计算机网络故障诊断排查探讨

李光灿

（重庆三峡中心医院信息科，重庆 404000）

0 引言

在网络的管理运维过程中，可以说故障是不可避免的。因为网络故障有太多的随机性和偶然性，何况还有人为因素。所以，管理员要做的是掌握网络排查技巧，积累经验培养敏锐的嗅觉，少走弯路，快速定位并排除故障。下面介绍两例网络排查案例。

1 案例一：病毒引起的网络故障

1.1 故障现象

局域网出现网络不稳定故障，172.16.38.0子网中的计算机上网明显不正常，有的计算机在访问172.16.12.0子网中的服务器系统时，网络连接很不稳定，经常有掉线现象，但有些计算机访问却很正常。更为奇怪的是，先前访问不稳定的计算机，有时也能访问服务器系统，不过这个时候，以前访问正常的计算机，却不能稳定上网了。在172.16.38.0子网中的计算机，相互之间进行共享访问时，网络传输速度很快，没有一点异常之处。还有一点比较奇怪的是，到了晚上下班的时候，上面的故障现象立即消失不见了，第二天上班的时候，上网不稳定的现象又会出现。

1.2 故障诊断排查

难道是对应工作子网的楼层交换机出现了问题？使用telnet命令，远程登录该楼层交换机的后台系统，查看了各项网络配置，看到它们没有任何改动。会不会是交换机的缓存有问题呢？赶到对应楼层交换机现场，断开该设备的输入电源，过一段时间后，接通电源重新启动一下交换机后台系统，这样交换机缓存中的内容就被清除干净了。这时，在故障计算机中进行上网测试，发现上网访问都很稳定了，不过，持续几天后，上网不稳定故障再次发生。

为了判断楼层交换机自身是否正常，笔者找来一台备用设备进行替换，之后在172.16.38.0子网中，任意找了几台计算机进行测试，刚开始的时候，没有看出一点异常，几天后，相同的故障现象又出现了。尝试在其中一台故障计算机系统中，使用Ping命令测试172.16.38.0子网的网关地址，看到命令返回的结果很正常，也没有明显的数据丢包现象。无意中运行了“arp -a”命令，看到对应子网的默认网关MAC地址为8C-A5-89-DF-70-AA。而在网络不通的时候，继续执行“arp -a”命令，查看默认网关地址时，该地址已经变成了02-4F-AE-3D-0B-65。在172.16.38.0子网中，又找了几台计算机进行同样的测试，测出172.16.38.254地址在可以被正常Ping通的情况下，网关默认MAC地址都为8C-A5-89-DF-70-AA，而在无法Ping通的情况下，测出的网关默认MAC地址都为02-4F-AE-3D-0B-65。事实上，172.16.38.0子网的网关真实MAC地址为8C-A5-89-DF-70-AA。

为什么在不能上网的情况下，网关默认MAC地址发生了变化呢？很显然，172.16.38.0子网中有ARP地址欺骗攻击现象，也就是说，该子网中的某台计算机感染了ARP病毒或木马程序。当病毒计算机开机运行时，它会摇身成为病毒网关，影响其他计算机的上网访问，而将病毒计算机关闭时，其他计算机的上网连接经过修复后，又能使用以前的默认网关，进行上网连接了。

1.3 故障解决

弄清楚故障原因后，笔者找来nbtscan工具，使用“nbtscan-r 172.16.38.0/24”命令，获得对应子网中所有计算机IP地址和MAC地址的列表，从中找到了IP地址为172.16.38.121这台计算机，它的网卡物理地址为02-4F-AE-3D-0B-65，很明显，就是这台计算机影响了整个子网上网不稳定。将该计算机从网络中断开，继续在172.16.38.0子网中的多台计算机中进行一个小时的上网测试，果然故障现象再也没有发生。

后来，使用最新版本的杀毒软件，对带毒计算机进行全面查杀病毒时，还真扫描到一些病毒，可是杀毒软件无法直接删除它们。笔者只好对病毒计算机的硬盘进行格式化操作，并重新安装了操作系统，再将该计算机接入到172.16.38.0子网中时，看到网络工作一切正常。

