在业务正常办理过程中突然出现部分客户端无法访问部分服务器的情况,奇怪的是同一科室的同一网段有的可以访问服务器,有的不能访问服务器。而且随着时间推移,越来越多的客户端无法访问服务器,为了尽快恢复业务马上进行排查。排查步骤如下:
1、从管理机登录核心交换机,但是输入密码后刚进行交换机配置查看就退出了,对网关进行ping操作可以通。但是在此进行telnet操作发现直接被拒绝。
2、在客户端输入arp -a命令,发现一个奇怪的问题,网关不是交换机品牌设备的mac地址,有地址冲突还是arp欺骗导致的呢,需要进一步排查,arp -a命令使用如图:
3、带上笔记本和console线直接进入机房,直连核心交换机进行操作,根据mac地址查找学习上来的端口,发现是通过聚合端口组学习上来的,如下:
show mac-address-table | in mac地址
4、查找聚合口1连接的设备发现是另外一个机房的核心交换机,直接到另外一个机房进行mac地址查找,如下:
5、发现是从23口学习上来的,进一步查看23口连接的设备,发现对端是一台汇聚交换机,继续根据mac地址进行排查。
6、在汇聚交换机上定位下边还级联一台接入交换机,根据mac地址定位到市接入交换机的17口连接了一台pcserver,将网卡上的网线拔掉以后网络恢复正常。
7、登录引起故障的pcserver,进行网路配置查看,上面并没有配置和网关冲突的地址,但是一连接就会导致网络异常,基本定位是arp欺骗导致的故障。有可能是服务器上有arp仿冒,直接建议对pcserver进行查杀。
8、总结
在网络故障排查中,一般arp欺骗导致的网络异常可以进行本地网关绑定,将网关地址和mac地址强行写入本地arp表项中可以防止arp欺骗的情况发生。若是ip地址冲突,可以在核心层直接将真正网关的mac地址和网关ip地址进行绑定,这样就会规避网关IP被其他地址冲突。
