排除路由器網(wǎng)絡(luò)故障

　　隨著Internet的高速發(fā)展，局域網(wǎng)絡(luò)技術(shù)在企業(yè)、研究部門生產(chǎn)、管理、科研中得到廣泛的應(yīng)用。局域網(wǎng)上連往往要配置管理核心路由器和核心交換機(jī)，從而實(shí)現(xiàn)上連廣域網(wǎng)和Internet。核心路由器狀態(tài)的好壞直接影響整個(gè)局域網(wǎng)的性能。本文通過運(yùn)用嗅探技術(shù)和路由管理技術(shù)完成了對(duì)核心設(shè)備網(wǎng)絡(luò)故障排除的成功事例。

　　排除路由器網(wǎng)絡(luò)故障的方法

　　下面以某研究院為例

　　在一個(gè)研究院工作，研究院局域網(wǎng)骨干網(wǎng)采用ATM技術(shù)搭建，核心交換機(jī)為Fore7110并且有路由功能，通過以太網(wǎng)仿真ELAN技術(shù)，下連3臺(tái)Fore7105構(gòu)成研究院ATM骨干網(wǎng)，上連企業(yè)ATM網(wǎng)。網(wǎng)絡(luò)拓?fù)錇樾切蜆浣Y(jié)構(gòu)。擁有10.65.100.0—10.65.111.0九個(gè)子網(wǎng)段，共2300個(gè)IP地址資源，足以滿足我院 1248臺(tái)PC電腦、138臺(tái)工作站和網(wǎng)絡(luò)交換設(shè)備對(duì)節(jié)點(diǎn)的需求。

　　研究院局域網(wǎng)光纖線路覆蓋大小建筑34幢，共有信息點(diǎn)1150個(gè)。在Internet服務(wù)方面有域名服務(wù)系統(tǒng)、電子郵件系統(tǒng)和Web站點(diǎn)。

　　故障的出現(xiàn)

　　我院的Fore7100是支持最大交換1.6G帶寬的具有路由功能的核心交換設(shè)備，一天，該交換機(jī)出現(xiàn)如下現(xiàn)象：

　　工作狀態(tài)指示異常繁忙，交換速度極慢，又沒有其它特征。網(wǎng)絡(luò)連通測(cè)試(ping)是通的。單響應(yīng)時(shí)間慢到300ns-900ns不等。Fore7010交換機(jī)的路由包監(jiān)測(cè)發(fā)現(xiàn)無效路由包在極短的時(shí)間內(nèi)增長(zhǎng)很快，數(shù)量級(jí)為105～106甚至107。僅僅在10秒種內(nèi)，有效的路由服務(wù)就癱瘓了，形成了網(wǎng)絡(luò)安全上稱為拒絕服務(wù)的攻擊。

　　我們直接進(jìn)入到 Fore7110交換機(jī) ( 10.60.11.62)，用stats命令顯示路由記錄信息。

　　Telnet 10.60.11.62

　　PB1_JSZ3:ip# stats -P IP(當(dāng)前路由記錄信息)

　　IP statistics: count since last stats clear

　　Datagrams forwarded: 170073

　　Datagrams rcvd: 175164

　　……

　　No route to send: 5507

　　……

　　(交換機(jī)無法發(fā)送的無效路由請(qǐng)求數(shù))

　　經(jīng)過查看顯示的路由記錄信息，發(fā)現(xiàn)8.3，8.5，8.6端口無效路由包請(qǐng)求增長(zhǎng)很快。

　　檢測(cè)過程

　　我們決定對(duì)Fore7110顯示的幾個(gè)無效路由包增加過快的幾個(gè)端口進(jìn)行監(jiān)測(cè)。在沒有相應(yīng)的網(wǎng)絡(luò)性能分析儀(Sniffer網(wǎng)絡(luò)分析儀)的情況下，我們決定通過修改Fore的VLAN將需要監(jiān)測(cè)的8.3、8.5、8.6等端口與具有snoop功能的Sun工作站jsz3上連口8.1劃分到同一VLAN中。同時(shí)通過Fore7110 監(jiān)控Monitor端口命令。需要注意：使用monitor 命令對(duì)交換設(shè)備有較大的性能的影響。

　　步驟1： 登錄核心交換機(jī)

　　Telnet 10.60.11.62

　　PB1_JSZ3:ip#mediaPB1_JSZ3:media# segment pdisable 8.3,8.5,8.6PB1_JSZ3:media#

　　monitor set 8.3 to 8.6 on 8.1

　　執(zhí)行jsz3的solaris系統(tǒng)的Snoop命令，進(jìn)一步對(duì)1.1、8.3、8.5、8.6幾個(gè)端口packet進(jìn)行監(jiān)視，發(fā)現(xiàn)IP地址分屬于8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的機(jī)器發(fā)送大量的路由包，8.5端口正常。確定了機(jī)器IP后我們自然想到為什么會(huì)有大量的路由請(qǐng)求呢?。以Sun工作站(10.60.10.57)為例。通過遠(yuǎn)程登錄該機(jī)器。我們執(zhí)行solaris系統(tǒng)的Snoop命令。

　　步驟2：遠(yuǎn)程登錄

　　#Telnet 10.60.10.57#Snoop

　　該機(jī)器發(fā)送的以“ 0.22.*.*” 為IP地址的無效路由請(qǐng)求數(shù)量很大。

　　步驟3：在這臺(tái)機(jī)器上顯示進(jìn)程

　　#ps-eaf　more

　　發(fā)現(xiàn)/Dev/cuc目錄下的可疑執(zhí)行文件chinaworm.exe及相關(guān)tar文件，并證明該文件為病毒。這就是故障的原因。

　　解決的方法

　　刪掉該文件，關(guān)閉相關(guān)的遠(yuǎn)程網(wǎng)絡(luò)服務(wù)。機(jī)器和交換機(jī)、網(wǎng)絡(luò)都恢復(fù)了正常。通過Sun上執(zhí)行#snoop命令可以顯示無效路由包數(shù)量的增加降為101-102數(shù)量級(jí)。歸于正常的增長(zhǎng)范圍。

　　在這次排除故障的工作中，我們運(yùn)用現(xiàn)有的網(wǎng)絡(luò)環(huán)境和可以實(shí)現(xiàn)的手段，通過對(duì)核心交換機(jī)路由狀態(tài)各類參數(shù)的實(shí)時(shí)分析、判定路由器狀態(tài)，通過對(duì)Fore7110 Vlan調(diào)整、monitor端口監(jiān)測(cè)，利用嗅探器技術(shù)在SolarisOS應(yīng)用(Snoop命令)，確定了導(dǎo)致大量無效路由發(fā)生的事實(shí)，成功的解決了影響網(wǎng)絡(luò)性能的網(wǎng)絡(luò)隱患。這對(duì)在Unix系統(tǒng)中排查蠕蟲病毒，維護(hù)網(wǎng)絡(luò)的正常運(yùn)行都有很好的借鑒意義。

排除路由器網(wǎng)絡(luò)故障的相關(guān)文章：

1.路由器出現(xiàn)故障診斷與排除

2.有信號(hào)卻連不上?無線路由器之故障排除

3.網(wǎng)絡(luò)故障和排除

4.查看路由器的端口狀態(tài)解決網(wǎng)絡(luò)故障

5.常見的路由器上網(wǎng)故障分析及解決方法