案例一:用戶(hù)主機(jī)定位
星期一早上,網(wǎng)管員上班后接到很多用戶(hù)投訴上不了網(wǎng)。網(wǎng)管員檢測(cè)路由其端口,發(fā)覺(jué)帶寬擁塞。
由于沒(méi)有廣域網(wǎng)流量監(jiān)測(cè)工具,又沒(méi)有路由器的登陸權(quán)限,無(wú)法知道在廣域網(wǎng)上的流量類(lèi)別和數(shù)據(jù)來(lái)源,只好在路由器前100兆口作流量分析,這需要通過(guò)設(shè)置交換機(jī)鏡像口。通過(guò)這個(gè)方法,他發(fā)覺(jué)有多個(gè)不知名的IP源地址,從一個(gè)MAC向外發(fā)包。初步估計(jì)是這臺(tái)機(jī)器中了病毒。
但如何定位來(lái)源呢?由于這個(gè)網(wǎng)管員手上沒(méi)有每一個(gè)員工網(wǎng)卡的MAC地址,它選用了隔離法,從核心交換機(jī),一個(gè)一個(gè)的把下層交換機(jī)拔掉。這種方法,比較快速但對(duì)用戶(hù)的影響比較大,在診斷的過(guò)程中,導(dǎo)致很多正常用戶(hù)也受了影響;在斷網(wǎng)的情況下會(huì)引起更多用戶(hù)的投訴。如果能登陸到交換機(jī)的控制臺(tái),通過(guò)找出交換機(jī)端口的用戶(hù)地址表,便可找出中毒的MAC地址的位置。
一些智能的管理平臺(tái)/工具(如CiscoWork)可以提供一些幫助,但是福祿克網(wǎng)絡(luò)的OPV、ES網(wǎng)絡(luò)通等,更可以提供用戶(hù)交換路徑跟蹤,直接報(bào)告可疑MAC地址連接的最近交換機(jī)端口。如果沒(méi)有接入網(wǎng)交換機(jī)管理臺(tái)的權(quán)限,那連鏡像端口的能力都沒(méi)有了。
還有一種辦法是用在線(xiàn)的接口盒(TAP)把一條鏈路的流量分出來(lái),連接到流量分析儀或協(xié)議分析儀,如福祿克網(wǎng)絡(luò)的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。
ES網(wǎng)絡(luò)通的TraceSwitchRoute報(bào)告
通過(guò)以上方法,網(wǎng)管員找到了一條連到中毒機(jī)器方向的網(wǎng)線(xiàn),通過(guò)經(jīng)驗(yàn)網(wǎng)管員知道用戶(hù)大概屬于哪個(gè)部門(mén),接下來(lái)要找出用戶(hù)是誰(shuí)并進(jìn)行殺毒。
為了盡快解決問(wèn)題,網(wǎng)管員把這臺(tái)機(jī)器隔離,然后逐個(gè)查問(wèn)相關(guān)部門(mén)員工,他們的機(jī)器是否能上網(wǎng)。最后查找到這些主機(jī)的位置。這種方法,無(wú)需工具,但用戶(hù)機(jī)器不能上網(wǎng)時(shí),用戶(hù)不一定在座位上,可能去辦其它的事而延誤了查找工作。所以,這種辦法不一定是最好的。
一種比較保險(xiǎn)的辦法是通過(guò)音頻發(fā)生器和探頭,進(jìn)行電纜跟蹤技術(shù)來(lái)配合上述方法,對(duì)連接各主機(jī)的網(wǎng)線(xiàn)進(jìn)行音頻追蹤,找出可疑機(jī)器的位置。由于網(wǎng)卡是帶有終端電阻的,一般使用模擬技術(shù)的音頻發(fā)生器的音頻信號(hào)會(huì)被吸收或破壞,而福祿克網(wǎng)絡(luò)公司的智能數(shù)字音頻查線(xiàn)儀IntelliTone,利用創(chuàng)新的數(shù)字技術(shù),可以在這種環(huán)境下正常工作。ES網(wǎng)絡(luò)通可以發(fā)出數(shù)字音頻,與IntelliTone的探頭配合工作。
利用智能數(shù)據(jù)查線(xiàn)儀進(jìn)行電纜查找
案例二:端口定位
一個(gè)大型政府機(jī)關(guān)的網(wǎng)管員早上收到一位用戶(hù)的投訴,說(shuō)他的機(jī)器不能聯(lián)颮。其他部門(mén)同事沒(méi)有發(fā)生同樣的問(wèn)題。用戶(hù)確認(rèn)沒(méi)有對(duì)機(jī)器做出任何的改動(dòng),由于沒(méi)有網(wǎng)絡(luò)連接,網(wǎng)管員無(wú)法通過(guò)遠(yuǎn)程登陸來(lái)查看系統(tǒng)參數(shù)。
他帶了一些日常網(wǎng)絡(luò)工具到了用戶(hù)的辦公室,首先看看是否有網(wǎng)絡(luò)連接脈沖,通過(guò)計(jì)算機(jī)的桌面上的網(wǎng)絡(luò)連接小圖標(biāo),確認(rèn)計(jì)算機(jī)不能拿到IP地址。他再拿出福祿克的NetTool網(wǎng)絡(luò)萬(wàn)用表來(lái)檢查,很快報(bào)告計(jì)算機(jī)和上游交換機(jī)之間的連接是10兆全雙工,輸出和輸入線(xiàn)對(duì)都沒(méi)有問(wèn)題。但顯示出在DHCP工作過(guò)程中,沒(méi)有得DHCP服務(wù)器回應(yīng),拿不到IP地址,而且沒(méi)有多少協(xié)議能從交換機(jī)發(fā)送到用戶(hù)的機(jī)器。網(wǎng)管員正在奇怪為何如此時(shí),想起了NetTool剛升級(jí)后新增的CDP發(fā)現(xiàn)功能。CDP是所有思科交換機(jī)和路由器默認(rèn)使用的專(zhuān)用協(xié)議。通過(guò)對(duì)CDP的分析,NetTool可以知道連接到最近的一臺(tái)交換機(jī)名稱(chēng)、端口號(hào)和所屬的VLAN號(hào)。
這種功能,可以在交換機(jī)/路由器沒(méi)有打開(kāi)SNMP功能上實(shí)現(xiàn)。除了NetTool外,福祿克網(wǎng)絡(luò)的ES網(wǎng)絡(luò)通和OPV網(wǎng)絡(luò)分析儀都能支持CDP。網(wǎng)管員選擇了NetTool上的菜單,發(fā)現(xiàn)了上連的交換機(jī)端口是屬于另一個(gè)部門(mén)的VLAN,而且交換機(jī)是另一個(gè)部門(mén)的交換機(jī)。回到機(jī)房看看,用戶(hù)的網(wǎng)線(xiàn)被移位到同機(jī)架上的另外一個(gè)交換機(jī)上。由于每一個(gè)交換機(jī)利用訪(fǎng)問(wèn)控制列表AccessList來(lái)控制用戶(hù)連接,所以不能聯(lián)網(wǎng)。