隨著單位信息化工作的深入開展，各個業(yè)務(wù)部門需要開展業(yè)務(wù)流程管理、單位內(nèi)部辦公材料上傳互聯(lián)網(wǎng)等業(yè)務(wù)工作。綜合部門需要辦公自動化系統(tǒng)應(yīng)用、外網(wǎng)文件收發(fā)和互聯(lián)網(wǎng)信息查詢等業(yè)務(wù)，在各個業(yè)務(wù)部門和綜合部門需要部署內(nèi)部局域網(wǎng)、外網(wǎng)和互聯(lián)網(wǎng)絡(luò)。而且，工作人員經(jīng)常因為工作需要輪換工作崗位，人員位置和電腦終端經(jīng)常移動，這就給網(wǎng)絡(luò)部署和維護(hù)帶來了很大難度。

人員和電腦終端在位置變動后，經(jīng)常會出現(xiàn)由于網(wǎng)線連接不當(dāng)造成上不了網(wǎng)的情況，如果是終端本身因位置移動導(dǎo)致無法上網(wǎng)，可以通過查看電腦功能，得知終端要接入哪個網(wǎng)絡(luò)，從而鏈接辦公室對應(yīng)的網(wǎng)絡(luò)墻插得到解決。但是，如果由于其他原因，影響非移動終端無法正常上網(wǎng)，辦公區(qū)域有2000信息點，給故障排查做成極大困難。

由于單位管理上規(guī)定各種網(wǎng)絡(luò)物理隔離，從核心設(shè)備，到樓層交換，再到辦公室終端都各有一套設(shè)備，可以利用交換機(jī)的鄰居發(fā)現(xiàn)功能排查故障。筆者就是用此功能，成功定位并排除一例網(wǎng)絡(luò)串接故障。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

故障現(xiàn)象

單位一部門的幾臺電腦，近期發(fā)現(xiàn)經(jīng)常不定時業(yè)務(wù)中斷，重新啟動后鏈接正常，過兩三個小時又中斷。起初懷疑是電腦病毒導(dǎo)致，對電腦重新安裝系統(tǒng)并進(jìn)行殺毒，排除了終端本身的原因。后懷疑連接線纜和墻插接觸有問題，通過現(xiàn)場檢測，連接正常。

該電腦連接單位辦公局域網(wǎng)，且設(shè)定自動獲取IP地址，正常上網(wǎng)時候能夠獲取到IP地址。通過ipconfig查看IP地址，為172.16.64.X，與辦公局域網(wǎng)規(guī)劃的網(wǎng)段相一致，當(dāng)不能上辦公網(wǎng)時，終端也能獲取到地址，但是獲取到的地址是192.168.3.X，不屬于辦公局域網(wǎng)規(guī)劃網(wǎng)段，因此也就上不了局域網(wǎng)。通過查詢以前登記的記錄，發(fā)現(xiàn)該電腦獲取到的地址是單位上互聯(lián)網(wǎng)的地址，試著Ping百度的域名，能夠Ping通，說明單位辦公局域網(wǎng)與互聯(lián)網(wǎng)發(fā)生了串接。

故障分析

單位的Internet網(wǎng)拓?fù)鋱D如圖1所示，各個樓層H3C交換機(jī)匯聚到機(jī)房的一臺Huawei S5724交換機(jī)，再鏈接到一臺防火墻和一臺路由器鏈接Internet網(wǎng)。通過Telnet登錄到Huawei S5724 Internet網(wǎng)交換機(jī)上，使能lldp協(xié)議，輸入命令Disp lldp neig brief發(fā)現(xiàn)了問題端倪：

