长时刻做网络工程，为客户供给技术支持现已习气了随叫随到。新年长假归来，这段时刻特别忙。很古怪，一个不算长的假日，倒让客户的网络滋生了不少缺点!自己有做网络保护笔记的习气，下面和咱们同享两例这几天为客户扫除的网络毛病，颇具典型，期望能够协助到你。

事例1：合法用户被防火墙拒之门外

毛病现象

这次的客户是本市社会稳妥局。正月初八大局作业人员上班***天，许多Intranet内部有权用户打电话反映在查询和操作稳妥材料时呈现无法进行数据调用和修正的毛病现象，此刻屏幕提示登录者为“不合法用户”;体系办理员一起还发现只要从防火墙处能够拜访网络并修正数据。一起，一个风趣的现象却是，Internet外部普通用户在查询各种用户材料时却没有问题，他们不管从何处都能够顺畅地拜访Web服务器。

网络结构

该社会稳妥局的网络工程是咱们承建的，其网络结构比较复杂，含事务专用网、OA网、Intranet网和Internet网等。事务数据的安全规划为双Web服务器，Internet用户和Intranet用户各用一个。Intranet的Web服务器兼有备份数据的功用，两个Web服务器互联，之间的事务数据一起更新。Internet用户只能阅读、查询数据并能够进行网上申报等各种服务，不能更改数据。对Intranet内部用户实施有权拜访和申报、数据修正特权约束等体系。局内的OA网用户能够象Internet用户那样随时拜访和查询Internet的Web数据服务器，其间设置了部分有权用户，他们能够拜访Intranet事务网的Web服务器。装置的防火墙对IP包进行过滤，只允许合法IP用户进入。

毛病诊断

明显，毛病现象与防火墙体系有很大联系。将网络测验仪接入服务器地点网段，发动网段查找功用，能够发现Internet用户的Web服务器，但不能发现Intranet的Web服务器。去掉防火墙，则能够查找到该服务器。阐明确实是防火墙的问题。但昨日装置防火墙时整个体系是正常的，所以查找毛病的焦点要放在装置防火墙今后有无更改正防火墙参数。此即毛病扫除经历中的所谓“动则有过”毛病查找准则。假如能澄清网管人员都动过哪些参数和设置，查找毛病的作业会快捷得多。常常让人感到惋惜且古怪的是，大都保护办理人员都不会供认更动过网络的任何设置，这次也同以往相同。

用网络测验仪接连作ICMP类型PING测验发现，Web服务器是存在的，且反响率为***。阐明Web服务器在网络上且能够正常作业。一起用网络一点通One Touch挑选Web服务器的IP地址为方针地址发送流量，发动网络测验仪的协议剖析功用，发现数据帧指向防火墙今后就没有任何反响了：任何回应数据帧都未呈现。将网络助理One Touch的IP地址设置成任何一个现已存在的有权用户的IP地址，然后对Web服务器发送流量，这时网络测验仪能够调查到防火墙有回应数据帧呈现。这阐明防火墙对合法IP地址的有权用户是有反响的，但一般回来的数据帧是不合法用户的提示信息。注意到前述现象中提到过只要防火墙能拜访Web服务器，咱们就将网络测验仪的MAC地址改为与防火墙相同的MAC地址，用网络测验仪冒充防火墙进入网络，发动网段查找时则能够看到久别了的Web服务器。

以上现象阐明，该防火墙的功用比较强，除了能过滤IP地址外，还能对各站点的MAC地址进行过滤，以避免“具有合法IP地址的不合法用户”进入体系，是一个比较好的“看门人”。但让人疑问的是昨日装置防火墙时，网络办理人员只发动了IP包过滤功用，并未发动MAC地址辨别功用，那么，MAC地址滤波功用是谁发动的呢?答案是：不得而知。检查防火墙协助文件，按提示按下format下拉列表中的MAC地址过滤菜单，关闭MAC地址过滤功用，体系随即康复正常。

毛病总结

不少防火墙是靠对IP地址进行过滤和用户暗码辨认等方法来辨别有权用户及其合法性等级的，一般不对网卡的MAC地址进行辨认。关于具有固定用户的Intranet网络，具有MAC地址过滤功用的防火墙对错常有用的，它能够阻挠对网络的各种试探性进攻。在该网络中关于Internet用户，这一功用不能启用，否则会形成正常用户的拜访被屏蔽。 #p#

事例2：数据中心服务器形成的播送风暴

毛病现象

这次的客户是本市某医院。医院各科室与电脑中心的联络根本中止，只偶然有部分数据交互能到达，但速度很慢，不知何以。因为电脑中心的网管体系也陷于瘫痪状况，无法调查任何网上设备的状况。

网络结构

该医院的网络也是由咱们承建的，其网络结构比较复杂。整个网络设置三台中心WS-C6509交换机，别离坐落三座修建的设备间，三台中心交换机经过千兆单模光纤互连。别的，还有一个数据中心，该中心布置了一台服务器，各科室与这台服务器进行数据的交互。

毛病诊断

问询各科室网络内部作业状况，答复正常，仅仅与数据中心服务器的数据交互动作无法完成。能够根本判定毛病就在中心的计算机体系中。中心除了装备有HP公司的网管软件OpenView外，没有再装备其它任何网络保护东西。所以一旦网管体系不能正常作业，运转保护人员也就无从下手。东城区和西城区的网络主服务器别离在两个不同的网段中，之间用交换器衔接起来。全城结算主机与东城区主服务器在同一网段。用F683网络测验仪接入东城区正常作业的网段调查，发现Cisco5500交换机的Plot3Port4(第3插槽的第4端口)有反常流量，而该端口衔接的正是西城区主服务器和网管体系地点的网段。为更细心地调查此网段的作业状况，将F683网络测验仪和协议诊断器PI接入该网段，测得网络继续流量为97%，其间过错帧占98%。过错类型为短帧40%，帧常50～60字节不等，长帧58%，帧长3000～5200字节不等，并报告了犯错机器的Mac地址。依此地址查找对应的机器，惋惜的是该电脑中心没有Mac地址备份表(只要IP地址和符号名对应表)。试着用ICMP的Ping查找网管机和服务器，显现Mac地址对应的是服务器的IP地址。重装服务器网卡驱动程序，无效，用F683测验服务器端口，协议显现Unknown，替换服务器网卡，重装驱动程序并设置呼应参数，重启体系即康复正常。

毛病总结

服务器网卡现已损坏，宣布的数据帧过错率为98%，只要缺乏1%的数据正常。所以网络偶然还有数据交互能够到达。咱们知道，超长帧有关闭网络的效果，主要是引起网络速度变慢或网络瘫痪，而短帧到达必定流量则会对网络设备的作业协议形成必定程度的损坏，引起设备死机(实践测验中发现作业站对此更灵敏些)。

网络毛病千奇百怪，现已彻底超长了咱们的幻想。假如快速高效地扫除毛病呢?我的排故心得是：镇定剖析、毛病阻隔、软硬兼施、堆集经历。

【修改引荐】

1. 自动式网络办理“破坏”网络毛病
2. 晋级导致网络毛病经典事例引发网管员沉思