隨著Internet的高速發展,局域網絡技術在企業、研究部門生產、管理、科研中得到廣泛的應用。局域網上連往往要配置管理核心
路由器和核心交換機,從而實現上連廣域網和Internet。核心
路由器狀態的好壞直接影響整個局域網的性能。本文通過運用嗅探技術和路由管理技術完成了對核心設備網絡
故障排除的
成功事例。
筆者在一個研究院工作,我院局域網骨干網采用ATM技術搭建,核心交換機為Fore7110並且有路由功能,通過以太網仿真ELAN技術,下連3台Fore7105構成研究院ATM骨干網,上連企業ATM網。網絡拓撲為星型樹結構。擁有10.65.100.0—10.65.111.0九個子網段,共2300個IP地址資源,足以滿足我院 1248台PC
電腦、138台工作站和網絡交換設備對節點的需求。
研究院局域網光纖線路覆蓋大小建築34幢,共有信息點1150個。在Internet服務方面有域名服務系統、電子郵件系統和Web站點。
故障的出現
我院的Fore7100是支持最大交換1.6G帶寬的具有路由功能的核心交換設備,一天,該交換機出現如下現象:
工作狀態指示異常繁忙,交換速度極慢,又沒有其它特征。網絡連通測試(ping)是通的。單響應時間慢到300ns-900ns不等。Fore7010交換機的路由包監測發現無效路由包在極短的時間內增長很快,數量級為105~106甚至107。僅僅在10秒種內,有效的路由服務就癱瘓了,形成了
網絡安全上稱為拒絕服務的攻擊。
我們直接進入到 Fore7110交換機 ( 10.60.11.62),用stats命令顯示路由記錄信息。
Telnet 10.60.11.62
PB1_JSZ3:ip# stats -P IP(當前路由記錄信息)
IP statistics: count since last stats clear
Datagrams forwarded: 170073
Datagrams rcvd: 175164
……
No route to send: 5507
……
(交換機無法發送的無效路由請求數)
經過查看顯示的路由記錄信息,發現8.3,8.5,8.6端口無效路由包請求增長很快。
檢測過程
我們決定對Fore7110顯示的幾個無效路由包增加過快的幾個端口進行監測。在沒有相應的網絡性能分析儀(Sniffer網絡分析儀)的情況下,我們決定通過修改Fore的VLAN將需要監測的8.3、8.5、8.6等端口與具有snoop功能的Sun工作站jsz3上連口8.1劃分到同一VLAN中。同時通過Fore7110 監控Monitor端口命令。需要注意:使用monitor 命令對交換設備有較大的性能的影響。
步驟1: 登錄核心交換機
Telnet 10.60.11.62
PB1_JSZ3:ip#mediaPB1_JSZ3:media# segment pdisable 8.3,8.5,8.6PB1_JSZ3:media#
monitor set 8.3 to 8.6 on 8.1
執行jsz3的solaris系統的Snoop命令,進一步對1.1、8.3、8.5、8.6幾個端口packet進行監視,發現IP地址分屬於8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的機器發送大量的路由包,8.5端口正常。確定了機器IP後我們自然想到為什麼會有大量的路由請求呢?。以Sun工作站(10.60.10.57)為例。通過遠程登錄該機器。我們執行solaris系統的Snoop命令。
步驟2:遠程登錄
#Telnet 10.60.10.57#Snoop
該機器發送的以“ 0.22.*.*” 為IP地址的無效路由請求數量很大。
步驟3:在這台機器上顯示進程
#
ps-eaf more
發現/Dev/cuc目錄下的可疑執行文件chinaworm.exe及相關tar文件,並證明該文件為病毒。這就是故障的原因。
解決的方法
刪掉該文件,關閉相關的遠程網絡服務。機器和交換機、網絡都恢復了正常。通過Sun上執行#snoop命令可以顯示無效路由包數量的增加降為101-102數量級。歸於正常的增長范圍。
在這次排除故障的工作中,我們運用現有的網絡環境和可以實現的手段,通過對核心交換機路由狀態各類參數的實時分析、判定路由器狀態,通過對Fore7110 Vlan調整、monitor端口監測,利用嗅探器技術在SolarisOS應用(Snoop命令),確定了導致大量無效路由發生的事實,成功的解決了影響網絡性能的網絡隱患。這對在Unix系統中排查蠕蟲病毒,維護網絡的正常運行都有很好的借鑒意義。