設(shè)備顯示：

Local Intf Neighbor DevNeighbor Intf Exptime

GE0/0/22 gfl-s3150-3f-down-vlan4 Eth1/0/6 112

首先，單位的Internet網(wǎng)交換機(jī)命名規(guī)則中都有Internet字樣，可以確定這個設(shè)備不是Internet網(wǎng)內(nèi)的交換機(jī)。其次，通過輸入命令disp lldp neighbor interface GigabitEthernet 0/0/22,可以看出，有一臺H3C S3100-52P設(shè) 備，位置在三樓，IP地址為172.16.64.131，是 一 臺 局域網(wǎng)交換機(jī)，該局域網(wǎng)交換機(jī)通過Eth1/0/6口串接到Internet網(wǎng)中，具體見日志截圖（如圖2）。通過查看以前的登記資料，這臺Huawei S5724 Internet網(wǎng)匯聚交換機(jī)的GE0/0/22端口是連接3樓的H3C Internet網(wǎng)交換機(jī)，于是，趕到三樓現(xiàn)場，通過Telnet登錄到這臺H3C Internet網(wǎng)交換機(jī)，同樣配置lldp協(xié)議使能，輸入命令Disp lldp neig brief，結(jié)果顯示從該H3C Internet網(wǎng)交換機(jī)的Eth1/0/19口發(fā)現(xiàn)了上述的gfl-s3150-3f-downvlan4局域網(wǎng)交換機(jī)鄰居，該局域網(wǎng)交換機(jī)通過Eth1/0/6端口串接到Internet網(wǎng)。

圖2 日志截圖

問題解決

發(fā)現(xiàn)串接問題后，首先斷開H3C Internet網(wǎng)交換機(jī)的Eth1/0/19口所連網(wǎng)線，通過查看機(jī)柜線路標(biāo)記，得知Eth1/0/19口連接到辦公室2304的墻插D-4，而gfls3150-3f-down-vlan4局域網(wǎng)交換機(jī)的E1/0/6口所接網(wǎng)線連接到辦公室2305的墻插D-1。經(jīng)過與兩個辦公室人員協(xié)商后進(jìn)入房間查看，結(jié)果發(fā)現(xiàn)辦公室2305的墻插D-1接了一個小交換機(jī)，通過這個小交換機(jī)連接2305房間和2304內(nèi)的局域網(wǎng)終端。

辦公室2304的墻插D-4接了一個小交換機(jī)，通過這個小交換機(jī)連接2304房間和2305內(nèi)的Internet網(wǎng)終端。由于2304辦公室人員調(diào)到別的部門，拆除電腦后，網(wǎng)線空甩，有人將空甩的局域網(wǎng)的網(wǎng)線插到了該房間連互聯(lián)網(wǎng)的小交換機(jī)上，導(dǎo)致兩個網(wǎng)絡(luò)串接。

拔除辦公室串接的網(wǎng)線，即使將上述的H3C Internet網(wǎng)交換機(jī)的Eth1/0/19口所連網(wǎng)線重新插入，輸入命令Disp lldp neig brief，也看不到有串接的交換機(jī)。回訪原來出問題的終端用戶，未發(fā)現(xiàn)不定時連不上網(wǎng)的現(xiàn)象，故障排除。

經(jīng)驗總結(jié)

由 于 單位經(jīng)常改造辦公室，將一間分隔成兩間或?qū)砷g合并為一間大房間，人員也會經(jīng)常調(diào)整，加上辦公室部署網(wǎng)絡(luò)種類多，有時一個房間同時有三種網(wǎng)絡(luò)，工作人員不知道，在不經(jīng)意間經(jīng)常會出現(xiàn)串網(wǎng)問題。出現(xiàn)以上問題雖然可以利用交換機(jī)的lldp協(xié)議功能可以發(fā)現(xiàn)并解決不同網(wǎng)絡(luò)串接的問題，但還不是好的辦法。

俗話說：“三分技術(shù)，七分管理”，要確保網(wǎng)絡(luò)和信息安全，需要加強(qiáng)管理，做到：

1.加強(qiáng)人員培訓(xùn)，樹立安全意識。

2.做好網(wǎng)線和小交換機(jī)的標(biāo)記，將為不同網(wǎng)絡(luò)區(qū)分開來。

3.規(guī)范人員行為，遇到人員和辦公室調(diào)整，最好通知專業(yè)維護(hù)人員現(xiàn)場處理，不能自行隨意插接。

4.應(yīng)用技術(shù)手段及時發(fā)現(xiàn)并阻斷相應(yīng)端口等。