局域網(wǎng)故障維修(局域網(wǎng)故障處理)

前沿拓展：

作為一個(gè)合格的網(wǎng)絡(luò)管理員，相信各種局域網(wǎng)棘手的問(wèn)題，大家都遇到過(guò)，每個(gè)人也都有一套自己的處理方法，歡迎大家一起討論，那些年你所“霍霍”的青春小插曲。

一，私改IP，造成的IP沖突問(wèn)題

問(wèn)題描述：?jiǎn)挝灰恢笔褂玫氖庆o態(tài)IP上網(wǎng)，突然有一天領(lǐng)導(dǎo)發(fā)飆了，說(shuō)自己的電腦上不去網(wǎng)了，大發(fā)雷霆，身為網(wǎng)管的小李，心有余悸，怎么好好的突然上不去網(wǎng)了，別的電腦也都好好的。心想壞了一定是誰(shuí)私設(shè)IP，導(dǎo)致了沖突。該如何查找解決呢？有什么好的辦法？

解決方案：

對(duì)于局域網(wǎng)亂改IP的現(xiàn)象，可以從以下幾個(gè)方面進(jìn)行著手

1對(duì)于簡(jiǎn)單網(wǎng)絡(luò)

結(jié)構(gòu)簡(jiǎn)單只有幾十臺(tái)電腦，未采用網(wǎng)管交換機(jī)的。

首先從行政上進(jìn)行處罰，給員工講明規(guī)則，但對(duì)于我們管理員要從技術(shù)上進(jìn)行杜絕

A可以在路由器上進(jìn)行IP和MAC綁定

首先查看自己電腦的MAC和IP

或者通過(guò)路由器學(xué)習(xí)到的

綁定IP和MAC地址。

B電腦端設(shè)置禁止修改LAN屬性，運(yùn)行，輸入gpedit.msc進(jìn)入組策略編輯界面

按圖選擇：禁止訪(fǎng)問(wèn)LAN連接的屬性

開(kāi)啟

C關(guān)閉服務(wù)，隱藏網(wǎng)絡(luò)圖標(biāo)

或者使用命令，修改注冊(cè)表隱藏

取消隱藏

2.有匯聚交換機(jī)，沒(méi)有三層交換的中小型網(wǎng)絡(luò)

A.劃分VLAN，不同部門(mén)不同VLAN能有效的隔離IP沖突，減小影響范圍，故障定位范圍也縮小，有利于排查。

B.在二層網(wǎng)管交換機(jī)上做IP和MAC綁定，同時(shí)綁定端口號(hào)。私改IP也上不了網(wǎng)

華為命令userbind static ipaddress... macaddress interface Ethernet0/0/1

3.對(duì)于大型網(wǎng)絡(luò)

一般采用上邊的方法外，還有更高端的手法

A.使用審計(jì)行為管理設(shè)備，在防火墻里邊做策略

B.采用軟件的方式，部署域服務(wù)器，客戶(hù)端登錄域服務(wù)器實(shí)現(xiàn)訪(fǎng)問(wèn)控制。

二，私接路由器，造成的dhcp沖突

問(wèn)題描述：小酒店網(wǎng)絡(luò)單一，某天客人反應(yīng)網(wǎng)絡(luò)不通了，上不去網(wǎng)了，去房間看看，有的能上，而有的卻不能。費(fèi)了九牛二虎之力，逐一排查，最后終于找到幕后真兇，竟是一臺(tái)小路由器。作為網(wǎng)絡(luò)管理員的我們對(duì)私接路由器一事深?lèi)和唇^。那么該如何避免呢？

解決方案：當(dāng)然首先從行政上進(jìn)行處罰，給員工講明規(guī)則，但對(duì)于那些不懂技術(shù)的房客，就要從技術(shù)上進(jìn)行杜絕。

1.簡(jiǎn)單的網(wǎng)絡(luò)可以使用靜態(tài)IP,網(wǎng)絡(luò)構(gòu)架要合理。條件具備劃分VLAN，部門(mén)隔離，縮小影響范圍，減小故障排查范圍。

