【吐血推薦】網絡醫(yī)院的故事----連載(ZT)轉載結束，共35篇

lgle168

佩服，老大級的人物！繼續(xù).......

ker

支持ing!!!!!!!

mazu

[故事之十]5類線Cat5勉強運行千兆以太網
       
[癥狀]某期貨交易所，網絡改造為千兆以太網后只有1個網段能正常工作，其它12個網段工作均不正常，數據時有出錯，連接經常會莫名其妙地中斷。每個網段用千兆以太網連接起來，下掛的網段均是100Mbps用戶端口。起初懷疑是系統(tǒng)運行的平臺或者軟件有問題，經過多次重新安裝和設置仍不能解決問題，而且同樣的系統(tǒng)在其它地方的交易網絡中應用是正常的。因而轉向懷疑是否是布線系統(tǒng)的問題，比如電纜不合格或是有干擾信號串入以及接地系統(tǒng)等方面的問題。每個網段均利用升級前鋪設的電纜系統(tǒng)連接起來，未作大的更改。由于計算機網絡的布線系統(tǒng)采用的是標準的5類線方案，根據千兆網的設計標準，采用4對線全雙工工作，5電平編碼，占用的信號物理帶寬正好是100MHz，故5類線應該是完全可以勝任的，況且一般情況下期貨交易網絡現有的流量水平遠不能達到滿載運行的程度，流量很低。重新用專業(yè)電纜測試儀作過嚴格的認證測試，顯示參數合格并且不存在脈沖噪聲干擾或接地方面的問題。
        所謂能工作的那一個網段是因為行情和交易服務器都安裝在該網段中，本網段內的工作站與服務器除了個別站點外都可以上網連接工作，進行行情瀏覽和交易割接。其它網段內的服務器對內連接時除了個別工作站外也基本正常，共同特點都是不能與行情服務器和交易服務器所在網段實現良好連接。系統(tǒng)升級時原布線電纜全部保留不動，經過測試也全部合格，不知原因何在？
       
[診斷過程]不能連接的因素很多，象網絡硬件設備的功能設置問題、布線系統(tǒng)的問題、操作平臺的安裝設置問題、應用軟件的安裝設置和軟件沖突方面的問題等等。從用戶所反映的情況分析，各個網段內的站點基本上全部能工作，網段之間的連接比較困難，可以初步確定故障出現在網絡設備設置和布線系統(tǒng)性能等方面的可能性大一些。
        將網絡測試儀F68X接入能連接服務器和交易服務器的網段(100Mbps)，觀察網絡流量5分鐘平均為12％，FCS幀校驗錯誤幀約11％，碰撞率1.7％(正常范圍)。顯然FCS幀校驗錯誤比例偏高，查看錯誤源，顯示為其它網段站點產生FCS幀錯誤的比例占錯誤幀總量的97%。各網段的錯誤幀比例差別不大。由于有大量的FCS幀普遍存在，所以各網段內的各站點同時出問題的可能性很小，用F683向各網段內的服務器或站點發(fā)送流量，FCS幀錯誤隨流量增高而迅速增加，各站點或服務器反映基本一致。啟動網絡測試儀的ICMP Ping功能，統(tǒng)計對各網段內選定的站點和交換機、路由器等的測試結果，表現基本一致，即：ICMP Ping斷層約96%，ICMP Monitor顯示目標不可達占91％。改在其它網段內作同樣內容的測試，對行情服務器和交易服務器所在網段的路由器和交換機結果基本與前項測試相同。所不同的一點是，對其它網段內的交換機和路由器等網絡設備的測試結果顯示是正常的，數值為：ICMP Ping斷層為0％，全部可以通達，ICMP Monitor目標不可達為0％�；�本可以肯定，故障出在行情服務器網段與其它網段的連接鏈路上。用FLUKE公司的DSP-4000電纜認證測試儀選用TIA Cat5n Channel UTP100標準測試，顯示長度為25米，鏈路測試不合格。其中，回波損耗RL和衰減串擾比ACR等參數超差。改用同樣長度的一根超5類線Cat5e代用之，啟動系統(tǒng)，除了各網段內個別站點外，整個網絡恢復正常。監(jiān)測高峰時的流量，服務器所在網段最高時平均流量為3％，可見故障時12％的流量主要都來自大量的重發(fā)幀流量。
       
