DNS“堵死”局域網

　　“高速公路”不高速 馬鞍山供電局于1998年初建成了基于Windows NT4.0的局域網，主要用于辦公自動化系統（OA）和WWW信息發布。根據全省電力三級信息網絡建設要求，供電局新增了一臺Cisco 2621路由器，利用微波64K數字通道，于今年5月份以專線方式接入電力信息三級網，運行正常。但是，從7月中旬開始，發現整個網絡運行變慢：運行辦公自動化系統和訪問局內WWW主頁明顯比以前慢，非凡是訪問省局主頁，速度更是慢得難以忍受，近乎中斷。剛開始還以為是網上用戶多所致，可是發現連續幾天，速度沒有絲毫改善，這才懷疑網絡可能“生病”了。

　　多方檢查，一籌莫展 供電局局域網的核心是3Com公司的3C16980 24口10/100M自適應交換機，OA服務器、WWW服務器和路由器均以100M的速度直接接入交換機，工作站通過3Com公司的雙速Hub：superstackⅡDual Speed Hub500接入網絡，OA服務器的ip地址為10.138.184.1，WWW服務器的IP地址為10.138.184.5，路由器局域網端口的IP地址為10.138.184.254，整個網絡示意圖如下圖所示。

　　由于與省局的通信故障最明顯，所以我們決定首先解決這個問題。我們檢查了微波通道，未發現異常；檢查了路由器的網絡線，也沒有發現問題。當時，有一個現象引起了我們的注重，我們利用PING命令來測試，發現不僅PING到省局時通時斷，就是PING路由器的局域網端口（10.138.184.254），也是時通時斷，我們第一感覺可能是路由器出故障了，可是路由器剛運行不到2個月，按理不應該出問題，所以我們沒有輕易下結論，而是又作了一個試驗：把路由器不連到網上，而是直接與一臺微機相連（此時網絡線是交叉連接，即1、2對與3、6線對相連，3、6線對與1、2線對相連），這時PING路由器，通信正常，訪問省局主頁，也正常，證實路由器本身無故障，問題肯定出在網絡上，究竟是什么原因呢？

　　流量分析，發現“元兇” 我們經常看到“廣播風暴”、“網絡堵塞”等名詞，但真正的感性熟悉還沒有。當時，我們就想，這是不是就是由過多的網絡流量引起的網絡堵塞呢？假如是，引起的原因又是什么呢？Cisco 2621是作為全省電力三級網的邊緣路由器，由省局信息中心統一治理的，我們沒有登錄權限，無法利用路由器的內部命令來查看路由器收發數據幀的情況，我們也沒有協議分析器等網絡測試專用工具，所以我們決定利用Windows NT Server 4.0自身帶的網絡監視器，對網絡的運行情況進行監視；對網絡使用的帶寬、高峰使用次數和正在傳輸的數據幀進行監視，通過監視的情況來分析是否引起了網絡堵塞，以及導致網絡堵塞的原因。

　　Microsoft網絡監視器，是一種基于軟件的網絡流量分析工具,它答應用戶:
　　1. 從網絡上直接捕捉幀(信息包)；
　　2. 在捕捉以后立即或稍后進行顯示或過濾所捕捉的幀；
　　3. 編輯所捕捉的幀,并把它們發送到網上。

　　網絡監視器包含在Windows NT Server 4.0(簡單版本)和Microsoft System Management Server(完全版本)中,由于我們手頭沒有Microsoft System Management Server,所以只好安裝簡單版本的網絡監視器，其安裝過程為：打開控制面版中的網絡圖標，選擇服務頁標，單擊“增加”，而后選擇網絡監視器工具和代理,單擊“確定”，而后輸入Windows NT Server 4.0光盤的路徑，單擊“繼續”，開始安裝，安裝完成后，重新啟動，這樣網絡監視器就安裝成功了。

　　簡單版本的網絡監視器，只能捕捉那些運行網絡監視器的計算機進出的網絡流量，而Cisco 2621路由器無法安裝網絡監視器，所以我們決定關閉路由器，把一臺安裝網絡監視器的服務器的IP地址改為10.138.184.254(路由器局域網端口的IP地址)，以觀察由局域網發向路由器的網絡流量。 

　　運行網絡監視器，按F10功能鍵開始捕捉網絡流量，通過捕捉窗口的統計數據，我們發現網絡利用率平均維持在50%以上（當時是星期二上午10點左右，網上用戶較多），而且大多發向了路由器。按F11功能鍵停止捕捉，而后按F12功能鍵顯示所捕捉的數據，發現超過90%以上的數據幀都是由DNS服務發出的。一個網絡上出現那么多的DNS數據幀是不可想象的，所以基本上確定故障是由DNS引起的。

　　DNS重配，恢復高速 我局的OA服務器（10.138.184.1）兼作域名系統服務器（DNS），所有局域網客戶端的DNS都指向10.138.184.1，即當有客戶端請求把主機名解析成IP地址時，都向10.138.184.1主機發出查詢請求。我們仔細檢查了DNS的配置，發現服務器屬性中選定了使用轉發器，列表中輸入了主機10.138.184.5，即當服務器不能對客戶端的域名請求進行解析時，其請求都傳遞給了另一個DNS服務器：10.138.184.5。

　　主機10.138.184.5是一臺運行Windows NT Server4.0的WWW服務器，兼作路由服務器，局域網中所有客戶端的默認網關都指向該主機，通過該主機與網外主機（非本子網）進行通訊，它并不提供域名解析服務，DNS服務器怎么會轉發到該主機呢？

　　檢查WWW服務器，發現確實裝有DNS服務。我想起來了，原來為了測試一個在網內多DNS 協同工作的配置，在WWW服務器上臨時安裝了DNS服務，由于工作忙，安裝后未測試完就放下了，也沒有卸載。檢查該DNS配置，發現該服務器屬性中也選定了使用轉發器，并把主機10.138.184.1輸入到了列表，即當該服務器不能對客戶端的域名請求進行解析時，其請求都傳遞給了另一個DNS服務器：

10.138.184.1。如此看來，10.138.184.1把不能解析的主機名傳遞給10.138.184.5，而10.138.184.5又把不能解析的主機名傳遞給10.138.184.1，這樣，當兩臺DNS服務器都不能對請求主機名進行解析時，就形成了一個死循環，產生大量的網絡流量，影響了整個網絡的運行速度。由于WWW服務器10.138.184.5的默認網關是Cisco 2621路由器的局域網端口（10.138.184.254），所以大量的數據幀都轉發到該路由器，引起網絡堵塞。

　　找出引起故障的原因，問題就好辦了：卸掉臨時安裝在WWW服務器（10.138.184.5）上的DNS服務，關閉DNS服務器（10.138.184.1）的轉發，這樣網絡速度明顯提高了，與三級網的通信也恢復正常了。