王 偉

（西安財經學院，陜西 西安 710100）

1 引言

高校公用上網機房是師生科研、教學活動的重要場所，網絡機房的安全、高效運行管理難度很大，網絡運行緩慢甚至斷網、信息數(shù)據安全等問題屢見不鮮。為此，筆者從常見的網絡故障現(xiàn)象出發(fā)，分析故障原因，提出解決方案，并總結出常見網絡故障排除的方法。

2 公用上網機房常見網絡故障分析及解決措施

2.1 機房網絡故障的原因、識別

常見的產生機房網絡故障的原因主要有計算機用戶自身的原因（如瀏覽非法帶有病毒的網站、下載惡意軟件等）、老鼠或者違規(guī)電腦用戶對線路及設備進行的破壞、硬件設備或者軟件系統(tǒng)自身缺陷及故障引起的原因、雷電災害等。當故障發(fā)生后，網絡工程師通常應該從故障現(xiàn)象出發(fā)進行排障，排障時需要識別的項目有：①計算機自身的網絡通斷，包括網卡硬件故障、TCP/IP信息的設置、殺毒和防火墻軟件的設置、瀏覽器Broswer等；②網絡設施的運行狀態(tài)，諸如網線的通斷、水晶頭制作、交換機及路由器的指示燈和運行的軟件系統(tǒng)、郵件服務器、防火墻等。機房網絡故障的原因很復雜，網絡故障現(xiàn)象的識別、分類規(guī)律性不強，因此故障處理起來也很棘手。為此，下文從常見的故障現(xiàn)象出發(fā)對其進行剖析，并給出相應的解決方案。

2.2 DNS故障、欺騙攻擊及防護

客戶端訪問域名網址不能到達或轉向非正常網站，此時很有可能是DNS SERVER出現(xiàn)故障或遭到攻擊癱瘓不能正常工作，或受DNS欺騙攻擊被引向非法的預先設定的網站。解決方法∶DNS問題可以通過冗余DNS SEREVER來解決自身故障；對欺騙攻擊所帶來的危害可將 DNS SERVER的 MAC ADDRESS與其IP ADDRESS綁定，將綁定信息存儲在Client Network Card的Eprom中，這樣客戶機就可以對DNS SERVER的真實性進行校驗即可預防欺騙；另外，由于該欺騙以ARP欺騙為基礎，所以可在網關路由器處將IP和MAC綁定防止ARP攻擊，從而進行防御。

2.3 DHCP故障及解決

采用 DHCP自動分配 IP上網方式，會出現(xiàn)無法獲取 IP ADDRESS的現(xiàn)象，原因可能是 DHCP 服務器超負荷運行、IP ADDRESS租約到期、DHCP服務器自身故障或其數(shù)據庫損壞，更嚴重的是機房LAN中出現(xiàn)非法的DHCP SEREVER并導致用戶信息安全失竊。解決方法：①DHCP采用專用SERVER不使其超負荷運行；②增加DHCP地址池中的IP范圍，回收閑置IP和縮短不必要的IP使用時限，以解決IP租約到期問題；③對DHCP SERVER及其數(shù)據庫采用冗余備份防止數(shù)據和服務災難；④在匯聚層SWITCH上查找并禁用非法DHCP服務，或使用Domain Controller授權，或在SWITCH上使用Snooping技術，或在路由器、核心交換機、防火墻上將除合法 DHCP服務器外的所有DHCP報文即UDP的68端口封閉，此4法能解決常見的DHCP問題。

2.4 IP地址沖突問題及其解決

網絡運行中會出現(xiàn)Computer提示IP ADDRESS沖突，此時就出現(xiàn)一個IP對應多臺計算機網卡的MAC ADDRESS情況，只有一臺機器能夠正常上網，其他有沖突的機器不能上網。IP沖突的原因：輸入錯誤或重復設置或非法占有或LAN內有人使用ARP欺騙的木馬程序。解決方法：①在SWITCH或硬件防火墻上將交換機端口、客戶端的IP和MAC三者進行綁定，這樣可以防止ARP病毒引起的沖突；②記錄下每臺機器的IP和 MAC，一旦沖突，則可最快的找到故障機；③在注冊表中設置禁用本地連接的屬性功能，用戶就無權修改IP地址。

2.5 ARP攻擊分析及其防御

LAN中如果網絡時斷時通、網速緩慢、無法PING通網關或提示硬件網卡地址沖突，此時重啟路由器即可恢復，但很快又網絡掉線，則很可能是機房遭到ARP病毒攻擊。解決：①管理員可對機房進行 VALN劃分以減少故障機給整個網絡帶來的危害；②經常升級系統(tǒng)并打補丁，使用360防火墻軟件；③在本機綁定網關和本機的IP和MAC，建立靜態(tài)的ARP列表。

