在企业环境下部署无线网络,方便了企业内部的移动办公。而无线网络瘫痪将直接导致企业停止运作,造成无形的损失。某电力咨询院无线网络无故出现成功连接无线,但无法访问互联网的故障问题,造成无线网络基本瘫痪,致使员工无法正常收发邮件、即时消息,并阻碍正常院务运营,事态紧急。所以,该电力咨询院网管立刻向科来公司发出邀请,为其无线网络瘫痪故障做网络分析服务。经过仔细排查,最终找到问题点,网络故障原因得以解决。
该院在无线网络办公区域点数达上千,最近 2 天客户反映很多用户使用无线笔记本、手机、ipad 等能成功连接上无线,但是无法访问互联网。此问题造成无线网络基本瘫痪,网络负责人员对此事十分焦急。曾特意请了多位无线 AP厂家和 IP地址管理厂家工程师查看,但经过一天故障排查最终没有找出故障原因。在此情况下,找到科来网络分析专家对其网络进行问题诊断。
科来网络分析专家在其网络中部署《科来网络回溯分析系统》,部署图如下:
对于无线用户能够成功连接无线 AP 但不能访问互联网问题,造成此问题,从以下 2 点入手:
2、测试 ping 网关和总出口能否 ping 通。抓包点部署在核心交换下联 AC 口上,一台笔记本连接无线抓取整个会话信息。
仔细查看 ip 地址、掩码、网关,发现网关出现了错误,正常情况下网关地址却出奇的指向了其他网段的网关。在这种情况下去访问网关都不通更别提访问互联网了。难道是 ip 地址管理分发出现了问题(DHCP)和网管交流得到答复是昨天厂家检查了其服务器,ip 地址能够正常下发地址,没有任何异常。然后他们将问题故障点定位到交换机或者其他设备更改了网关上。
对于他们答复暂且放到一边,先将那台笔记本与 DHCP 会话的信息调取出来分析。
地址在获取的时候会产生 4 个报文:1 DHCP DISCOVER,2 DHCP OFFER,3 DHCP REQUEST,4 DHCP ACK。如下图所示
在服务端发起 DHCP offer 报文时可以看出给客户端的 ip 地址、网关等信息。通过数据包解码如下图:
从上图中可以看出 ip 地址和网关给出的是正确的,但是在此报文里路由器给出是 ip 地址是 B,如下图:由此可以判断服务器在给予 DHCPoffer 报文的时候给出的网关就是错误的。
为了排除像网管所说中间设备如:交换机或者其他攻击更改了网关,在此将抓包口部署在连接 dhcp服务器的接口上,这样可以获取服务器的原始报文。再次分析 DHCP offer 报文如下图:
在 DHCP offer 报文中路由器 ip 地址显示 B,如下图:
通过以上分析,可以确定是由于 IP 地址管理(dhcp)在分发地址时网关分发错误,是造成此次故障发生原因。通过和网管交流请来 IP 地址管理工程师,通过数据层面分析,工程师给予认可,后来经过其调试 ip 地址分发正常。无线办公用户可以正常工作。
在分析问题的时候一定要思路清晰,对于分析方法固然重要,比如对比分析和关联分析法是经常用到的,另外在分析时有效利用客户或者第三方提供的信息,但是不能被这些信息迷惑。
