交換埠隔離拒絕病毒傳播
Internet網路上既有藍天白雲,也有潛流暗壑,稍微不注意的話,各式各樣的網路病毒可能就會“不請自來”。而區域網網路中一旦遭遇了網路病毒的襲擊,輕則上網速度不正常,嚴重時整個網路都能發生崩潰現象。要想保證區域網網路始終能夠穩定執行,我們必須想法設法拒絕網路病毒在區域網中進行大面積傳播;這不,筆者曾經遭遇過一則區域網不能上網故障,經過不懈追查之後,竟然發現是由幾個來歷不明的網路病毒修改閘道器地址引起的,現在就把該故障的詳細解決方案貢獻出來,供各位朋友借鑑、交流!
故障現象
單位區域網採用MyPower S3026G型號的普通樓層交換機,將位於大樓一、二、三層中的所有計算機全部連線起來,這些樓層交換機全部連線到單位的核心交換機中,核心交換機又通過天融信硬體防火牆與Internet網路進行了連線。由於單位交換機都支援即插即用功能,網路管理員對它們沒有進行任何配置,就直接連線到區域網網路中; 在這種連線狀態下,區域網中所有樓層的計算機相互之間都能訪問,這樣一來單位同事們經常利用區域網網路進行共享交流。
剛開始的時候,區域網執行一直很穩定;最近不知道由於什麼緣故,單位所有計算機都不能通過區域網進行共享訪問Internet網路了,不過相互之間它們卻能夠正常訪問。
分析解決
對於這種故障現象,筆者想當然地認為問題肯定出在硬體防火牆或核心交換機上,而與普通計算機的上網設定以及網路線纜連通性沒有任何關係;不過,當筆者斷開所有樓層交換機以及單位的伺服器或重要工作站,僅讓一臺工作狀態正常的膝上型電腦與核心交換機保持連線時,該膝上型電腦卻能夠正常訪問 Internet網路,顯然核心交換機與硬體防火牆的工作狀態也是正常的。那問題究竟出現在什麼地方呢?
考慮到區域網中的所有計算機都不能上網,筆者估計可能出現了網路環路,或者存在類似ARP這樣的網路病毒,只有這些因素才能造成整個區域網大面積不能正常上網。由於網路環路故障排查起來相對複雜一些,筆者打算先從網路病毒因素開始查起;想到做到,筆者立即與其他幾個單位員工分頭行動,使用最新版本的防毒軟體依次對每一臺普通工作站進行病毒查殺操作;經過一番持久戰,潛藏在區域網中的許多病毒的確被我們消滅乾淨了。原本以為解決了網路病毒,區域網不能上網的故障現象也應該自動消除了,可是重新將所有計算機接入到單位區域網中後,發現上述故障現象依然存在,難道這樣的故障現象真的與網路病毒沒有任何關係?
之後,筆者打算檢查區域網中是否存在網路環路現象。經過仔細分析,筆者認為要是某個交換埠下面的子網路存在網路環路現象時,那麼對應交換埠的輸入、輸出流量都應該很大才對;基於這樣的認識,筆者立即進入單位區域網的核心交換機後臺管理系統,利用該系統自帶的診斷功能,對每一個交換埠進行了掃描檢查,從反饋回來的結果中筆者發現每一個交換埠的輸入、輸出流量正常,這說明網路環路現象也不存在。
在萬般無奈之下,筆者任意找了一臺故障計算機,利用系統自帶的ping、tracert等命令,對區域網閘道器地址進行了跟蹤測試,結果發現系統竟然會去尋找一個並不存在的閘道器地址,顯然計算機系統中存在網路病毒,那麼為什麼防毒軟體沒有將這些病毒掃描出來呢?經過上網搜尋,筆者得知網路存在一種特殊的網路病毒,它們專門修改區域網的閘道器地址,造成計算機無法上網,並且這種網路病毒可以躲避防毒軟體的“圍剿”,這也是我們使用防毒軟體沒有找到該網路病毒的原因。後來,筆者按照網上提供的方案將該網路病毒清除後,故障計算機果然能夠正常上網了;按照相同的處理方法,其他計算機無法上網故障一一被解決了。
雖然上述故障已經被解決了,但是該區域網無法阻止網路病毒大面積傳播的事實,警醒了筆者和同事;為了提升網路執行安全性,確保網路執行穩定性,筆者決定對單位區域網組網方式進行適當調整,以便讓每個樓層的交換埠相互隔離,從而拒絕網路病毒在區域網中的快速傳播。
由於MyPower S3026G型號的交換機共包含26個交換埠,筆者打算使用每個樓層交換機的25、26兩個埠,級聯到單位區域網的核心交換機上,其他的交換埠全部設定為隔離埠,單位中的所有普通計算機全部連線到隔離埠上,那樣一來區域網中的所有普通計算機之間就只能通過核心交換機訪問Internet網路,它們相互之間就不能進行訪問了,這樣可以保證網路病毒無法大面積傳播了。考慮到單位區域網中還有一些伺服器和重要工作站,為了讓普通使用者能訪問到它們,筆者決定將核心交換機的1、2、3、4、5、6埠設定為共享埠,這些埠連線單位伺服器或重要工作站,25、26兩個埠作為上行連線埠,用於連線區域網中的硬體防火牆,其他交換埠設定為隔離埠,全部用來連線
