案例一:用戶主機定位
星期一早上,網(wǎng)管員上班后接到很多用戶投訴上不了網(wǎng)。網(wǎng)管員檢測路由其端口,發(fā)覺帶寬擁塞。
由于沒有廣域網(wǎng)流量監(jiān)測工具,又沒有路由器的登陸權(quán)限,無法知道在廣域網(wǎng)上的流量類別和數(shù)據(jù)來源,只好在路由器前100兆口作流量分析,這需要通過設(shè)置交換機鏡像口。通過這個方法,他發(fā)覺有多個不知名的IP源地址,從一個MAC向外發(fā)包。初步估計是這臺機器中了病毒。
但如何定位來源呢?由于這個網(wǎng)管員手上沒有每一個員工網(wǎng)卡的MAC地址,它選用了隔離法,從核心交換機,一個一個的把下層交換機拔掉。這種方法,比較快速但對用戶的影響比較大,在診斷的過程中,導(dǎo)致很多正常用戶也受了影響;在斷網(wǎng)的情況下會引起更多用戶的投訴。如果能登陸到交換機的控制臺,通過找出交換機端口的用戶地址表,便可找出中毒的MAC地址的位置。
一些智能的管理平臺/工具(如CiscoWork)可以提供一些幫助,但是福祿克網(wǎng)絡(luò)的OPV、ES網(wǎng)絡(luò)通等,更可以提供用戶交換路徑跟蹤,直接報告可疑MAC地址連接的最近交換機端口。如果沒有接入網(wǎng)交換機管理臺的權(quán)限,那連鏡像端口的能力都沒有了。
還有一種辦法是用在線的接口盒(TAP)把一條鏈路的流量分出來,連接到流量分析儀或協(xié)議分析儀,如福祿克網(wǎng)絡(luò)的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。
![]("http://network.ccidnet.com/col/attachment/2007/1/1000535.jpg")
ES網(wǎng)絡(luò)通的TraceSwitchRoute報告
通過以上方法,網(wǎng)管員找到了一條連到中毒機器方向的網(wǎng)線,通過經(jīng)驗網(wǎng)管員知道用戶大概屬于哪個部門,接下來要找出用戶是誰并進(jìn)行殺毒。
為了盡快解決問題,網(wǎng)管員把這臺機器隔離,然后逐個查問相關(guān)部門員工,他們的機器是否能上網(wǎng)。最后查找到這些主機的位置。這種方法,無需工具,但用戶機器不能上網(wǎng)時,用戶不一定在座位上,可能去辦其它的事而延誤了查找工作。所以,這種辦法不一定是最好的。
一種比較保險的辦法是通過音頻發(fā)生器和探頭,進(jìn)行電纜跟蹤技術(shù)來配合上述方法,對連接各主機的網(wǎng)線進(jìn)行音頻追蹤,找出可疑機器的位置。由于網(wǎng)卡是帶有終端電阻的,一般使用模擬技術(shù)的音頻發(fā)生器的音頻信號會被吸收或破壞,而福祿克網(wǎng)絡(luò)公司的智能數(shù)字音頻查線儀IntelliTone,利用創(chuàng)新的數(shù)字技術(shù),可以在這種環(huán)境下正常工作。ES網(wǎng)絡(luò)通可以發(fā)出數(shù)字音頻,與IntelliTone的探頭配合工作。
![]("http://network.ccidnet.com/col/attachment/2007/1/1000547.jpg")
利用智能數(shù)據(jù)查線儀進(jìn)行電纜查找
案例二:端口定位
一個大型政府機關(guān)的網(wǎng)管員早上收到一位用戶的投訴,說他的機器不能聯(lián)颮。其他部門同事沒有發(fā)生同樣的問題。用戶確認(rèn)沒有對機器做出任何的改動,由于沒有網(wǎng)絡(luò)連接,網(wǎng)管員無法通過遠(yuǎn)程登陸來查看系統(tǒng)參數(shù)。
他帶了一些日常網(wǎng)絡(luò)工具到了用戶的辦公室,首先看看是否有網(wǎng)絡(luò)連接脈沖,通過計算機的桌面上的網(wǎng)絡(luò)連接小圖標(biāo),確認(rèn)計算機不能拿到IP地址。他再拿出福祿克的NetTool網(wǎng)絡(luò)萬用表來檢查,很快報告計算機和上游交換機之間的連接是10兆全雙工,輸出和輸入線對都沒有問題。但顯示出在DHCP工作過程中,沒有得DHCP服務(wù)器回應(yīng),拿不到IP地址,而且沒有多少協(xié)議能從交換機發(fā)送到用戶的機器。網(wǎng)管員正在奇怪為何如此時,想起了NetTool剛升級后新增的CDP發(fā)現(xiàn)功能。CDP是所有思科交換機和路由器默認(rèn)使用的專用協(xié)議。通過對CDP的分析,NetTool可以知道連接到最近的一臺交換機名稱、端口號和所屬的VLAN號。
這種功能,可以在交換機/路由器沒有打開SNMP功能上實現(xiàn)。除了NetTool外,福祿克網(wǎng)絡(luò)的ES網(wǎng)絡(luò)通和OPV網(wǎng)絡(luò)分析儀都能支持CDP。網(wǎng)管員選擇了NetTool上的菜單,發(fā)現(xiàn)了上連的交換機端口是屬于另一個部門的VLAN,而且交換機是另一個部門的交換機。回到機房看看,用戶的網(wǎng)線被移位到同機架上的另外一個交換機上。由于每一個交換機利用訪問控制列表AccessList來控制用戶連接,所以不能聯(lián)網(wǎng)。
![]("http://network.ccidnet.com/col/attachment/2007/1/1000549.jpg")
