網(wǎng)管員在工作中遇到的網(wǎng)絡(luò)問(wèn)題，故障現(xiàn)象都是千變?nèi)f化、多種多樣的。所以也不能用單一、固定的方法或知識(shí)去解決它們，必須根據(jù)實(shí)際的故障現(xiàn)象，結(jié)合自己的工作經(jīng)驗(yàn)，運(yùn)用多種方法和知識(shí)靈活的排除故障。下面就是自己在實(shí)際工作中碰到的一則故障實(shí)例，通過(guò)對(duì)故障現(xiàn)象的分析，和故障的排除過(guò)程來(lái)說(shuō)明排除網(wǎng)絡(luò)故障并不是一件簡(jiǎn)簡(jiǎn)單單的事情。

圖1 公司網(wǎng)絡(luò)服務(wù)器部署圖

一、公司網(wǎng)絡(luò)服務(wù)器部署架構(gòu)

單位網(wǎng)絡(luò)中的服務(wù)器部署結(jié)構(gòu)圖，如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性，核心層交換機(jī)使用兩臺(tái)Cisco 4506，通過(guò)Trunk線連接。在核心交換機(jī)上連接有單位重要的服務(wù)器，如安全中心、DHCP、E-MAIL和WEB服務(wù)器等。單位IP地址的部署，使用的是B類(lèi)私有172網(wǎng)段的地址。其中，連接在Cisco 4506A上的FTP服務(wù)器、Web服務(wù)器和流媒體服務(wù)器都是戴爾牌的，打印服務(wù)器是IBM的。連接在Cisco 4506B上的安全中心服務(wù)器和DHCP服務(wù)器是戴爾的，E-Mail服務(wù)器是HP的，認(rèn)證服務(wù)器是IBM的。

兩臺(tái)Cisco 4506之間的連接情況，以及Cisco 4506A和服務(wù)器間的連接情況如下所示：

Cisco 4506A GigabitEthernet 1/1 <----> Cisco 4506B GigabitEthernet 1/1

Cisco 4506A GigabitEthernet 4/1 <----> FTP Server Eth0

Cisco 4506A GigabitEthernet 4/2 <----> Web Server Eth0

Cisco 4506A GigabitEthernet 4/3 <----> 流媒體服務(wù)器Eth0

Cisco 4506A GigabitEthernet 4/4 <----> 打印服務(wù)器 Eth0

Cisco 4506B和服務(wù)器之間的連接情況如下所示：

Cisco 4506B GigabitEthernet 4/1 <----> 安全中心服務(wù)器 Eth0

Cisco 4506B GigabitEthernet 4/2 <----> DHCP Server Eth0

Cisco 4506B GigabitEthernet 4/3 <----> E-Mail Server Eth0

Cisco 4506B GigabitEthernet 4/4 <----> 認(rèn)證服務(wù)器 Eth0

二、核心交換機(jī)的網(wǎng)絡(luò)配置情況

Cisco4506A上的配置：

Cisco4506A#vlan database

Cisco4506A(vlan)#vlan 2

Cisco4506A(vlan)#apply

Cisco4506A (config)#interface range gigabitEthernet 4/1 -4

Cisco4506A (config-if-range)# switchport

Cisco4506A (config-if-range)#switchport access vlan 2

Cisco4506A(config)#int vlan 2

Cisco4506A(config-if)#ip address 172.16.2.252 255.255.255.0

//創(chuàng)建vlan 2的SVI接口，并指定IP地址

Cisco4506A(config-if)#no shutdown

Cisco4506A(config-if)standby 2 priority 250 preempt

Cisco4506A(config-if)standby 2 ip 172.16.2.254

//配置vlan 2的HSRP參數(shù)

Cisco4506A(config)#int vlan 12

Cisco4506A(config-if)#ip address 172.16.12.252 255.255.255.0

Cisco4506A(config-if)#no shutdown

Cisco4506A(config-if)standby 12 priority 250 preempt

Cisco4506A(config-if)standby 12 ip 172.16.12.254

命令"standby 2 priority 250 preempt"中的"priority"是配置HSRP的優(yōu)先級(jí)，2為組序號(hào)，它的取值范圍為0～255，250為優(yōu)先級(jí)的值，取值范圍為0～255，數(shù)值越大優(yōu)先級(jí)越高。