2.6 斷網問題及解決措施

斷網故障常表現(xiàn)為本地連接的電腦圖標為紅叉、網卡指示燈熄滅或長亮、無法PING通外網且內網不能互訪通信等，其原因通常為硬件故障如：網卡損壞及其設置有誤、雙絞線的線序和水晶頭制作不良、交換機和路由器故障；軟件故障有網絡協(xié)議配置不全或錯配、微軟客戶端服務未安裝、代理服務器和防火墻設置不當以及病毒引起的 DDOS拒絕服務攻擊。解決：根據現(xiàn)象從故障機的網卡、網線的通斷和本地連接中的屬性配置信息檢查，然后再查SWITCH和ROUTER以及代理服務器和FIREWALL的相關設置（錯誤的網絡安全設置會導致網絡不通）。

2.7 VLAN故障及解決方法

VLAN是大型局域網中常見的為維護網絡安全和性能所劃分的虛擬網絡，VLAN建立在交換機之上，在運行中常會出現(xiàn)鏈路故障如網卡、雙絞線、交換機、路由器問題，也會由于交換機、路由器的配置軟件信息丟失、錯誤配置和關閉造成問題。由于VLAN造成的故障通常表現(xiàn)為虛擬工作組之間不能互訪，所以解決方法為：先檢查交換機的指示燈，檢查交換機的配置信息和測試訪問通斷，最后找到故障點檢查故障機器。

2.8 網絡病毒的預防

機房尤其是上網機房極易受到病毒的攻擊，從而使整個網絡癱瘓或異常，因此病毒的防御是重中之重。通常的措施有：①關鍵設備如DHCP、DNS及郵件網關服務器都要安裝專業(yè)的服務器版殺毒軟件，在網關處安裝FIREWALL或者IDS、IPS，給機房單機也安裝客戶端的殺毒軟件，定期殺毒并升級補丁系統(tǒng)軟件；②關閉易感染病毒的機器（計算機、交換機、路由器等）端口，經常檢查系統(tǒng)日志；

③在客戶機和重要設備上安裝硬件還原保護卡或相關的保護還原軟件。

2.9 其他故障原因及其預防

雷電災害、小動物（如老鼠）啃咬網線等設備、人為破壞等也是機房網絡故障常見的現(xiàn)象，對于這些問題工程師也應予以重視。雷電閃擊會造成網絡系統(tǒng)運行異常甚至癱瘓并造成安全事故，老鼠經常會將各個設備間的網線咬斷造成物理斷網，不良企圖的用戶會人為破壞機房設施。因此，在實際中應當定期檢查避雷的安全設施和技術措施的有效性，對關鍵部位的網線和設備進行物理隔離以防止老鼠啃咬，加強學生機房安全管理制度的教育。

3 排查網絡故障的經驗總結

以上九個方面是高校公共上網機房常見的故障現(xiàn)象及解決方案簡述，然而實際的管理中，現(xiàn)象和原因較為復雜，只有遵循科學的方法才能快速排障。以筆者經驗總結的排障方法為：首先確定故障的現(xiàn)象，從現(xiàn)象出發(fā)為可能的原因進行分類排序；其次，依據分類排序的原因逐一檢測，通常從故障現(xiàn)象發(fā)生地的機器本身檢查，依次檢查可能的機器，檢查項目一般為可能發(fā)生故障的機器的軟件、硬件，檢查時應有替換設備進行替換驗證或對可能發(fā)生故障的軟件系統(tǒng)進行還原修復；最后，網絡故障的原因可能不止一個而是綜合問題，對于復雜的綜合網絡故障，我們應該采取先整體后局部，先關鍵后次要的原則，具體到實際就是要遵循以下三原則：（1）先檢查核心設備如 DHCP、DNS、 SWITCH、MAIL SERVER、ROUTER、FIREWALL、DATABASE等，再檢查虛擬局域網VLAN和單機；(2)先檢查各類設備的硬件系統(tǒng)再檢查軟件系統(tǒng)；(3)先檢查網絡的出入口，再檢查各個子網，最后檢查單機的網絡配置及其運行狀態(tài)。

總之，大型公用上網機房的維護是一件復雜的系統(tǒng)工程，只有遵循科學的方法，不斷在實踐中學習總結維護經驗和技術才可能做好。

4 結束語

本文闡述了大型公共上網機房網絡運行中常見的故障及其解決方法，并根據經驗給出了科學解決故障的思路和原則，相信在實踐中不斷完善處理的方法和技術手段就能夠維護管理好大型上網機房。

[1] 王偉.局域網常見斷網故障研究[J].軟件導刊,2012(1).

[2] 王偉.局域網中DHCP故障問題研究[J].大眾科技, 2012(2).

[3] 王偉.DNS欺騙攻擊及其防護研究[J].軟件導刊,2012(3).