案例一:用戶主機(jī)定位
星期一早上,網(wǎng)管員上班后接到很多用戶投訴上不了網(wǎng)。網(wǎng)管員檢測路由其端口,發(fā)覺帶寬擁塞���。
由于沒有廣域網(wǎng)流量監(jiān)測工具��,又沒有路由器的登陸權(quán)限����,無法知道在廣域網(wǎng)上的流量類別和數(shù)據(jù)來源�����,只好在路由器前100兆口作流量分析�,這需要通過設(shè)置交換機(jī)鏡像口。通過這個(gè)方法�,他發(fā)覺有多個(gè)不知名的IP源地址,從一個(gè)MAC向外發(fā)包�����。初步估計(jì)是這臺(tái)機(jī)器中了病毒���。
但如何定位來源呢���?由于這個(gè)網(wǎng)管員手上沒有每一個(gè)員工網(wǎng)卡的MAC地址��,它選用了隔離法��,從核心交換機(jī)����,一個(gè)一個(gè)的把下層交換機(jī)拔掉��。這種方法�����,比較快速但對用戶的影響比較大�����,在診斷的過程中�����,導(dǎo)致很多正常用戶也受了影響;在斷網(wǎng)的情況下會(huì)引起更多用戶的投訴���。如果能登陸到交換機(jī)的控制臺(tái)���,通過找出交換機(jī)端口的用戶地址表,便可找出中毒的MAC地址的位置��。
一些智能的管理平臺(tái)/工具(如CiscoWork)可以提供一些幫助�����,但是福祿克網(wǎng)絡(luò)的OPV�、ES網(wǎng)絡(luò)通等,更可以提供用戶交換路徑跟蹤���,直接報(bào)告可疑MAC地址連接的最近交換機(jī)端口����。如果沒有接入網(wǎng)交換機(jī)管理臺(tái)的權(quán)限�,那連鏡像端口的能力都沒有了。
還有一種辦法是用在線的接口盒(TAP)把一條鏈路的流量分出來�,連接到流量分析儀或協(xié)議分析儀,如福祿克網(wǎng)絡(luò)的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通。的OPV網(wǎng)絡(luò)分析儀或ES網(wǎng)絡(luò)通���。
ES網(wǎng)絡(luò)通的TraceSwitchRoute報(bào)告
通過以上方法��,網(wǎng)管員找到了一條連到中毒機(jī)器方向的網(wǎng)線��,通過經(jīng)驗(yàn)網(wǎng)管員知道用戶大概屬于哪個(gè)部門�����,接下來要找出用戶是誰并進(jìn)行殺毒����。
為了盡快解決問題,網(wǎng)管員把這臺(tái)機(jī)器隔離���,然后逐個(gè)查問相關(guān)部門員工,他們的機(jī)器是否能上網(wǎng)���。最后查找到這些主機(jī)的位置。這種方法����,無需工具,但用戶機(jī)器不能上網(wǎng)時(shí)����,用戶不一定在座位上,可能去辦其它的事而延誤了查找工作�����。所以,這種辦法不一定是最好的���。
一種比較保險(xiǎn)的辦法是通過音頻發(fā)生器和探頭��,進(jìn)行電纜跟蹤技術(shù)來配合上述方法,對連接各主機(jī)的網(wǎng)線進(jìn)行音頻追蹤��,找出可疑機(jī)器的位置��。由于網(wǎng)卡是帶有終端電阻的����,一般使用模擬技術(shù)的音頻發(fā)生器的音頻信號會(huì)被吸收或破壞,而福祿克網(wǎng)絡(luò)公司的智能數(shù)字音頻查線儀IntelliTone����,利用創(chuàng)新的數(shù)字技術(shù),可以在這種環(huán)境下正常工作����。ES網(wǎng)絡(luò)通可以發(fā)出數(shù)字音頻,與IntelliTone的探頭配合工作�����。
利用智能數(shù)據(jù)查線儀進(jìn)行電纜查找
案例二:端口定位
一個(gè)大型政府機(jī)關(guān)的網(wǎng)管員早上收到一位用戶的投訴,說他的機(jī)器不能聯(lián)颮��。其他部門同事沒有發(fā)生同樣的問題�。用戶確認(rèn)沒有對機(jī)器做出任何的改動(dòng),由于沒有網(wǎng)絡(luò)連接����,網(wǎng)管員無法通過遠(yuǎn)程登陸來查看系統(tǒng)參數(shù)。
他帶了一些日常網(wǎng)絡(luò)工具到了用戶的辦公室���,首先看看是否有網(wǎng)絡(luò)連接脈沖��,通過計(jì)算機(jī)的桌面上的網(wǎng)絡(luò)連接小圖標(biāo)����,確認(rèn)計(jì)算機(jī)不能拿到IP地址��。他再拿出福祿克的NetTool網(wǎng)絡(luò)萬用表來檢查����,很快報(bào)告計(jì)算機(jī)和上游交換機(jī)之間的連接是10兆全雙工,輸出和輸入線對都沒有問題�。但顯示出在DHCP工作過程中,沒有得DHCP服務(wù)器回應(yīng),拿不到IP地址�,而且沒有多少協(xié)議能從交換機(jī)發(fā)送到用戶的機(jī)器��。網(wǎng)管員正在奇怪為何如此時(shí)�����,想起了NetTool剛升級后新增的CDP發(fā)現(xiàn)功能�。CDP是所有思科交換機(jī)和路由器默認(rèn)使用的專用協(xié)議�。通過對CDP的分析����,NetTool可以知道連接到最近的一臺(tái)交換機(jī)名稱、端口號和所屬的VLAN號��。
這種功能����,可以在交換機(jī)/路由器沒有打開SNMP功能上實(shí)現(xiàn)。除了NetTool外��,福祿克網(wǎng)絡(luò)的ES網(wǎng)絡(luò)通和OPV網(wǎng)絡(luò)分析儀都能支持CDP����。網(wǎng)管員選擇了NetTool上的菜單,發(fā)現(xiàn)了上連的交換機(jī)端口是屬于另一個(gè)部門的VLAN,而且交換機(jī)是另一個(gè)部門的交換機(jī)���?;氐綑C(jī)房看看,用戶的網(wǎng)線被移位到同機(jī)架上的另外一個(gè)交換機(jī)上�。由于每一個(gè)交換機(jī)利用訪問控制列表AccessList來控制用戶連接,所以不能聯(lián)網(wǎng)����。
