2010年11月15日消息，作為網(wǎng)絡(luò)管理員，在工作過(guò)程中總是會(huì)遇到各種各樣的問(wèn)題，特別是在遇到一些比較陌生的網(wǎng)絡(luò)的時(shí)候，比如我們?yōu)楸臼械哪硢挝惶峁┝斯饫w聯(lián)網(wǎng)服務(wù)，雖然交換機(jī)設(shè)備不屬于我們提供，但是由于最近該單位的網(wǎng)絡(luò)頻繁出現(xiàn)丟包問(wèn)題，該單位的網(wǎng)管人員就給我們提供他們單位交換機(jī)的登錄密碼，希望我們協(xié)助他一起查找網(wǎng)絡(luò)故障，下面我們就結(jié)合這次查找故障的過(guò)程，說(shuō)明一定位網(wǎng)絡(luò)故障節(jié)點(diǎn)的方法和技巧。

　　一、將交換機(jī)的故障日志作為第一手材料

　　判斷網(wǎng)絡(luò)故障的前提是對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有一個(gè)清晰的認(rèn)識(shí)，但是在對(duì)一個(gè)相對(duì)陌生的網(wǎng)絡(luò)進(jìn)行故障排查時(shí)，對(duì)于網(wǎng)絡(luò)的熟悉是一個(gè)漸近的過(guò)程，如果快速的發(fā)現(xiàn)問(wèn)題，判斷出故障點(diǎn)，查看交換機(jī)上面的日志信息是一個(gè)行之有效的方法。該單位組網(wǎng)主要使用了華為3500和H3C3100交換機(jī)，均支持日志查看功能，為我們快速定位故障原因提供了便利。登錄到華為3500交換機(jī)，看到了大量如下所示的信息：

　　%Nov 11 07:50:10 2010 rcq_3526 SYSM/5/IP MOVE:Rcv src IP packet from port 3 but it''s nexthop arp 219.*.*.72 with 000f-e23f-3180 resided in port 26

　　通過(guò)對(duì)以上信息的分析，我們大致可以得出結(jié)論，有一臺(tái)IP地址為219.*.*.72的網(wǎng)絡(luò)設(shè)備，在華為3500交換機(jī)的3端口上進(jìn)行ARP地址欺騙攻擊，下面我們要做就是判斷這個(gè)IP地址位于哪個(gè)VLAN，進(jìn)而進(jìn)一步定位于這個(gè)IP地址位于交換機(jī)的哪個(gè)端口上，通過(guò)dis cu命令進(jìn)行查找，出現(xiàn)了如下有用信息：

　　vlan 101

　　description link to *****

　　interface Vlan-interface101

　　description link to *****

　　ip address 219.*.*.65 255.255.255.240

　　通過(guò)交換機(jī)上顯示的描述信息我們可以判斷出這個(gè)IP地址是屬于VLAN101的，而且描述信息也可以大致判斷出這個(gè)VLAN是連接的單位信息，但是作為網(wǎng)絡(luò)管理員我們也了解很多交換機(jī)上面的描述信息都是初始配置時(shí)寫(xiě)進(jìn)去，很多情況下對(duì)于網(wǎng)絡(luò)連接作了改動(dòng)但是描述信息并沒(méi)有及時(shí)做修改，因此下面我們需要做的就是驗(yàn)證IP地址與網(wǎng)關(guān)是否屬于同一網(wǎng)段。該單位的網(wǎng)管已經(jīng)告訴我們了，即他習(xí)慣將網(wǎng)絡(luò)中最小的那個(gè)地址作為網(wǎng)關(guān)地址，按照這個(gè)規(guī)律看219.*.*.72與219.*.*.65在子網(wǎng)掩碼為255.255.255.240的情況下，應(yīng)該是屬于一個(gè)網(wǎng)段的，但是為了把這個(gè)問(wèn)題說(shuō)清楚，我們還是詳細(xì)介紹一下判斷的方法。

二、充分理解并靈活應(yīng)用IP地址、子網(wǎng)掩碼與網(wǎng)關(guān)的關(guān)系

　　以上面的例子做一個(gè)說(shuō)明，子網(wǎng)掩碼為255.255.255.240，說(shuō)明這個(gè)網(wǎng)段中的IP地址只有第4位是不同的，那么我們先將子網(wǎng)掩碼中的248轉(zhuǎn)化為二進(jìn)制數(shù)：11110000，然后再分別將65與72轉(zhuǎn)換為二進(jìn)制數(shù)，再分別與子網(wǎng)掩碼進(jìn)行一次與運(yùn)算，如下所示：

