案例一:用户主机定位
星期一早上,网管员上班后接到很多用户投诉上不了网。网管员检测路由其端口,发觉带宽拥塞。
由于没有广域网流量监测工具,又没有路由器的登陆权限,无法知道在广域网上的流量类别和数据来源,只好在路由器前100兆口作流量分析,这需要通过设置交换机镜像口。通过这个方法,他发觉有多个不知名的IP源地址,从一个MAC向外发包。初步估计是这台机器中了病毒。
但如何定位来源呢?由于这个网管员手上没有每一个员工网卡的MAC地址,它选用了隔离法,从核心交换机,一个一个的把下层交换机拔掉。这种方法,比较快速但对用户的影响比较大,在诊断的过程中,导致很多正常用户也受了影响;在断网的情况下会引起更多用户的投诉。如果能登陆到交换机的控制台,通过找出交换机端口的用户地址表,便可找出中毒的MAC地址的位置。
一些智能的管理平台/工具(如CiscoWork)可以提供一些帮助,但是福禄克网络的OPV、ES网络通等,更可以提供用户交换路径跟踪,直接报告可疑MAC地址连接的最近交换机端口。如果没有接入网交换机管理台的权限,那连镜像端口的能力都没有了。
还有一种办法是用在线的接口盒(TAP)把一条链路的流量分出来,连接到流量分析仪或协议分析仪,如福禄克网络的OPV网络分析仪或ES网络通。的OPV网络分析仪或ES网络通。
ES网络通的TraceSwitchRoute报告
通过以上方法,网管员找到了一条连到中毒机器方向的网线,通过经验网管员知道用户大概属于哪个部门,接下来要找出用户是谁并进行杀毒。
为了尽快解决问题,网管员把这台机器隔离,然后逐个查问相关部门员工,他们的机器是否能上网。最后查找到这些主机的位置。这种方法,无需工具,但用户机器不能上网时,用户不一定在座位上,可能去办其它的事而延误了查找工作。所以,这种办法不一定是最好的。
一种比较保险的办法是通过音频发生器和探头,进行电缆跟踪技术来配合上述方法,对连接各主机的网线进行音频追踪,找出可疑机器的位置。由于网卡是带有终端电阻的,一般使用模拟技术的音频发生器的音频信号会被吸收或破坏,而福禄克网络公司的智能数字音频查线仪IntelliTone,利用创新的数字技术,可以在这种环境下正常工作。ES网络通可以发出数字音频,与IntelliTone的探头配合工作。
利用智能数据查线仪进行电缆查找
案例二:端口定位
一个大型政府机关的网管员早上收到一位用户的投诉,说他的机器不能联飑。其他部门同事没有发生同样的问题。用户确认没有对机器做出任何的改动,由于没有网络连接,网管员无法通过远程登陆来查看系统参数。
他带了一些日常网络工具到了用户的办公室,首先看看是否有网络连接脉冲,通过计算机的桌面上的网络连接小图标,确认计算机不能拿到IP地址。他再拿出福禄克的NetTool网络万用表来检查,很快报告计算机和上游交换机之间的连接是10兆全双工,输出和输入线对都没有问题。但显示出在DHCP工作过程中,没有得DHCP服务器回应,拿不到IP地址,而且没有多少协议能从交换机发送到用户的机器。网管员正在奇怪为何如此时,想起了NetTool刚升级后新增的CDP发现功能。CDP是所有思科交换机和路由器默认使用的专用协议。通过对CDP的分析,NetTool可以知道连接到最近的一台交换机名称、端口号和所属的VLAN号。
这种功能,可以在交换机/路由器没有打开SNMP功能上实现。除了NetTool外,福禄克网络的ES网络通和OPV网络分析仪都能支持CDP。网管员选择了NetTool上的菜单,发现了上连的交换机端口是属于另一个部门的VLAN,而且交换机是另一个部门的交换机。回到机房看看,用户的网线被移位到同机架上的另外一个交换机上。由于每一个交换机利用访问控制列表AccessList来控制用户连接,所以不能联网。
(出处:清风网络学院)
上一篇:Cisco教程:路由器的配置及测试
下一篇:影响宽带拨号上网速度的因素!
|
精品推荐