普通的樓層交換機或者普通計算機。
基於這樣的思路,筆者使用百兆雙絞線將位於大樓一、二、三層中的樓層交換機上行埠,全部連線到核心交換機的7-24埠上,將核心交換機的上行埠連線到天融信硬體防火牆的介面上,將單位中的重要工作站和各種伺服器連線到核心交換機的1、2、3、4、5、6埠上,以便讓所有普通的計算機都能共享訪問到,所有計算機都位於同一個網段之中。
在完成上面的物理連線之後,筆者使用MyPower S3026G交換機自帶的控制線纜連線到核心交換機後臺管理系統,同時進入該系統的全域性配置狀態,在該狀態下執行字串命令“isolate-port allowed ethernet 0/0/1-6;25;26”,將核心交換機的1、2、3、4、5、6埠設定為共享埠,將25、26兩個埠作為上行連線埠;接著切換進入指定網段,例如假設執行“vlan 10”字串命令,將交換機切換到vlan 10網段配置狀態,再執行字串命令“switchport interface ethernet 0/0/1-26”,將核心交換機的其他交換埠配置成隔離埠,之後依次執行“exit”、“write”命令,完成上述配置的儲存操作,最後使用 “reload”命令完成上述配置的重新載入工作,那樣一來核心交換機的各項配置就能正式生效了。
按照同樣的操作方法,在普通樓層交換機的全域性配置狀態下,執行“isolate-port allowed ethernet 0/0/25;26”字串命令,將樓層交換機的25、26兩個埠設定為上行埠,執行“switchport interface ethernet 0/0/1-26”字串命令,將其他埠全部設定為隔離埠,最後再載入、儲存好上述交換配置。
經過上述重新連線以及交換配置操作後,區域網中的所有普通使用者只能通過區域網訪問Interent網路,同時也能夠訪問區域網中的伺服器或重要工作站,但是不能訪問其他普通計算機,而區域網中的伺服器或重要工作站卻能夠訪問所有普通計算機,如此一來日後普通計算機中即便存在網路病毒,也不會通過網路發生大面積的病毒傳播,那麼區域網網路的執行安全性就能得到保證了,同時網路訪問更加暢通了。
故障現象
單位區域網採用MyPower S3026G型號的普通樓層交換機,將位於大樓一、二、三層中的所有計算機全部連線起來,這些樓層交換機全部連線到單位的核心交換機中,核心交換機又通過天融信硬體防火牆與Internet網路進行了連線。由於單位交換機都支援即插即用功能,網路管理員對它們沒有進行任何配置,就直接連線到區域網網路中; 在這種連線狀態下,區域網中所有樓層的計算機相互之間都能訪問,這樣一來單位同事們經常利用區域網網路進行共享交流。
剛開始的時候,區域網執行一直很穩定;最近不知道由於什麼緣故,單位所有計算機都不能通過區域網進行共享訪問Internet網路了,不過相互之間它們卻能夠正常訪問。
分析解決
對於這種故障現象,筆者想當然地認為問題肯定出在硬體防火牆或核心交換機上,而與普通計算機的上網設定以及網路線纜連通性沒有任何關係;不過,當筆者斷開所有樓層交換機以及單位的伺服器或重要工作站,僅讓一臺工作狀態正常的膝上型電腦與核心交換機保持連線時,該膝上型電腦卻能夠正常訪問 Internet網路,顯然核心交換機與硬體防火牆的工作狀態也是正常的。那問題究竟出現在什麼地方呢?
考慮到區域網中的所有計算機都不能上網,筆者估計可能出現了網路環路,或者存在類似ARP這樣的網路病毒,只有這些因素才能造成整個區域網大面積不能正常上網。由於網路環路故障排查起來相對複雜一些,筆者打算先從網路病毒因素開始查起;想到做到,筆者立即與其他幾個單位員工分頭行動,使用最新版本的防毒軟體依次對每一臺普通工作站進行病毒查殺操作;經過一番持久戰,潛藏在區域網中的許多病毒的確被我們消滅乾淨了。原本以為解決了網路病毒,區域網不能上網的故障現象也應該自動消除了,可是重新將所有計算機接入到單位區域網中後,發現上述故障現象依然存在,難道這樣的故障現象真的與網路病毒沒有任何關係?