優(yōu)先級(jí)將決定一臺(tái)路由器在HSRP備份組中的狀態(tài)，優(yōu)先級(jí)最高的路由器將成為活動(dòng)路由器，其它優(yōu)先級(jí)低的路由器將成為備用路由器。當(dāng)活動(dòng)路由器失效后，備用路由器將替代它成為活動(dòng)路由器。當(dāng)活動(dòng)和備用路由器都失效后，其它路由器將參與活動(dòng)和備用路由器的選舉工作。優(yōu)先級(jí)都相同時(shí)，接口IP地址高的將成為活動(dòng)路由器。

"preempt"是配置HSRP為搶占模式。如果需要高優(yōu)先級(jí)的路由器能主動(dòng)搶占成為活動(dòng)路由器，則要配置此命令。配置preempt后，能夠保證優(yōu)先級(jí)高的路由器失效恢復(fù)后總能成為活動(dòng)路由器?；顒?dòng)路由器失效后，優(yōu)先級(jí)最高的備用路由器將處于活動(dòng)狀態(tài)，如果沒(méi)有使用preempt技術(shù)，則當(dāng)活動(dòng)路由器恢復(fù)后，它只能處于備用狀態(tài)，先前的備用路由器代替其角色處于活動(dòng)狀態(tài)。

Cisco4506B上的配置：

Cisco4506B#vlan database

Cisco4506B(vlan)#vlan 12

Cisco4506B(vlan)#apply

Cisco4506B (config)#interface range gigabitEthernet 4/1 -4

Cisco4506B (config-if-range)# switchport

Cisco4506B (config-if-range)#switchport access vlan 12

Cisco4506B(config)#int vlan 12

Cisco4506B(config-if)#ip address 172.16.12.253 255.255.255.0

Cisco4506B(config-if)#no shutdown

Cisco4506B(config-if)standby 12 priority 249 preempt

Cisco4506B(config-if)standby 12 ip 172.16.12.254

Cisco4506B(config)#int vlan 2

Cisco4506B(config-if)#ip address 172.16.2.253 255.255.255.0

Cisco4506B(config-if)#no shutdown

Cisco4506B(config-if)standby 2 priority 249 preempt

Cisco4506B(config-if)standby 2 ip 172.16.2.254

三、問(wèn)題的發(fā)生和主要的故障現(xiàn)象

在公司的網(wǎng)絡(luò)中，還部署有入侵檢測(cè)系統(tǒng)IDS和入侵防御系統(tǒng)IPS，在圖1所示的"安全中心"服務(wù)器的瀏覽器中，分別輸入IDS和IPS的管理IP地址后，就可以對(duì)這兩個(gè)安全設(shè)備進(jìn)行管理和設(shè)置，也可以查看這兩個(gè)安全設(shè)備上的一些日志和報(bào)警信息。這也就是在遠(yuǎn)程通過(guò)瀏覽器，用WEB的方式對(duì)安全設(shè)備進(jìn)行遠(yuǎn)程管理和監(jiān)控。網(wǎng)絡(luò)中的IDS設(shè)備是連接到Cisco 4506A的GigabitEthernet 3/1鏡像端口上，在4506A上相關(guān)的配置命令如下所示：

Cisco 4506A (config)#monitor session 1 source vlan 2 , 12 both

Cisco 4506A (config)#monitor session 1 destination interface gigabitEthernet 3/1

在"安全中心"服務(wù)器上，通過(guò)IDS設(shè)備對(duì)圖1中，Vlan 2和Vlan 12兩個(gè)區(qū)域的監(jiān)控，IDS總會(huì)提示IP地址192.168.0.120沖突的告警信息。也就是說(shuō)在圖1中的Vlan 2、Vlan 20中存在兩個(gè)設(shè)備都在使用IP地址192.168.0.120。因?yàn)閺纳厦?506A上的兩行配置命令可以看出IDS只監(jiān)控了Vlan 2和Vlan 20兩個(gè)網(wǎng)段的數(shù)據(jù)。

