林洋

（吉林廣播電視大學遠程教育技術(shù)中心，吉林 長春 130022）

簡論校園IT系統(tǒng)中的故障檢查
——以幾次故障處理過程為例

林洋

（吉林廣播電視大學遠程教育技術(shù)中心，吉林 長春 130022）

校園網(wǎng)IT系統(tǒng)的運維相對簡單，但出現(xiàn)故障在所難免，本文從硬件、網(wǎng)絡、業(yè)務三個角度出發(fā)，以幾個故障處理為例，討論校園網(wǎng)的網(wǎng)絡故障處置方法和運維思路。

運維；檢查；故障管理

IT系統(tǒng)具備相當?shù)膹碗s性，為保障其可靠運行，在系統(tǒng)設計階段即應進行合理的拓撲規(guī)劃和架構(gòu)設計，仔細考慮當前系統(tǒng)建設需求和未來的需求增速；進行設備選擇時，在滿足當前需求的前提下，需要權(quán)衡各個設備在價格和性能方面的平衡。

盡管如此，與所有網(wǎng)絡管理者的意愿相違，IT系統(tǒng)通常處于不穩(wěn)定的運行狀態(tài)之中，它隨時可能因為各種各樣的環(huán)境威脅、惡意攻擊以及源自于硬件和軟件的沖突甚至服務等故障導致業(yè)務崩潰。因此，網(wǎng)絡管理員還需要提前制定各類故障的對應處理規(guī)劃和應急方案，以盡量保障系統(tǒng)的穩(wěn)定、持續(xù)和可靠運行；在網(wǎng)絡運行期間，管理員應定期或不定期從多個維度對整個網(wǎng)絡進行檢查，包括硬件運行狀態(tài)、數(shù)據(jù)包狀態(tài)、服務狀態(tài)、生產(chǎn)業(yè)務狀態(tài)等。事實上，對網(wǎng)絡運維管理而言，預防手段遠比故障的及時處理更加重要。

我校網(wǎng)絡系統(tǒng)拓撲結(jié)構(gòu)（2008年）

本文以幾個故障的實際處置為例，嘗試探討校園IT系統(tǒng)中的運維方法。

一、交換機端口/板卡故障

學校在早期的網(wǎng)絡建設中，從節(jié)省資金考慮，并未設置完整的網(wǎng)絡接入層，因此大量教師所屬的終端電腦直接通過雙絞線上行接入核心交換機，為此核心交換機配置了多個高密度千兆電口板。這種做法的好處是網(wǎng)絡拓撲結(jié)構(gòu)簡單，終端PC接入互聯(lián)網(wǎng)的物理路徑最短，效率最高，網(wǎng)絡管理手段簡單、直接且有效；但這種結(jié)構(gòu)在網(wǎng)絡體系的安全運行方面存在很大風險。某日雷陣雨，第二天網(wǎng)絡中心即接到終端用戶的故障申報，部分終端無法聯(lián)網(wǎng)，且顯示為本地網(wǎng)絡連接物理斷開。經(jīng)檢查，發(fā)現(xiàn)故障范圍局限在核心交換機的特定板卡，且同時存在于該板卡的第1-8端口。根據(jù)板卡的廠家描述，該48口千兆板卡的物理結(jié)構(gòu)為每8個端口由一塊芯片集中處理網(wǎng)絡請求，因此實際上48個電口數(shù)據(jù)由6個處理芯片分別處理，并最終匯聚到核心交換機的背板通道。根據(jù)以上信息，結(jié)合現(xiàn)場實地考察，又發(fā)現(xiàn)出現(xiàn)故障的辦公室大部分位于樓宇頂層。據(jù)此我們可以做出推斷：雷陣雨發(fā)生后，終端計算機和雙絞線鏈路上堆積了大量電能，而無論是網(wǎng)卡還是交換機板卡，都只能在較小范圍的弱電區(qū)域工作，當終端集中開機，較高電壓帶動電流通過雙絞線，擊穿了這8個端口的后端處理板。事實上在事后的故障檢查中，還發(fā)現(xiàn)了一些網(wǎng)卡損壞的情況。

在網(wǎng)絡設計和規(guī)劃中，盡管預算有限，也應考慮環(huán)境因素對網(wǎng)絡安全體系的重大影響，并作出合理安排。如上例所述，對存在雷擊風險的終端電腦、設備應盡早部署防雷擊策略，同時增加網(wǎng)絡接入層設備部署，使得風險發(fā)生時，縮小設備故障影響的范圍以及降低設備資源損失。

二、基于IP的故障檢查

網(wǎng)絡層IP常見故障主要有兩種：ARP攻擊和IP盜用。

2006年至2008年是ARP病毒泛濫非常嚴重的時期，此后主要IT設備廠家和軟件廠家針對ARP提出了許多管理策略和攻擊防護手段，然而直到今日，ARP攻擊仍舊是校園網(wǎng)內(nèi)的嚴重安全威脅之一。

