幾起不應由網絡“背鍋”的網絡故障

■ 湖南 郭兆宏 周序生 李強

編者按：造成網絡故障的原因多種多樣，其中很多未必都是網絡本身的原因導致的。本文講解了多起網絡故障，但都由其他原因引起的。

最近一段時間筆者處理了多起網絡故障，其中一些網絡故障是因為網絡問題引發，但卻是用戶人為造成的，一些網絡網絡看起來是網絡問題實際是應用服務的問題。這些網絡故障真的不能由網絡來背鍋。

某部門A 的某系統的1521端口服務不能打開，實際是IP 地址沖突了

某部門A 一個服務需要使用172.×.×.2 的1521 端口，由于6 月份網絡中心機房的一次停電后此服務總是打不開，這次停電造成A部門多個系統無法正常運行。而該部門的系統管理員是剛輪崗過來的，對各個系統不是很了解，因此就將前系統管理員叫來查看該問題。但該故障未能解決。

于是請系統公司的人員遠程查看，反饋說是網絡有問題，不能相互Ping 通。因為服務器段是禁止互Ping 的，為幫助他們解決問題，管理員把相應幾個機柜禁止Ping的ACL 取消，刪除ACL 后可以相通Ping 通了。但這個172.×.×.2 的1521 端口還是打不開。

管理員查到172.×.×.2在交換機A 的3 號端口，于是檢查對應的服務器，系統公司人員又說網絡禁止了1521 端口，但管理員檢查交換機及安全設備全部沒有禁止1521 端口。直接通過172.×.×.2 所在交換機A 接筆記本還是無法打開172.×.×.2 的1521的服務，而將交換機A 端口上的ACL 全刪除，還是打不開1521 端口。管理員又用端口掃描軟件掃描172.×.×.2的端口，均未掃描出1521 端口。由此肯定是服務器有問題。

之后系統公司人員到現場用筆記本配置172.×.×.2在交換機A 的7 號端口測試服務，網絡不通，因此斷定網絡有問題。而到機房后用筆記本電腦自動獲取IP 的網絡正常，手工172.×.×.2確實網絡不通，而改用172.×.×.200 網絡是通的，因此估計是IP 沖突了。

管理員想起以前檢查的172.×.×.2 是交換機A 的3號端口，于是將該端口網線拔出，接在7 號端口筆記本上，172.×.×.2 網絡恢復正常，而再將3 號端口網線接上，7號端口筆記本電腦立即不通了，可以肯定是IP 沖突了。

最后系統公司人員查明，交換機A 的3 號端口連接的是他們的備份服務器，7 號端口連接的是日常使用服務器，備份后未改IP 地址，且平時備份服務器虛擬機是關機的，因這次停電因新來的系統管理員把這臺虛擬機開機了，沒有發現有IP 沖突，也沒有發現IP 172.×.×.2 所在交換機端口3 與真實使用服務器的在7 號端口實際是不同的服務器。同時還發現一個問題，服務使用的IP 太小，又未做DHCP 排除，于是管理員馬上將172.×.×.1 ～100的地址在DHCP 排除。

這起故障是部門A 的服務器地址IP 沖突，造成服務端口無法打開，新任系統管理員對各服務器各系統不了解造成的，與基礎網絡無關。

某項考試的復試因用戶將認證網頁關閉而總是斷網

單位多個部門要在網上進行某項考試復試，為保障50 Mbps 帶寬需求，筆者新建了連接學生宿舍D 運營商出口策略組，新建的每個帳號可同時在線18 臺設備。

建好帳號后進行監測時，筆者發現有些帳號是無線網IP，因無線網接入帶寬只有8 Mbps，滿足不了帶寬需求，于是提醒相關人員注意考試時一定要用有線網絡。同時筆者還發現部分帳號是網頁認證，這種要連續進行幾個小時的考試使用網頁認證很容易關閉認證網頁，從而造成斷網。筆者發現后，多次發布通知提醒最好使用認證客戶端進行認證。