剛看到告警信息時(shí)覺(jué)得很奇怪，因?yàn)楣镜木W(wǎng)絡(luò)中使用的都是172網(wǎng)段的地址，根本就沒(méi)有部署過(guò)192的地址，所以首先想到的是不是有攻擊。而且IDS設(shè)備能夠顯示出引起IP地址沖突的兩個(gè)MAC地址：842b.2b48.a187和842b.2b58.ea6f。

四、排除故障的步驟

1、因?yàn)镮DS監(jiān)控的是Vlan 2和Vlan 20兩個(gè)網(wǎng)段，所以就首先要排除沖突是發(fā)生在Vlan 2，還是發(fā)生在Vlan 20中。把在4506A上的配置"Cisco 4506A (config)#monitor session 1 source vlan 2 , 12 both"，改為"Cisco 4506A (config)#monitor session 1 source vlan 2 both"，也就是只讓IDS監(jiān)控Vlan 2中的數(shù)據(jù)。結(jié)果發(fā)現(xiàn)IDS還是會(huì)提示IP地址192.168.0.120沖突的告警信息。

接著，把配置"Cisco 4506A (config)#monitor session 1 source vlan 2 both"，改為"Cisco 4506A (config)#monitor session 1 source vlan 12 both"，也就是只讓IDS監(jiān)控Vlan 12中的數(shù)據(jù)。但I(xiàn)DS依舊會(huì)提示IP地址192.168.0.120沖突。所以說(shuō)目前在Vlan 2和Vlan 20中都存在IP地址192.168.0.120沖突的問(wèn)題。難道說(shuō)攻擊都已經(jīng)滲透到網(wǎng)絡(luò)核心層的這兩個(gè)Vlan中了？

2、因?yàn)樵贗DS上還提示了引起IP地址沖突的兩個(gè)MAC地址，而MAC地址具有全球唯一性，所以可以通過(guò)這兩個(gè)MAC地址找到IP地址192.168.0.120是和什么設(shè)備關(guān)聯(lián)在一起的。所以，在Cisco 4506A上執(zhí)行以下命令：

Cisco 4506A#sh mac address-table | include 842b.2b

2    842b.2b48.a187    DYNAMIC      Gi4/1

2    842b.2b58.ea6f    DYNAMIC      Gi4/2

從以上命令的輸出結(jié)果，可以看出在Vlan 2中引起IP地址192.168.0.120沖突的兩個(gè)設(shè)備，就是連接在Cisco 4506A端口Gi4/1上的FTP Server和連接在Cisco 4506A端口Gi4/2上的Web Server。但是在進(jìn)行網(wǎng)絡(luò)部署時(shí)，并沒(méi)有在這兩個(gè)服務(wù)器上配置192的IP地址。為了更加確認(rèn)這種判斷，還在FTP和Web服務(wù)器上的"命令行"中執(zhí)行了命令"ifconfig -a"，從輸出的結(jié)果中也沒(méi)有看到192網(wǎng)段的IP地址，都是172的地址。

因?yàn)閺纳厦娴牡?quot;1"點(diǎn)中可以看出，在Vlan 20中也存在IP地址192.168.0.120沖突的問(wèn)題。所以，在Cisco 4506B上也執(zhí)行了"Cisco 4506B#sh mac address-table"命令，結(jié)果發(fā)現(xiàn)引起IP地址沖突的兩個(gè)設(shè)備是連接在Cisco 4506B端口Gi4/1上的安全中心服務(wù)器和連接在Cisco 4506B端口Gi4/2上的DHCP Server。但是，我們?cè)谶@兩個(gè)服務(wù)器上也沒(méi)有配置192網(wǎng)段的地址。

3、綜合上面排查故障的過(guò)程，可以發(fā)現(xiàn)引起IP地址沖突的服務(wù)器都是DELL服務(wù)器。因?yàn)榇_實(shí)查找不到引起IP地址沖突的原因，就在百度中搜索了"戴爾192.168.0.120沖突"相關(guān)信息，發(fā)現(xiàn)192.168.0.120這個(gè)IP地址是戴爾服務(wù)器遠(yuǎn)程控制功能中默認(rèn)使用的一個(gè)IP地址。戴爾服務(wù)器的遠(yuǎn)程控制功能是通過(guò)DRAC（Dell Remote Access Controller，戴爾遠(yuǎn)程控制卡）實(shí)現(xiàn)的，它是一種系統(tǒng)管理硬件和軟件解決方案，專(zhuān)門(mén)用于為 Dell PowerEdge系統(tǒng)提供遠(yuǎn)程管理功能、崩潰系統(tǒng)恢復(fù)和電源控制功能。

