光端机MAC限制导致部分电脑无法连通网关

1. 问题描述

1.1故障现象描述

某供电局一个下属的客服中心有几十台电脑，在每天上班期间出现部分电脑一直无法Ping通网关的问题，致使客服中心人员无法正常收费及办公。

在故障发生时，故障电脑ARP表中网关MAC地址显示为全0的无效地址，管理员通过ARP防火墙、安全设备分析等排除了ARP欺骗病毒及链路故障等问题，通过近三四天的查找一直找不到故障原因。

1.2基本环境描述

用户基本网络拓扑如下图所示，客服中心有两个VLAN都接到HP5308交换机上，HP5308只做二层数据转发，网关在分局办公楼的交换机上，中间通过光端机将双绞线转换为光纤进行连接。

图-1

管理员自己采取了以下方式尝试解决问题，但都没效果:

●通过对广播包的检查发现部分电脑ARP包数量较多，尝试断开发包较多的主机。

●检查无法PING通网关主机防毒软件信息，病毒码正常，病毒日志中未发现异常。

●在无法PING通网关主机上安装ARP防火墙，未发现有ARP欺骗。

●管理员发现在无法PING通网关时主机与局域网内的其他电脑可以PING通。

2.分析方案设计

2.1分析目标

借助网络协议分析工具，跟踪数据包走向，明确一个问题：对比正常电脑与异常电脑通信数据包异同。

2.2分析设备部署

在分局办公楼及客服中心交换机上抓包，查看数据包走向。

图-2

3.分析过程

●故障电脑可以PING通局域网电脑说明故障机本身协议及物理连接正常。

●故障主机无规律性，可以排除安全设备策略方面原因。

●在主机上绑定网关MAC地址仍无法通信，可以确定网络中无ARP欺骗病毒，问题应该出在接

入交换机到网关之间。

3.1客服中心抓包情况

在客服中心，IP为XX.XX.228.92（MAC：00-16-35-A3-32-8B）电脑可以正常通信，IP为XX.XX.228.6（MAC：00-16-35-A3-32-11）电脑无法正常通信。对以上电脑通信进行分析。

图-3

从图上可以看到，能正常通信的主机00:16:35:A3:32:8B有ARP请求数据包到达客服中心汇聚交换机，并且也收到网关的回应数据包。

图-4

无法正常通信的主机00:16:35:A3:32:11同样也有ARP请求数据包到达客服中心汇聚交换机，但无任何回应数据包。

3.2局办公楼抓包情况

IP为XX.XX.228.24（78-AC-C0-BB-6C-67）电脑可正常通信；IP为XX.XX.228.6（00-16-35-A3-32-11）、XX.XX.228.111（78-AC-C0-B1-BD-A9）电脑无法正常通信。对以上电脑通信进行分析。

图-5

如上图所示，可正常通信电脑78-AC-C0-BB-6C-67有ARP请求包到达局办公楼交换机，且有网关回应。

图-6

图-7

两台IP为XX.XX.228.6（00-16-35-A3-32-11）、XX.XX.228.111（78-AC-C0-B1-BD-A9）的电脑通信，在局办公楼的交换机数据包中查找均无法发现他们。

图-8

客服中心交换机转发了相应数据包，而网关并未收到该数据包，因此故障点定位在两台光端机上。

4.分析结论

将分析报告提交给光端机厂商，厂商派工程师到现场检查发现是由于客服中心MAC地址数量超过了光端机默认允许通过的最大值，后来修改两台光端机相关设定后问题解决。

5.网络分析价值

通过网络分析技术能够对可疑故障节点进行深入分析，从而验证此节点的数据传输情况，一旦出现传输异常，可在第一时间发现，并且发现故障原因，大大节省了排障时间。