排除路由器網絡故障

    隨著Internet的高速發展，局域網絡技術在企業、研究部門生產、管理、科研中得到廣泛的應用。局域網上連往往要配置管理核心路由器和核心交換機，從而實現上連廣域網和Internet。核心路由器狀態的好壞直接影響整個局域網的性能。本文通過運用嗅探技術和路由管理技術完成了對核心設備網絡故障排除的成功事例。

筆者在一個研究院工作，我院局域網骨干網采用ATM技術搭建，核心交換機為Fore7110並且有路由功能，通過以太網仿真ELAN技術，下連3台Fore7105構成研究院ATM骨干網，上連企業ATM網。網絡拓撲為星型樹結構。擁有10.65.100.0—10.65.111.0九個子網段，共2300個IP地址資源，足以滿足我院 1248台PC電腦、138台工作站和網絡交換設備對節點的需求。

研究院局域網光纖線路覆蓋大小建築34幢，共有信息點1150個。在Internet服務方面有域名服務系統、電子郵件系統和Web站點。

故障的出現

我院的Fore7100是支持最大交換1.6G帶寬的具有路由功能的核心交換設備，一天，該交換機出現如下現象：

工作狀態指示異常繁忙，交換速度極慢，又沒有其它特征。網絡連通測試（ping）是通的。單響應時間慢到300ns-900ns不等。Fore7010交換機的路由包監測發現無效路由包在極短的時間內增長很快，數量級為105～106甚至107。僅僅在10秒種內，有效的路由服務就癱瘓了，形成了網絡安全上稱為拒絕服務的攻擊。

我們直接進入到 Fore7110交換機 ( 10.60.11.62)，用stats命令顯示路由記錄信息。

Telnet 10.60.11.62
　　PB1_JSZ3:ip# stats -P IP(當前路由記錄信息)
　　IP statistics: count since last stats clear
　　Datagrams forwarded: 170073
　　Datagrams rcvd: 175164
　　……
　　No route to send: 5507
　　……

(交換機無法發送的無效路由請求數)

經過查看顯示的路由記錄信息，發現8.3，8.5，8.6端口無效路由包請求增長很快。

檢測過程

我們決定對Fore7110顯示的幾個無效路由包增加過快的幾個端口進行監測。在沒有相應的網絡性能分析儀（Sniffer網絡分析儀）的情況下，我們決定通過修改Fore的VLAN將需要監測的8.3、8.5、8.6等端口與具有snoop功能的Sun工作站jsz3上連口8.1劃分到同一VLAN中。同時通過Fore7110 監控Monitor端口命令。需要注意：使用monitor 命令對交換設備有較大的性能的影響。

步驟1： 登錄核心交換機
　
　　Telnet 10.60.11.62
　　PB1_JSZ3:ip#mediaPB1_JSZ3:media# segment pdisable 8.3,8.5,8.6PB1_JSZ3:media#
　　monitor set 8.3 to 8.6 on 8.1 　

執行jsz3的solaris系統的Snoop命令，進一步對1.1、8.3、8.5、8.6幾個端口packet進行監視，發現IP地址分屬於8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的機器發送大量的路由包，8.5端口正常。確定了機器IP後我們自然想到為什麼會有大量的路由請求呢？。以Sun工作站（10.60.10.57）為例。通過遠程登錄該機器。我們執行solaris系統的Snoop命令。

步驟2：遠程登錄
　
　　#Telnet 10.60.10.57#Snoop
　　
該機器發送的以“ 0.22.*.*” 為IP地址的無效路由請求數量很大。

步驟3：在這台機器上顯示進程
　
　　#ps-eaf　more
　

發現/Dev/cuc目錄下的可疑執行文件chinaworm.exe及相關tar文件，並證明該文件為病毒。這就是故障的原因。

解決的方法

刪掉該文件，關閉相關的遠程網絡服務。機器和交換機、網絡都恢復了正常。通過Sun上執行#snoop命令可以顯示無效路由包數量的增加降為101-102數量級。歸於正常的增長范圍。

在這次排除故障的工作中，我們運用現有的網絡環境和可以實現的手段，通過對核心交換機路由狀態各類參數的實時分析、判定路由器狀態，通過對Fore7110 Vlan調整、monitor端口監測，利用嗅探器技術在SolarisOS應用（Snoop命令），確定了導致大量無效路由發生的事實，成功的解決了影響網絡性能的網絡隱患。這對在Unix系統中排查蠕蟲病毒，維護網絡的正常運行都有很好的借鑒意義。