也就是用戶(hù)在遠(yuǎn)程若能訪問(wèn)到圖1中Vlan 2或Vlan 20中的192.168.0.120這個(gè)IP地址，也就能實(shí)現(xiàn)在遠(yuǎn)程對(duì)Vlan 2或Vlan 20中的戴爾服務(wù)器進(jìn)行簡(jiǎn)單的管理和配置。因?yàn)槟J(rèn)情況下具備DRAC功能的戴爾服務(wù)器，都在遠(yuǎn)程控制卡上配置了192.168.0.120這個(gè)IP地址，而且DRAC功能的實(shí)現(xiàn)是通過(guò)共用戴爾服務(wù)器的網(wǎng)口實(shí)現(xiàn)的。

所以，連接在Cisco 4506A上的，都位于Vlan 2中的戴爾牌FTP服務(wù)器、Web服務(wù)器和流媒體服務(wù)器，在它們連接到4506A上的網(wǎng)口上都同時(shí)具備了兩個(gè)IP地址，一個(gè)是172網(wǎng)段的地址，一個(gè)是192.168.0.120地址。而且，它們都位于同一個(gè)Vlan中，所以IDS在監(jiān)控時(shí)就會(huì)發(fā)出IP地址沖突的告警信息。同樣道理，連接在Cisco 4506B上的安全中心服務(wù)器和DHCP服務(wù)器也會(huì)出現(xiàn)同樣的地址沖突告警。

五、總結(jié)

1、為了驗(yàn)證戴爾服務(wù)器的DRAC功能，在圖1的Vlan 2中接入一臺(tái)筆記本電腦，電腦上的IP地址配置為192.168.0.144，子網(wǎng)掩碼為255.255.255.0，如圖2所示。

圖2 筆記本電腦網(wǎng)絡(luò)配置參數(shù)

然后，在筆記本電腦的瀏覽器中輸入網(wǎng)址"https://192.168.0.120"回車(chē)，就可以看到如圖3所示的登錄界面，輸入默認(rèn)的用戶(hù)名root，密碼calvin后就可以進(jìn)入到戴爾服務(wù)器的Web管理控制界面。

圖3 通過(guò)DRAC管理戴爾服務(wù)器的登陸界面

在管理界面中可以看到戴爾服務(wù)器的基本配置屬性，還可以對(duì)"電源"和"警報(bào)"進(jìn)行管理配置，也可以瀏覽查看服務(wù)器的日志信息。而且在"屬性"的系統(tǒng)摘要中，可以看到服務(wù)器的IP地址信息，其中也包括有192.168.0.120這個(gè)IP地址，如圖4所示。

圖4 通過(guò)DRAC管理戴爾服務(wù)器的系統(tǒng)摘要信息

2、要解決在IDS設(shè)備中總提示192.168.0.120沖突的告警信息，可以使用兩種解決辦法。一是重新啟動(dòng)戴爾服務(wù)器，進(jìn)入到服務(wù)器的CMOS設(shè)置，在其中把"遠(yuǎn)程控制卡"的功能關(guān)閉即可。

圖5 在戴爾服務(wù)器CMOS中設(shè)置DRAC卡IP地址

二是進(jìn)入到服務(wù)器的CMOS中，對(duì)DRAC卡的IP地址進(jìn)行設(shè)置，可以把圖1中位于Vlan 2或Vlan 12中的幾臺(tái)戴爾服務(wù)器的IP地址設(shè)置成相互間不一樣的地址，也可以把它們配置成為172網(wǎng)段的IP地址，這樣就可以通過(guò)公司的網(wǎng)絡(luò)，遠(yuǎn)程對(duì)各個(gè)戴爾服務(wù)器進(jìn)行簡(jiǎn)單的管理和配置。如圖5所示，是在CMOS中設(shè)置DRAC卡IP地址的界面。