（工作经验）一次简单的分析，希望对大家有帮助。

kodin · 发表于 2008-6-3 00:27:32

故障地点：广州某酒店
故障现象：严重通讯障碍，ping外网掉包严重。
详细描述：
酒店多间客房客人投诉上网慢，经常掉线，投诉点分布在不同的楼层。到达现场后发现客人电脑登陆网站“超慢”，ping任意网站都会出现严重的掉包，ping网关地址也会出现掉包现象。DHCP获取缓慢，有的甚至要手动N次禁用本地连接再启用才能获得。输入arp –a 命令，发现了一个共通点，都连着192.168.128.200这个IP地址，MAC地址也是一样。
回到机房，将笔记本接入主交换机镜像端口，启用科来进行分析。将目标锁定在192.168.128.200这个IP地址，发现其发送包N多，接收包却少得很（比例十分不正常）。查看IP矩阵发现连着多台内网电脑(此IP是客人用的，同时连接这么多台内网电脑十分不正常)。查看此IP总流量却十分低，估计客人电脑中毒或使用扫描类软件。
由于客房IP地址都是通过DHCP自动获得，无法准确定位故障地点，下面用了一个比较笨的方法来判断。
锁定了192.168.128.200这IP地址后，查看数据包，看到数据包是不停的变化的，然后将交换机上的端口断开，查看此IP在哪个端口上（如果是那个，断开后，数据包就会停下来），通过这个方法找到192.168.128.200所在断开后，将其此端口断开后，网络恢复正常。然后将其接回去后，发现网络不到2分钟又出现问题了。
现在已经初步知道故障的电脑和所在的交换机端口，然后用上面同样的方法，找出问题电脑所在的楼层交换机端口。

结论：
在诊断故障的时候，要多留意一下受影响电脑，例如刚刚我就查看了一下ARP，这样可能会对解决故障有一定的帮助。
由于时间仓促，没将图捉好，只能通过文字表述了。很多地方都表达得不好，希望大家别介意。

徐徐渐进 · 发表于 2008-6-3 09:08:31

思路非常正确，加分；
如果楼主平时做好的相应的“IP－MAC－使用人”等记录，这次排查就会轻松很多了。

kodin · 发表于 2008-6-3 11:56:16

谢谢加分，IP-MAC-表内部网络是做了，主要是客房电脑都是客人带来的手提电脑，所以IP是自动获取的。

ronggenyou · 发表于 2008-6-4 21:01:36

我认为最好为为每层做个VLAN 这样查起来也方便些!

oldjiang · 发表于 2008-6-5 01:21:35

在交换机上做端口隔离（port protected），可以有效防止ARP欺骗。

kodin · 发表于 2008-6-5 03:54:35

VLAN不是不想做，可是用的D-LINK二层交换机，VLAN功能不齐全，没办法。
端口隔离没做过，有时间看看这方面的书籍。
最近主路由器烧了（维修那里说CPU烧了，汗~维修费要2000多。。。），也不想搞太多东西了，架了个软路由凑合用着......

garyx · 发表于 2008-6-6 17:34:32

原帖由 kodin 于 2008-6-3 11:56 发表
谢谢加分，IP-MAC-表内部网络是做了，主要是客房电脑都是客人带来的手提电脑，所以IP是自动获取的。

我其实也遇上过这问题,就是IP是DHCP的,电脑也是笔记本,MAC没记录,有什么方法就凭IP或者MAC知道是哪个交换机的哪个端口呢????

oldjiang · 发表于 2008-6-6 19:40:56

mac，如果是可管理的交换机，查看交换机的mac地址表，在那个mac有通讯时。如果交换机多，就分两步，先在主交换机根据mac找到下级交换机，再在下级交换机上找到端口。

kodin · 发表于 2008-6-7 04:15:48

DHCP环境下，最直接的方法就是拔主交换机端口。看看问题出在哪个端口，再往下查。
不过这方法对ARP类型病毒不是太有效。

（工作经验）一次简单的分析，希望对大家有帮助。

评分

回复 7# 的帖子