【吐血推荐】网络医院的故事----连载(ZT)转载结束，共35篇

lgle168

佩服，老大级的人物！继续.......

ker

支持ing!!!!!!!

mazu

[故事之十]5类线Cat5勉强运行千兆以太网
       
[症状]某期货交易所，网络改造为千兆以太网后只有1个网段能正常工作，其它12个网段工作均不正常，数据时有出错，连接经常会莫名其妙地中断。每个网段用千兆以太网连接起来，下挂的网段均是100Mbps用户端口。起初怀疑是系统运行的平台或者软件有问题，经过多次重新安装和设置仍不能解决问题，而且同样的系统在其它地方的交易网络中应用是正常的。因而转向怀疑是否是布线系统的问题，比如电缆不合格或是有干扰信号串入以及接地系统等方面的问题。每个网段均利用升级前铺设的电缆系统连接起来，未作大的更改。由于计算机网络的布线系统采用的是标准的5类线方案，根据千兆网的设计标准，采用4对线全双工工作，5电平编码，占用的信号物理带宽正好是100MHz，故5类线应该是完全可以胜任的，况且一般情况下期货交易网络现有的流量水平远不能达到满载运行的程度，流量很低。重新用专业电缆测试仪作过严格的认证测试，显示参数合格并且不存在脉冲噪声干扰或接地方面的问题。
        所谓能工作的那一个网段是因为行情和交易服务器都安装在该网段中，本网段内的工作站与服务器除了个别站点外都可以上网连接工作，进行行情浏览和交易割接。其它网段内的服务器对内连接时除了个别工作站外也基本正常，共同特点都是不能与行情服务器和交易服务器所在网段实现良好连接。系统升级时原布线电缆全部保留不动，经过测试也全部合格，不知原因何在？
       
[诊断过程]不能连接的因素很多，象网络硬件设备的功能设置问题、布线系统的问题、操作平台的安装设置问题、应用软件的安装设置和软件冲突方面的问题等等。从用户所反映的情况分析，各个网段内的站点基本上全部能工作，网段之间的连接比较困难，可以初步确定故障出现在网络设备设置和布线系统性能等方面的可能性大一些。
        将网络测试仪F68X接入能连接服务器和交易服务器的网段(100Mbps)，观察网络流量5分钟平均为12％，FCS帧校验错误帧约11％，碰撞率1.7％(正常范围)。显然FCS帧校验错误比例偏高，查看错误源，显示为其它网段站点产生FCS帧错误的比例占错误帧总量的97%。各网段的错误帧比例差别不大。由于有大量的FCS帧普遍存在，所以各网段内的各站点同时出问题的可能性很小，用F683向各网段内的服务器或站点发送流量，FCS帧错误随流量增高而迅速增加，各站点或服务器反映基本一致。启动网络测试仪的ICMP Ping功能，统计对各网段内选定的站点和交换机、路由器等的测试结果，表现基本一致，即：ICMP Ping断层约96%，ICMP Monitor显示目标不可达占91％。改在其它网段内作同样内容的测试，对行情服务器和交易服务器所在网段的路由器和交换机结果基本与前项测试相同。所不同的一点是，对其它网段内的交换机和路由器等网络设备的测试结果显示是正常的，数值为：ICMP Ping断层为0％，全部可以通达，ICMP Monitor目标不可达为0％。基本可以肯定，故障出在行情服务器网段与其它网段的连接链路上。用FLUKE公司的DSP-4000电缆认证测试仪选用TIA Cat5n Channel UTP100标准测试，显示长度为25米，链路测试不合格。其中，回波损耗RL和衰减串扰比ACR等参数超差。改用同样长度的一根超5类线Cat5e代用之，启动系统，除了各网段内个别站点外，整个网络恢复正常。监测高峰时的流量，服务器所在网段最高时平均流量为3％，可见故障时12％的流量主要都来自大量的重发帧流量。
       
