3,837
社区成员
发帖
与我相关
我的任务
分享焦头烂额的网络问题
背景介绍:公司局域网,100M光纤接入,用的是CISCO PIX515E做的网关,局域网内有100台左右的机器。
故障:发现经常性断网,开始怀疑ARP攻击,用ARP -a命令发现网关物理地址为00-00-00-00-00,整个故障已经出现有半个多月了,通常关掉网关,等上10多分钟后重启,就可以恢复了。
分析:经过半个多月的观察,发现某人休假3天期间没有故障,回来后又出现故障,就将他的机器重做系统,仍然不行,然后换网卡,不行,换交换机,发现了有趣的事情
他和另一个人一间办公室,进线只有一条,就用一个80块钱左右的交换机份出了两条线,更换网卡不行之后,就给他换了一个4口的路由做交换机(没有小交换机了),发现进线和两台电脑的线任意两条插入路由器的内口都正常,插入第三条就会发现小路由的指示灯循环的闪烁,电脑显示断网。
没有办法,暂时断掉了那个人的网络,但网络故障依然发生,昨天突然断了1个多小时,我很着急,连上网关的CONSOLE口,发现网关起不来了,在显示按BREAK或者ESC的地方启动3次,然后显示一个#就不懂了,还经常两个口的指示灯同时熄灭。
我用TFTP方式刷新了PIX701.BIN,成功启动了。
今天以为没有事情了,去修那个人的机器,结果故障依旧,暂时断了同一个办公室的另一个人的网,让他上网。
没1分钟,机房报告断网了,再刷新网关的BIOS,不行,刷新了3次,故障依旧。让它休息了半个多小时,再启动。好了。
-------------------------
求助:首先网关有故障是肯定的,但是那个人的机器是怎么回事?他怎么会导致网关死机?
故障:发现经常性断网,开始怀疑ARP攻击,用ARP -a命令发现网关物理地址为00-00-00-00-00,整个故障已经出现有半个多月了,通常关掉网关,等上10多分钟后重启,就可以恢复了。
分析:经过半个多月的观察,发现某人休假3天期间没有故障,回来后又出现故障,就将他的机器重做系统,仍然不行,然后换网卡,不行,换交换机,发现了有趣的事情
他和另一个人一间办公室,进线只有一条,就用一个80块钱左右的交换机份出了两条线,更换网卡不行之后,就给他换了一个4口的路由做交换机(没有小交换机了),发现进线和两台电脑的线任意两条插入路由器的内口都正常,插入第三条就会发现小路由的指示灯循环的闪烁,电脑显示断网。
没有办法,暂时断掉了那个人的网络,但网络故障依然发生,昨天突然断了1个多小时,我很着急,连上网关的CONSOLE口,发现网关起不来了,在显示按BREAK或者ESC的地方启动3次,然后显示一个#就不懂了,还经常两个口的指示灯同时熄灭。
我用TFTP方式刷新了PIX701.BIN,成功启动了。
今天以为没有事情了,去修那个人的机器,结果故障依旧,暂时断了同一个办公室的另一个人的网,让他上网。
没1分钟,机房报告断网了,再刷新网关的BIOS,不行,刷新了3次,故障依旧。让它休息了半个多小时,再启动。好了。
-------------------------
求助:首先网关有故障是肯定的,但是那个人的机器是怎么回事?他怎么会导致网关死机?
...全文
请发表友善的回复…
发表回复
prcak47 2007-09-07
- 打赏
- 举报
谢谢大家,问题基本解决.
