王 偉

（西安財(cái)經(jīng)學(xué)院，陜西 西安 710100）

1 引言

高校公用上網(wǎng)機(jī)房是師生科研、教學(xué)活動(dòng)的重要場(chǎng)所，網(wǎng)絡(luò)機(jī)房的安全、高效運(yùn)行管理難度很大，網(wǎng)絡(luò)運(yùn)行緩慢甚至斷網(wǎng)、信息數(shù)據(jù)安全等問題屢見不鮮。為此，筆者從常見的網(wǎng)絡(luò)故障現(xiàn)象出發(fā)，分析故障原因，提出解決方案，并總結(jié)出常見網(wǎng)絡(luò)故障排除的方法。

2 公用上網(wǎng)機(jī)房常見網(wǎng)絡(luò)故障分析及解決措施

2.1 機(jī)房網(wǎng)絡(luò)故障的原因、識(shí)別

常見的產(chǎn)生機(jī)房網(wǎng)絡(luò)故障的原因主要有計(jì)算機(jī)用戶自身的原因（如瀏覽非法帶有病毒的網(wǎng)站、下載惡意軟件等）、老鼠或者違規(guī)電腦用戶對(duì)線路及設(shè)備進(jìn)行的破壞、硬件設(shè)備或者軟件系統(tǒng)自身缺陷及故障引起的原因、雷電災(zāi)害等。當(dāng)故障發(fā)生后，網(wǎng)絡(luò)工程師通常應(yīng)該從故障現(xiàn)象出發(fā)進(jìn)行排障，排障時(shí)需要識(shí)別的項(xiàng)目有：①計(jì)算機(jī)自身的網(wǎng)絡(luò)通斷，包括網(wǎng)卡硬件故障、TCP/IP信息的設(shè)置、殺毒和防火墻軟件的設(shè)置、瀏覽器Broswer等；②網(wǎng)絡(luò)設(shè)施的運(yùn)行狀態(tài)，諸如網(wǎng)線的通斷、水晶頭制作、交換機(jī)及路由器的指示燈和運(yùn)行的軟件系統(tǒng)、郵件服務(wù)器、防火墻等。機(jī)房網(wǎng)絡(luò)故障的原因很復(fù)雜，網(wǎng)絡(luò)故障現(xiàn)象的識(shí)別、分類規(guī)律性不強(qiáng)，因此故障處理起來也很棘手。為此，下文從常見的故障現(xiàn)象出發(fā)對(duì)其進(jìn)行剖析，并給出相應(yīng)的解決方案。

2.2 DNS故障、欺騙攻擊及防護(hù)

客戶端訪問域名網(wǎng)址不能到達(dá)或轉(zhuǎn)向非正常網(wǎng)站，此時(shí)很有可能是DNS SERVER出現(xiàn)故障或遭到攻擊癱瘓不能正常工作，或受DNS欺騙攻擊被引向非法的預(yù)先設(shè)定的網(wǎng)站。解決方法∶DNS問題可以通過冗余DNS SEREVER來解決自身故障；對(duì)欺騙攻擊所帶來的危害可將 DNS SERVER的 MAC ADDRESS與其IP ADDRESS綁定，將綁定信息存儲(chǔ)在Client Network Card的Eprom中，這樣客戶機(jī)就可以對(duì)DNS SERVER的真實(shí)性進(jìn)行校驗(yàn)即可預(yù)防欺騙；另外，由于該欺騙以ARP欺騙為基礎(chǔ)，所以可在網(wǎng)關(guān)路由器處將IP和MAC綁定防止ARP攻擊，從而進(jìn)行防御。

2.3 DHCP故障及解決

采用 DHCP自動(dòng)分配 IP上網(wǎng)方式，會(huì)出現(xiàn)無法獲取 IP ADDRESS的現(xiàn)象，原因可能是 DHCP 服務(wù)器超負(fù)荷運(yùn)行、IP ADDRESS租約到期、DHCP服務(wù)器自身故障或其數(shù)據(jù)庫損壞，更嚴(yán)重的是機(jī)房LAN中出現(xiàn)非法的DHCP SEREVER并導(dǎo)致用戶信息安全失竊。解決方法：①DHCP采用專用SERVER不使其超負(fù)荷運(yùn)行；②增加DHCP地址池中的IP范圍，回收閑置IP和縮短不必要的IP使用時(shí)限，以解決IP租約到期問題；③對(duì)DHCP SERVER及其數(shù)據(jù)庫采用冗余備份防止數(shù)據(jù)和服務(wù)災(zāi)難；④在匯聚層SWITCH上查找并禁用非法DHCP服務(wù)，或使用Domain Controller授權(quán)，或在SWITCH上使用Snooping技術(shù)，或在路由器、核心交換機(jī)、防火墻上將除合法 DHCP服務(wù)器外的所有DHCP報(bào)文即UDP的68端口封閉，此4法能解決常見的DHCP問題。

