争怎路由网/杀毒教程/内容

交换机连接出错导致网络崩溃

杀毒教程2024-05-23 阅读
随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

  一、公司网络概况

  公司内网的核心层交换机使用的是Cisco 4507R,在Cisco 4507R上接有多个服务器。内网的接入层交换机使用的是Cisco 3750。内网中IP地址使用的是A类私有地址,其中内网的DHCP服务器IP地址为10.1.1.1/24。客户端都是自动从DHCP服务器获取IP地址、DNS和默认网关地址。内网的结构示意图如图1所示。

交换机

  (图1 公司内网结构图)

  外网的核心层交换机使用的是Cisco 4503。外网的结构相对内网要简单许多,因为只要保证用户能访问互联网就行,在安全性和稳定性方面要求比较低。外网中的接入层交换机使用的是Cisco 2960。IP地址使用的是B类私有地址。外网中只使用了一台服务器,即DHCP服务器,IP地址为172.16.1.1/24。同样,外网中的客户端也是自动从DHCP服务器上获取IP地址、DNS和默认网关地址。外网的网络结构图如图2所示。

交换机

  (图2 公司外网结构图)

  二、故障发生的过程

  公司的内网和外网在客户端接入时,有的办公室要接入网络中的电脑数量,比房间中的信息点数量要多。这样如果不扩展房间中信息点数量,就不能保证所有的电脑都连接到网络中。在这种情况下,我们使用了TP-Link的8端口交换机。交换机的一个端口上连到办公室内网或外网中的一个信息点上,这样交换机上的其它七个端口就可以直接连接到用户的电脑上,有效的扩展了办公室中信息点的数量。

  引起网络崩溃的错误连接发生在同一个办公室中。错误连接的示意图,如图3所示。因为这个办公室中的内网和外网的信息点都很少,所以在用户接入内网和外网时,都使用了一个TP-Link的8端口交换机。发生故障前,办公室一用户发现自己的电脑不能访问互联网,就在不明白网络运行原理的情况下,看到房间中有两个TP-Link交换机,错误的认为是因为这两个小交换机没有连接起来而引起的故障,就找了一根网线,把两个TP-Link交换机连了起来,结果导致公司内网和外网大面积的网络崩溃。

交换机

  (图3 引起网络崩溃的错误连接示意图)

  三、故障发生的现象和故障的排除

  1、故障发生的现象。故障发生后,很多用户打电话说不能访问网络。有的不能访问内网,有的不能访问外网。到故障现场查看不能正常访问的电脑后,发现内网中的电脑获取到的都是外网的IP地址,即172开头的地址。而外网中的用户获取到的都是内网的IP地址,即10开头的地址。所以我们根据故障现象,初步断定是哪个办公室中把内网和外网连接到了一起。

  2、故障的排除。确定了发生故障的原因后,下一步就是找出在那个办公室中把内网和外网连接到了一起。但是,可能引起错误连接的办公室有好几十个,总不能一个一个去排查,这样效率太低。

  后来,我们在机房中,逐一拔掉,连接配线架端口和交换机端口的每根网线,若拔掉某个办公室配线架上的网线后,公司的网络恢复正常,那就是这个办公室中把内网和外网连接到了一起。后来我们用这种办法找到了引起错误连接的那个办公室,和开始的推测完全一样,确实有人私自把内网和外网的两个TP-Link连到了一起。把错误的连接断开后,公司网络全部恢复正常。

  四、总结

  1、DHCP服务器的工作过程。当一台电脑第一次接入到,配置有DHCP服务器的网络中时,客户机上没有任何的IP数据设定,也就是没有IP地址、DNS和默认网关地址,这时它会向网络中发出一个 DHCP Discover数据包。因为客户端还不知道自己属于哪一个网络,所以数据包的源地址为0.0.0.0,而目的地址则为 255.255.255.255 ,向网络进行广播。当客户端将第一个 DHCP Discover数据包送出去之后,在 一秒之内若没有得到响应的话,就会进行第二次 DHCP Discover数据包的广播。若一直得不到响应的情况下,客户端一共会有四次 DHCP Discover数据包广播。

  在DHCP服务器收到DHCP Discover发现报文后会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户机,并根据DHCP Discover数据包中原来携带的客户机MAC地址,向客户机发送一个包含出租的IP地址、DNS和默认网关地址的DHCP Offer提供报文。

  如果网络中有多台DHCP服务器向客户机发来DHCP Offer提供IP地址,则客户机只接受第一个收到的DHCP Offer报文提供的IP地址。

  2、深入分析导致网络崩溃的原因。从以上分析DHCP服务器的工作过程可以看出,当网络中有两个DHCP服务器运行的时候,客户机获取IP地址时,哪个DHCP服务器提供的速度快,客户机就采用那个DHCP服务器的提供的IP地址。所以,当把两个TP-Link交换机连接起来后,内网和外网打通,成了一个整体的大网,并且网路中包含两个DHCP服务器,这样内网中的电脑可能获取到的是外网的IP地址,而外网中的电脑获取到的可能是内网的IP地址。结果就导致了整个内网和外网的混乱,客户机也就不能正常访问网络了。

  3、故障的经验和教训。首先要加强客户端的管理。用户出现不能访问网络的故障,应当及时向网路管理部门上报,而不应私自处置。其次,应当禁止用户对放置在办公室中的TP-Link交换机上的网线私自接入和拔出。

 

Cisco交换机防范ARP欺骗和二层攻击

交换机的简单介绍和故障维修


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。



……

相关阅读