网络故障维护两例 (图)

一、 分布层交换机Catalyst 2948-L3的“STATUS”红灯告警，单元网络陷于瘫痪。
我们都知道一个比较大的网络系统的设计，分核心层、分布层和接入层。在我单位的网络中分布层有四个单元，每个单元采用两个三层交换机Catalyst 2948-L3互为冗余备份以增加系统的可靠性，接入层设备是Catalyst 2924，每个Catalyst 2924采用BVI技术分别与两个Catalyst 2948-L3相联，这样的话，整个系统的设计是以可靠性为前提的，可以说非常可靠。但在现实中我却遇到了一个让我无法下手的故障。
故障现象：1、分布层交换机Catalyst 2948-L3的“STATUS”红灯告警。2、同一网段内的PC互PING延迟达到200多毫秒。3、从Console口查看配置文件，进不去，整个屏幕不停地显示“BUFFER ERRO”的信息。
故障分析：从1、2两条信息看，好象是交换机硬件故障，但不可能是两个交换机同时出现硬件故障。从第3条看，问题好象那么不简单。

故障排除：大家可能从第3条故障现象意识到了：我的网络受到了大数据量的攻击！因为大量的“BUFFER ERRO”信息的出现！拔掉分布层交换机Catalyst 2948-L3与接入层交换机Catalyst 2924的所有连接，Catalyst 2948-L3立即恢复正常。再逐个查找可以看到攻击网络的接入层交换机Catalyst 2924的某个端口指示灯“狂闪”，拔之，系统即恢复正常。
 

二、 硬件防火墙PIX 520故障一例

我所在单位的网络与公网的联结采用了PIX 520的硬件防火墙安全技术。PIX 520共有三个区域：外网、内网和DMZ区，具有很强的安全防黑客能力。上个周六我遇到了蓄意的攻击，致使整个大厦与公网的联结中断了两个小时，好在是周六，谢天谢地！

我们知道PIX 520的安全性能，以内网为最高。黑客要想跨越PIX对内部主机进行攻击，简直是不可能，因为不会有黑客费那么大的力气去破解128位的加密算法密码。但我的网络还是受到了攻击，这是因为DMZ区主机存在的缘故。去年中美黑客大战，采用的就是大数据量的攻击，致使白宫网站中断数小时，
我们知道，PIX的安全性很高，但数据的处理能力远远赶不上SWICH，当遇到来自DMZ区主机的大数据量的攻击时，PIX就会陷于瘫痪。要这样很简单，黑客只须在DMZ区内的任意一个主机上种下木马，当夜深人静时（这是黑客的习惯）轻易破解存在安全漏洞的WIN NT和UNIX操作系统并获取管理员密码，进尔控制主机，当他（黑客）高兴时就会发动攻击，因数据处理量太大，PIX会马上陷于瘫痪。

所以在日常工作中，要定期检查DMZ区主机，查看是否中了黑客的木马，不给黑客可乘之机。其次为安全起见，DMZ端口应限速在10Mbps，这样的话即便受到了攻击，PIX 520也能应付。

作者:阿成