以太網(wǎng)ARP數(shù)據(jù)報文格式

如圖所示，在典型的TCP/IP園區(qū)網(wǎng)中，終端和網(wǎng)絡設備需要維持自己的ARP表，用以實現(xiàn)二層地址轉(zhuǎn)發(fā)和三層網(wǎng)絡地址轉(zhuǎn)發(fā)，而攻擊者則首先獲取網(wǎng)關(guān)MAC地址，進而偽造以太網(wǎng)ARP數(shù)據(jù)包，將自己的MAC地址置于廣播報文源地址中，并在二層域中廣播，所有接收廣播報文的終端被迫修改網(wǎng)關(guān)MAC地址（在沒有防護的情況下），使得數(shù)據(jù)流向從正常的網(wǎng)關(guān)地址轉(zhuǎn)移到偽裝網(wǎng)關(guān)的地址上來。此舉的主要目的是欺騙，并獲取敏感信息，但大量數(shù)據(jù)的異常流向，會導致整個網(wǎng)絡效率低下，并阻礙多數(shù)數(shù)據(jù)包返回到正確地址，因此用戶無法正常連接到互聯(lián)網(wǎng)。

對于地址欺騙，普遍的做法是使用帶網(wǎng)管的網(wǎng)絡設備開啟ARP攻擊防護，確定合理的MAC刷新閾值，以減少網(wǎng)絡風險。在終端位置，可以考慮使用ARP防護軟件或其他綜合安全軟件，自動綁定網(wǎng)關(guān)地址，拒絕ARP欺騙。

校園網(wǎng)內(nèi)常見的網(wǎng)絡故障還包括IP地址盜用。在很多情況下，網(wǎng)絡中的一些位置、某些部門不適合實施DHCP分配策略，此時需要對所有相關(guān)終端手工分配IP地址，但網(wǎng)絡管理者無法總是要求用戶始終保持IP地址正確，而事實上用戶惡意修改地址的情況也經(jīng)常發(fā)生，修改者并不了解整個網(wǎng)絡的拓撲情況和IP規(guī)劃，隨意配置IP，經(jīng)常導致其他同IP用戶無辜斷網(wǎng)。

對于IP地址分配，網(wǎng)絡管理人員需要在網(wǎng)絡規(guī)劃階段仔細考慮用戶需求，對無特殊需求的用戶提供DHCP服務，對需要提供審計和存在敏感信息的部門，必須實行地址綁定措施，必要時額外分離VLAN區(qū)域，降低IP沖突風險。此外的辦法是增加網(wǎng)絡審計設備，對用戶的網(wǎng)絡連接進行身份驗證和計費。

我校網(wǎng)絡中心采取了嚴格策略，即終端MAC地址、終端IP地址、鏈路、交換機端口、VLAN的完全綁定，任何終端只能從指定鏈路，以指定的地址訪問網(wǎng)絡，否則不予接入。在網(wǎng)絡管理方面，網(wǎng)絡中心長期維護學校全網(wǎng)的地址綁定表格，每次變動都需要再次登記，從而保證了用戶的合法網(wǎng)絡權(quán)益，并對非法用戶的連接請求進行管理和直接拒絕。2008年起，在我校接入帶寬十分緊張的情況下，網(wǎng)絡中心通過這樣嚴格的綁定策略，使得用戶的基本接入需求得到有效保障。

三基于業(yè)務的健康檢查

作為對外提供服務的窗口，學校通常需要建設專署網(wǎng)站，以WEB方式提供各種教育信息和教學服務，但提供服務即意味風險，風險既來自外部，也來自內(nèi)部。

2008年12月30日，我校對外網(wǎng)站窗口遭受連續(xù)SQL注入攻擊，主頁面臨被篡改風險，網(wǎng)絡中心立即啟動應急響應，并與網(wǎng)絡安全設備廠家聯(lián)合，分析攻擊來源并進行防護。經(jīng)檢查，發(fā)現(xiàn)對基于七層協(xié)議的SQL注入攻擊，當時的IPS設備尚沒有可靠抵御手段，因此又改為手工檢測，最后從IIS日志中分離出攻擊代碼，代碼如下：

2008-12-3000：15：21GET/xb/file.asp

fileid=1999214006；dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414 E4420612……F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F636E2E64617869613132332E636E2F636E2E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72%20aS%20VaRcHaR（4000））；eXeC（@s）；

--80-211.117.95.48Mozilla/4.0+（compatible；+MSIE+6.0；+Windows+NT+5.0）200064421

此后，開發(fā)人員針對網(wǎng)站專門完善了SQL注入攻擊的代碼防護，此后網(wǎng)絡中心于2014年購置WAF防護設備，目前已能以較高水平對網(wǎng)站進行安全加固和防護。