2.4 IP地址沖突問題及其解決

網(wǎng)絡(luò)運(yùn)行中會(huì)出現(xiàn)Computer提示IP ADDRESS沖突，此時(shí)就出現(xiàn)一個(gè)IP對(duì)應(yīng)多臺(tái)計(jì)算機(jī)網(wǎng)卡的MAC ADDRESS情況，只有一臺(tái)機(jī)器能夠正常上網(wǎng)，其他有沖突的機(jī)器不能上網(wǎng)。IP沖突的原因：輸入錯(cuò)誤或重復(fù)設(shè)置或非法占有或LAN內(nèi)有人使用ARP欺騙的木馬程序。解決方法：①在SWITCH或硬件防火墻上將交換機(jī)端口、客戶端的IP和MAC三者進(jìn)行綁定，這樣可以防止ARP病毒引起的沖突；②記錄下每臺(tái)機(jī)器的IP和 MAC，一旦沖突，則可最快的找到故障機(jī)；③在注冊(cè)表中設(shè)置禁用本地連接的屬性功能，用戶就無權(quán)修改IP地址。

2.5 ARP攻擊分析及其防御

LAN中如果網(wǎng)絡(luò)時(shí)斷時(shí)通、網(wǎng)速緩慢、無法PING通網(wǎng)關(guān)或提示硬件網(wǎng)卡地址沖突，此時(shí)重啟路由器即可恢復(fù)，但很快又網(wǎng)絡(luò)掉線，則很可能是機(jī)房遭到ARP病毒攻擊。解決：①管理員可對(duì)機(jī)房進(jìn)行 VALN劃分以減少故障機(jī)給整個(gè)網(wǎng)絡(luò)帶來的危害；②經(jīng)常升級(jí)系統(tǒng)并打補(bǔ)丁，使用360防火墻軟件；③在本機(jī)綁定網(wǎng)關(guān)和本機(jī)的IP和MAC，建立靜態(tài)的ARP列表。

2.6 斷網(wǎng)問題及解決措施

斷網(wǎng)故障常表現(xiàn)為本地連接的電腦圖標(biāo)為紅叉、網(wǎng)卡指示燈熄滅或長亮、無法PING通外網(wǎng)且內(nèi)網(wǎng)不能互訪通信等，其原因通常為硬件故障如：網(wǎng)卡損壞及其設(shè)置有誤、雙絞線的線序和水晶頭制作不良、交換機(jī)和路由器故障；軟件故障有網(wǎng)絡(luò)協(xié)議配置不全或錯(cuò)配、微軟客戶端服務(wù)未安裝、代理服務(wù)器和防火墻設(shè)置不當(dāng)以及病毒引起的 DDOS拒絕服務(wù)攻擊。解決：根據(jù)現(xiàn)象從故障機(jī)的網(wǎng)卡、網(wǎng)線的通斷和本地連接中的屬性配置信息檢查，然后再查SWITCH和ROUTER以及代理服務(wù)器和FIREWALL的相關(guān)設(shè)置（錯(cuò)誤的網(wǎng)絡(luò)安全設(shè)置會(huì)導(dǎo)致網(wǎng)絡(luò)不通）。

2.7 VLAN故障及解決方法

VLAN是大型局域網(wǎng)中常見的為維護(hù)網(wǎng)絡(luò)安全和性能所劃分的虛擬網(wǎng)絡(luò)，VLAN建立在交換機(jī)之上，在運(yùn)行中常會(huì)出現(xiàn)鏈路故障如網(wǎng)卡、雙絞線、交換機(jī)、路由器問題，也會(huì)由于交換機(jī)、路由器的配置軟件信息丟失、錯(cuò)誤配置和關(guān)閉造成問題。由于VLAN造成的故障通常表現(xiàn)為虛擬工作組之間不能互訪，所以解決方法為：先檢查交換機(jī)的指示燈，檢查交換機(jī)的配置信息和測(cè)試訪問通斷，最后找到故障點(diǎn)檢查故障機(jī)器。

2.8 網(wǎng)絡(luò)病毒的預(yù)防

機(jī)房尤其是上網(wǎng)機(jī)房極易受到病毒的攻擊，從而使整個(gè)網(wǎng)絡(luò)癱瘓或異常，因此病毒的防御是重中之重。通常的措施有：①關(guān)鍵設(shè)備如DHCP、DNS及郵件網(wǎng)關(guān)服務(wù)器都要安裝專業(yè)的服務(wù)器版殺毒軟件，在網(wǎng)關(guān)處安裝FIREWALL或者IDS、IPS，給機(jī)房單機(jī)也安裝客戶端的殺毒軟件，定期殺毒并升級(jí)補(bǔ)丁系統(tǒng)軟件；②關(guān)閉易感染病毒的機(jī)器（計(jì)算機(jī)、交換機(jī)、路由器等）端口，經(jīng)常檢查系統(tǒng)日志；

