今天遇到一个很奇怪的现象,有一个楼层的7个 AP(Access Point) 早上还好好的,到了中午之后就发现有其中4台Telnet连不上去了,用CMD命令Ping也没有反应。为了排除自己用的无线网络原因(如果自己用无线AP连入局域网,是无法Telnet到当前AP的),我用有线网络试了一下,故障依旧。
这时,进行了几部排查:
1. 检查AP连接的交换机上是否有异常,对应端口是否有异常。"show log" 后发现在中午的时候几个端口陆续进入了error-disable状态,也就是网络出现了环路。
2. 断定出错大概原因后,继续排查端口,"show int status err" 发现确实连接 AP 的几个端口都在error-disable状态,证明之前的猜想没有错,网络确实出现了环路。
3. 首先要找到环路出现的点,因为被禁掉的是无线的口,很难找到主机在哪里。但是如果那台主机中了病毒或者装了什么恶意软件,主动发BPDU报文,也很有可能把有线网络端口error disable掉。按着这个思路找,确实找到了一个有线口是down掉的。在交换机上用"show ip arp" 和 "show mac-address table" 可以找到对应的IP地址和MAC地址,这都是铁证。
4. 一个端口一般能找到2组IP地址和MAC地址,那是因为一个思科电话机的信息,一个是利用电话机接入内网的终端的信息。
5. 用CMD命令"nbtstat *.*.*.* -an" (其中*.*.*.*代表IP地址)查看主机的NetBios信息,一般可以通过此步查到计算机名,如果公司计算机名命名有规则,则可以得到更详尽的信息(例如部门、姓名等)。
6. 电话的MAC地址能在 CUCM(Cisco Unified Communications Manager) 系统里面找到员工名字和电话号码,打过去,问那个员工的物理位置(也可以根据交换机哪个端口down掉了,去机房找对应跳线的座位编号)。
7. 经过在那位同事电脑上一阵排查,发现该同事在中午做了一个操作——“桥接”!把有线网卡和无线网卡桥接在一起,有线网卡收到的含BPDU报文的包通过桥接从无线网卡发出去,思科交换机终端端口都开启了BPDU Guard功能,会直接把该端口禁为error disable状态!
原来一个小小动作也对公司网络产生如此大影响,甚至影响整个楼层的网络应用。之前也有用户因为用手机上不了无线,就把电脑的有线网卡和无线网卡桥接起来,用电脑的无线提供WIFI供手机上网,但这样做的最终后果是把自己的有线端口禁掉了,还要找我们IT开通。。。
文章评论