[診斷評點]千兆以太網可以滿足網絡用戶對大帶寬應用的“貪婪”胃口，無疑是網絡下一步的重點發(fā)展方向。千兆以太網的設計者在選用電纜類型時對5類線Cat5已經存在的應用規(guī)�？紤]比較多，所以選擇的物理帶寬為100MHz。這樣，原則上5類線是可以運行千兆以太網的。但實際的統(tǒng)計結果表明，仍有1％～5％的用戶不能上網或連接出現斷續(xù)和困難。也就是說，千兆以太網對5類線的參數要求更嚴格一些。只要用戶對5類線布線系統(tǒng)進行過嚴格的認證測試，可以保證絕大多數的站點是可以聯網工作的。少數站點因為某些參數余量小可能有上網困難的現象。影響比較大的參數有綜合近端串擾PS NEXT、綜合遠端串擾PS FEXT、等效遠端串擾ELFEXT、綜合等效遠端串擾PS ELFEXT、回波損耗RL、衰減串擾比ACR等。此時需要對5類線進行Cat5n標準測試，該標準是專為用5類線運行千兆以太網的用戶準備的，如果依循該標準測試都合格，則可以放心地用5類線系統(tǒng)運行千兆以太網。新的Cat5n標準中，回波損耗對系統(tǒng)的影響比較大，并且，由于電纜匹配方面的阻抗不連續(xù)問題，越短的電纜鏈路反而越容易出問題。本例中，由于電纜長度為25米，雖然衰減串擾比ACR參數也不合格，但，回波損耗引起本故障的可能性要大些。
       
[診斷建議]對5類線的認證測試可以適當考慮選用Cat5n標準進行測試，這樣可保運行千兆以太網網時不出問題。如果選用超5類線Cat5e進行布線，則一般不會有不能運行千兆以太網之虞。對用Cat5n標準診斷出來有問題的5類線鏈路，為了以最小的成本換來網絡性能的提高，一個最簡單的辦法就是用超5類線Cat5e代換參數不良的個別鏈路。注意，聯結模塊最好一并更換，以保證鏈路的安裝質量。

mazu

[故事之十]防火墻設置錯誤，合法用戶進入受限

        [癥狀]今天的“病人”是某市社會保險局，昨天下午全局工作人員加班，配合網絡管理部門于18:30安裝好了一套新的防火墻系統(tǒng)，重新啟動整個保險網絡系統(tǒng)，反應良好，防火墻工作也很正常。但好景不長，今天上班時，許多Intranet內部有權用戶就打電話反映在查詢和操作保險資料時出現無法進行數據調用和修改的故障現象，此時屏幕提示登錄者為“非法用戶”；系統(tǒng)管理員同時還發(fā)現只有從防火墻處可以訪問網絡并修改數據。同時，一個有趣的現象卻是，Internet外部普通用戶在查詢各種用戶資料時卻沒有問題，他們無論從何處都可以順利地訪問Web服務器。他們投訴的對象主要是“業(yè)務部門”：“為何都一天了，還在借口計算機網絡故障不受理業(yè)務，到底能不能弄好，什么時候能弄好”。
由于Intranet主要是供內部系統(tǒng)業(yè)務機構的各級有權網絡用戶使用，所以系統(tǒng)的許多正常功能無法正常啟用，致使員工和業(yè)務對象反響都很強烈。
        該社會保險局的網絡結構比較復雜，含業(yè)務專用網，OA網，Intranet網和Internet網等。其中，Intranet設計為內部業(yè)務網，主要進行業(yè)務服務。Internet主要是為電話接入訪問的用戶提供服務， OA網通過LAN內的以太網交換機同Web服務器實現聯結。無論是Intranet用戶還是Internet用戶
均可以在網上申報和查詢資料。業(yè)務數據的安全設計為雙Web服務器，Internet用戶和Intranet用戶各用一個。Intranet的Web服務器兼有備份數據的功能，兩個Web服務器互聯，之間的業(yè)務數據同時更新。Internet用戶只能瀏覽、查詢數據并可以進行網上申報等各種服務，不能更改數據。對Intranet內部用戶實行有權訪問和申報、數據修改特權限制等體制。局內的OA網用戶可以象Internet用戶那樣隨時訪問和查詢Internet的Web數據服務器，其中設置了部分有權用戶，他們可以訪問Intranet業(yè)務網的Web服務器。安裝的防火墻對IP包進行過濾，只允許合法IP用戶進入。從“病人”傳真過來的網絡結構圖看，Intranet的用戶用PSTN公用電話系統(tǒng)、DDN數據專線將各地、縣、區(qū)的業(yè)務網絡節(jié)點聯結起來， 使用者都是地點固定的內部用戶(員工)。
       
