巧妙隔离交换机的端口 拒绝病毒传播

yzxyz68

　Internet网络上既有蓝天白云，也有潜流暗壑，稍微不注意的话，各式各样的网络病毒可能就会“不请自来”。而局域网网络中一旦遭遇了网络病毒的袭击，轻则上网速度不正常，严重时整个网络都能发生崩溃现象。要想保证局域网网络始终能够稳定运行，我们必须想法设法拒绝网络病毒在局域网中进行大面积传播；这不，笔者曾经遭遇过一则局域网不能上网故障，经过不懈追查之后，竟然发现是由几个来历不明的网络病毒修改网关地址引起的，现在就把该故障的详细解决方案贡献出来，供各位朋友借鉴、交流！
: `% J- W. ]- L: c/ _
& V* M5 }8 @( u6 j$ K1 E4 x6 U　　故障现象
3 N8 b6 G* N8 r% F8 Z" N2 @$ K5 G
　　单位局域网采用MyPower S3026G型号的普通楼层交换机，将位于大楼一、二、三层中的所有计算机全部连接起来，这些楼层交换机全部连接到单位的核心交换机中，核心交换机又通过天融信硬件防火墙与Internet网络进行了连接。由于单位交换机都支持即插即用功能，网络管理员对它们没有进行任何配置，就直接连接到局域网网络中；在这种连接状态下，局域网中所有楼层的计算机相互之间都能访问，这样一来单位同事们经常利用局域网网络进行共享交流。
, c% a: S% t1 g( E( o- v8 j4 J4 S7 D) q+ C# M! w2 }) G: U8 U
　　刚开始的时候，局域网运行一直很稳定；最近不知道由于什么缘故，单位所有计算机都不能通过局域网进行共享访问Internet网络了，不过相互之间它们却能够正常访问。 , T7 U9 P" A, R- V+ r% H

# C& F: t# U2 z) l) M  L! \1 E  K　　分析解决 6 @' `2 O  G2 G/ z  a3 u3 @2 w

/ G! N( C! r" l( N8 j" e　　对于这种故障现象，笔者想当然地认为问题肯定出在硬件防火墙或核心交换机上，而与普通计算机的上网设置以及网络线缆连通性没有任何关系；不过，当笔者断开所有楼层交换机以及单位的服务器或重要工作站，仅让一台工作状态正常的笔记本电脑与核心交换机保持连接时，该笔记本电脑却能够正常访问Internet网络，显然核心交换机与硬件防火墙的工作状态也是正常的。那问题究竟出现在什么地方呢？ " p# a  C, f0 M0 x
& d* g/ H  }% J/ g
　　考虑到局域网中的所有计算机都不能上网，笔者估计可能出现了网络环路，或者存在类似ARP这样的网络病毒，只有这些因素才能造成整个局域网大面积不能正常上网。由于网络环路故障排查起来相对复杂一些，笔者打算先从网络病毒因素开始查起；想到做到，笔者立即与其他几个单位员工分头行动，使用最新版本的杀毒软件依次对每一台普通工作站进行病毒查杀操作；经过一番持久战，潜藏在局域网中的许多病毒的确被我们消灭干净了。原本以为解决了网络病毒，局域网不能上网的故障现象也应该自动消除了，可是重新将所有计算机接入到单位局域网中后，发现上述故障现象依然存在，难道这样的故障现象真的与网络病毒没有任何关系？ 1 z+ y$ s6 `) E2 w2 z1 S* J

/ d' q) {- ]& b0 \0 e. \  q　　之后，笔者打算检查局域网中是否存在网络环路现象。经过仔细分析，笔者认为要是某个交换端口下面的子网络存在网络环路现象时，那么对应交换端口的输入、输出流量都应该很大才对；基于这样的认识，笔者立即进入单位局域网的核心交换机后台管理系统，利用该系统自带的诊断功能，对每一个交换端口进行了扫描检查，从反馈回来的结果中笔者发现每一个交换端口的输入、输出流量正常，这说明网络环路现象也不存在。 & M1 f6 T* P* L% f1 d- \, p
/ n# D6 c# r9 n: V4 ^
　　在万般无奈之下，笔者任意找了一台故障计算机，利用系统自带的ping、tracert等命令，对局域网网关地址进行了跟踪测试，结果发现系统竟然会去寻找一个并不存在的网关地址，显然计算机系统中存在网络病毒，那么为什么杀毒软件没有将这些病毒扫描出来呢？经过上网搜索，笔者得知网络存在一种特殊的网络病毒，它们专门修改局域网的网关地址，造成计算机无法上网，并且这种网络病毒可以躲避杀毒软件的“围剿”，这也是我们使用杀毒软件没有找到该网络病毒的原因。后来，笔者按照网上提供的方案将该网络病毒清除后，故障计算机果然能够正常上网了；按照相同的处理方法，其他计算机无法上网故障一一被解决了。 1 d- }5 e$ a/ |$ ~# g# g
8 a6 L  g! e9 r
　　深入应对 & T. {+ F% L3 P2 a9 N* @: z
, F4 V4 ^. O- Q( N( K
　　虽然上述故障已经被解决了，但是该局域网无法阻止网络病毒大面积传播的事实，警醒了笔者和同事；为了提升网络运行安全性，确保网络运行稳定性，笔者决定对单位局域网组网方式进行适当调整，以便让每个楼层的交换端口相互隔离，从而拒绝网络病毒在局域网中的快速传播。

xdaoke

小学生的水平，不合格的网络管理员。
- P2 s5 Z+ Q6 a5 ]简单的ARP攻击还费这么大力气去分析。$ M! \, b# b' O% u3 d# |2 b: C
最后还是没找出根源。
- q# [9 J' n9 W& g  L# n0 A( Z7 v
& ~4 p4 O0 G& `机房可以采取vlan来隔离端口，但局域网不行，因为需要内部通讯。7 q* x+ e4 s5 h* k7 b, H0 {
应该通过路由器或三层交换机，对MAC与IP进行绑定。

bydeclan

原帖由 xdaoke 于 2009-10-23 13:34 发表 % V! |. H, D. z' x+ c
小学生的水平，不合格的网络管理员。
8 F- O" [! y1 F* @8 a. C; Z简单的ARP攻击还费这么大力气去分析。
2 M: D* J9 p& A! e( o& E+ ~最后还是没找出根源。5 \. f0 j# z7 R6 J8 t  Y

* m" n$ @) _3 I* a% c/ h4 S+ z* Q机房可以采取vlan来隔离端口，但局域网不行，因为需要内部通讯。2 ~. S8 J4 N+ b1 x' }+ C( E  |
应该通过路由器或三层交换机，对MAC与IP进行绑定。 ...

9 z9 J' q' V" F4 j: b' j' V8 \% b
那请问楼上，如何正确判断局域网内存在ARP病毒。最近家里网络存在这方面的隐患。

hellode

你们都是高手,咯咯,360arp防...............