gyn

Win32下的Perl,无用的select,停滞的Tk,结束吧....

一次奇怪的网络瘫痪事件的始末

   2006年3月31日上午8点起,陆续有人通知上不了网,一一解决。
   中午12点10分,新闻部的采编系统瘫痪,大约有20台电脑无法进入采编系统,也无法上网。经检查,无法ping通网关。于是停用网卡,又重新启用,无效。更改ip地址,恢复正常。后发现重新启动也可回复正常。由此推断,问题可能出在交换机上,于是将连接新闻部的一个接入层交换机华为2403重启,为保险起见也重启了核心交换机华为3526E。20台电脑均恢复正常。
   以为就此一切恢复,但事情并未向想象的方向发展。20分钟后,故障重新出现,并在1小时之内扩展到了整个大楼和另外一幢大楼的某些楼层,大约波及150台左右电脑。
   既然问题的原因并非交换机,于是将对象锁定于isa2004防火墙上。首先立即扫描计算机清楚病毒,但未发现一个病毒。重启防火墙,仍然没用。查看防火墙日志,发现一个非法ip的欺骗攻击,还有一些外网的全端口扫描,没放在心上。
   由此开始,陷入迷茫中。4点左右,经过冷静分析,发现一个重要线索,所有问题计算机都处于同一网段中。回想isa2004中的记录,很明显,该网段有电脑在不断抢占ip地址,产生大量ip冲突,导致网络瘫痪。
   于是立即针对平时出问题较多的几台电脑,进行杀毒。5点下班,网络回复正常,这更坚定了我的判断,因为下班后那台罪魁祸首定是被关闭了,ip冲突结束。但找不到那台电脑,问题依然存在。
   周末休息,看来只有等到星期一了。
   周六晚在网上请教了几个朋友,众说纷纭。后来有一人的说,可以查看一下交换机日志.....于是按照所讲方法查看交换机。令人感到无比高兴的是,日志里显示了无数的collision,经分析断定问题出在e0/2中一台mac地址是00e04c4596c1的电脑上。查看arp,发现该mac地址相关的ip地址一直在不断地变换。问题根源找到,可以安心睡觉了。
   周一上午一上班,立即排查e0/2口的病毒网段电脑的mac地址,很快确定了是一台广告部的电脑。将其断线。现在网络恢复正常。

posted on 2006-04-03 15:49 gyn_tadao 阅读(563) 评论(1)  编辑 收藏 引用 所属分类: cisco

评论

# re: 一次奇怪的网络瘫痪事件的始末 2006-04-12 16:12 bx83

谢谢分享。很好。  回复  更多评论   

只有注册用户登录后才能发表评论。
<2008年12月>
30123456
78910111213
14151617181920
21222324252627
28293031123
45678910

导航

统计

常用链接

留言簿(15)

随笔分类(126)

随笔档案(108)

相册

搜索

最新评论

阅读排行榜

评论排行榜