■ 何春江
珠海大横琴科技发展有限公司 广东珠海 519000
通常我们把网络故障按其性质、对象或出现的区域等进行网络故障分类。
按网络故障的性质来分,网络故障可分为物理故障与逻辑故障。物理故障也就是指设备或线路损坏、插头松动、线路受到严重的直接电磁干扰等情况,或者是人为的疏忽导致网络连接错误等硬件故障现象。时断时续或网络完全断开都是此类故障所引起的故障表现。逻辑故障也就是软件安装或配置错误引起的网络异常或故障,通常此类故障相对硬件故障来说要复杂很多。网卡驱动问题、网络协议问题、IP地址冲突问题都是软件故障的主要问题,而无法浏览网页、时断时续、网速缓慢等也就是软件故障的主要表现。
按网络故障的不同对象来分。网络故障可分为线路故障、路由器故障、主机故障。线路不通、路由器配置错误都是线路故障的主要表现。而路由器通常也会影响到线路故障,所以有一些线路故障也可以被归结为路由器故障。路由器硬件故障(CPU中央处理器温度过高或者内存容量太小)、配置错误等都是路由器故障的常见表现。主机的配置不当常常会引起主机故障的出现,如主机配置的IP地址与其他主机冲突,或lP地址不在子网范围内等都是主机故障的常见表现。另一故障就是安全故障,主要表现为如在启动了多余的服务情况下攻击者通过这些多余进程的正常服务或bug对该主机进行攻击。
网络故障原因千变万化,却万变不离其宗,基本上就是硬件问题和软件问题,或者更准确地说就是配置文件选项问题、网络连接性问题以及网络协议问题,但是具体问题的定位是难点,下面我们将讲述如何使用十字交叉法定位网络故障问题。
十字交叉法即从链路和协议两个方面去定位网络故障点,先从链路层大体定位问题所在,再从协议方面分析具体故障点,即链路轴和协议轴的交叉点就是网络故障所在。
链路轴的故障诊断是要大体上定位故障所在位置,即排除互联网链路导致的网络故障,大体定位故障所在区域。下面以举例的方式进行说明:
有一公司,总部在D处,有A、B和C三个分公司,某一天B在访问公司D时出现缓慢现象,我们在处理此问题时按照链路轴的诊断思想就是先考察A和C访问D时是否存在缓慢问题,如A和D没有出现访问缓慢情况,则可排除D处的网络服务问题,问题很大原因可能是B自身的原因导致。如下图所示。
在确定了故障的大致位置后,需要对故障进行具体定位,此时故障定位应分为物理层故障诊断、流量与协议分析诊断和网络设备搜寻与定位诊断三个部分。物理层故障诊断即确定物理层中物理设备相互连接失败或者硬件及线路本身的问题;流量与协议分析诊断是确定数据链路层的网络设备的接口配置问题,网络层网络协议配置或操作错误,传输层的设备性能或通信拥塞问题,上三层或网络应用程序错误;网络设备搜寻与定位则是根据流量和协议分析结果确定具体故障点。下面以举例的方式进行说明:
某天上班时间,某公司网管接到投诉说上网和发邮件很慢,并且时断时续。经查证内网间访问一切正常,但在访问外网时连接不稳定甚至中断,并且此故障存在于全网范围内。
此次故障只是针对访问外网,而在内网一切正常。那么首先要排除是否为路由器故障。查看路由器工作的指示灯一切正常,登陆路由器查看WAN口流量也不大,不存在与外网连接链路带宽被占用情况,更换路由器与交换机的连接线后故障依然存在,将路由器重启,故障依旧,排除路由器的原因,同时确定不存在物理层故障诊断。
采用ES网络通,在交换机上随便找个接口连接到了网络中,发现本地带宽和广播占用情况正常。
通过查看本地带宽和带宽占用情况得知网络中没有出现广播风暴,从查看的结果来看,各种数据包的占用情况属于正常。接下来查看各协议的分布情况。
通过协议分布结果中看到ARP包的百分比占用率84.5%,这对于一个正常的网络来说显得有些过高,在详细查看中发现设备QINHAON的发包量是其他设备的几千倍,由此可以大致判断设备QINHAON存在问题,很有可能是中了ARP病毒!
下面将通过协议分析工具,进行捕获数据包并进行解包分析以验证判断。
通过捕获数据包发现ARP包均是从网关发来的应答包,对捕获的数据包进行解包后,记录数据包的IP地址和MAC地址,然后利用ES-LAN查找此IP地址对应的主机,发现IP地址和MAC并不是数据包解包后的IP地址,因此判断出故障的原因是因为有台设备中了ARP病毒,在全网中发送ARP欺骗数据包,从而导致其他的设备无法找到网关路由器,也就无法访问外网。此时已通过流量与协议分析诊断确定出了故障原因。
最后使用ES-LAN便携式分析仪,定位故障设备的位置。定位到该中毒设备的交换机位置后,只需要断开此设备进行病毒查杀即可,此时就完成了网络设备搜寻与定位诊断。
网络发生故障是不可避免的。网络建成运行后,网络故障诊断非常重要。本文阐述了在网络发生故障时,如何根据十字交叉法,从宏观链路到微观协议逐步确定故障点,最终排除故障。需要注意的是,如果想顺利地实施十字交叉法,那么建立规范的运行有序的网络系统是前提。如果网络管理不规范,拓扑混乱,将会给十字交叉法的实施带来很大的阻力,从而影响网络故障定位的效率。