IT博客-gyn-随笔分类-cisco

关于ARP病毒防护的一些想法

gyn_tadao — Mon, 25 Aug 2008 23:55:00 GMT

摘要: 前言大约是在三年前的时候，第一次碰到 ARP 病毒，当时的情况现在依然历历在目。不断的有人断网，之后范围越来越扩大，重启了交换机之后好了一段时间，接着又开始不正常，周而复始。后来在 ... 阅读全文

gyn_tadao 2008-08-26 07:55 发表评论

exchange2003无法发送外网邮件问题的解决过程

gyn_tadao — Mon, 21 Jul 2008 07:26:00 GMT

前段时间单位的邮件服务器出现了一些问题，经过一番分析和实验现在恢复了正常，这里介绍一下这次抢修的过程和其中的一些细节，希望能对以后的类似问题的解决提供一点借鉴。

关于这次发生的邮件服务器无法发送邮件的事故，存在一些特殊的地方。这里说的特别是指，和大多数邮件服务器的事故相比，它有一个很明显的特点，就是无法向外部发送邮件，而本域的传输却是正常的。另外，对于收取邮件也没有任何问题，所以显然故障应该局限在在 smtp 这块。但这是一个看似理所当然的结论，或者至少说是一个很粗浅的结论。而且如果简单地按照这个方向去解决，将碰到更加不可收拾的局面，很遗憾我恰恰就是这样被套进去的。因为 exchange 与 iis 有绑定关系，卸载并重新安装 iis 中的 smtp 组件将导致 exchange 无法正常工作，不得不 reinstall 。

为了更多地了解邮件发送过程中的细节，需要打开 exchange 的邮件跟踪，这样就可以对于一些试验用的收发行为进行针对性地分析，找出问题发生的确切位置。之后，分别发送了一份本域邮件和通往 yahoo 的邮件，在跟踪中发现本域邮件最终的处理结果是成功地从本地对列发送至目标，而通往 yahoo 的邮件则停止在路由阶段，这么看来是出在路由的问题上。在同时打开的 isa2004 实时跟踪中，当邮件停止在路由阶段的这个时间段， isa2004 上没有收到一个来自 exchange 服务器的数据包。由此可以推断路由失败的地点是在 exchange 服务器，而和 isa2004 没有关系。

这样抽丝剥茧地分析，得出了 exchang 路由失败的结论。那么什么是 exchange 路由呢？我个人认为与一般意义上的路由相比，它是将邮件域名解析为可用的 ip 地址，然后再通过服务器或交换机已知的路由发送给下一个结点的过程。这其中涉及到一个前期 dns 解析过程，而这也是真正问题最可能出现的地方，说到底还不是和路由本身有关。

通常情况下，无论 win32 还是 linux ，操作系统的 dns 配置发生在本地网卡的设置中，通过试验证明这样不可行，邮件在发送过程中依然停止在路由阶段，说明 exchange 不依赖于系统 dns 解析。经过仔细查找，在 exchange 中的服务器的协议组 smtp 一项里，有一个 smtp 虚拟服务器，这其实就是和 iis 的关联所在，因为在 iis 中也可以看到它。而这个虚拟服务器便是被 exchange 连接器用来发送外部邮件的，将其中的传递选项卡中的 dns 配置为正常可用的服务器地址即可。

讲到这里，问题大致解决了，但是好好的用了四年多了的邮件服务器怎么会出现 dns 问题？这还要从一年多前的换网说起，当时由于各种各样的原因，最终决定将网络由联通换到了电信，在 isa 上对各个设置也相应做了修改，但是由于当时联通的 dns 依然有效并且 dns 解析的数据量并不大，使得 exchange 服务器表现得很正常，因而忽略了 exchange 上也需要作出相应的变动。随着最近本地联通 dns 服务器的故障， exchange 的运行也表现得很不稳定。而在这次邮件服务器完全故障之前，有不少联通的个人用户向我抱怨说 qq 能登陆但网页打不开，这是典型的 dns 失效表现，只是没有将它与这次故障联系起来考虑。