1.4 排查总结

从上面的故障排查过程来看，在对付由ARP病毒引起的各类网络故障时，不妨巧妙利用Windows系统自带的arp、Ping命令，同时配合nbtscan之类的网管小工具，来进行诊断，这样或许能大大提升网络管理维护效率。

2 案例二：网络访问丢包之谜

2.1 故障现象

局域网中一台计算机上网访问时，上网速度没有以前那样顺畅了，在使用MSN在线交流时，也遇到了无法登录的现象。尝试使用Ping命令测试局域网网关地址时，看到虽然能够正常Ping通，但偶尔会出现延迟现象。使用大容量的Ping数据包进行持续测试时，会看到网络访问存在明显的丢包现象。

2.2 故障诊断排查

用随身携带的笔记本电脑，连接到故障计算机所用的物理线缆上，使用大容量的Ping数据包对局域网网关地址进行测试，发现数据包丢失现象已经消失了，这说明物理线路及交换端口工作状态正常。看来问题出在故障计算机自身身上。笔者认为网络配置出错或网卡设备有问题。进入网卡设备属性对话框，在其常规标签页面中，看到该设备工作状态正常。此时已到中午下班时间，就在准备关机回家的那一刻，持续的Ping测试操作突然出现了转机，原先的数据丢包现象，现在竟然自动消失了，网络速度也恢复了正常。连续测试了半个小时，发现数据丢包现象再也没有发生过，看来问题已经解决了。

2.3 故障解决

可是，第二天上班的时候，在那台故障计算机中又看到了相同的现象，这是怎么回事呢？肯定有人抢用了故障计算机的IP地址，造成了地址冲突。不过，如果发生IP地址冲突现象时，应该会弹出冲突提示，而且发生该现象时，计算机一般都不能正常上网，但现在没有看到这些不正常的现象！以管理员身份登录故障计算机所连接的楼层交换机后台系统，使用“system-view”命令进入系统全局视图模式，在该状态下执行“display mac”命令，所有连接到当前交换机上的计算机网卡物理地址都被显示出来了。看到有两台计算机的网卡物理地址竟然一模一样。将MAC地址相同的两个交换端口号码、VLAN号码等信息记录下来，再通过查看已有的组网资料，终于找到了与故障计算机MAC地址相同的另外一台计算机。打开这台计算机的网络连接属性对话框，查看到它的IP地址，果然与故障计算机的IP地址完全一样，看来局域网中真的存在地址冲突现象。找到问题根源后，修改另外一台计算机的IP地址和MAC地址。之后，在故障计算机中再次使用大容量的Ping数据包进行持续测试时，发现数据丢包现象终于消失了。

2.4 原因探究

为什么局域网中的两台计算机IP地址相同时，系统没有及时弹出提示呢？通过上网查询有关资料了解到，当两台计算机的IP地址和MAC地址都相同时，系统就不会产生IP地址冲突提示。而且发生地址冲突的计算机都能上网，只是会有不明显的数据丢包现象而已，恶意用户经常会用这种方法来窃取更高级别用户的权限。询问另外一台计算机用户得知，他就是想尝试通过修改IP地址和MAC地址方法，看能不能突破局域网服务器对IP地址与MAC地址绑定的限制。

2.5 故障防范

对于上述故障现象，仅仅将计算机IP地址与MAC地址相互绑定在一起，根本不能防止有经验的恶意用户访问单位局域网，而应该将计算机的MAC地址和IP地址与对应的交换端口进行绑定。以H3C Quidway S8500核心路由交换机为例，要将IP地址为192.168.12.156、MAC地址为53-26-4D-3C-7F-8A的计算机，绑定到核心路由交换机以太网端口Ethernet 3/2/1上时，可以在核心路由交换机后台系统的全局视图模式下，使用“interface ethernet 3/2/1”命令，进入指定端口视图模式状态，再执行“am user-bind ip-addr 192.168.12.156 mac-addr 5326-4d3c-7f8a”命令即可。

3 结束语

在信息系统的日常运行中，网络故障在所难免，需要信息技术人员不断积累网络运维实践经验，提高解决网络故障的效率，保障计算机网络的正常运行。