案例一：用戶(hù)主機(jī)定位

星期一早上,網(wǎng)管員上班后接到很多用戶(hù)投訴上不了網(wǎng)。網(wǎng)管員檢測(cè)路由其端口，發(fā)覺(jué)帶寬擁塞。

由于沒(méi)有廣域網(wǎng)流量監(jiān)測(cè)工具，又沒(méi)有路由器的登陸權(quán)限，無(wú)法知道在廣域網(wǎng)上的流量類(lèi)別和數(shù)據(jù)來(lái)源，只好在路由器前100兆口作流量分析，這需要通過(guò)設(shè)置交換機(jī)鏡像口。通過(guò)這個(gè)方法，他發(fā)覺(jué)有多個(gè)不知名的IP源地址，從一個(gè)MAC向外發(fā)包。初步估計(jì)是這臺(tái)機(jī)器中了病毒。

但如何定位來(lái)源呢？由于這個(gè)網(wǎng)管員手上沒(méi)有每一個(gè)員工網(wǎng)卡的MAC地址，它選用了隔離法，從核心交換機(jī)，一個(gè)一個(gè)的把下層交換機(jī)拔掉。這種方法，比較快速但對(duì)用戶(hù)的影響比較大，在診斷的過(guò)程中，導(dǎo)致很多正常用戶(hù)也受了影響;在斷網(wǎng)的情況下會(huì)引起更多用戶(hù)的投訴。如果能登陸到交換機(jī)的控制臺(tái)，通過(guò)找出交換機(jī)端口的用戶(hù)地址表，便可找出中毒的MAC地址的位置。

一些智能的管理平臺(tái)/工具(如CiscoWork)可以提供一些幫助，但是福祿克網(wǎng)絡(luò)的OPV、ES網(wǎng)絡(luò)通等，更可以提供用戶(hù)交換路徑跟蹤，直接報(bào)告可疑MAC地址連接的最近交換機(jī)端口。如果沒(méi)有接入網(wǎng)交換機(jī)管理臺(tái)的權(quán)限，那連鏡像端口的能力都沒(méi)有了。

還有一種辦法是用在線(xiàn)的接口盒（TAP）把一條鏈路的流量分出來(lái)，連接到流量分析儀或協(xié)議分析儀,如福祿克網(wǎng)絡(luò)的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。

ES網(wǎng)絡(luò)通的TraceSwitchRoute報(bào)告

通過(guò)以上方法，網(wǎng)管員找到了一條連到中毒機(jī)器方向的網(wǎng)線(xiàn)，通過(guò)經(jīng)驗(yàn)網(wǎng)管員知道用戶(hù)大概屬于哪個(gè)部門(mén)，接下來(lái)要找出用戶(hù)是誰(shuí)并進(jìn)行殺毒。

為了盡快解決問(wèn)題，網(wǎng)管員把這臺(tái)機(jī)器隔離，然后逐個(gè)查問(wèn)相關(guān)部門(mén)員工,他們的機(jī)器是否能上網(wǎng)。最后查找到這些主機(jī)的位置。這種方法，無(wú)需工具，但用戶(hù)機(jī)器不能上網(wǎng)時(shí)，用戶(hù)不一定在座位上，可能去辦其它的事而延誤了查找工作。所以，這種辦法不一定是最好的。

一種比較保險(xiǎn)的辦法是通過(guò)音頻發(fā)生器和探頭，進(jìn)行電纜跟蹤技術(shù)來(lái)配合上述方法，對(duì)連接各主機(jī)的網(wǎng)線(xiàn)進(jìn)行音頻追蹤，找出可疑機(jī)器的位置。由于網(wǎng)卡是帶有終端電阻的，一般使用模擬技術(shù)的音頻發(fā)生器的音頻信號(hào)會(huì)被吸收或破壞，而福祿克網(wǎng)絡(luò)公司的智能數(shù)字音頻查線(xiàn)儀IntelliTone，利用創(chuàng)新的數(shù)字技術(shù)，可以在這種環(huán)境下正常工作。ES網(wǎng)絡(luò)通可以發(fā)出數(shù)字音頻，與IntelliTone的探頭配合工作。

利用智能數(shù)據(jù)查線(xiàn)儀進(jìn)行電纜查找

案例二：端口定位

一個(gè)大型政府機(jī)關(guān)的網(wǎng)管員早上收到一位用戶(hù)的投訴，說(shuō)他的機(jī)器不能聯(lián)颮。其他部門(mén)同事沒(méi)有發(fā)生同樣的問(wèn)題。用戶(hù)確認(rèn)沒(méi)有對(duì)機(jī)器做出任何的改動(dòng)，由于沒(méi)有網(wǎng)絡(luò)連接，網(wǎng)管員無(wú)法通過(guò)遠(yuǎn)程登陸來(lái)查看系統(tǒng)參數(shù)。

他帶了一些日常網(wǎng)絡(luò)工具到了用戶(hù)的辦公室，首先看看是否有網(wǎng)絡(luò)連接脈沖，通過(guò)計(jì)算機(jī)的桌面上的網(wǎng)絡(luò)連接小圖標(biāo)，確認(rèn)計(jì)算機(jī)不能拿到IP地址。他再拿出福祿克的NetTool網(wǎng)絡(luò)萬(wàn)用表來(lái)檢查，很快報(bào)告計(jì)算機(jī)和上游交換機(jī)之間的連接是10兆全雙工，輸出和輸入線(xiàn)對(duì)都沒(méi)有問(wèn)題。但顯示出在DHCP工作過(guò)程中，沒(méi)有得DHCP服務(wù)器回應(yīng),拿不到IP地址，而且沒(méi)有多少協(xié)議能從交換機(jī)發(fā)送到用戶(hù)的機(jī)器。網(wǎng)管員正在奇怪為何如此時(shí)，想起了NetTool剛升級(jí)后新增的CDP發(fā)現(xiàn)功能。CDP是所有思科交換機(jī)和路由器默認(rèn)使用的專(zhuān)用協(xié)議。通過(guò)對(duì)CDP的分析，NetTool可以知道連接到最近的一臺(tái)交換機(jī)名稱(chēng)、端口號(hào)和所屬的VLAN號(hào)。

這種功能，可以在交換機(jī)/路由器沒(méi)有打開(kāi)SNMP功能上實(shí)現(xiàn)。除了NetTool外，福祿克網(wǎng)絡(luò)的ES網(wǎng)絡(luò)通和OPV網(wǎng)絡(luò)分析儀都能支持CDP。網(wǎng)管員選擇了NetTool上的菜單，發(fā)現(xiàn)了上連的交換機(jī)端口是屬于另一個(gè)部門(mén)的VLAN,而且交換機(jī)是另一個(gè)部門(mén)的交換機(jī)。回到機(jī)房看看，用戶(hù)的網(wǎng)線(xiàn)被移位到同機(jī)架上的另外一個(gè)交換機(jī)上。由于每一個(gè)交換機(jī)利用訪(fǎng)問(wèn)控制列表AccessList來(lái)控制用戶(hù)連接，所以不能聯(lián)網(wǎng)。