2.使用網(wǎng)管交換機(jī)的DHCP snooping功能

當(dāng)交換機(jī)開(kāi)啟了 DHCPSnooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCPSnooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確保客戶(hù)端從合法的DHCP Server獲取IP地址。

DHCP Snooping配置步驟，以H3C為例：

[H3C]dhcpsnooping //全局使能dhcpsnooping功能

[H3C] interface Ethernet 1/0/4 //進(jìn)入端口E1/0/4

[H3CEthernet1/0/4]dhcpsnooping trust //將端口E1/0/4配置為trust端口

三，私插網(wǎng)線(xiàn)，造成的網(wǎng)絡(luò)回環(huán)

問(wèn)題描述:某小公司，新來(lái)了幾個(gè)員工，要增加幾個(gè)辦公位置，增加網(wǎng)絡(luò)接口和交換設(shè)備。由于沒(méi)有網(wǎng)管，員工自理，多插了一條跳線(xiàn)。造成網(wǎng)絡(luò)回環(huán)，局域網(wǎng)癱瘓。該如何防范這種情況呢。

解決方案：

常規(guī)辦法規(guī)范施工標(biāo)準(zhǔn)，水晶頭嚴(yán)格按照國(guó)標(biāo)施工，線(xiàn)纜做好標(biāo)記，理清線(xiàn)纜順序。

增加能檢查環(huán)路的網(wǎng)管交換機(jī)

1.loopbackdetection 命令監(jiān)測(cè)

loopbackdetection 命令用來(lái)端口環(huán)回監(jiān)測(cè)。

使能loopbackdetection后，端口默認(rèn)每30s發(fā)送偵測(cè)數(shù)據(jù)，當(dāng)偵測(cè)外外部回環(huán)時(shí)，關(guān)閉Access端口。

對(duì)于 Trunk 端口或Hybrid 端口開(kāi)啟loopbackdetection后只做上報(bào)，開(kāi)啟相關(guān)配置可參考命令 loopbackdetection control enable。

華三端口開(kāi)啟

loopbackdetection enable

interface gigabitethernet 0/0/1

[H3CGigabitEthernet0/0/1] loopbackdetection enable

2.STP生成樹(shù)協(xié)議

當(dāng)網(wǎng)絡(luò)中出現(xiàn)環(huán)路時(shí)，該協(xié)議可以采用生成樹(shù)的算法從邏輯上斷開(kāi)其中一條連接，使其成為備份線(xiàn)路。當(dāng)網(wǎng)絡(luò)出現(xiàn)斷路時(shí)，該協(xié)議會(huì)自動(dòng)啟動(dòng)上述備份線(xiàn)路，確保網(wǎng)絡(luò)正常工作。一種用于在網(wǎng)絡(luò)中檢測(cè)環(huán)路并邏輯地阻塞冗余路徑，以確保在任意兩個(gè)節(jié)點(diǎn)之間只存在一條路徑的技術(shù)。為提高可靠性，網(wǎng)絡(luò)中的設(shè)備間常需建立冗余連接。但是以太網(wǎng)的邏輯拓?fù)浣Y(jié)構(gòu)是星型或總線(xiàn)型的，因此鏈路中不允許出現(xiàn)環(huán)路。Spanning Tree 可以解決上述矛盾。

開(kāi)啟生成樹(shù)協(xié)議

stp enable

[H3C] interface GigabitEthernet 1/0/1

[H3CGigabitEthernet1/0/1] stp enable

默認(rèn)開(kāi)啟的是RSTP協(xié)議，相對(duì)于STP協(xié)議收斂更快，可修改。

STP協(xié)議的生效時(shí)間在50s以上，所以不適合應(yīng)用在對(duì)網(wǎng)絡(luò)要求高的場(chǎng)景中。

完，不足之處，還望指教,歡迎大家一起討論！

拓展知識(shí)：