一.我问题中说的那个办公室小交换机坏了,造成了两台机器的网卡也不同程度损坏,向网关乱发数据包,使得局域网内通信正常,但是上不了网。具体交换机和网卡究竟坏在那里,怎么会只影响网关,不影响局域网,我就说不清楚了。
更换了交换机和两台机器的网卡之后就都正常了。
另外说一下,
1。两台机器原来都是集成网卡。
2。有一块更换的网卡因为开始没有意识到交换机损坏,连在那台损坏的交换机上,也坏掉了。
二。防火墙也许是频繁重启的原因,也坏掉了,开始一两天死一次机。后来越来越频繁,干脆起不来了。交给思科维修,现在寄回来了。据反馈说是刷新了固件,现在用了一天了,没什么问题。
一.我问题中说的那个办公室小交换机坏了,造成了两台机器的网卡也不同程度损坏,向网关乱发数据包,使得局域网内通信正常,但是上不了网。具体交换机和网卡究竟坏在那里,怎么会只影响网关,不影响局域网,我就说不清楚了。
更换了交换机和两台机器的网卡之后就都正常了。
另外说一下,
1。两台机器原来都是集成网卡。
2。有一块更换的网卡因为开始没有意识到交换机损坏,连在那台损坏的交换机上,也坏掉了。
二。防火墙也许是频繁重启的原因,也坏掉了,开始一两天死一次机。后来越来越频繁,干脆起不来了。交给思科维修,现在寄回来了。据反馈说是刷新了固件,现在用了一天了,没什么问题。
没有工 2007-09-03
- 打赏
- 举报
有次公司网络也出现类似的断网现象,但是最终排查出的是有个别主机乱拉线搞出回路。折腾了我一个晚上。
rebell 2007-08-30
- 打赏
- 举报
你的问题分开来说把:
cisco的设备还是比较稳定的,一般不容易出问题。平时把告警日志打开,多看看有问题一般还是有点征兆的。如果网络断了不要马上重启pix,CONSOLE上去吧日志取下来,show tech的东西有点多不过也保存个好,再重启,分析下日志,有条件把show tech的发给懂思科设备的看看帮助比较大。
断网 arp 00-00-00-00-00 的问题在pix上做arp绑定,在你电脑上也做个arp绑定把,看看大家断网的时候你是不是也断呢。
楼上说的也需要注意,如果网络里面有环路,即使cisco的交换机稍微来点广播包几次扩大后都是受不了的。
cisco的设备还是比较稳定的,一般不容易出问题。平时把告警日志打开,多看看有问题一般还是有点征兆的。如果网络断了不要马上重启pix,CONSOLE上去吧日志取下来,show tech的东西有点多不过也保存个好,再重启,分析下日志,有条件把show tech的发给懂思科设备的看看帮助比较大。
断网 arp 00-00-00-00-00 的问题在pix上做arp绑定,在你电脑上也做个arp绑定把,看看大家断网的时候你是不是也断呢。
楼上说的也需要注意,如果网络里面有环路,即使cisco的交换机稍微来点广播包几次扩大后都是受不了的。
乌镇程序员 2007-08-27
- 打赏
- 举报
我在交换机上能看到中毒机器的IP和MAC,但就是查不到是哪一台机器。
hedry 2007-08-27
- 打赏
- 举报
我这里也是啊 ,最近网络老是瘫痪,也怀疑是ARP,由于我们这里机器也多120+没有查到是哪一台机器,大哥们常说在交换机上抓包分析,这招具体怎么操作?
请赐教!
请赐教!
li_net 2007-08-27
- 打赏
- 举报
我这里也碰到这样的问题,以为是病毒,原来是交换机一些端口坏掉了……
另外,
楼主考虑下网络有否回路?
另外,
楼主考虑下网络有否回路?
hhy110 2007-08-27
- 打赏
- 举报
我的问题跟楼主是一样的,在路由器上怎么去分析。请赐教!
yangzi7908 2007-08-25
- 打赏
- 举报
机器上可能有病毒,产生大量攻击包,建议在交换机上或者该人的电脑上抓包分析
~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~
lnhsgj 2007-08-25
- 打赏
- 举报
ARP木马
乌镇程序员 2007-08-24
- 打赏
- 举报
关注一下,跟我这里的网络环境差不多,我们机房也是PIX515E,这几天我们这里也是ARP病毒爆发(有两台机器发ARP攻击数据包,由于机器分布范围较广,现在只查到一台),暂时在部分机器上装个antiarp救急了。
