局域網(wǎng)WEB服務(wù)故障一例
網(wǎng)絡(luò)環(huán)境
我們單位的局域網(wǎng)環(huán)境簡(jiǎn)要描述如下:服務(wù)器HP LH3���,運(yùn)行Windows NT4.0+SPK3,通過IIS3.0提供內(nèi)部WEB服務(wù)���,沒有使用DHCP服務(wù)�����,手工配置TCP/ip參數(shù)���。服務(wù)器IP地址198.88.188.1,子網(wǎng)掩碼255.255.255.0����;客戶端微機(jī)運(yùn)行Windows98,IP地址從198.88.188.2往后排�,子網(wǎng)掩碼均為255.255.255.0。各部門的微機(jī)通過雙絞線連到HUB,各個(gè)HUB再通過交換機(jī)(3COM的SuperStackⅡ Switch 1100;3C16950)連到服務(wù)器�。
故障現(xiàn)象
WIN98客戶機(jī)開機(jī)�,登錄NT域(我們?cè)O(shè)定的域名為Moon)�,順利通過驗(yàn)證,但是使用瀏覽器在地址欄中輸入:http://198.88.188.1企圖瀏覽局域網(wǎng)WEB服務(wù)器網(wǎng)頁(yè)時(shí),要求輸入用戶名和密碼(我們?cè)O(shè)定的WEB服務(wù)是答應(yīng)匿名訪問)����,驗(yàn)證域卻成了Device����,輸入合法的用戶口令、超級(jí)用戶口令�����,WEB站點(diǎn)治理者口令均無法通過驗(yàn)證��。但是使用命令:ping 198.88.188.1,卻順利得到應(yīng)答�。
故障診斷
1���、初步估計(jì)是WEB服務(wù)器的用戶訪問權(quán)限被改動(dòng)��,但是經(jīng)過檢查,無論設(shè)匿名訪問還是基本驗(yàn)證�,故障依然�����,從而排除了這一判定;
2�、查看服務(wù)器事件日志�,發(fā)現(xiàn)有一條信息:系統(tǒng)檢測(cè)到網(wǎng)絡(luò)中IP地址198.88.188.1與網(wǎng)絡(luò)硬件地址00:90:04:E2:28:78有沖突���,本機(jī)接口已經(jīng)禁用����,網(wǎng)絡(luò)操作隨時(shí)有中斷的可能。說明網(wǎng)絡(luò)上某臺(tái)設(shè)備的IP地址與服務(wù)器的IP地址有沖突���,懷疑有人修改了某客戶機(jī)的IP地址。把服務(wù)器從交換機(jī)斷開��,在局域網(wǎng)中一臺(tái)IP地址為198.88.188.2的客戶機(jī)上執(zhí)行命令:ping 198.88.88.188.1���,得到回應(yīng)�����,說明網(wǎng)上確實(shí)有臺(tái)IP地址與服務(wù)器一樣的設(shè)備。
3����、執(zhí)行命令:nBTstat -a 198.88.188.1��,卻返回:host not found。ping得通說明兩臺(tái)設(shè)備能夠通過TCP/IP協(xié)議通信�����,因?yàn)樵赪IN98中安裝網(wǎng)卡時(shí)必須在網(wǎng)絡(luò)標(biāo)識(shí)中輸入計(jì)算機(jī)名和工作組名����,假若這臺(tái)與服務(wù)器IP地址沖突的設(shè)備是WIN98客戶機(jī),用nbtstat命令應(yīng)該返回計(jì)算機(jī)名和工作組名�����。據(jù)此判定�����,與服務(wù)器IP地址沖突的設(shè)備不是WIN98客戶機(jī),由此想到���,交換機(jī)也可以設(shè)定IP地址,但是從組網(wǎng)以來�����,我們使用交換機(jī)的默認(rèn)設(shè)置一直工作正常�����,難道有人改動(dòng)了交換機(jī)的IP地址?
