某企业网络有各类电脑90多台,通过3M电信光纤上网,使用192.168.1.2-192.168.1.254网段。近一段时间很多同事向网管反应上WEB速度非常慢。
首先查看路由器的工作状态及网络流量。CPU利用率低于6%,NAT会话数不超过1000,WAN口流量在400K-2.8M之间波动,查看路由器的LAN口信息,没有发现有丢帧,CRC校验也无报错,段时间内刷新接口信息,发现接口广播报文比较多。
必须做抓包分析,通过ethereal抓包分析,发现网络中ARP报文比较多,发送ARP广播包的IP有两个。其中一个IP为192.168.0.239的机器(MAC 00-10-4d-31-31-1a)不停地给192.168.0.254发送广播,每秒钟15个。第二个IP为192.168.1.200,不停地发送广播报文。
经网管确认,没有192.168.0.X网段的设备,核对设备登记表,没有发现MAC为00-10-4d-31-31-1a的设备记录。192.168.1.200的电脑为财务在使用,网管称电脑上安装了瑞X公司的防火墙,启用了ARP保护功能。于是建议网管将192.168.1.200上的ARP防护功能关闭,关闭后,192.168.1.200的异常广播包消失。
解决了192.168.1.200的问题,剩下还要查找192.168.0.239这台机器。由于单凭IP地址和MAC地址无法直接查找到该设备的位置,必须确认该数据包是病毒发送的假数据包,还是有电脑在网络中,而网管不知道。于是将笔记本电脑的IP改为192.168.0.100,ping 192.168.0.239,结果能ping通,证实192.168.0.239这台机器确实存在。
这台机器到底是谁在用,放在哪里呢?只能通过网卡型号去查找了,因为常用的网卡就那几个品牌,必须找出配置该IP的网卡的型号,于是到google,输入“nic 00-10-4d”,发现是出现的信息中大部分是和NETGEAR有关的,该设备应该为netgear公司生产。
由于该公司目前仍有使用netgear的交换机,初步判断192.168.0.239是一台netgear交换机的的管理IP,在浏览器中输入http://192.168.0.239,回车,出现netgear交换机的登陆界面(型号:GS724T)。通过默认的密码很快进入设备管理界面,发现交换机的网关为192.168.0.254。发广播包的问题就在于此。此外发现有关IP设置的选项只有两个,DHCP自动获取或手工设置,不能不设置IP地址(晕死!)
为避免交换机管理IP自动获取,增加日后管理和维护的麻烦。手工设置比较好,于是手工设置IP,结果发现设置完IP地址后,必须输入网关地址,否则系统不能提交。于是更改为192.168.1.239,网关为192.168.1.1。
再次抓包分析,发现交换机的网管IP 192.168.1.239不再发包,网络中亦没有其他异常ARP广播。
解决上述两个ARP广播源后,路由器LAN口广播包报文恢复为正常状态,一直困扰网管的问题得到解决。
思考:
1、目前很多PC上安装的防火墙都有ARP防护功能,之前在某学校网站看到提示不要安装某公司的ARP防火墙,理由是该软件大量发送广播包,造成网络震荡。
2、如果网管型交换机配置了缺省网关后,如果该网关不存在,交换机将持续发送广播报文,对网络造成影响(第一次发现NETGEAR的产品还会这样捣乱)
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
