校园网络故障应急方案.docx

校园网络故障应急方案.docx

《校园网络故障应急方案.docx》由会员分享，可在线阅读，更多相关《校园网络故障应急方案.docx（20页珍藏版）》请在冰豆网上搜索。

校园网络故障应急方案

常州信息职业技术学院

校园网络故障应急方案2012-2013学年第一学期

系别：

计算机（软件）学院

专业：

计算机网络与安全管理

班级：

学生姓名：

学生学号：

设计（论文）题目：

校园网络故障应急方案

实训日期：

第一周-第二周

常州信息职业技术学院

目录

一、校园网络现状2

1、校园网络拓朴图2

2、结构描述2

二、网络互连设备故障解决方案3

2.1、故障一：

当通过RJ45-to-DB9配置线缆连接到交换机的Console口后，用超级终端发现无法登录交换机。

3

2.1.1、故障现象分析3

2.1.2、故障解决3

2.2、故障二：

当配置交换机支持Telnet方式访问时，在cisco2950交换机上配置了管理vlan1的地址后，却无法Telnet上来。

4

2.2.1、故障分析4

2.3故障三：

当管理员telnet到交换机时成功了，当输入了enable后，提示：

%Nopasswordset。

5

2.3.1故障现象分析6

2.3.2故障解决6

三、网络变慢解决方案6

3.1、网络嗅探工具——sniffer的安装使用6

3.1.1：

sniffer软件的安装6

3.1.2、sniffer软件的使用7

3.2、交换机镜像端口的配置10

3.3、arp欺骗导致网络变慢11

3.3.1、网络故障现象11

3.3.2、故障分析11

3.3.3、故障解决13

3.4网络风暴13

3.4.1、现象分析13

3.4.2、故障分析13

3.4.3故障解决15

3.5蠕虫病毒16

3.5.1、故障描述16

3.5.2、故障分析16

3.5.3、故障解决18

四、总结18

一、校园网络现状

1、校园网络拓朴图

2、结构描述

该学院建有现代化教学大楼、实验中心大楼、办公楼、图书管、学生公寓楼等。

拥有可满足教学需要的设备先进的实验室，图书馆电子阅览室通过网络系统与其他校区相连，可实现资源共享。

该学院网络应用主要是集中式管理，WEB服务器、文件服务器、打印服务器主要集中于中心机房，各子网分别通过各自网关访问中心机房的服务器群，通过中心路由器与外界连接。

该学院网络中心位于教学楼，通过中心交换机与路由器相连，图书馆、教学楼、各系办公楼、教工宿舍、后勤中心通过光纤与中心机房连接。

注:

该学院所有的网络互连设备都是思科的。

中心交换机为思科三层交换机。

二、网络互连设备故障解决方案

2.1、故障一：

当通过RJ45-to-DB9配置线缆连接到交换机的Console口后，用超级终端发现无法登录交换机。

2.1.1、故障现象分析

经检查配置线缆无任何问题。

则怀疑超级终端属性设置问题，正确的超级终端的COM口属性应设置为9600bps、无奇偶校验、无流控、数据位8位、停止位1位。

2.1.2、故障解决

重新建立一正确属性的连接。

如图2-1-1所示，使用默认配置即可。

图2-1-1，超级终端默认设置

2.2、故障二：

当配置交换机支持Telnet方式访问时，在cisco2950交换机上配置了管理vlan1的地址后，却无法Telnet上来。

2.2.1、故障分析

1、交换机VLAN1的IP和主机的IP不在同一子网2、主机所连接的交换机接口不属于VLAN13、交换机VLAN1配置IP地址以后没有noshutdown

通过分析showipinterfacevlan1查看vlan1接口的地址

结果如图2-2-1所示

图2-2-1结果图局部

交换机的管理VLAN地址未用noshutdown打开。

在cisco2950交换机上默认情况下VLAN接口是关闭的。

2.2.2解决方案

进入VLAN1接口，用noshutdown打开，如图2-2-2所示

图2-2-2打开vlan端口

2.3故障三：

当管理员telnet到交换机时成功了，当输入了enable后，提示：

%Nopasswordset。

如图2-3所示

图2-3无法进入特权模式

2.3.1故障现象分析

当设置交换机支持telnet管理时，除了需要设置管理IP地址外，还需要设置登录密码，登录密码是为能够正常telnet到交换机时使用的。

但如果想完全配置交换机必须设置特权密码。

2.3.2故障解决

用超级终端进入交换机全局模式敲入命令enablepassword123,设置进入交换机特权模式的密码，如图2-3-2所示

图2-3-2设置进入交换机特权模式的密码

三、网络变慢解决方案

3.1、网络嗅探工具——sniffer的安装使用

3.1.1：

sniffer软件的安装

SnifferPro安装过程与其它应用软件没有什么太大的区别，在安装过程中需要注意的是：

SnifferPro安装大约占用70M左右的硬盘空间。

安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。

选择网卡。

（如图3-1-1-1所示）

图3-1-1-1

安装完成后会出现脚本错误，如图3-1-1-2所示，则需要安装java的一个插件。

需要把浏览器的安全级别降到中低或低，输入网址

图3-1-1-2出现脚本错误

3.1.2、sniffer软件的使用

Sniffer软件的主要功能是监测网络流量，捕获网络数据包并分析。

下面会利用该软件进行分析网络变慢的原因。

捕获面板如图3-1-2-1所示：

图3-1-2-1控制面板

单击

开始捕获，也可以单击

进行报文捕获过滤，弹出过滤器窗口，如图3-1-2-2所示，默认是捕获所有报文。

图3-1-2-2过滤器窗口

单击

按钮，停止捕获并分析，单击decode标签弹出报文分析窗口，如图3-1-2-3所示

图3-1-2-3报文分析窗口

对于Matrix，HostTable，ProtocolDist.Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计。

网络监视功能能够时刻监视网络统计，网络上资源的利用率，并能够监视网络流量的异常状况，

矩阵图可以清楚的看出各个主机的流量，如图3-1-2-4所示

图3-1-2-4矩阵图

HostTable可以显示主机列表，可以更明确的看到数据包的进出，和数据包的协议封装。

Sniffer还有其他的监视网络的功能，这里不再详述了。

3.2、交换机镜像端口的配置

cisco>enable//进入特权模式

cisco#configureterminal//进入全局配置模式

cisco（config）#nomonitorsessionall//清除掉所有的端口镜像

cisco（config）#monitorsession2sourceinterfacefastEthernet0/2-24//源端口

cisco（config）#monitorsession2destinationinterfacefastEthernet0/1//目的端口

cisco（config）#end

cisco#showmonitorsession2

cisco#showrunning-config//显示运行的配置

注意：

上面命令执行完之后，端口1为镜像端口，其余端口的流量信息都会复制一份镜像到此端口。

因此该端口只能接受数据，不能在网络上发送数据。

3.3、arp欺骗导致网络变慢

3.3.1、网络故障现象

网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping网关，time在波动比较大。

3.3.2、故障分析

运行Arp–a命令，发现网关的MAC地址跟192.168.1.5主机的MAC地址一样，初步判断是192.168.1.5主机正在进行arp欺骗。

如图3-3-2-1所示

图3-3-2-1在一台主机上运行arp-a命令

把主机连在镜像口上，运行sniffer软件。

打开dashboard面版，发现broadcasts/s26，如图3-3-2-2所示，每秒钟26个广播包很不正常，但也不应该能引起广播风暴，应该是arp欺骗包正常的情况把broadcasts/s维持在比较低的水平。

图3-1-2-2打开的dashboard面板

正常的情况broadcasts/s维持在比较低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的中重视。

切换到Hosttable面版，发现其中一台主机的广播量远远大于其他主机（正常情况下维持比较低的广播量，具体要看监控时间长短但分布比较均匀，不会出现某一台主机的广播量远远大于其他正常主机的现象），如图3-3-2-3所示：

