案例一:用戶主機定位
星期一早上,網管員上班后接到很多用戶投訴上不了網�。網管員檢測路由其端口��,發覺帶寬擁塞。
由于沒有廣域網流量監測工具�����,又沒有路由器的登陸權限����,無法知道在廣域網上的流量類別和數據來源,只好在路由器前100兆口作流量分析�����,這需要通過設置交換機鏡像口�。通過這個方法,他發覺有多個不知名的IP源地址�����,從一個MAC向外發包����。初步估計是這臺機器中了病毒�。
但如何定位來源呢?由于這個網管員手上沒有每一個員工網卡的MAC地址,它選用了隔離法��,從核心交換機���,一個一個的把下層交換機拔掉�����。這種方法�,比較快速但對用戶的影響比較大���,在診斷的過程中����,導致很多正常用戶也受了影響;在斷網的情況下會引起更多用戶的投訴。如果能登陸到交換機的控制臺,通過找出交換機端口的用戶地址表�����,便可找出中毒的MAC地址的位置。
一些智能的管理平臺/工具(如CiscoWork)可以提供一些幫助�,但是福祿克網絡的OPV�����、ES網絡通等,更可以提供用戶交換路徑跟蹤���,直接報告可疑MAC地址連接的最近交換機端口。如果沒有接入網交換機管理臺的權限,那連鏡像端口的能力都沒有了���。
還有一種辦法是用在線的接口盒(TAP)把一條鏈路的流量分出來����,連接到流量分析儀或協議分析儀,如福祿克網絡的OPV網絡分析儀或ES網絡通���。的OPV網絡分析儀或ES網絡通����。
ES網絡通的TraceSwitchRoute報告
通過以上方法,網管員找到了一條連到中毒機器方向的網線,通過經驗網管員知道用戶大概屬于哪個部門,接下來要找出用戶是誰并進行殺毒���。
為了盡快解決問題,網管員把這臺機器隔離,然后逐個查問相關部門員工,他們的機器是否能上網��。最后查找到這些主機的位置����。這種方法,無需工具,但用戶機器不能上網時����,用戶不一定在座位上��,可能去辦其它的事而延誤了查找工作。所以,這種辦法不一定是最好的���。
一種比較保險的辦法是通過音頻發生器和探頭,進行電纜跟蹤技術來配合上述方法,對連接各主機的網線進行音頻追蹤�����,找出可疑機器的位置�����。由于網卡是帶有終端電阻的,一般使用模擬技術的音頻發生器的音頻信號會被吸收或破壞����,而福祿克網絡公司的智能數字音頻查線儀IntelliTone���,利用創新的數字技術���,可以在這種環境下正常工作�。ES網絡通可以發出數字音頻���,與IntelliTone的探頭配合工作。