　　十進(jìn)制數(shù)二進(jìn)制數(shù)

　　6501000001

　　7201001000

　　24011110000

　　65與子網(wǎng)掩碼的與運(yùn)算結(jié)果01000000

　　72與子網(wǎng)掩碼的與運(yùn)算結(jié)果01000000

　　與顯示的結(jié)果可以看出，65與72與子網(wǎng)掩碼進(jìn)行與運(yùn)算后得到的結(jié)果是一樣的，則就說(shuō)明219.*.*.65與219.*.*.72是屬于同一網(wǎng)段。IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)的知識(shí)是我們學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)都是學(xué)習(xí)的基礎(chǔ)知訓(xùn)，但是熟練并靈活的應(yīng)用卻是我們判斷網(wǎng)絡(luò)故障必不可少的。如果不能正確通過(guò)子網(wǎng)掩碼判斷網(wǎng)絡(luò)中的IP地址，就會(huì)出現(xiàn)將不屬于這個(gè)網(wǎng)段的IP地址設(shè)置到相應(yīng)的端口，從而造成網(wǎng)絡(luò)不通的問(wèn)題，好在在這個(gè)例子中并沒(méi)有出現(xiàn)這個(gè)現(xiàn)象。

三、巧妙利用IP地址沖突查找故障網(wǎng)絡(luò)所在的結(jié)點(diǎn)

　　再通過(guò)dis cu查看配置信息，我們發(fā)現(xiàn)端口3設(shè)置為T(mén)RUNK模式，該端口允許包括VLAN101的多個(gè)VLAN通過(guò)。如下所示：

　　interface Ethernet0/3

　　port link-type trunk

　　port trunk permit vlan 101 109

　　端口3下面連接一臺(tái)H3C3100交換機(jī)，其中有多個(gè)端口是屬于VLAN101的，但同時(shí)是因?yàn)槊枋鲂畔⒉煌晟疲覀円粫r(shí)無(wú)法知道哪個(gè)端口下面的網(wǎng)絡(luò)設(shè)備地址是219.*.*.72。到放置H3C交換機(jī)的設(shè)備現(xiàn)場(chǎng)去進(jìn)行排查是一個(gè)方案，但省時(shí)省力，我們就采取另外一種方法，即在上級(jí)華為3500交換機(jī)上面我們將一個(gè)空余的端口設(shè)置為屬于VLAN101，將自己的筆記本電腦的IP地址設(shè)置219.*.*.72，這時(shí)馬上會(huì)在“事件查看器”中看到IP地址沖突的提示。

　　這時(shí)我們?cè)俚卿浀紿3C3100交換機(jī)上，將屬于VLAN101的三個(gè)端口全部執(zhí)行shutdown操作，然后再依次執(zhí)行undo shutdown的操作，每執(zhí)行一次undo shutdown的操作，將自己筆記本上的網(wǎng)線(xiàn)插拔一次，如果又出現(xiàn)了IP地址沖突的提示，則說(shuō)明該端口所連接的網(wǎng)絡(luò)中存在219.*.*.72這個(gè)IP地址，實(shí)際上我們非常幸運(yùn)，在嘗試第一個(gè)端口時(shí)就找到有故障的網(wǎng)絡(luò)節(jié)點(diǎn)，將該網(wǎng)絡(luò)端口重新置為shutdown的狀態(tài)，其它兩個(gè)端口置為undo shutdown的狀態(tài)，再登錄華為3500交換機(jī)，發(fā)現(xiàn)沒(méi)有新的告警信息產(chǎn)生了，詢(xún)問(wèn)該交換機(jī)下面所聯(lián)的各個(gè)單位，也都答復(fù)沒(méi)有丟包的現(xiàn)象了。

　　這次網(wǎng)絡(luò)故障的排除雖然經(jīng)過(guò)一些波折，但最后都順利的解決了，特別是在尋找產(chǎn)生故障的網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，運(yùn)用了設(shè)置IP地址沖突的方式，通過(guò)產(chǎn)生網(wǎng)絡(luò)故障的方法來(lái)解決網(wǎng)絡(luò)故障，這也算是一個(gè)對(duì)網(wǎng)絡(luò)知識(shí)的活學(xué)活用吧。