之後,筆者打算檢查區域網中是否存在網路環路現象。經過仔細分析,筆者認為要是某個交換埠下面的子網路存在網路環路現象時,那麼對應交換埠的輸入、輸出流量都應該很大才對;基於這樣的認識,筆者立即進入單位區域網的核心交換機後臺管理系統,利用該系統自帶的診斷功能,對每一個交換埠進行了掃描檢查,從反饋回來的結果中筆者發現每一個交換埠的輸入、輸出流量正常,這說明網路環路現象也不存在。
在萬般無奈之下,筆者任意找了一臺故障計算機,利用系統自帶的ping、tracert等命令,對區域網閘道器地址進行了跟蹤測試,結果發現系統竟然會去尋找一個並不存在的閘道器地址,顯然計算機系統中存在網路病毒,那麼為什麼防毒軟體沒有將這些病毒掃描出來呢?經過上網搜尋,筆者得知網路存在一種特殊的網路病毒,它們專門修改區域網的閘道器地址,造成計算機無法上網,並且這種網路病毒可以躲避防毒軟體的“圍剿”,這也是我們使用防毒軟體沒有找到該網路病毒的原因。後來,筆者按照網上提供的方案將該網路病毒清除後,故障計算機果然能夠正常上網了;按照相同的處理方法,其他計算機無法上網故障一一被解決了。
雖然上述故障已經被解決了,但是該區域網無法阻止網路病毒大面積傳播的事實,警醒了筆者和同事;為了提升網路執行安全性,確保網路執行穩定性,筆者決定對單位區域網組網方式進行適當調整,以便讓每個樓層的交換埠相互隔離,從而拒絕網路病毒在區域網中的快速傳播。
由於MyPower S3026G型號的交換機共包含26個交換埠,筆者打算使用每個樓層交換機的25、26兩個埠,級聯到單位區域網的核心交換機上,其他的交換埠全部設定為隔離埠,單位中的所有普通計算機全部連線到隔離埠上,那樣一來區域網中的所有普通計算機之間就只能通過核心交換機訪問Internet網路,它們相互之間就不能進行訪問了,這樣可以保證網路病毒無法大面積傳播了。考慮到單位區域網中還有一些伺服器和重要工作站,為了讓普通使用者能訪問到它們,筆者決定將核心交換機的1、2、3、4、5、6埠設定為共享埠,這些埠連線單位伺服器或重要工作站,25、26兩個埠作為上行連線埠,用於連線區域網中的硬體防火牆,其他交換埠設定為隔離埠,全部用來連線
普通的樓層交換機或者普通計算機。
基於這樣的思路,筆者使用百兆雙絞線將位於大樓一、二、三層中的樓層交換機上行埠,全部連線到核心交換機的7-24埠上,將核心交換機的上行埠連線到天融信硬體防火牆的介面上,將單位中的重要工作站和各種伺服器連線到核心交換機的1、2、3、4、5、6埠上,以便讓所有普通的計算機都能共享訪問到,所有計算機都位於同一個網段之中。
在完成上面的物理連線之後,筆者使用MyPower S3026G交換機自帶的控制線纜連線到核心交換機後臺管理系統,同時進入該系統的全域性配置狀態,在該狀態下執行字串命令“isolate-port allowed ethernet 0/0/1-6;25;26”,將核心交換機的1、2、3、4、5、6埠設定為共享埠,將25、26兩個埠作為上行連線埠;接著切換進入指定網段,例如假設執行“vlan 10”字串命令,將交換機切換到vlan 10網段配置狀態,再執行字串命令“switchport interface ethernet 0/0/1-26”,將核心交換機的其他交換埠配置成隔離埠,之後依次執行“exit”、“write”命令,完成上述配置的儲存操作,最後使用 “reload”命令完成上述配置的重新載入工作,那樣一來核心交換機的各項配置就能正式生效了。
按照同樣的操作方法,在普通樓層交換機的全域性配置狀態下,執行“isolate-port allowed ethernet 0/0/25;26”字串命令,將樓層交換機的25、26兩個埠設定為上行埠,執行“switchport interface ethernet 0/0/1-26”字串命令,將其他埠全部設定為隔離埠,最後再載入、儲存好上述交換配置。
經過上述重新連線以及交換配置操作後,區域網中的所有普通使用者只能通過區域網訪問Interent網路,同時也能夠訪問區域網中的伺服器或重要工作站,但是不能訪問其他普通計算機,而區域網中的伺服器或重要工作站卻能夠訪問所有普通計算機,如此一來日後普通計算機中即便存在網路病毒,也不會通過網路發生大面積的病毒傳播,那麼區域網網路的執行安全性就能得到保證了,同時網路訪問更加暢通了。