在管理員放假的星期天，筆者還是接到電話反饋考試進行中總是斷網，嚴重影響考試進行。因管理員不在現場，一時無法遠程查看，因此只能通過電話詢問情況。通過使用手機查看單位主頁，顯示運行正常，幾個主要系統也都可以打開，單位網絡肯定是正常的。筆者在詢問使用什么認證方式之后，該人員反饋說是網頁認證。

筆者明確說明，網頁認證的網頁一定不能關閉，可以網頁最小化，如果有時間可以下載認證客戶端，只需一兩分鐘就可下載安裝完畢，且不需重啟電腦可立即認證。其實這種網頁認證的問題，筆者在日常監測時已經發現并提醒了，可還是有在考試進行中因關閉認證網頁而造成斷網的，這起斷網故障與網絡無關。

某部門B 的小交換機同時接入無線網和有線網，從而導致網絡不通

某部門B 打電話反饋幾間辦公室都不能上網了。筆者檢查此部門所在樓的交換機全部正常，此樓的認證也是正常的。

筆者讓他們反饋幾個帳號來檢查，其中有一個帳號有多次認證記錄并在線，可以斷定該帳號IP 地址有問題，該IP 是172.23.X.X，是自動獲取IP 的，該IP 是無線網設備管理段地址。再按認證記錄登錄相應交換機B，有幾個其它端口也有認證，檢查認證中的IP 是172.18.X.X，這是交換機B端口應獲取的IP地址。在上網行為管理中有這幾個IP 的記錄，說明網絡是正常的。

為什么報故障的用戶IP是無線網的？于是筆者決定到現場查看。

筆者到現場檢查后發現是某部門B 自行隔小房間并重新自行布置的網線，且連接了一臺16 口交換機到幾個房間，網線上并無標記，且部分線布置在墻內，無法分清哪根是上聯線。筆者發現確實是自動獲取到172.23.X.X，也可能是有小路由器。因無法把幾個房間全部打開查看，B 部門的人也無法確定幾個房間內是否有小路由器。由于無法查看到布線圖紙，也無法及時聯系到相關施工人員，且報故障的老師急需用網，于是筆者到DHCP 服務器上查看172.23.×.×，顯示確實分發出去了，對應的MAC地址就是報故障用戶電腦的MAC，基本確定這16 口交換機同時接了有線和無線網。

因單位各個樓內同時存在有線網、無線網、一卡通的交換機，大部分都在同一個弱電間內，外人分不清哪臺交換機是屬于哪個網的。以前就發生過接錯交換機的現象。筆者把16 口交換機上的網線全部拔出，再一個個接上，同時接筆記本電腦檢查自動獲取IP 地址，直到找到自動獲取到172.23.×.×的那個網線，再接入筆記本電腦還是獲取相同地址，然后把此網線剪斷，再到那個需上網的房間檢查認證恢復正常，獲取IP 也正常了，網頁可以打開。

這個故障是因為部門B自行布網線并同時接入到有線網和無線網，造成自動獲取到無線網設備地址而在有線網認證，從而不能上網，這起故障也與網絡無關。

某新樓C 網絡剛通就發現有的信息點網絡不通，但指示燈亮

某棟新建的C 樓剛剛接通有線網，在一樓和二樓接入交換機上測試網絡是正常的，在三樓一個房間C 卻報網絡不通。

筆者到房間C 內測試發現，電腦網卡的指示燈亮，用網線測試儀測試8 根線全通，交換機標記21 端口指示燈也是亮的。但網絡就是不通，自動獲取不到IP，手工IP 也Ping 不通網關。

筆者把信息面板拆下，然后將8 根線再次重連，通過尋線確認在交換機亮燈的21 端口是此根網線，通過換交換機端口網絡還是不通。筆者在交換機端將此根網線水晶頭重做，用網線測試8 根線全是通的，但房間C 的網絡還是不通。之后用筆記本電腦接到三樓接入交換機上的幾個端口測試認證正常，能自動獲取IP，打開網頁和視頻直播都正常。通過換人做，改做水晶頭等方式，房間C 的網絡就是不通。筆者又打開隔壁兩間房子，一間網絡測試正常，另一間測試網絡不通，因此感覺是布置的網線有問題。

