一起连接错误 导致网络崩溃

原创
网络
公司有两个完全隔离的网络系统,内网和外网。内网的主要作用是处理一些安全性要求比较高,有保密性的事务。并且,内网上有很多服务器,如DNS、WEB、邮件、人事、档案等服务器,这些服务器对公司业务的正常运转都至关重要,所以一定要保证它们的安全性、稳定性和可靠性。

【51CTO.com 独家特稿】公司有两个完全隔离的网络系统,内网和外网。内网的主要作用是处理一些安全性要求比较高,有保密性的事务。并且,内网上有很多服务器,如DNS、WEB、邮件、人事、档案等服务器,这些服务器对公司业务的正常运转都至关重要,所以一定要保证它们的安全性、稳定性和可靠性。而公司的外网主要是让办公人员访问互联网,在Internet下载资料,和外单位联系时使用。

一、公司网络概况

公司内网的核心层交换机使用的是Cisco 4507R,在Cisco 4507R上接有多个服务器。内网的接入层交换机使用的是Cisco 3750。内网中IP地址使用的是A类私有地址,其中内网的DHCP服务器IP地址为10.1.1.1/24。客户端都是自动从DHCP服务器获取IP地址、DNS和默认网关地址。内网的结构示意图如图1所示。

(图1 公司内网结构图)

(图1 公司内网结构图)

外网的核心层交换机使用的是Cisco 4503。外网的结构相对内网要简单许多,因为只要保证用户能访问互联网就行,在安全性和稳定性方面要求比较低。外网中的接入层交换机使用的是Cisco 2960。IP地址使用的是B类私有地址。外网中只使用了一台服务器,即DHCP服务器,IP地址为172.16.1.1/24。同样,外网中的客户端也是自动从DHCP服务器上获取IP地址、DNS和默认网关地址。外网的网络结构图如图2所示。

(图2 公司外网结构图)

(图2 公司外网结构图)#p#

二、故障发生的过程

公司的内网和外网在客户端接入时,有的办公室要接入网络中的电脑数量,比房间中的信息点数量要多。这样如果不扩展房间中信息点数量,就不能保证所有的电脑都连接到网络中。在这种情况下,我们使用了TP-Link的8端口交换机。交换机的一个端口上连到办公室内网或外网中的一个信息点上,这样交换机上的其它七个端口就可以直接连接到用户的电脑上,有效的扩展了办公室中信息点的数量。

引起网络崩溃的错误连接发生在同一个办公室中。错误连接的示意图,如图3所示。因为这个办公室中的内网和外网的信息点都很少,所以在用户接入内网和外网时,都使用了一个TP-Link的8端口交换机。发生故障前,办公室一用户发现自己的电脑不能访问互联网,就在不明白网络运行原理的情况下,看到房间中有两个TP-Link交换机,错误的认为是因为这两个小交换机没有连接起来而引起的故障,就找了一根网线,把两个TP-Link交换机连了起来,结果导致公司内网和外网大面积的网络崩溃。

(图3 引起网络崩溃的错误连接示意图)

(图3 引起网络崩溃的错误连接示意图)

三、故障发生的现象和故障的排除

1、故障发生的现象。故障发生后,很多用户打电话说不能访问网络。有的不能访问内网,有的不能访问外网。到故障现场查看不能正常访问的电脑后,发现内网中的电脑获取到的都是外网的IP地址,即172开头的地址。而外网中的用户获取到的都是内网的IP地址,即10开头的地址。所以我们根据故障现象,初步断定是哪个办公室中把内网和外网连接到了一起。

2、故障的排除。确定了发生故障的原因后,下一步就是找出在那个办公室中把内网和外网连接到了一起。但是,可能引起错误连接的办公室有好几十个,总不能一个一个去排查,这样效率太低。

后来,我们在机房中,逐一拔掉,连接配线架端口和交换机端口的每根网线,若拔掉某个办公室配线架上的网线后,公司的网络恢复正常,那就是这个办公室中把内网和外网连接到了一起。后来我们用这种办法找到了引起错误连接的那个办公室,和开始的推测完全一样,确实有人私自把内网和外网的两个TP-Link连到了一起。把错误的连接断开后,公司网络全部恢复正常。

四、总结

1、DHCP服务器的工作过程。当一台电脑第一次接入到,配置有DHCP服务器的网络中时,客户机上没有任何的IP数据设定,也就是没有IP地址、DNS和默认网关地址,这时它会向网络中发出一个 DHCP Discover数据包。因为客户端还不知道自己属于哪一个网络,所以数据包的源地址为0.0.0.0,而目的地址则为 255.255.255.255 ,向网络进行广播。当客户端将第一个 DHCP Discover数据包送出去之后,在 一秒之内若没有得到响应的话,就会进行第二次 DHCP Discover数据包的广播。若一直得不到响应的情况下,客户端一共会有四次 DHCP Discover数据包广播。

在DHCP服务器收到DHCP Discover发现报文后会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户机,并根据DHCP Discover数据包中原来携带的客户机MAC地址,向客户机发送一个包含出租的IP地址、DNS和默认网关地址的DHCP Offer提供报文。

如果网络中有多台DHCP服务器向客户机发来DHCP Offer提供IP地址,则客户机只接受第一个收到的DHCP Offer报文提供的IP地址。

2、深入分析导致网络崩溃的原因。从以上分析DHCP服务器的工作过程可以看出,当网络中有两个DHCP服务器运行的时候,客户机获取IP地址时,哪个DHCP服务器提供的速度快,客户机就采用那个DHCP服务器的提供的IP地址。所以,当把两个TP-Link交换机连接起来后,内网和外网打通,成了一个整体的大网,并且网路中包含两个DHCP服务器,这样内网中的电脑可能获取到的是外网的IP地址,而外网中的电脑获取到的可能是内网的IP地址。结果就导致了整个内网和外网的混乱,客户机也就不能正常访问网络了。

3、故障的经验和教训。首先要加强客户端的管理。用户出现不能访问网络的故障,应当及时向网路管理部门上报,而不应私自处置。其次,应当禁止用户对放置在办公室中的TP-Link交换机上的网线私自接入和拔出。

【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

责任编辑:佟健 来源: 51CTO.com
相关推荐

2010-09-09 16:16:28

数据中心事故

2023-08-10 08:28:46

网络编程通信

2024-07-16 10:25:27

2022-06-09 21:57:19

TCPIP协议栈

2022-12-02 14:20:09

Tetris鸿蒙

2022-11-29 16:35:02

Tetris鸿蒙

2024-02-19 10:11:00

Kubernetes网络模型

2022-11-14 17:01:34

游戏开发画布功能

2014-10-21 15:07:04

2023-03-30 09:32:27

2024-08-09 13:39:27

2023-03-06 00:08:33

2024-03-07 13:13:11

2023-11-07 08:13:53

分布式网络

2022-06-15 09:02:32

JVM线程openJDK

2022-03-31 18:59:43

数据库InnoDBMySQL

2023-08-04 08:20:56

DockerfileDocker工具

2021-08-27 07:06:09

DubboDocker技术

2022-10-18 07:33:57

Maven构建工具
点赞
收藏

51CTO技术栈公众号