網(wǎng)中的網(wǎng)絡(luò)連接同時(shí)出現(xiàn)了問(wèn)題？
   
查看病毒服務(wù)器狀態(tài)

由于單位局域網(wǎng)規(guī)模比較大，大約有120臺(tái)電腦，這些電腦分別連接到八臺(tái)二層交換機(jī)上，這些交換機(jī)通過(guò)千兆多模光纖，全部連接到局域網(wǎng)的路由器上，并通過(guò)本地電信的寬帶光纖網(wǎng)線直接訪問(wèn)外網(wǎng)。為了確保網(wǎng)絡(luò)應(yīng)用能夠順利開展，筆者為每一臺(tái)電腦分配了固定的上網(wǎng)地址，同時(shí)局域網(wǎng)中還部署了網(wǎng)絡(luò)版防毒服務(wù)器，平時(shí)所有的電腦都能通過(guò)網(wǎng)絡(luò)完成病毒庫(kù)的在線更新操作?，F(xiàn)在有七八臺(tái)電腦不能通過(guò)網(wǎng)絡(luò)訪問(wèn)病毒服務(wù)器，而其他能訪問(wèn)的電腦，速度也沒有以往那樣快，會(huì)不會(huì)是病毒服務(wù)器自身工作狀態(tài)不正常呢？為了弄清楚病毒服務(wù)器的工作狀態(tài)是否正常，筆者登入該服務(wù)器，運(yùn)行其中的事件查看器程序，查看相關(guān)的日志記錄，并沒有找到任何異常問(wèn)題；之后，筆者又重新啟動(dòng)了一次病毒服務(wù)器，在啟動(dòng)過(guò)程中，筆者發(fā)現(xiàn)系統(tǒng)也沒有彈出任何錯(cuò)誤的提示信息，或與系統(tǒng)安全相關(guān)的提示信息，看來(lái)上面的故障與病毒服務(wù)器無(wú)關(guān)。

排查電腦狀態(tài)

既然在訪問(wèn)流量不是很大的情況下，只有少數(shù)電腦不能正常訪問(wèn)病毒服務(wù)器，那會(huì)不會(huì)是這幾臺(tái)電腦自身有問(wèn)題呢？一般來(lái)說(shuō)，影響電腦訪問(wèn)網(wǎng)絡(luò)，最主要的因素就是物理連接因素，具體包括網(wǎng)卡設(shè)備的工作狀態(tài)、網(wǎng)線與網(wǎng)卡之間的接觸可靠性以及物理網(wǎng)線的連通性等。為了對(duì)這方面的因素進(jìn)行排查，筆者隨意找了一臺(tái)訪問(wèn)病毒服務(wù)器不正常的電腦，依次單擊“開始”/“設(shè)置”/“網(wǎng)絡(luò)連接”命令，在彈出的網(wǎng)絡(luò)連接列表窗口中，右擊本地連接圖標(biāo)，從彈出的快捷菜單中執(zhí)行“屬性”命令，進(jìn)入目標(biāo)本地連接屬性設(shè)置窗口，點(diǎn)選其中的TCP/IP協(xié)議選項(xiàng)，在其后彈出的設(shè)置框中，筆者發(fā)現(xiàn)這臺(tái)電腦使用了192.168.1.18這樣的IP地址，而本地網(wǎng)絡(luò)的網(wǎng)關(guān)地址為
192.168.1.1；當(dāng)筆者依次單擊“開始”/“運(yùn)行”命令，在該系統(tǒng)的運(yùn)行對(duì)話框中，嘗試執(zhí)行字符串命令“ping 192.168.1.1”時(shí)，發(fā)現(xiàn)系統(tǒng)提示超時(shí)，再次使用ping命令測(cè)試病毒服務(wù)器的地址192.168.1.250時(shí)，發(fā)現(xiàn)也提示超時(shí)。