理论的知识只有在实践中才能被真正掌握，“书上得来终觉浅，绝知此事要躬行”讲得就是这个道理。这次事故也说明，一步步地分析并定位确切故障是很重要，这个过程来不得一点急躁，不然可能会造成火上浇油的后果。

gyn_tadao 2008-07-21 15:26 发表评论

华为Q3526E交换机日志导出脚本

gyn_tadao — Mon, 01 Jan 2007 01:46:00 GMT

package require Expect
set params [open params.txt r]
array set params_arr [list ]
while {![eof $params]} {
set line [gets $params]
if [regexp {\[(.*)\](.*)} $line full name value] { set params_arr([string trim $name]) [string trim $value] }
}
close $params
proc q3526e {arr} {
upvar $arr params
set buffer [list ]
if [catch {spawn telnet $params(hostname)} result] { puts $result; exit 1 }
expect -re {Password} { exp_send "$params(password)\r" } eof { exit 1 }
expect -re $params(prompt) { exp_send "sup\r" }
expect -re {Password} { exp_send "$params(password)\r" } eof { exit 1 }
expect -re $params(prompt) { exp_send "dis log\r" }
expect -re {More ----} {
  foreach ele [split $expect_out(buffer) "\n"] { lappend buffer $ele }
  exp_send "\r"
  while { [regexp {More ----} $expect_out(buffer)] } {
   expect -re {More ----} {
    foreach ele [split $expect_out(buffer) "\n"] { lappend buffer $ele }
    exp_send "\r"
   } -re "$params(prompt)" {
    foreach ele [split $expect_out(buffer) "\n"] { lappend buffer $ele }
    writelog buffer
    exp_send "\r"
   } eof { exit 1 }
  }
} -re $params(prompt) {
  foreach ele [split $expect_out(buffer) "\n"] { lappend buffer $ele }
  writelog buffer
  exp_send "\r"
} eof { exit 1 }
}
proc writelog {buf} {
upvar $buf buffer
set curr [clock format [clock seconds] -format %D]
regexp {([0-9]{2})/([0-9]{2})/([0-9]{2})} $curr match month day year
set curr "20$year$month$day"
set log [open [format "%s_%s%s" {c:/3526log} $curr {.txt}] w]
foreach ele $buffer { puts $log $ele }
flush $log
close $log
}
if [catch {eval [string trim $params_arr(act)]} result] {puts $result; exit}

参数文件：
[hostname]网关ip地址
[password]交换机密码
[prompt]
[act]q3526e params_arr

gyn_tadao 2007-01-01 09:46 发表评论

双网卡上网的解决方法

gyn_tadao — Fri, 23 Jun 2006 01:01:00 GMT

单位里有一台电脑，装了两个网卡，其中一块连接政府内网，另一块连接单位内网。因为存在两个网关的关系，总是出现上了党政网却上不了内网或相反的情况，权宜之计只有轮流禁用网卡，但这也给工作人员带来了不便。

解决如下：

ü 去除内网默认网关

ü 打开 cmd ，键入 route –p add 192.168.6.0 mask 255.255.255.0 192.168.17.65

现在一切正常。

gyn_tadao 2006-06-23 09:01 发表评论

局域网电脑管理系统之二：华为s3236e交换机的配置

gyn_tadao — Mon, 29 May 2006 13:27:00 GMT

原先已经有了一台华为s3526e的三层交换机。考虑到兼容的因素，这次还是选用了相同的型号。

令人感到兴奋的是，新的s3526e在功能上有了不小的改进：
首先，增加了dhcp server的功能，就是说可以直接在交换机上做dhcp服务器，以前的及只能做relay，为此还不得不做一台dhcp服务器，麻烦程度可想而知。
第二，增加了am user-bind功能，方便ip地址的绑定。如果用acl的话需要很多步骤，我会在后面讲的。

从aux口接入配置线，另一头接电脑的com口。开启电脑的超级终端，设置为直接连接com口，中断位无，效验位无。这时，交换机可以通电了，超级终端立刻会有反映。

完全开启前可能会需要等待1、2分钟的时间，之后按enter键开始配置过程。

1：
super
sys
super password simple wahaha
sysname gyn_001
user-interf vty 0 4
authentication-mode passw
set authentication passw wahaha
quit
以上步骤为交换机取了个gyn_001的名字，同时设置高级模式3的密码为wahaha，设置telnet接入密码为wahaha

2：
vlan 100
quit
interf v 100
ip addr 192.168.100.65 255.255.255.0
quit
这样就建立了一个三层地址为192.168.100.65的vlan 100

3：
vlan 100
port e0/2
quit
interf e0/2
flow-control
quit
为vlan 77建立access口用来接入电脑，同时启动流控

4：
acl name net-forb-e2 link
rule 0 deny ingress interf e0/2 egress any
quit
packet-filter link-group net-forb-e2
封锁e0/2口，不允许接入电脑

5：
acl name net-mgr-e2 link
rule 0 permit ingress 0011-5b99-ed36 0-0-0 egress any
rule 1 permit ingress 000d-4c4c-5b19 0-0-0 egress any
quit
packet-filter link-group net-mgr-e2
开启mac地址为0011-5b99-ed36和000d-4c4c-5b19的两台电脑上网

