網(wǎng)管員在工作中遇到的網(wǎng)絡問題，故障現(xiàn)象都是千變?nèi)f化、多種多樣的。所以也不能用單一、固定的方法或知識去解決它們，必須根據(jù)實際的故障現(xiàn)象，結合自己的工作經(jīng)驗，運用多種方法和知識靈活的排除故障。下面就是自己在實際工作中碰到的一則故障實例，通過對故障現(xiàn)象的分析，和故障的排除過程來說明排除網(wǎng)絡故障并不是一件簡簡單單的事情。

圖1 公司網(wǎng)絡服務器部署圖

一、公司網(wǎng)絡服務器部署架構

單位網(wǎng)絡中的服務器部署結構圖，如圖1所示。為了確保重要設備的穩(wěn)定性和冗余性，核心層交換機使用兩臺Cisco 4506，通過Trunk線連接。在核心交換機上連接有單位重要的服務器，如安全中心、DHCP、E-MAIL和WEB服務器等。單位IP地址的部署，使用的是B類私有172網(wǎng)段的地址。其中，連接在Cisco 4506A上的FTP服務器、Web服務器和流媒體服務器都是戴爾牌的，打印服務器是IBM的。連接在Cisco 4506B上的安全中心服務器和DHCP服務器是戴爾的，E-Mail服務器是HP的，認證服務器是IBM的。

兩臺Cisco 4506之間的連接情況，以及Cisco 4506A和服務器間的連接情況如下所示：

Cisco 4506A GigabitEthernet 1/1 <----> Cisco 4506B GigabitEthernet 1/1

Cisco 4506A GigabitEthernet 4/1 <----> FTP Server Eth0

Cisco 4506A GigabitEthernet 4/2 <----> Web Server Eth0

Cisco 4506A GigabitEthernet 4/3 <----> 流媒體服務器Eth0

Cisco 4506A GigabitEthernet 4/4 <----> 打印服務器 Eth0

Cisco 4506B和服務器之間的連接情況如下所示：

Cisco 4506B GigabitEthernet 4/1 <----> 安全中心服務器 Eth0

Cisco 4506B GigabitEthernet 4/2 <----> DHCP Server Eth0

Cisco 4506B GigabitEthernet 4/3 <----> E-Mail Server Eth0

Cisco 4506B GigabitEthernet 4/4 <----> 認證服務器 Eth0

二、核心交換機的網(wǎng)絡配置情況

Cisco4506A上的配置：

Cisco4506A#vlan database

Cisco4506A(vlan)#vlan 2

Cisco4506A(vlan)#apply

Cisco4506A (config)#interface range gigabitEthernet 4/1 -4

Cisco4506A (config-if-range)# switchport

Cisco4506A (config-if-range)#switchport access vlan 2

Cisco4506A(config)#int vlan 2

Cisco4506A(config-if)#ip address 172.16.2.252 255.255.255.0

//創(chuàng)建vlan 2的SVI接口，并指定IP地址

Cisco4506A(config-if)#no shutdown

Cisco4506A(config-if)standby 2 priority 250 preempt

Cisco4506A(config-if)standby 2 ip 172.16.2.254

//配置vlan 2的HSRP參數(shù)

Cisco4506A(config)#int vlan 12

Cisco4506A(config-if)#ip address 172.16.12.252 255.255.255.0

Cisco4506A(config-if)#no shutdown

Cisco4506A(config-if)standby 12 priority 250 preempt

Cisco4506A(config-if)standby 12 ip 172.16.12.254

命令"standby 2 priority 250 preempt"中的"priority"是配置HSRP的優(yōu)先級，2為組序號，它的取值范圍為0～255，250為優(yōu)先級的值，取值范圍為0～255，數(shù)值越大優(yōu)先級越高。

優(yōu)先級將決定一臺路由器在HSRP備份組中的狀態(tài)，優(yōu)先級最高的路由器將成為活動路由器，其它優(yōu)先級低的路由器將成為備用路由器。當活動路由器失效后，備用路由器將替代它成為活動路由器。當活動和備用路由器都失效后，其它路由器將參與活動和備用路由器的選舉工作。優(yōu)先級都相同時，接口IP地址高的將成為活動路由器。

"preempt"是配置HSRP為搶占模式。如果需要高優(yōu)先級的路由器能主動搶占成為活動路由器，則要配置此命令。配置preempt后，能夠保證優(yōu)先級高的路由器失效恢復后總能成為活動路由器。活動路由器失效后，優(yōu)先級最高的備用路由器將處于活動狀態(tài)，如果沒有使用preempt技術，則當活動路由器恢復后，它只能處于備用狀態(tài)，先前的備用路由器代替其角色處于活動狀態(tài)。

