最近,接连有校园网用户向网管员反映,他们的办公用计算机有些时段上Internet和校园网速度极慢,不能正常浏览网页、收发电子邮件。起初我们并未在意,以为是用户端计算机的问题,但反映情况的老师逐渐增多,这引起了我们的关注。在故障再次发生时,我们得到了用户的报告,并立即开始对故障进行排查。
首先,我们在网络中心对本校的WWW服务器和Internet出口做了检查,发现一切正常;检查中心交换机,其资源利用率等各项指标基本正常。这就排除了网络中心不能提供正常服务的可能。
之后,Ping用户的计算机、用户办公楼(A号楼)的二级交换机、A号楼的其他计算机,发现丢包严重;Ping其他办公楼的二级交换机和计算机,发现B号办公楼和A号楼的情况相似,其余均正常。这样,故障范围缩小到A、B两座楼。电话询问A、B两座楼的个别用户,证实了不能正常上网的情况。
这种现象同时出现在两座办公楼上,线路和二级交换机同时出故障的可能性极小。查看这两座办公楼的网络拓扑图,二级交换机的所有端口处于同一个VLAN中,怀疑是病毒向网络疯狂发送数据包(导致广播风暴的原因有很多,一块故障网卡、一个故障端口都有可能引发广播风暴)引发了网络阻塞。必须先找到引起故障的计算机!
在网管交换机上,把一个端口的VLAN配置为VLAN X,接上装有Sniffer软件的计算机抓包,在不到两分钟的时间内得到了如附图所示的巨量广播包。
从附图中可以看到,这种广播包的数据量是惊人的。数据链路层的封装是正常的广播:数据从源MAC地址“50:78:4c:71:2f:19”发往目的地址“ff:ff:ff:ff:ff:ff”,但封装协议是“0x9899(39065) unknown”,Sniffer软件无法向下剥离,只能以二进制代码来显示数据,无法看到源计算机的IP地址。但这已经足够了——我们有了发包计算机的MAC地址!
Telnet到用户办公楼的二级交换机上,用Show cam命令找到了交换机的地址关联存储表(CAM)中MAC地址所对应的交换机端口,再查看楼层布线图,找到了发包计算机所处的房间号(某系对学生开放的上网机房)。
无法得到此计算机的其他信息,只能到该机房实地了解情况了。原来,该系新购进了一批联想品牌的计算机,带硬盘保护卡,其硬盘保护系统功能的实现不依赖于操作系统和其他软件,且具有网络安装的功能。机房维护人员安装好一台计算机后,可以使用硬盘保护卡的网络安装功能,完成单个或多个计算机的安装(一般需要2~3个小时)。因为网络安装的功能是在硬盘保护卡的底层开发的,无法使用Windows系统下类似组播的方法同时给多台计算机发送数据,只能在数据链路层使用广播方式,但用这种广播方式高速传送大量的硬盘数据,给网络带来了严重的拥堵,二级交换机和同一VLAN的用户不堪重负(厂方的说明书中并未说明它的工作原理及所带来的问题)。网络出现故障的时候,机房维护人员正在给几台机器重新传输系统(其他品牌的计算机网络安装也有类似问题)。
新闻热点
疑难解答
