【51CTO.com独家特稿】遭遇上网不正常现象
近日,笔者所在单位局域网遇到了一则非常奇怪的故障,那就是有七八台电脑突然不能正常访问病毒服务器,那样一来就无法正常在线更新病毒库了,特别是在访问高峰期时段,几乎所有电脑的上网速度都很缓慢。刚刚开始的时候,笔者也没有太在意,并且简单地认为重新启动一下防病毒服务器,就能解决问题了,可是重启以后,上面的故障并没有消失,难道是防病毒服务器与局域网中的网络连接同时出现了问题?
查看病毒服务器状态
由于单位局域网规模比较大,大约有120台电脑,这些电脑分别连接到八台二层交换机上,这些交换机通过千兆多模光纤,全部连接到局域网的路由器上,并通过本地电信的宽带光纤网线直接访问外网。为了确保网络应用能够顺利开展,笔者为每一台电脑分配了固定的上网地址,同时局域网中还部署了网络版防毒服务器,平时所有的电脑都能通过网络完成病毒库的在线更新操作。现在有七八台电脑不能通过网络访问病毒服务器,而其他能访问的电脑,速度也没有以往那样快,会不会是病毒服务器自身工作状态不正常呢?为了弄清楚病毒服务器的工作状态是否正常,笔者登入该服务器,运行其中的事件查看器程序,查看相关的日志记录,并没有找到任何异常问题;之后,笔者又重新启动了一次病毒服务器,在启动过程中,笔者发现系统也没有弹出任何错误的提示信息,或与系统安全相关的提示信息,看来上面的故障与病毒服务器无关。
排查电脑状态
既然在访问流量不是很大的情况下,只有少数电脑不能正常访问病毒服务器,那会不会是这几台电脑自身有问题呢?一般来说,影响电脑访问网络,最主要的因素就是物理连接因素,具体包括网卡设备的工作状态、网线与网卡之间的接触可靠性以及物理网线的连通性等。为了对这方面的因素进行排查,笔者随意找了一台访问病毒服务器不正常的电脑,依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,右击本地连接图标,从弹出的快捷菜单中执行“属性”命令,进入目标本地连接属性设置窗口,点选其中的TCP/IP协议选项,在其后弹出的设置框中,笔者发现这台电脑使用了192.168.1.18这样的IP地址,而本地网络的网关地址为
192.168.1.1;当笔者依次单击“开始”/“运行”命令,在该系统的运行对话框中,尝试执行字符串命令“ping 192.168.1.1”时,发现系统提示超时,再次使用ping命令测试病毒服务器的地址192.168.1.250时,发现也提示超时。
在确认网络故障存在的情况下,笔者认为问题多半出现在网线上的水晶头与网卡接口的连接上;为了稳妥起见,笔者新制作了一根网线,用该网线替代故障电脑的连接网线进行网络访问测试,结果发现故障仍然存在,难道是电脑的网卡设备出现了问题?但是这种可能性也不是很大,毕竟这些电脑使用的网卡都是集成网卡,而在没有进行频繁插拔的情况下,这些网卡设备发生集体损坏的可能性很小;事实的确如此,笔者在IP地址为192.168.1.18的电脑中,打开系统设备管理器窗口,进入目标网卡设备的属性设置窗口时,发现系统提示说目标网卡设备工作状态一切正常。
排除病毒或攻击因素
在排除故障电脑的物理连接因素以及网卡自身因素后,笔者开始怀疑局域网中可能存在网络病毒或其他恶意攻击因素,因为这些因素都有可能造成局域网中部分电脑不能正常上网,同时还可能会影响整个局域网的上网速度。为了将来自Internet的恶意攻击排除在外,笔者先是断开了路由器与Internet的直接连接;之后,在故障电脑中运行网络版防病毒程序,尝试对不能上网的系统进行全面、彻底地病毒查杀操作,并最终找到了一些陌生的网络病毒。可是,在全部清除病毒后,笔者发现网关地址依然无法ping通,病毒服务器也不能正确访问。看来,这则网络故障与黑客攻击以及网络病毒都没有多大的关系!
偶然发现DHCP暗中捣乱
在万般无奈之下,笔者决定暂时将那台使用了192.168.1.18地址的故障电脑带回到单位机房进行彻底的检查。偶然中笔者看到了一个很蹊跷的现象,那就是故障电脑明明已经从局域网中断开,192.168.1.18地址居然还能够被ping通,这是怎么回事呢?难道是局域网中另有其他电脑抢用了192.168.1.18这个IP地址?可是按照网络规则来说,即使其他电脑抢用了192.168.1.18地址,系统也应该会在登录网络时出现相应的提示,并且将后来的电脑禁用掉,然而笔者现在却没有看到这样的提示。
为了弄清楚究竟是谁抢用了192.168.1.18地址,笔者尝试着在自己的笔记本电脑中以telnet命令,远程登录抢用了192.168.1.18地址的电脑,结果真的出现了一个登录界面,随意输入用户名和密码后,发现无法登录成功;之后,笔者又打开IE浏览器窗口,在该窗口的地址栏中输入“http://192.168.1.18”,单击回车键后,IE浏览器竟然显示出了一个交换机的后台登录界面,难道192.168.1.18地址被局域网中的某台交换机给抢用去了?
由于局域网中所有交换机的后台登录密码都相同,笔者立即输入登录用户名和密码信息,进入交换机后台管理系统,经过对相关配置的仔细检查,笔者发现该交换机居然使用的是自动获取IP地址功能,看来192.168.1.18地址是由局域网中的DHCP服务器自动分配给它的;不过,局域网中的所有电脑都采用的是静态地址,而且以前使用的DHCP服务器也已经被停用了,那么还有什么DHCP服务器在偷偷给局域网中的网络设备分配上网地址呢?另外一位网管说会不会是路由器中自带的DHCP服务器在暗中捣乱呢?原来,前一段时间,笔者出差有事,恰好这段时间路由器无故发生死机现象,于是另外一位网管尝试着通过强制复位暂时恢复了路由器的工作,并且他只对该设备进行了比较少的配置,其中自带的DHCP功能可能忘记关闭了,所以从那以后局域网中就不断出现上网不正常的现象。
弄清楚具体的故障根源后,笔者立即动手进入路由器后台系统,找到其中的DHCP功能设置选项,发现该设备的确启用了DHCP功能,于是将该功能关闭掉,再采用手工方法为交换机分配了一个静态地址,发现连接到这台交换机上的所有电脑,上网速度都恢复正常了。再将192.168.1.18地址的故障电脑重新接入局域网后,该系统不但可以正常ping通局域网的网关地址,而且也能很迅速地访问病毒服务器,进行在线升级病毒库操作了。按照同样的方法,笔者又为其他交换机统一分配了一个静态上网地址,果然其他几台不能上网的电脑也能正常上网了,至此局域网中部分电脑不能上网的故障就被成功解决了。
最后的故障反思
从上面的故障排除过程来看,表面上好像是路由器自带的DHCP服务器在暗中捣乱,事实上这种故障是由于网管自身失误引起的,因为要是网管事先为每一台交换机分配一个固定的上网地址,那么路由器的DHCP服务功能即使没有被关闭,它也发挥不了多大作用,交换机的工作状态自然也不会受到影响,那么局域网中当然也就不会发生上面的奇怪现象了。
【51CTO.com独家特稿,非经授权谢绝转载,合作媒体转载请注明原文出处及作者!】