[診斷過程]顯然，故障現象與昨天新安裝的防火墻系統(tǒng)有很大關系。將網絡測試儀F683接入服務器所在網段，啟動網段搜索功能，可以發(fā)現Internet用戶的Web服務器，但不能發(fā)現Intranet的Web服務器。去掉防火墻，則可以搜索到該服務器。說明確實是防火墻的問題。但昨天安裝防火墻時整個系統(tǒng)是正常的，所以查找故障的焦點要放在安裝防火墻以后有無更改過防火墻參數。此即故障排除經驗中的所謂“動則有過”故障查找原則。如果能弄清網管人員都動過哪些參數和設置，查找故障的工作會便捷得多。經常讓人感到遺憾且奇怪的是，多數維護管理人員都不會承認更動過網絡的任何設置，這次也同以往一樣。
用網絡測試儀連續(xù)作ICMP類型PING測試發(fā)現，Web服務器是存在的，且反應率為百分之百。說明Web服務器在網絡上且可以正常工作。同時用網絡一點通One Touch選擇Web服務器的IP地址為目標地址發(fā)送流量，啟動網絡測試儀的協(xié)議分析功能，發(fā)現數據幀指向防火墻以后就沒有任何反應了：任何回應數據幀都未出現。將網絡助理One Touch的IP地址設置成任何一個已經存在的有權用戶的IP地址，然后對Web服務器發(fā)送流量，這時網絡測試儀可以觀察到防火墻有回應數據幀出現。這說明防火墻對合法IP地址的有權用戶是有反應的，但一般返回的數據幀是非法用戶的提示信息。注意到前述現象中提到過只有防火墻能訪問Web服務器，我們就將網絡測試儀的MAC地址改為與防火墻相同的MAC地址，用網絡測試儀假冒防火墻進入網絡，啟動網段搜索時則可以看到久別了的Web服務器。
        以上現象說明，該防火墻的功能比較強，除了能過濾IP地址外，還能對各站點的MAC地址進行過濾，以防止“擁有合法IP地址的非法用戶”進入系統(tǒng)，是一個比較好的“看門人”。但讓人疑惑的是昨天安裝防火墻時，網絡管理人員只啟動了IP包過濾功能，并未啟動MAC地址鑒別功能，那么，MAC地址濾波功能是誰啟動的呢？答案是：不得而知。查看防火墻幫助文件，按提示撳下Format下拉式中的MAC地址過濾菜單，關閉MAC地址過濾功能，系統(tǒng)隨即恢復正常。
       
[診斷評點]不少防火墻是靠對IP地址進行過濾和用戶密碼識別等方法來鑒別有權用戶及其合法性等級的，一般不對網卡的MAC地址進行識別。安全性要求高的用戶則需要對用戶的MAC地址進行鑒別，以便阻止獲悉了密碼的非法用戶模仿IP地址(用戶可以在2分鐘內隨意更改工作站的IP地址)訪問網絡，部分防火墻和網管系統(tǒng)具有類似功能。我們知道，一般網卡的MAC地址是按制造商的編碼設置的，從原理上講世界上沒有兩塊具有完全相同MAC地址的網卡，而多數網卡地址在制造時就永久地固定在ROM中，用戶是不能更改的。對于具有固定用戶的Intranet網絡，具有MAC地址過濾功能的防火墻是非常有效的，它可以阻止對網絡的各種試探性進攻。對于Internet用戶，這一功能不能啟用，所以需要采用兩臺Web服務器，一個用于查詢和申報，另一個作備份，并可以按有權體系修改相應數據�？梢钥隙�，系統(tǒng)管理人員昨天在防火墻安裝完成以后可能出于好奇或是其它原因擅自將防火墻的MAC識別功能按鈕有意無意地按下了，從而啟動了MAC識別功能，致使今天整個系統(tǒng)工作不暢。
       
[診斷建議]對Intranet網絡固定有權用戶和部分OA網絡固定有權用戶設置MAC地址鑒別功能對于系統(tǒng)安全和阻止非法用戶、惡意用戶的進攻是有效的。這類用戶多數來自于網絡內部的成員，對加權識別設置和安全口令有一定了解，容易鉆空子。設置MAC識別功能后，除非是在對應的那臺唯一的機器上進行操作，否則是無法進入網絡的。我們向該社會保險局建議將防火墻安裝分兩步走：先將系統(tǒng)內的網絡成員的所有網卡的MAC地址備份，在備份工作完成以前，暫時不啟動MAC地址鑒別功能；第二步，啟動MAC地址識別功能，以提高系統(tǒng)的可靠性。稍微麻煩的是，有權用戶在更換網卡時必須向防火墻管理員申請重新設置合法的MAC地址檔案才能進網工作。這樣，網絡固定有權用戶的任何成員在需要更改機器的IP地址以及更換網卡或新機器時都必須向系統(tǒng)管理原申報備案后才能進行。

flag

好像是電腦報上連載過。

meagic

繼續(xù)呀哥們，我們都愛你！

ahjet

美女,這個帖子真的不錯,謝謝啊!
能不能給我發(fā)一份到我的Mail?
ahjet@163.com
緣分哪,謝謝啊~~~

purplefox

GOOD ! UP!

清透水瓶

[quote]原帖由 "flag"]好像是電腦報上連載過。[/quote 發(fā)表：


是不是連載過并不重要，最重要的是貼在這里分享給大家

一起提高一起進步

      

我愛臭豆腐

[quote]原帖由 "flag"]好像是電腦報上連載過。[/quote 發(fā)表：
這個帖子上面已經在開頭的地方寫了是轉載。如果在不侵犯人家的版權的情況下我們也希望能夠轉載別人和別人轉載我們的技術文檔。我們歡迎大家交流。并且我們更希望大家多寫一些原創(chuàng)的作品出來。