以太網(wǎng)交換機端口被環(huán)引起整個局域網(wǎng)癱瘓一例

現(xiàn)象描述

某公司某地的局域網(wǎng)全部用Quidway中低端路由器和交換機組成，使用私網(wǎng)地址。

該局域網(wǎng)通過一臺R3640路由器經(jīng)專線連到該公司其它地方的局域網(wǎng)。R3640通過100M網(wǎng)口下掛S3025交換機，S3025交換機則通過10M網(wǎng)口連接多臺S2403交換機。S3025下還連接一臺DHCP服務器，DNS服務器則在外地。用戶則連到S2403交換機上，以自動獲取ip地址方式接入局域網(wǎng)。

某日該局域網(wǎng)的用戶忽然發(fā)現(xiàn)網(wǎng)絡不通，更有部分用戶的計算機連上網(wǎng)線后不能正常啟動，再次啟動時系統(tǒng)自動進入安全模式。很快發(fā)現(xiàn)整個局域網(wǎng)的網(wǎng)絡都不通。此時，網(wǎng)管員從此局域網(wǎng)外的服務器上PING局域網(wǎng)內(nèi)的DHCP服務器，發(fā)現(xiàn)時通時斷。登錄到R3640路由器上查看用戶連接狀態(tài)，發(fā)現(xiàn)從路由器到相鄰的網(wǎng)絡的連接正常。但是PING不通局域網(wǎng)內(nèi)的用戶。查看S2403交換機，也PING不通。

告警信息

R3640路由器能正常登錄，該路由器與外部的連接也正常，但是其下連接的各交換機都PING不通。

從DHCP服務器PING外網(wǎng)，時通時斷。PING局域網(wǎng)內(nèi)設備則不通。

原因分析

局域網(wǎng)的用戶全都不能連到外網(wǎng)，首先考慮的可能原因有：

1、出口路由器故障。

2、路由器下的匯流的S3025交換機故障。

但是因為局域網(wǎng)用戶之間互相也不能PING通，所以可能性主要有以下兩種：

1、該局域網(wǎng)有某種病毒大面積發(fā)作，大量計算機被感染。

2、有人在惡意大量發(fā)送廣播包（這種情況只在交換機沒有劃分VLAN時產(chǎn)生），使其他用戶都不能收發(fā)IP包。

處理過程

1、從局域網(wǎng)外部登錄到R3640路由器上，查看各端口狀態(tài)，從R3640到外部網(wǎng)絡的連接正常。連到S3025交換機的端口狀態(tài)和協(xié)議狀態(tài)都正常，且該端口有流量。

2、將S3025替換成一臺備用的S2403，重新配置交換機端口的IP地址，網(wǎng)絡故障現(xiàn)象依舊。排除S3025故障的可能。

3、因為許多用戶一旦接上網(wǎng)線就不能正常啟動，懷疑是病毒大面積發(fā)作。但是使用最新的殺毒軟件檢查DHCP服務器和各用戶的計算機都沒有發(fā)現(xiàn)病毒。且取下網(wǎng)線計算機就能正常啟動。因此可以肯定不是病毒，而是有人惡意攻擊或其他原因。

4、由于所有交換機都沒有劃分VLAN，存在被惡意攻擊的可能。將S2403交換機接到HUB下再連到S3025交換機上，用便攜機連到HUB上進行抓包，果然發(fā)現(xiàn)大量廣播包。

5、將S3025與全部S2403的連接都斷開，此時從外部網(wǎng)絡PING DHCP服務器完全正常，便攜機掛在S3025下也能正常上網(wǎng)。至此確定是各交換機之間因為沒有劃分VLAN，被大量廣播包堵死。

6、繼續(xù)檢查廣播包的來源，依次將各臺S2403連到S3025上，很快找出有問題的S2403交換機。檢查該交換機，發(fā)現(xiàn)有兩個10M網(wǎng)口被用交叉網(wǎng)線自環(huán)了。取下該交叉線，局域網(wǎng)恢復正常，用戶能正常上網(wǎng)。

建議與總結(jié)

無