以上两个步骤的顺序不可意对调，否则将无法达到控制外来电脑接入的功能。

6：
gvrp
vlan 500
quit
interf v 500
ip addr 192.168.65.21 255.255.255.240
quit
interf e0/1
port link-type trunk
port trunk permit vlan all
gvrp
quit
建立了一个与旧的三层交换机相对应的一个vlan，用来建立路由。这时可以用一根网线将两台交换机连起来了。

7：
ip route-static 192.168.6.0 255.255.255.0 192.168.65.25
ip route-static 192.168.0.200 255.255.255.255 192.168.65.25
建立到旧三层交换机的静态路由。当然最简单的办法就是建立一个缺省路由
ip route-static 0.0.0.0 0.0.0.0 192.168.65.25
只是出于安全的原因，我不希望让该网段的电脑能随便访问别的网段。

8：
在旧交换机上建立到新机器的静态路由
ip route-static 192.168.100.0 255.255.255.0 192.168.65.21

现在大功基本告成了。新交换机所连接的两台电脑只要手动配置ip地址，就可以访问服务器区的电脑并且可以上网了。为了方便其间最好用dhcp来分配并管理ip地址的使用。

9：
dhcp ena
interf v 100
dhcp select interf
这样就在vlan 100中启动了dhcp服务器

为了管理方便，将绑定一些经常搞破坏的电脑的ip地址

10:
acl绑定法：
acl number 1
rule 0 permit source 192.168.100.2 0
quit
acl number 200
rule 0 deny ingress 0011-5b99-ed36 0-0-0 egress any
rule 1 permit ingress 0011-5b99-ed36 0-0-0 egress any
quit
packet-filter link-group 200 rule 0
packet-filter ip-group 0 rule 0 link-group 200 rule 1

am绑定法：
am ena
am user-bind ip_addr 192.168.100.2 mac_addr 0011-5b99-ed36

相比之下am绑定法显然简单不少，但据说很消耗资源，并且可绑定的上限就100多台，所以还是用了acl绑定法。

11：
quit
save
quit
最后，保存并退出。

到这里为止，全部搞定。

gyn_tadao 2006-05-29 21:27 发表评论

一次奇怪的网络瘫痪事件的始末

gyn_tadao — Mon, 03 Apr 2006 07:49:00 GMT

   2006年3月31日上午8点起，陆续有人通知上不了网，一一解决。
   中午12点10分，新闻部的采编系统瘫痪，大约有20台电脑无法进入采编系统，也无法上网。经检查，无法ping通网关。于是停用网卡，又重新启用，无效。更改ip地址，恢复正常。后发现重新启动也可回复正常。由此推断，问题可能出在交换机上，于是将连接新闻部的一个接入层交换机华为2403重启，为保险起见也重启了核心交换机华为3526E。20台电脑均恢复正常。
   以为就此一切恢复，但事情并未向想象的方向发展。20分钟后，故障重新出现，并在1小时之内扩展到了整个大楼和另外一幢大楼的某些楼层，大约波及150台左右电脑。
   既然问题的原因并非交换机，于是将对象锁定于isa2004防火墙上。首先立即扫描计算机清楚病毒，但未发现一个病毒。重启防火墙，仍然没用。查看防火墙日志，发现一个非法ip的欺骗攻击，还有一些外网的全端口扫描，没放在心上。
   由此开始，陷入迷茫中。4点左右，经过冷静分析，发现一个重要线索，所有问题计算机都处于同一网段中。回想isa2004中的记录，很明显，该网段有电脑在不断抢占ip地址，产生大量ip冲突，导致网络瘫痪。
   于是立即针对平时出问题较多的几台电脑，进行杀毒。5点下班，网络回复正常，这更坚定了我的判断，因为下班后那台罪魁祸首定是被关闭了，ip冲突结束。但找不到那台电脑，问题依然存在。
   周末休息，看来只有等到星期一了。
   周六晚在网上请教了几个朋友，众说纷纭。后来有一人的说，可以查看一下交换机日志.....于是按照所讲方法查看交换机。令人感到无比高兴的是，日志里显示了无数的collision，经分析断定问题出在e0/2中一台mac地址是00e04c4596c1的电脑上。查看arp，发现该mac地址相关的ip地址一直在不断地变换。问题根源找到，可以安心睡觉了。
   周一上午一上班，立即排查e0/2口的病毒网段电脑的mac地址，很快确定了是一台广告部的电脑。将其断线。现在网络恢复正常。

gyn_tadao 2006-04-03 15:49 发表评论