在確認(rèn)網(wǎng)絡(luò)故障存在的情況下，筆者認(rèn)為問(wèn)題多半出現(xiàn)在網(wǎng)線上的水晶頭與網(wǎng)卡接口的連接上；為了穩(wěn)妥起見，筆者新制作了一根網(wǎng)線，用該網(wǎng)線替代故障電腦的連接網(wǎng)線進(jìn)行網(wǎng)絡(luò)訪問(wèn)測(cè)試，結(jié)果發(fā)現(xiàn)故障仍然存在，難道是電腦的網(wǎng)卡設(shè)備出現(xiàn)了問(wèn)題？但是這種可能性也不是很大，畢竟這些電腦使用的網(wǎng)卡都是集成網(wǎng)卡，而在沒有進(jìn)行頻繁插拔的情況下，這些網(wǎng)卡設(shè)備發(fā)生集體損壞的可能性很?。皇聦?shí)的確如此，筆者在IP地址為192.168.1.18的電腦中，打開系統(tǒng)設(shè)備管理器窗口，進(jìn)入目標(biāo)網(wǎng)卡設(shè)備的屬性設(shè)置窗口時(shí)，發(fā)現(xiàn)系統(tǒng)提示說(shuō)目標(biāo)網(wǎng)卡設(shè)備工作狀態(tài)一切正常。
   
排除病毒或攻擊因素

在排除故障電腦的物理連接因素以及網(wǎng)卡自身因素后，筆者開始懷疑局域網(wǎng)中可能存在網(wǎng)絡(luò)病毒或其他惡意攻擊因素，因?yàn)檫@些因素都有可能造成局域網(wǎng)中部分電腦不能正常上網(wǎng)，同時(shí)還可能會(huì)影響整個(gè)局域網(wǎng)的上網(wǎng)速度。為了將來(lái)自Internet的惡意攻擊排除在外，筆者先是斷開了路由器與Internet的直接連接；之后，在故障電腦中運(yùn)行網(wǎng)絡(luò)版防病毒程序，嘗試對(duì)不能上網(wǎng)的系統(tǒng)進(jìn)行全面、徹底地病毒查殺操作，并最終找到了一些陌生的網(wǎng)絡(luò)病毒?？墒?，在全部清除病毒后，筆者發(fā)現(xiàn)網(wǎng)關(guān)地址依然無(wú)法ping通，病毒服務(wù)器也不能正確訪問(wèn)。看來(lái)，這則網(wǎng)絡(luò)故障與黑客攻擊以及網(wǎng)絡(luò)病毒都沒有多大的關(guān)系！

偶然發(fā)現(xiàn)DHCP暗中搗亂

在萬(wàn)般無(wú)奈之下，筆者決定暫時(shí)將那臺(tái)使用了192.168.1.18地址的故障電腦帶回到單位機(jī)房進(jìn)行徹底的檢查。偶然中筆者看到了一個(gè)很蹊蹺的現(xiàn)象，那就是故障電腦明明已經(jīng)從局域網(wǎng)中斷開，192.168.1.18地址居然還能夠被ping通，這是怎么回事呢？難道是局域網(wǎng)中另有其他電腦搶用了192.168.1.18這個(gè)IP地址？可是按照網(wǎng)絡(luò)規(guī)則來(lái)說(shuō)，即使其他電腦搶用了192.168.1.18地址，系統(tǒng)也應(yīng)該會(huì)在登錄網(wǎng)絡(luò)時(shí)出現(xiàn)相應(yīng)的提示，并且將后來(lái)的電腦禁用掉，然而筆者現(xiàn)在卻沒有看到這樣的提示。