③在客戶機(jī)和重要設(shè)備上安裝硬件還原保護(hù)卡或相關(guān)的保護(hù)還原軟件。

2.9 其他故障原因及其預(yù)防

雷電災(zāi)害、小動(dòng)物（如老鼠）啃咬網(wǎng)線等設(shè)備、人為破壞等也是機(jī)房網(wǎng)絡(luò)故障常見的現(xiàn)象，對(duì)于這些問題工程師也應(yīng)予以重視。雷電閃擊會(huì)造成網(wǎng)絡(luò)系統(tǒng)運(yùn)行異常甚至癱瘓并造成安全事故，老鼠經(jīng)常會(huì)將各個(gè)設(shè)備間的網(wǎng)線咬斷造成物理斷網(wǎng)，不良企圖的用戶會(huì)人為破壞機(jī)房設(shè)施。因此，在實(shí)際中應(yīng)當(dāng)定期檢查避雷的安全設(shè)施和技術(shù)措施的有效性，對(duì)關(guān)鍵部位的網(wǎng)線和設(shè)備進(jìn)行物理隔離以防止老鼠啃咬，加強(qiáng)學(xué)生機(jī)房安全管理制度的教育。

3 排查網(wǎng)絡(luò)故障的經(jīng)驗(yàn)總結(jié)

以上九個(gè)方面是高校公共上網(wǎng)機(jī)房常見的故障現(xiàn)象及解決方案簡(jiǎn)述，然而實(shí)際的管理中，現(xiàn)象和原因較為復(fù)雜，只有遵循科學(xué)的方法才能快速排障。以筆者經(jīng)驗(yàn)總結(jié)的排障方法為：首先確定故障的現(xiàn)象，從現(xiàn)象出發(fā)為可能的原因進(jìn)行分類排序；其次，依據(jù)分類排序的原因逐一檢測(cè)，通常從故障現(xiàn)象發(fā)生地的機(jī)器本身檢查，依次檢查可能的機(jī)器，檢查項(xiàng)目一般為可能發(fā)生故障的機(jī)器的軟件、硬件，檢查時(shí)應(yīng)有替換設(shè)備進(jìn)行替換驗(yàn)證或?qū)赡馨l(fā)生故障的軟件系統(tǒng)進(jìn)行還原修復(fù)；最后，網(wǎng)絡(luò)故障的原因可能不止一個(gè)而是綜合問題，對(duì)于復(fù)雜的綜合網(wǎng)絡(luò)故障，我們應(yīng)該采取先整體后局部，先關(guān)鍵后次要的原則，具體到實(shí)際就是要遵循以下三原則：（1）先檢查核心設(shè)備如 DHCP、DNS、 SWITCH、MAIL SERVER、ROUTER、FIREWALL、DATABASE等，再檢查虛擬局域網(wǎng)VLAN和單機(jī)；(2)先檢查各類設(shè)備的硬件系統(tǒng)再檢查軟件系統(tǒng)；(3)先檢查網(wǎng)絡(luò)的出入口，再檢查各個(gè)子網(wǎng)，最后檢查單機(jī)的網(wǎng)絡(luò)配置及其運(yùn)行狀態(tài)。

總之，大型公用上網(wǎng)機(jī)房的維護(hù)是一件復(fù)雜的系統(tǒng)工程，只有遵循科學(xué)的方法，不斷在實(shí)踐中學(xué)習(xí)總結(jié)維護(hù)經(jīng)驗(yàn)和技術(shù)才可能做好。

4 結(jié)束語

本文闡述了大型公共上網(wǎng)機(jī)房網(wǎng)絡(luò)運(yùn)行中常見的故障及其解決方法，并根據(jù)經(jīng)驗(yàn)給出了科學(xué)解決故障的思路和原則，相信在實(shí)踐中不斷完善處理的方法和技術(shù)手段就能夠維護(hù)管理好大型上網(wǎng)機(jī)房。

[1] 王偉.局域網(wǎng)常見斷網(wǎng)故障研究[J].軟件導(dǎo)刊,2012(1).

[2] 王偉.局域網(wǎng)中DHCP故障問題研究[J].大眾科技, 2012(2).

[3] 王偉.DNS欺騙攻擊及其防護(hù)研究[J].軟件導(dǎo)刊,2012(3).