前段时间发生了这样一件事,早上来还没进屋,就听到办公室电话铃响个不停,都是用户投诉上不了网的故障电话。我马上Ping了网关器地址,发觉Ping包延时很大,还是通时断。这时候立即明白网络带宽拥塞。由于没有LAN网流量监测工具,无法知道在网上的流量类别和数据来源,只好在路由器10M的LAN口作流量分析,这需要通过设置机镜像口。我发现有N个不知名的IP源地址,从相同一个MAC向外发包。初步估计是这台机器中了病毒。我们单位网络中有上千台主机,都是网络管理员为入网用户分配和提供的IP地址但是,一旦中客户机中病毒,发包堵塞网络的情况发生的时候造成网络拥塞。很不好排查.通常情况下一些网络管理员通过sniffer软件可以检测到是哪个IP发的包,但是对于大型网络有几十台机就无法短时间确定故障机器插到那个交换机上。如果能找到就登陆到交换机上把那个端口关闭(shutdown)与网络隔离后在处理。从而保证其他正常的机器不受影响。下面我我们单位的实际网络为例,为大家介绍一种手工查找IP地址对应交换机端口的方法。 由于我们单位统一是cisco,CISCO 设备定期发送更新来使自身知道它的邻居,我就利用CDP( Discovery Protocol)特性,获得相邻运行CDP的交换机信息,下面我们看看具体操作。 网络拓扑结构示意图 具体操作如下: 首先我telnet到核心交换机上ping一下被到的IP如(10.32.2.18) BJ-SW-419-1-4#ping 10.32.2.18 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.32.2.18, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms 你看通了,表示盗用者正在使用机器。接着我们看看他机器网卡的MAC地址是多少。 BJ-SW-419-1-4#show arp | in 10.32.2.18 Internet 10.32.2.18 3 000d.5621.afd6 ARPA Vlan20 因为我们单位的是多层交换的网络,下一步我们要知道他的机器是接到那个交换机器上的。 BJ-SW-419-1-4#show mac-address-table dynamic address 000d.5621.afd6 Unicast Entries vlan mac address type protocols port -------+---------------+--------+---------------------+-------------------- 20 000d.5621.afd6 dynamic ip,ipx GigabitEthernet3/2 哦,是通过千兆的口连的。我们看看邻居(就是核心交换机器的下级交换机) 找到了他在BJ-SW-440-2-4 Gig 3/2 143 S I WS-C3550-2Gig 0/2 上 Vlan Mac Address Type Ports
对大家的建议,我们在做网络管理时手里一定要有一份IP地址和硬件地址的严格对应表,不短完善网络管理功能,故障检测手段,提高网络故障的清查能力。 ***
|