從這次攻擊的過程來看，基于防火墻/IPS的傳統(tǒng)網(wǎng)絡安防體系已不能對網(wǎng)絡安全提供完整保護，特別是網(wǎng)絡需要提供對外WEB窗口時，網(wǎng)絡管理員需要重新規(guī)劃web安全體系，并與現(xiàn)有網(wǎng)絡安防體系有機整合，從抵抗病毒入侵、低水平黑客攻擊、社會工程學攻擊、跨站攻擊、網(wǎng)絡滲透甚至DDOS攻擊等多角度出發(fā)，仔細考慮網(wǎng)絡安全需要，尋找合適、合理的方法，選擇專門的防護設備，從而實現(xiàn)策略可靠的網(wǎng)絡安全部署。目前較為普遍的作法是在網(wǎng)絡拓撲中設計明確的網(wǎng)絡邊界，如用戶區(qū)域、計費區(qū)域、DMZ區(qū)域、存儲區(qū)域等，而WEB服務通常位于DMZ區(qū)域，在網(wǎng)絡管理中，需要在防火墻上配置各區(qū)域的邊界策略，嚴格數(shù)據(jù)流向?qū)徍舜胧?，在可能的情況下對數(shù)據(jù)進行多層協(xié)議審核，并保留系統(tǒng)運行日志。

四、網(wǎng)絡故障管理的基本思路

不出現(xiàn)故障的網(wǎng)絡才是健康的網(wǎng)絡，對網(wǎng)絡管理者而言，這是網(wǎng)絡運維和管理的最終目標，在達到這樣理想的狀態(tài)之前，本文提出以下建議：

1.未雨綢繆：在網(wǎng)絡設計和規(guī)劃階段，仔細審核和考慮網(wǎng)絡需求，網(wǎng)絡拓撲設計應具有彈性，IP合理規(guī)劃，網(wǎng)絡核心和關(guān)鍵設備應具備冗余能力，對各種意外和風險有所準備。

2.認真細致：網(wǎng)絡管理和運維是一項長期且枯燥的工作，網(wǎng)絡管理人員應熟悉每一臺設備、每一個業(yè)務、每一項服務的初始狀態(tài)、正常狀態(tài)和故障狀態(tài)，并在問題即將出現(xiàn)前有所警覺，在故障發(fā)生時能及時發(fā)現(xiàn)。

3.完善日志：在網(wǎng)絡運維中，一個有意思的現(xiàn)象是大部分故障的發(fā)生具備前后關(guān)聯(lián)性，網(wǎng)絡管理員應當做好網(wǎng)絡運維日志，在系統(tǒng)運行正常時記錄設備運行狀態(tài)，在設備故障時記錄故障狀態(tài)，在狀態(tài)比對中經(jīng)常能發(fā)現(xiàn)故障具體位置和原因；此外，對故障處理的完整記錄也有助于下次故障的原因倒查，因此保持完善的網(wǎng)絡運維日志，可以減少故障定位時間，加速故障處理進程。

4.經(jīng)常檢查：大多數(shù)的網(wǎng)絡風險發(fā)生在網(wǎng)絡管理員最懈怠的時候，特別是黑客攻擊概率在每天的零時前后最高。因此網(wǎng)絡管理員應當制定網(wǎng)絡安全檢查制度，定期或不定期對網(wǎng)絡設備、網(wǎng)絡數(shù)據(jù)、業(yè)務數(shù)據(jù)進行檢查，發(fā)現(xiàn)風險及時處理，防止風險擴大并變成具體威脅。

5.應急策略：網(wǎng)絡故障的發(fā)生總是意外的，突發(fā)的情況更能考驗整個網(wǎng)絡的綜合素質(zhì)。因此管理員應盡量事先考慮所有的安全風險，制定風險預案，在故障發(fā)生時應有法可依，有據(jù)可查，快速恢復業(yè)務。

網(wǎng)絡運維是長期持續(xù)的過程，保障網(wǎng)絡健康是長期的和艱苦的工作，網(wǎng)絡管理員需要以耐心、細致的態(tài)度對網(wǎng)絡進行管理。本文僅從我校網(wǎng)絡運行的實踐經(jīng)驗出發(fā)，討論網(wǎng)絡管理的基本方法，拋磚引玉，懇請廣大同行指導。

［1］彭海深.網(wǎng)絡故障診斷［M］.科學出版社，2007.

［2］李強.淺談計算機網(wǎng)絡故障診斷和排除方法［J］.中國電子商情：科技創(chuàng)新，2013，（22）.

［3］Tursunjan.Mama.關(guān)于網(wǎng)絡故障診斷和排除方法的討論［J］.網(wǎng)絡安全技術(shù)與應用，2013，（11）.

TP391

A

1008-7508（2015）10-0144-03

2015-07-11

林洋（1980-），吉林長春人，吉林廣播電視大學遠程教育技術(shù)中心講師，研究方向：網(wǎng)絡運維。