■ 湖北 李世友

故障現(xiàn)象

學校新建了兩個微機室，每個微機室50臺新電腦加上20臺某大學捐贈的舊電腦，但是使用時我們發(fā)現(xiàn)，只要新微機室連接外網(wǎng)，整個學校網(wǎng)絡(luò)就變得異常緩慢。Ping網(wǎng)關(guān)時通兩下就要斷三下，甚至只使用一個新微機室，網(wǎng)絡(luò)也不堪重負。這種現(xiàn)象是不正常的，因為以前兩個舊微機室120臺電腦同時使用也比現(xiàn)在只使用一個新微機室的網(wǎng)絡(luò)狀況要好。

故障排查

很明顯故障是由兩個新微機室引起的。根據(jù)經(jīng)驗，我們采取分段排查的方法，從三個方面找原因：1.微機室建設(shè)不達標，微機室內(nèi)部的局域網(wǎng)網(wǎng)絡(luò)出現(xiàn)了問題。2.每間微機室通過一根網(wǎng)線，連接到樓層交換機，因為每間微機室的電腦多，網(wǎng)線老化，這根網(wǎng)線成了網(wǎng)絡(luò)瓶頸。3.網(wǎng)絡(luò)流量不正常。

通過觀察，感覺微機室內(nèi)部的局域網(wǎng)應該沒有問題，因為當斷掉外網(wǎng)時，無論是用教師機控制學生電腦給學生演示還是學生上傳作業(yè)，都不會掉線。而且，微機室內(nèi)電腦互相Ping，速度都很快。

接下來看微機室通往樓層交換機的網(wǎng)線是否有問題。樓層交換機原本是不可網(wǎng)管的傻瓜式交換機，為了排除故障并且方便以后管理，我將其換成中信ZRX10 2928E。先給交換機配了三層IP地址192.168.251.100，該 IP地 址和微機室的電腦IP地址在同一網(wǎng)段。在上課時用電腦Ping樓層交換機的地址，發(fā)現(xiàn)連通性很好，而且速度也很快。為了徹底排除網(wǎng)線問題，我還在微機室和樓層交換機之間用兩根網(wǎng)線配置了LACP，但問題依然存在。

看來應該是微機室的網(wǎng)絡(luò)流量有問題。于是在筆記本電腦上安裝Wireshark用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包進行分析，然后在2928E上配置鏡像，將通向新微機室的端口（8號）流量鏡像到監(jiān)控端口（20號），配置方法如下：

接著，用網(wǎng)線將筆記本電腦接至20號端口，打開Wireshark開始捕獲數(shù)據(jù)包。通過仔細觀察數(shù)據(jù)包，終于發(fā)現(xiàn)了一些問題（如圖1）。

圖中可以看出，許多電腦都通過8090端口往IP為192.168.0.238的主機發(fā)送數(shù)據(jù)，而網(wǎng)關(guān)卻回復目標主機不可達，而且網(wǎng)關(guān)還在發(fā)送大量尋找192.168.0.238的廣播包?？梢娔繕薎P地址在網(wǎng)絡(luò)中應該不存在。再根據(jù)源IP查看源主機，這才發(fā)現(xiàn)這些源主機都是捐過來的舊電腦。

故障解決

那么是什么程序在給不存在的主機發(fā)送信息呢？在舊電腦上運行CMD輸入netstat -ano，查 看 到 8090和8089端口對應的PID都是468，再輸入tasklist /fi“PID eq 468”，發(fā)現(xiàn) 468 對應的進程為LGClient.exe。重新在運行框中輸入“wmic”（首次運行會提示安裝），然后輸入“process”就，可以發(fā)現(xiàn)LGClent.exe對應的是OsEasy計算機實驗教學支撐系統(tǒng)。這個程序與硬盤保護卡有關(guān)，而且卸載需要密碼，硬盤保護卡對于保護電腦很有用。

192.168.0.238應該是該系統(tǒng)以前的中心服務器地址?，F(xiàn)在既要使用硬盤保護卡，又不能讓它影響網(wǎng)絡(luò)，我只要在樓層交換機的8號口用ACL禁止目的地址為192.168.0.238的數(shù)據(jù)包進入交換機就能夠防止這些流量影響網(wǎng)關(guān)了，其配置如下：

用同樣的方法配置另一個微機室對應的9號端口。經(jīng)測試，網(wǎng)絡(luò)性能恢復正常。

經(jīng)驗總結(jié)

為了解決這個問題，足足用了兩周的空閑時間，這期間因為這個問題造成學生無法上網(wǎng)做作業(yè)，教師不能及時下載資料，我所承受的壓力是可想而知的。現(xiàn)在想想我對學校的網(wǎng)絡(luò)維護總是依照“出故障—查原因—解決問題”的套路，依這種套路每解決一個問題都要花大量時間。試想，如果一直用cactiEZ或MRTG等免費監(jiān)控軟件對學校的各主要端口流量進行監(jiān)控和觀察，當發(fā)現(xiàn)某端口有異常流量時就用Wireshark分析其中的數(shù)據(jù)包，這樣就可以主動發(fā)現(xiàn)問題，并且快速解決網(wǎng)絡(luò)故障。