4���、斷開交換機(jī)上多余的網(wǎng)線,只留服務(wù)器與IP地址為198.88.188.2的WIN98客戶機(jī)���,故障現(xiàn)象依然存在。斷開服務(wù)器����,只留IP地址為198.88.188.2的WIN98客戶機(jī)連到交換機(jī)上�,執(zhí)行命令:ping 198.88.188.1���,依然得到回應(yīng)�,最終確定故障源在交換機(jī)。
故障分析
查閱交換機(jī)有關(guān)資料,得知交換機(jī)在IP地址設(shè)置方面有如下說明:Each device on your network must have a unique IP address. Allows you to enter a unique IP address for the Switch. Note: If you change the IP address of the Switch, you can no longer access the web interface unless you enter the new IP address in the Location field of your browser. 原來,為了治理�、配置參數(shù)的方便�����,交換機(jī)上運(yùn)行著一個(gè)WEB服務(wù),提供了一個(gè)WEB界面(web interface),我們可以通過瀏覽器來設(shè)置交換機(jī)的參數(shù)�,但是這個(gè)WEB服務(wù)器卻不能匿名訪問��。下表列出了此交換機(jī)的默認(rèn)口令及權(quán)限:
用戶名/口令/訪問權(quán)限
monitor/monitor/可以查看卻不能更改配置參數(shù)
manager/manager/可以訪問�、更改除安全性方面以外的配置參數(shù)
security/security/可以訪問�、更改所有配置參數(shù)
admin/(no passWord)/可以訪問、更改所有配置參數(shù)
網(wǎng)絡(luò)中的每臺(tái)設(shè)備都必須有唯一的IP地址�����,當(dāng)交換機(jī)的IP地址被設(shè)成198.88.188.1后�����,局域網(wǎng)WEB服務(wù)器因?yàn)镮P地址沖突中止了服務(wù)����,我們輸入:http://198.88.188.1訪問的是交換機(jī)上的WEB服務(wù)���。
故障排除
要排除這個(gè)故障����,只要使局域網(wǎng)WEB服務(wù)器與交換機(jī)的IP地址避免重復(fù)即可���,改變交換機(jī)的IP地址有以下兩種方法:
1���、利用交換機(jī)提供的WEB Interface���,在WIN98客戶機(jī)的瀏覽器地址欄中輸入:http://198.88.199.1,輸入系統(tǒng)默認(rèn)的用戶名:admin,口令不輸����,進(jìn)入系統(tǒng)后在IPsetup中可以更改交換機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)路由等�。
2��、利用WIN98里附帶的超級(jí)終端程序登錄交換機(jī),這里面又有兩種方式:
①利用信號(hào)纜將WIN98客戶機(jī)的串口與交換機(jī)的console port直接相連��,新建連接時(shí)選直接連接到串口(波特率建議使用9600)即可����;
②利用雙絞線(RJ45接頭)將WIN98客戶機(jī)與交換機(jī)相連����,新建連接時(shí)選通過TCP/IP(WINSOCK)方式���,輸入交換機(jī)的IP地址��,默認(rèn)端口號(hào)為23即可;
利用上述兩種方法建立連接后�����,利用系統(tǒng)默認(rèn)口令登錄即可根據(jù)系統(tǒng)菜單修改IP配置�。
故障總結(jié)
分析這起故障的起因:對(duì)企業(yè)內(nèi)部局域網(wǎng)的安全問題考慮不周,組網(wǎng)時(shí)對(duì)交換機(jī)的默認(rèn)配置沒做任何修改�,使得了解我們網(wǎng)絡(luò)設(shè)備型號(hào)的人利用交換機(jī)的默認(rèn)口令輕而易舉地修改了交換機(jī)的IP地址�����,造成局域網(wǎng)WEB服務(wù)的一度中止。
改進(jìn)措施:給交換機(jī)設(shè)定一個(gè)在網(wǎng)絡(luò)中唯一的IP地址��,并將交換機(jī)的默認(rèn)登錄口令全部修改�,防止此類事情的再度發(fā)生。