[诊断评点]千兆以太网可以满足网络用户对大带宽应用的“贪婪”胃口，无疑是网络下一步的重点发展方向。千兆以太网的设计者在选用电缆类型时对5类线Cat5已经存在的应用规模考虑比较多，所以选择的物理带宽为100MHz。这样，原则上5类线是可以运行千兆以太网的。但实际的统计结果表明，仍有1％～5％的用户不能上网或连接出现断续和困难。也就是说，千兆以太网对5类线的参数要求更严格一些。只要用户对5类线布线系统进行过严格的认证测试，可以保证绝大多数的站点是可以联网工作的。少数站点因为某些参数余量小可能有上网困难的现象。影响比较大的参数有综合近端串扰PS NEXT、综合远端串扰PS FEXT、等效远端串扰ELFEXT、综合等效远端串扰PS ELFEXT、回波损耗RL、衰减串扰比ACR等。此时需要对5类线进行Cat5n标准测试，该标准是专为用5类线运行千兆以太网的用户准备的，如果依循该标准测试都合格，则可以放心地用5类线系统运行千兆以太网。新的Cat5n标准中，回波损耗对系统的影响比较大，并且，由于电缆匹配方面的阻抗不连续问题，越短的电缆链路反而越容易出问题。本例中，由于电缆长度为25米，虽然衰减串扰比ACR参数也不合格，但，回波损耗引起本故障的可能性要大些。
       
[诊断建议]对5类线的认证测试可以适当考虑选用Cat5n标准进行测试，这样可保运行千兆以太网网时不出问题。如果选用超5类线Cat5e进行布线，则一般不会有不能运行千兆以太网之虞。对用Cat5n标准诊断出来有问题的5类线链路，为了以最小的成本换来网络性能的提高，一个最简单的办法就是用超5类线Cat5e代换参数不良的个别链路。注意，联结模块最好一并更换，以保证链路的安装质量。

mazu

[故事之十]防火墙设置错误，合法用户进入受限

        [症状]今天的“病人”是某市社会保险局，昨天下午全局工作人员加班，配合网络管理部门于18:30安装好了一套新的防火墙系统，重新启动整个保险网络系统，反应良好，防火墙工作也很正常。但好景不长，今天上班时，许多Intranet内部有权用户就打电话反映在查询和操作保险资料时出现无法进行数据调用和修改的故障现象，此时屏幕提示登录者为“非法用户”；系统管理员同时还发现只有从防火墙处可以访问网络并修改数据。同时，一个有趣的现象却是，Internet外部普通用户在查询各种用户资料时却没有问题，他们无论从何处都可以顺利地访问Web服务器。他们投诉的对象主要是“业务部门”：“为何都一天了，还在借口计算机网络故障不受理业务，到底能不能弄好，什么时候能弄好”。
由于Intranet主要是供内部系统业务机构的各级有权网络用户使用，所以系统的许多正常功能无法正常启用，致使员工和业务对象反响都很强烈。
        该社会保险局的网络结构比较复杂，含业务专用网，OA网，Intranet网和Internet网等。其中，Intranet设计为内部业务网，主要进行业务服务。Internet主要是为电话接入访问的用户提供服务， OA网通过LAN内的以太网交换机同Web服务器实现联结。无论是Intranet用户还是Internet用户
均可以在网上申报和查询资料。业务数据的安全设计为双Web服务器，Internet用户和Intranet用户各用一个。Intranet的Web服务器兼有备份数据的功能，两个Web服务器互联，之间的业务数据同时更新。Internet用户只能浏览、查询数据并可以进行网上申报等各种服务，不能更改数据。对Intranet内部用户实行有权访问和申报、数据修改特权限制等体制。局内的OA网用户可以象Internet用户那样随时访问和查询Internet的Web数据服务器，其中设置了部分有权用户，他们可以访问Intranet业务网的Web服务器。安装的防火墙对IP包进行过滤，只允许合法IP用户进入。从“病人”传真过来的网络结构图看，Intranet的用户用PSTN公用电话系统、DDN数据专线将各地、县、区的业务网络节点联结起来， 使用者都是地点固定的内部用户(员工)。
       