為了弄清楚究竟是誰(shuí)搶用了192.168.1.18地址，筆者嘗試著在自己的筆記本電腦中以telnet命令，遠(yuǎn)程登錄搶用了192.168.1.18地址的電腦，結(jié)果真的出現(xiàn)了一個(gè)登錄界面，隨意輸入用戶名和密碼后，發(fā)現(xiàn)無(wú)法登錄成功；之后，筆者又打開IE瀏覽器窗口，在該窗口的地址欄中輸入“http://192.168.1.18”，單擊回車鍵后，IE瀏覽器竟然顯示出了一個(gè)交換機(jī)的后臺(tái)登錄界面，難道192.168.1.18地址被局域網(wǎng)中的某臺(tái)交換機(jī)給搶用去了？

由于局域網(wǎng)中所有交換機(jī)的后臺(tái)登錄密碼都相同，筆者立即輸入登錄用戶名和密碼信息，進(jìn)入交換機(jī)后臺(tái)管理系統(tǒng)，經(jīng)過(guò)對(duì)相關(guān)配置的仔細(xì)檢查，筆者發(fā)現(xiàn)該交換機(jī)居然使用的是自動(dòng)獲取IP地址功能，看來(lái)192.168.1.18地址是由局域網(wǎng)中的DHCP服務(wù)器自動(dòng)分配給它的；不過(guò)，局域網(wǎng)中的所有電腦都采用的是靜態(tài)地址，而且以前使用的DHCP服務(wù)器也已經(jīng)被停用了，那么還有什么DHCP服務(wù)器在偷偷給局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備分配上網(wǎng)地址呢？另外一位網(wǎng)管說(shuō)會(huì)不會(huì)是路由器中自帶的DHCP服務(wù)器在暗中搗亂呢？原來(lái)，前一段時(shí)間，筆者出差有事，恰好這段時(shí)間路由器無(wú)故發(fā)生死機(jī)現(xiàn)象，于是另外一位網(wǎng)管嘗試著通過(guò)強(qiáng)制復(fù)位暫時(shí)恢復(fù)了路由器的工作，并且他只對(duì)該設(shè)備進(jìn)行了比較少的配置，其中自帶的DHCP功能可能忘記關(guān)閉了，所以從那以后局域網(wǎng)中就不斷出現(xiàn)上網(wǎng)不正常的現(xiàn)象。

弄清楚具體的故障根源后，筆者立即動(dòng)手進(jìn)入路由器后臺(tái)系統(tǒng)，找到其中的DHCP功能設(shè)置選項(xiàng)，發(fā)現(xiàn)該設(shè)備的確啟用了DHCP功能，于是將該功能關(guān)閉掉，再采用手工方法為交換機(jī)分配了一個(gè)靜態(tài)地址，發(fā)現(xiàn)連接到這臺(tái)交換機(jī)上的所有電腦，上網(wǎng)速度都恢復(fù)正常了。再將192.168.1.18地址的故障電腦重新接入局域網(wǎng)后，該系統(tǒng)不但可以正常ping通局域網(wǎng)的網(wǎng)關(guān)地址，而且也能很迅速地訪問(wèn)病毒服務(wù)器，進(jìn)行在線升級(jí)病毒庫(kù)操作了。按照同樣的方法，筆者又為其他交換機(jī)統(tǒng)一分配了一個(gè)靜態(tài)上網(wǎng)地址，果然其他幾臺(tái)不能上網(wǎng)的電腦也能正常上網(wǎng)了，至此局域網(wǎng)中部分電腦不能上網(wǎng)的故障就被成功解決了。

最后的故障反思

從上面的故障排除過(guò)程來(lái)看，表面上好像是路由器自帶的DHCP服務(wù)器在暗中搗亂，事實(shí)上這種故障是由于網(wǎng)管自身失誤引起的，因?yàn)橐蔷W(wǎng)管事先為每一臺(tái)交換機(jī)分配一個(gè)固定的上網(wǎng)地址，那么路由器的DHCP服務(wù)功能即使沒有被關(guān)閉，它也發(fā)揮不了多大作用，交換機(jī)的工作狀態(tài)自然也不會(huì)受到影響，那么局域網(wǎng)中當(dāng)然也就不會(huì)發(fā)生上面的奇怪現(xiàn)象了。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及作者！】