Cisco4506B上的配置：

Cisco4506B#vlan database

Cisco4506B(vlan)#vlan 12

Cisco4506B(vlan)#apply

Cisco4506B (config)#interface range gigabitEthernet 4/1 -4

Cisco4506B (config-if-range)# switchport

Cisco4506B (config-if-range)#switchport access vlan 12

Cisco4506B(config)#int vlan 12

Cisco4506B(config-if)#ip address 172.16.12.253 255.255.255.0

Cisco4506B(config-if)#no shutdown

Cisco4506B(config-if)standby 12 priority 249 preempt

Cisco4506B(config-if)standby 12 ip 172.16.12.254

Cisco4506B(config)#int vlan 2

Cisco4506B(config-if)#ip address 172.16.2.253 255.255.255.0

Cisco4506B(config-if)#no shutdown

Cisco4506B(config-if)standby 2 priority 249 preempt

Cisco4506B(config-if)standby 2 ip 172.16.2.254

三、問題的發(fā)生和主要的故障現(xiàn)象

在公司的網(wǎng)絡中，還部署有入侵檢測系統(tǒng)IDS和入侵防御系統(tǒng)IPS，在圖1所示的"安全中心"服務器的瀏覽器中，分別輸入IDS和IPS的管理IP地址后，就可以對這兩個安全設備進行管理和設置，也可以查看這兩個安全設備上的一些日志和報警信息。這也就是在遠程通過瀏覽器，用WEB的方式對安全設備進行遠程管理和監(jiān)控。網(wǎng)絡中的IDS設備是連接到Cisco 4506A的GigabitEthernet 3/1鏡像端口上，在4506A上相關的配置命令如下所示：

Cisco 4506A (config)#monitor session 1 source vlan 2 , 12 both

Cisco 4506A (config)#monitor session 1 destination interface gigabitEthernet 3/1

在"安全中心"服務器上，通過IDS設備對圖1中，Vlan 2和Vlan 12兩個區(qū)域的監(jiān)控，IDS總會提示IP地址192.168.0.120沖突的告警信息。也就是說在圖1中的Vlan 2、Vlan 20中存在兩個設備都在使用IP地址192.168.0.120。因為從上面4506A上的兩行配置命令可以看出IDS只監(jiān)控了Vlan 2和Vlan 20兩個網(wǎng)段的數(shù)據(jù)。

剛看到告警信息時覺得很奇怪，因為公司的網(wǎng)絡中使用的都是172網(wǎng)段的地址，根本就沒有部署過192的地址，所以首先想到的是不是有攻擊。而且IDS設備能夠顯示出引起IP地址沖突的兩個MAC地址：842b.2b48.a187和842b.2b58.ea6f。

四、排除故障的步驟

1、因為IDS監(jiān)控的是Vlan 2和Vlan 20兩個網(wǎng)段，所以就首先要排除沖突是發(fā)生在Vlan 2，還是發(fā)生在Vlan 20中。把在4506A上的配置"Cisco 4506A (config)#monitor session 1 source vlan 2 , 12 both"，改為"Cisco 4506A (config)#monitor session 1 source vlan 2 both"，也就是只讓IDS監(jiān)控Vlan 2中的數(shù)據(jù)。結果發(fā)現(xiàn)IDS還是會提示IP地址192.168.0.120沖突的告警信息。

接著，把配置"Cisco 4506A (config)#monitor session 1 source vlan 2 both"，改為"Cisco 4506A (config)#monitor session 1 source vlan 12 both"，也就是只讓IDS監(jiān)控Vlan 12中的數(shù)據(jù)。但IDS依舊會提示IP地址192.168.0.120沖突。所以說目前在Vlan 2和Vlan 20中都存在IP地址192.168.0.120沖突的問題。難道說攻擊都已經(jīng)滲透到網(wǎng)絡核心層的這兩個Vlan中了？

2、因為在IDS上還提示了引起IP地址沖突的兩個MAC地址，而MAC地址具有全球唯一性，所以可以通過這兩個MAC地址找到IP地址192.168.0.120是和什么設備關聯(lián)在一起的。所以，在Cisco 4506A上執(zhí)行以下命令：

Cisco 4506A#sh mac address-table | include 842b.2b

2    842b.2b48.a187    DYNAMIC      Gi4/1

2    842b.2b58.ea6f    DYNAMIC      Gi4/2

從以上命令的輸出結果，可以看出在Vlan 2中引起IP地址192.168.0.120沖突的兩個設備，就是連接在Cisco 4506A端口Gi4/1上的FTP Server和連接在Cisco 4506A端口Gi4/2上的Web Server。但是在進行網(wǎng)絡部署時，并沒有在這兩個服務器上配置192的IP地址。為了更加確認這種判斷，還在FTP和Web服務器上的"命令行"中執(zhí)行了命令"ifconfig -a"，從輸出的結果中也沒有看到192網(wǎng)段的IP地址，都是172的地址。