图3-3-2-3hosttable面板

切换到Protocoldistribution,发现Arp协议使用率占很大比例（一般在正常网络运行，

ip占99％以上），如图3-3-2-4所示：

图3-132-4Protocoldistribution面板

对广播量最大的主机31b6进行抓包解码分析,发现31b6主机不断欺骗网关，宣称它是主机192.168.2.2。

如图3-3-2-5所示

图3-3-2-531-b6主机的IP地址是192.168.2.2

由图3-3-2-1可知，31-b6主机的IP地址应该是192.168.2.5。

所以得知31-b6主机在进行arp欺骗活动，31-b6主机欺骗其他主机，宣称他是网关192.168.2.1的MAC地址。

所以才会造成网络速度变慢。

3.3.3、故障解决

对31-b6主机进行隔离,杀毒。

在192.168.2.0/24网段的主机运行命令arp-s192.168.2.100-e0-fc-70-3b-oa静态绑定MAC地址与IP地址的对应关系。

（假设网关的MAC地址为00-e0-fc-70-3b-oa）

3.4网络风暴

3.4.1、现象分析

网络瘫痪，网内所有主机都无法上网。

3.4.2、故障分析

交换以太网络环境中一旦出现物理环路会直接造成网络中出现广播风暴，这是由于广播包会发送到交换机的各个端口，会由环路循环发送，产生广播风暴，导致整个物理网段的瘫痪。

初步判断，是由于物理环路导致网络中出现广播风暴。

利用sniffer软件对网络流量进行总体分析，如图3-4-2-1所示

图3-4-2-1sniffer捕获到的流量数据文件基本信息

通过Statistics功能了解一下捕获文件中流量的基本信息，可以得到如下基本流量信息。

链路带宽（捕获端口）：

100Mbps

利用率：

76%

捕获到的总字节数：

5,702,576

捕获到的总数据包数：

74,606

每秒钟数据包数：

94,797

MAC广播包数：

8,390

MAC组播包数：

66,207

交换机流量很大，利用率很高，每秒钟数据包数很高，几乎达到了百兆以太网最大的数据包数，其中广播包和组播包数非常大，几乎所有的数据包都是MAC层的广播包和组播包。

通过查看数据链路层主机的会话对分析哪些主机在大量发送广播包。

打开matrix标签，如图3-4-2-2所示：

图3-4-2-2Matrix面板

从数据链路层的会话来看，多个MAC地址发送大量广播数据包。

较为异常。

通过数据包解码进一步了解主机发送广播包或组广播的信息，如图3-4-2-3所示：

图3-4-2-3数据包解码图

通过对某台IP主机发送的广播包的解码分析可以看到，这些数据包的ID相同，TTL值并没有减小，数据包间隔时间很短，这些现象是典型的网络中存在物理环路的特征。

3.4.3故障解决

找到该网络中的集连的交换机，拔掉一根双绞线。

或配置成端口链路聚合，或开启生成树（STP）协议。

3.5蠕虫病毒

3.5.1、故障描述

1、不断重新启动计算机或者莫名其妙的死机；

2、大量消耗系统资源，导致windows操作系统速度极慢；

3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。

造成局域网内所有人网速变慢直至无法上网。

。

3.5.2、故障分析

找出产生网络流量最大的主机

产生网络流量越大，对网络造成的影响越重，首先关注的是产生网络流量最大的那些计算机。

利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序。

如图3-5-2-1所示

图3-5-2-1hosttable列表

通过HostTable，可以分析每台计算机的流量情况，有些异常的网络流量可以直接通过HostTable来发现，排在发包数量前列的IP地址为22.163.0.9的主机，从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP这种非连接的协议有可能。

上图中还有一些这样的主机，分析这些主机的网络流量

对IP地址为22.163.0.9的主机产生的网络流量进行过滤，然后查看其网络流量的流向，用Sniffer的Matrix看到的其发包目标。

如图3-5-2-2，3-5-2-3所示

图3-5-2-2主机流量方向

图3-5-2-3主机流量方向

可以看到，其发包的目标地址非常多，非常分散。

通过Sniffer的解码（Decode）功能，了解这台主机向外发出的数据包的内容，如图3-5-2-4所示：

图3-5-2-4主机发出数据包详情

从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包（80端口可以看出来），SYN包是主机要发起TCP连接时发出的数据包，也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接，但没有得到任何回应，这些目标主机IP地址非常广泛（可以认为是随机产生的），且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出的。

通过以上的分析，能够非常肯定的断定，IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。

该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用HTTP协议传播的病毒，不断在网络中寻找HTTP服务器，从而进行传播。

正是由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给用户带来很大损失。

3.5.3、故障解决

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。

2、在安全网关上关闭该病毒向外发包的相关端口。

四、总结

导致网络变慢的主要原因，一般是arp欺骗，或者是蠕虫病毒。

Arp欺骗病毒也是蠕虫病毒的一种。

多以我们要加强安全意识，把电脑的杀毒软件更新到最新版，当遇到arp广播包大的时候会有相应的提示信息。

当遇到网络变慢，或者网络时好时坏的情况，要先看看自己的网线是否完好，自己的网卡配置是否正确，改一下DNS服务器的IP地址，再试试。

网线的质量差，或者DNS服务器有问题，也会直接导致网络不畅通。

如果都没有问题，那就把主机插在交换机的景象端口上，运用sniffer软件检测网络流量，看看网络流量是否正常。

安装sniffer后，需要重新启动计算机，sniffer才能识别网卡。

重启之后，打开sniffer软件还需要安装java的插件，否则打开仪表盘界面的时候会报错。

可以在浏览器中输入

利用sniffer软件可以抓取ftp，telnet，icmp等协议的报文。

只要在过滤器中添加该协议即可。

登陆ftp服务器的账号和密码在网络中是以明文的形式传输，可以利用sniffer抓取用户登陆ftp服务器的账号和密码。