筆者回到辦公室做了一張幾十米的長網線，一端接到三樓交換機的21 端口，另一端接到房間C 內，此時網絡正常。由此斷定是在布線或施工的哪個地方有質量問題。因房間C 急需用網，筆者試著將交換機端口從默認千兆強制改成100 Mbps，房間C 的網絡終于通了。

該事例是因新投入使用的樓房布置的網線質量或施工質量有問題，造成交換機千兆端口中無法使用，從而強制百兆才能使用，這起網絡故障也與網絡無關，是施工的原因。

某考試系統在考試時非?？?/h2>

在期未考試時，某部門G要使用自己的考試系統。該系統是某部門自己開發的，在單位內已經使用了多年。此次是第一次大范圍公網上考試使用，每次考試約有8 000 人，分二次考試。

為此，在出口設備上為該考試服務器帶寬限制由100 Mbps 提高到700 Mbps，連接數和新建連接數不限制。

該部門人員表示，某天23 點進行壓力測試，監測當時考試服務器接口帶寬僅為1 Mbps 左右。第一次考試時監控考試服務器接口峰值只有8 Mbps 左右，出口設備上連續數峰值在6 000 左右時考試頁面已經打不開了。而且學生后來反映一是登錄不上，二是登錄上后不出題，三是無法交卷。

第一次考試快結束時，相關領導檢查出考試服務器接口上的ACL 有影響，因此就取消了。該ACL 是用來禁止445、138、139 等40 多個端口的，是單位每個樓的匯聚交換機端口上都有的。G 部門的老師表示這些端口考試服務全未使用。第二次考試時，考試服務器接口帶寬只有2 Mbps 左右了，出口設備上連續數峰值在6 000 個，有時用內網地址可打開而用公網地址打不開。部門G 的老師詢問是否公網有限制，這時辦公出口帶寬還未用到一半，在線IP 數量只有2 000 個左右，而出口設備在線IP 峰值最高有過7 500 個，到G 樓的帶寬只有幾十兆，且考試系統直接使用的IP 地址，筆者試打開其它幾個映射都正常。用單位另一個系統J 做交叉映射，公網IP 相同但端口號不同，系統J 都正常，而系統G 的考試系統不正常。因該考試系統不在網絡中心機房而在G 樓內，筆者就把多個網絡安全設備全部放通考試系統內網IP，同時在出口上將考試系統G 的IP 的連接數限制在1 萬。

第二次考試還是出現問題，但學生反映少了很多，通過詢問部門G 的考試服務器情況，相關人員反饋說是只有一臺考試服務器，還是多年前的。一個星期后，部門J 的J 系統進行學生大面積應用，J 系統一天訪問量達到175 萬次，一小時訪問量峰值是35 萬次。而考試系統G 的服務器在考試當天一天訪問量還不到1.5 萬次，一小時訪問量峰值不到3 000次。單位主頁每天的訪問量都在20 ～30 萬次左右，單位的網絡系統完全能夠經受一天1.5 萬次的訪問。筆者認為這個考試系統的問題確實與網絡無關。

總結

近期筆者遇到幾例網絡故障，其中某部門某服務無法打開，實際是因為IP 地址有沖突，是相應系統管理員因輪崗才上任對相關系統不了解，查出IP 對應的交換機端口實際服務器接在另外的端口上；某考試時因關閉認證網頁，從而造成斷網。這兩起網絡故障是用戶網絡能力不足直接影響了網絡的使用。

某部門自行重新布線時同時接入有線網與無線網，而造成自動獲取無線網IP 而在有線網認證；某新建樓信息點千兆網絡不通，只能將交換機端口強制百兆才能網通。這兩起網絡故障是因單位的網絡部門無法管理和參與網絡布線，只提供網絡服務，無形中增加很多網絡問題。

某部門的考試系統卡頓，該考試系統一天的訪問量才1.5 萬次，一小時峰值3 000次，而同期另外一個應用可以達到一天175 萬次訪問量，一小時峰值35 萬次。近期遇到的多起網絡故障都不是基礎網絡的原因造成的，不應由網絡來背這個鍋。