因為從上面的第"1"點中可以看出，在Vlan 20中也存在IP地址192.168.0.120沖突的問題。所以，在Cisco 4506B上也執(zhí)行了"Cisco 4506B#sh mac address-table"命令，結果發(fā)現(xiàn)引起IP地址沖突的兩個設備是連接在Cisco 4506B端口Gi4/1上的安全中心服務器和連接在Cisco 4506B端口Gi4/2上的DHCP Server。但是，我們在這兩個服務器上也沒有配置192網(wǎng)段的地址。

3、綜合上面排查故障的過程，可以發(fā)現(xiàn)引起IP地址沖突的服務器都是DELL服務器。因為確實查找不到引起IP地址沖突的原因，就在百度中搜索了"戴爾192.168.0.120沖突"相關信息，發(fā)現(xiàn)192.168.0.120這個IP地址是戴爾服務器遠程控制功能中默認使用的一個IP地址。戴爾服務器的遠程控制功能是通過DRAC（Dell Remote Access Controller，戴爾遠程控制卡）實現(xiàn)的，它是一種系統(tǒng)管理硬件和軟件解決方案，專門用于為 Dell PowerEdge系統(tǒng)提供遠程管理功能、崩潰系統(tǒng)恢復和電源控制功能。

也就是用戶在遠程若能訪問到圖1中Vlan 2或Vlan 20中的192.168.0.120這個IP地址，也就能實現(xiàn)在遠程對Vlan 2或Vlan 20中的戴爾服務器進行簡單的管理和配置。因為默認情況下具備DRAC功能的戴爾服務器，都在遠程控制卡上配置了192.168.0.120這個IP地址，而且DRAC功能的實現(xiàn)是通過共用戴爾服務器的網(wǎng)口實現(xiàn)的。

所以，連接在Cisco 4506A上的，都位于Vlan 2中的戴爾牌FTP服務器、Web服務器和流媒體服務器，在它們連接到4506A上的網(wǎng)口上都同時具備了兩個IP地址，一個是172網(wǎng)段的地址，一個是192.168.0.120地址。而且，它們都位于同一個Vlan中，所以IDS在監(jiān)控時就會發(fā)出IP地址沖突的告警信息。同樣道理，連接在Cisco 4506B上的安全中心服務器和DHCP服務器也會出現(xiàn)同樣的地址沖突告警。

五、總結

1、為了驗證戴爾服務器的DRAC功能，在圖1的Vlan 2中接入一臺筆記本電腦，電腦上的IP地址配置為192.168.0.144，子網(wǎng)掩碼為255.255.255.0，如圖2所示。

圖2 筆記本電腦網(wǎng)絡配置參數(shù)

然后，在筆記本電腦的瀏覽器中輸入網(wǎng)址"https://192.168.0.120"回車，就可以看到如圖3所示的登錄界面，輸入默認的用戶名root，密碼calvin后就可以進入到戴爾服務器的Web管理控制界面。

  

圖3 通過DRAC管理戴爾服務器的登陸界面

在管理界面中可以看到戴爾服務器的基本配置屬性，還可以對"電源"和"警報"進行管理配置，也可以瀏覽查看服務器的日志信息。而且在"屬性"的系統(tǒng)摘要中，可以看到服務器的IP地址信息，其中也包括有192.168.0.120這個IP地址，如圖4所示。

圖4 通過DRAC管理戴爾服務器的系統(tǒng)摘要信息

2、要解決在IDS設備中總提示192.168.0.120沖突的告警信息，可以使用兩種解決辦法。一是重新啟動戴爾服務器，進入到服務器的CMOS設置，在其中把"遠程控制卡"的功能關閉即可。

圖5 在戴爾服務器CMOS中設置DRAC卡IP地址

二是進入到服務器的CMOS中，對DRAC卡的IP地址進行設置，可以把圖1中位于Vlan 2或Vlan 12中的幾臺戴爾服務器的IP地址設置成相互間不一樣的地址，也可以把它們配置成為172網(wǎng)段的IP地址，這樣就可以通過公司的網(wǎng)絡，遠程對各個戴爾服務器進行簡單的管理和配置。如圖5所示，是在CMOS中設置DRAC卡IP地址的界面。

原文鏈接：http://network.51cto.com/art/201204/330090.htm