[诊断过程]显然，故障现象与昨天新安装的防火墙系统有很大关系。将网络测试仪F683接入服务器所在网段，启动网段搜索功能，可以发现Internet用户的Web服务器，但不能发现Intranet的Web服务器。去掉防火墙，则可以搜索到该服务器。说明确实是防火墙的问题。但昨天安装防火墙时整个系统是正常的，所以查找故障的焦点要放在安装防火墙以后有无更改过防火墙参数。此即故障排除经验中的所谓“动则有过”故障查找原则。如果能弄清网管人员都动过哪些参数和设置，查找故障的工作会便捷得多。经常让人感到遗憾且奇怪的是，多数维护管理人员都不会承认更动过网络的任何设置，这次也同以往一样。
用网络测试仪连续作ICMP类型PING测试发现，Web服务器是存在的，且反应率为百分之百。说明Web服务器在网络上且可以正常工作。同时用网络一点通One Touch选择Web服务器的IP地址为目标地址发送流量，启动网络测试仪的协议分析功能，发现数据帧指向防火墙以后就没有任何反应了：任何回应数据帧都未出现。将网络助理One Touch的IP地址设置成任何一个已经存在的有权用户的IP地址，然后对Web服务器发送流量，这时网络测试仪可以观察到防火墙有回应数据帧出现。这说明防火墙对合法IP地址的有权用户是有反应的，但一般返回的数据帧是非法用户的提示信息。注意到前述现象中提到过只有防火墙能访问Web服务器，我们就将网络测试仪的MAC地址改为与防火墙相同的MAC地址，用网络测试仪假冒防火墙进入网络，启动网段搜索时则可以看到久别了的Web服务器。
        以上现象说明，该防火墙的功能比较强，除了能过滤IP地址外，还能对各站点的MAC地址进行过滤，以防止“拥有合法IP地址的非法用户”进入系统，是一个比较好的“看门人”。但让人疑惑的是昨天安装防火墙时，网络管理人员只启动了IP包过滤功能，并未启动MAC地址鉴别功能，那么，MAC地址滤波功能是谁启动的呢？答案是：不得而知。查看防火墙帮助文件，按提示揿下Format下拉式中的MAC地址过滤菜单，关闭MAC地址过滤功能，系统随即恢复正常。
       
[诊断评点]不少防火墙是靠对IP地址进行过滤和用户密码识别等方法来鉴别有权用户及其合法性等级的，一般不对网卡的MAC地址进行识别。安全性要求高的用户则需要对用户的MAC地址进行鉴别，以便阻止获悉了密码的非法用户模仿IP地址(用户可以在2分钟内随意更改工作站的IP地址)访问网络，部分防火墙和网管系统具有类似功能。我们知道，一般网卡的MAC地址是按制造商的编码设置的，从原理上讲世界上没有两块具有完全相同MAC地址的网卡，而多数网卡地址在制造时就永久地固定在ROM中，用户是不能更改的。对于具有固定用户的Intranet网络，具有MAC地址过滤功能的防火墙是非常有效的，它可以阻止对网络的各种试探性进攻。对于Internet用户，这一功能不能启用，所以需要采用两台Web服务器，一个用于查询和申报，另一个作备份，并可以按有权体系修改相应数据。可以肯定，系统管理人员昨天在防火墙安装完成以后可能出于好奇或是其它原因擅自将防火墙的MAC识别功能按钮有意无意地按下了，从而启动了MAC识别功能，致使今天整个系统工作不畅。
       
[诊断建议]对Intranet网络固定有权用户和部分OA网络固定有权用户设置MAC地址鉴别功能对于系统安全和阻止非法用户、恶意用户的进攻是有效的。这类用户多数来自于网络内部的成员，对加权识别设置和安全口令有一定了解，容易钻空子。设置MAC识别功能后，除非是在对应的那台唯一的机器上进行操作，否则是无法进入网络的。我们向该社会保险局建议将防火墙安装分两步走：先将系统内的网络成员的所有网卡的MAC地址备份，在备份工作完成以前，暂时不启动MAC地址鉴别功能；第二步，启动MAC地址识别功能，以提高系统的可靠性。稍微麻烦的是，有权用户在更换网卡时必须向防火墙管理员申请重新设置合法的MAC地址档案才能进网工作。这样，网络固定有权用户的任何成员在需要更改机器的IP地址以及更换网卡或新机器时都必须向系统管理原申报备案后才能进行。

flag

好像是电脑报上连载过。

meagic

继续呀哥们，我们都爱你！

ahjet

美女,这个帖子真的不错,谢谢啊!
能不能给我发一份到我的Mail?
ahjet@163.com
缘分哪,谢谢啊~~~

purplefox

GOOD ! UP!

清透水瓶

[quote]原帖由 "flag"]好像是电脑报上连载过。[/quote 发表：


是不是连载过并不重要，最重要的是贴在这里分享给大家

一起提高一起进步

      

我爱臭豆腐

[quote]原帖由 "flag"]好像是电脑报上连载过。[/quote 发表：
这个帖子上面已经在开头的地方写了是转载。如果在不侵犯人家的版权的情况下我们也希望能够转载别人和别人转载我们的技术文档。我们欢迎大家交流。并且我们更希望大家多写一些原创的作品出来。