Chinaunix

标题: 公司网络最近老出毛病，高手请进 [打印本页]

---

作者: sophic    时间: 2006-08-26 15:29
标题: 公司网络最近老出毛病，高手请进
最近我们公司局域网经常出毛病，间歇性的与internet连接中断，有时甚至会整个局域网全部中断。
公司是电信的DDN，我们中心大概200-250台计算机，分成4个子网，主交换机是Cisco的吧，有硬件防火墙。
这个毛病快一个月了，与广域网的连接常常一下就中断，严重的时候，各个子网之间也中断，隔一会， 10-30分钟后会恢复。严重影响工作了，经常好好的和服务器的链接就断了,clearcase退出。我们公司网络中心不知道是干什么吃的，查到现在还没有查出原因。
小弟不是网管，详细结构明天问问管理员。
开始怀疑是机器中毒或者bt，emule的影响，应网络中心要求将所有p2p软件都卸载了。也发现了几台被sql注入攻击的机器，现在网络抓包流量很正常。网络中心开始说是交换机上有个光纤接口松了，现在看来不是那么回事。
请教大家乐

--------------------------
今天上午又查看了一下packege，发现有几台机器不停的要求做arp解析，这个有问题吗

----------------------------------
还有就是路由器是可以上网的

[ 本帖最后由 sophic 于 2006-8-28 09:10 编辑 ]

未命名.JPG (194.83 KB, 下载次数: 12)

下载附件

2006-08-28 08:50 上传

---

作者: seven007    时间: 2006-08-26 15:42
说明你们的网络管理不到位

做好网络安全工作是最基本的步骤

就你描述的看不出什么问题

这个要问你们网管

应该网管清楚些吧

---

作者: bingosek    时间: 2006-08-26 19:24
你可以试试不接入任何client，看看路由器能不能上网

---

作者: bqweasd1    时间: 2006-08-26 21:49
现在ARP欺骗很猖獗!

---

作者: clghxq    时间: 2006-08-26 22:09
是不是你的出口防火墙太热？
我以前在一栋大厦里见过这种情况

---

作者: wonderliang    时间: 2006-08-27 02:28
是不是不小心用HUB连成环了？

---

作者: mikbanana    时间: 2006-08-27 10:00
我公司光纤接入一台路由器做nat出去,也出现大概这种情况,时通时断,有时候随便拔一下线路就可以恢复.后来发现是arp病毒影响.

---

作者: an_co    时间: 2006-08-27 14:33
在不能上网的时候，在出口上能和外面的线路通吗？看看出口设备的CPU利用率。分析一下日志信息

---

作者: sophic    时间: 2006-08-28 08:39
谢谢各位，我不是网管只是对这个问题觉得很好奇，请问大家 arp欺骗怎么查

---

作者: sophic    时间: 2006-08-28 14:57
果然是arp欺骗，网关地址会改变，请问大家有什么好办法通过mac地址找到计算机

---

作者: guizi97    时间: 2006-08-28 15:59
在不能上网时，在ms-dos下，用arp -a 命令看是否有其他的mac地址，如果有，而且是台计算机的ip,那台机器肯定有问题。再就是看你交换机的log，这个要找你们的网管了，一般log里会报地址冲突，某个mac地址和很多冲突，就是那个mac地址对应的机器，查mac地址对应的端口的方法，网络上到处都是。祝你好运！

---

作者: sophic    时间: 2006-08-28 20:59
我查出来的mac地址是假的，大家有没有什么好办法找到那台机器

---

作者: sulin515    时间: 2006-09-01 12:41
查MAC应该到二层交换上去查，那里才是IP.mac对的。也是真实的/

---

作者: 我爱臭豆腐    时间: 2006-09-01 12:59
建议你查查你改变ip地址的那个mac 是从那个交换机端口里面出去的.
http://www.cublog.cn/u/12/showart.php?id=48815
我这里写了一段文字是利用nmap 查询lan内的ip和mac. 然后你可以在交换机上面看看他的mac是在那个端口上.我相信很快就能找到那个家伙了.
在cisco上面的命令类似下面的:
ap#show ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.2.32            1   0016.4117.fdc8  ARPA   BVI1
Internet  192.168.2.2             2   0013.7262.7019  ARPA   BVI1
Internet  192.168.2.247           -   000e.d744.bc9f  ARPA   BVI1
ap#
我没有cisco的lan 交换机所以就只好给你我ap上面的显示了.
但是过去在cisco的lan交换机上面查询过. 肯定是没有问题的.可以非常方便的找到你要找到人和机器.:em11:

---

作者: zheng1681112    时间: 2006-09-15 15:39
ARP -S 网关IP 网关MAC
就可以了吧，不过最好的办法还是找到病毒源！

---

作者: proxima888    时间: 2006-09-19 12:45
兄弟平时做好mac地址的记录很重要！

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2