2.9.27问题，急救！

212301

拓扑图

R------------SW1----------------SW2-------PC
                 |
               SW3-----------PC

SW2和SW3下的部分机器上不了网
不是同一个交换机下的机器不能上网

riser

很是有可能，如果他能在路由口的交换上做个MIRROR ，用SNIFFER 抓下包，估计可以判断出点问题的，楼上看看有好办法帮楼主么？

212301

现在我换回了TP-Link路由,挺正常的.
排除病毒了吧?

riser

你的问题，比我的奇怪，我是做了ARP 的绑定，没做双向，因为发现，ROS在S状态下，有ARP解析问题，而且，网卡替换频繁，所以没绑双向，但发现有机器突然弹开路由，查ARP 正常为S 状态，但还是不能PING 到内网网关。

riser

这个兄弟，我们是想帮你，请你自己也认真点，不要以为别人都是猜测可以么？ 如果网络数据，能随便用眼睛看出来，我想，我们不用在这里讨论了啊

212301

换回了TP-Link,他们又开始疯狂了.
又开始PP.BT...了,以前ROS可以做限速,我感觉那个功能挺好.
最早用2.8.22的,后来换成2.9.27就出这么多问题了

212301

不好意思，我太急着想知道是什么毛病了
有时候说话就不够礼貌。还请原谅

太急了.不好意思

riser

你有没有抓过IE打开的时候的 TCP 连接状态啊？ SYN ？ ESTABLISHED ？？

seignior

原帖由 212301 于 2006-10-2 17:43 发表
现在我换回了TP-Link路由,挺正常的.
排除病毒了吧?

更不能排除病毒了,因为ros有主动屏蔽的功能,但TP-Link没有.

还在的话加我qq开远程协助观察一下吧,你上面提供的资料实在缺乏(问你要网络结构,仅仅提供个拓扑图+_+").

seignior

原帖由 riser 于 2006-10-2 17:44 发表
你的问题，比我的奇怪，我是做了ARP 的绑定，没做双向，因为发现，ROS在S状态下，有ARP解析问题，而且，网卡替换频繁，所以没绑双向，但发现有机器突然弹开路由，查ARP 正常为S 状态，但还是不能PING 到内网网关。

看你们整天讨论绑mac地址,我实在是觉得郁闷,在ros上绑定mac对arp欺骗问题又无效(真正有效的是在交换机处理),又麻烦,你们却整天在讨论来讨论去的~~~~~~~

实际上mac绑定另有用途,主要用于比较大型的局域网的精确控制,给你们这么折腾,实在是驴头不对马嘴,四不象.

riser

我才郁闷呢！ 你干过网吧么？ 还说什么交换绑MAC，你知道网吧用什么交换么？ 你知道网吧换主板的情况有多频繁么？ 你知道网吧的网管有多少水平，拿多少工资么？ 你什么都不知道，还发表什么呢？ 谁不知道MAC在交换上绑是最好的办法？ 难道人家拿笔记本来上网你就叫他滚么？ 。。。。。。。驴头是你的马嘴也是你的，绝对对上号

riser

给你个拓扑，你也解决不掉人家的问题，知道么？  就你说更不能排除病毒问题，你就是菜鸟！ ROS 是用什么排除病毒？ 知道么？ FW人家根本没装，你才驴头马嘴呢，ROS是几层的？ 你知道么？  还说什么排除病毒问题，TPLINK没有，你知道TPLINK高端没产品么？ 昏！！！！！

seignior

.....................................................如果我的发言令人觉得不舒服,那么我道歉,我不太用对人,天天对着的都是机器,所以说话比较直接(因为机器也很直接对我表态,说死机就死机,决无妥协+_+")

网吧.............我在2000年开始做,一直到半年前结束(不是老板,是做维护和管理),最高峰32家网吧,关于这段历史,我在本版面有说过,你可以翻帖看看,虽然有人不信那段时间我月薪近10W(2.5K一家,32家,你说呢?).

因为我的工作经历比较复杂,高端低端都待过,第一份工作就是省邮电管理局基建处地市级交换施工监控,名声最响的是在amyway东南亚数据中心桌面支援4个人管2W台设备,其他各种倒卖洋垃圾,防雷,纺织印染厂管单片机等等也干过,只是时间比较短.最后因为在某个工作中犯了严重错误(不是为钱),落了个黑名单,又没钱没经营能力,只好混网吧,而现在则在周边国家跟老板做电信土建.
因为有这些工作历史,有小聪明蒙混过关整过高手,也有被自己的自以为是误过事,所以很多时候,我并不以所谓公论来讨论事物.以我上面说的mac绑定来说,我在本版也讨论过,实际上真正受到攻击的,第一个就是交换机,同时交换机也扮演帮凶的角色,ros绑定mac,也只能让ros不受arp欺骗,对于客户机来说是没有帮助的.即使在xp下(xp 2s刷新arp),只要攻击程序比2s更快广播,依然攻击得手.我能理解你说的关键,就是网吧没钱买高档交换机,我只能告诉你,某牌子800RMB的交换机就可以了(嘿嘿,因为逛电脑城是我的爱好+_+").

至于ros的自动屏蔽,我不完全肯定,所以我上面的只是说的是"瞎蒙猜测",的确观察过ros有主动屏蔽的现象,但我还没有完全厘清因果关系.

********************************
刚才事主qq远程协助,我看了一下.暂时还没有结果,不过我也把我看到的列出来,大家看看,**一下.
已经把ros撤下,我上去的时候已经是TP-Link,所以就不看TP-Link了.
显然现场就是网吧(或者类似的公共机房),做了N多组策略,有没有相关影响不知道.
是192.168.0.0/24,我上去的机器是161.
tracert 当地dns,响应正常.
netstat -n,除了事主的qq连接,没有发现异常.
netstat -a,除了常见连接和qq开的udp连接,还发现开放了N多端口,不知道是否相关,当前算是终点嫌疑.

个人建议等事主有机会换上ros再测试对比.

riser

首先，非常佩服楼上的经历，我从**网络管理（街道级别 -.-!），混到管连锁网吧，也经历了不少，设备从3COM 4007-CISCO PIX 都有接触，手上只有他们的一些初级证书，但我觉得，做网吧并不简单！ 所以我对上面的发言，有点感冒，呵呵。不过，我对你的看法有点小异意，我认为，遭攻击，主要是主机，交换只是管道，他们只负责按需发送，源头一定在主机，我这里，主要采用一些IP策略+病毒防护+还原，800RMB 的设备是什么啊？ 我这里是24PORT的GIGA BIT 的设备，自己觉得已经很便宜，1.6k RMB 但肯定不带管。
我强烈建议事主抓包看，楼上说看到 netstat -a,除了常见连接和qq开的udp连接,还发现开放了N多端口， 我建议楼主用 netstat -ano 顺便看看是什么进程，事主最好用TCPVIEW 看你打开IE的时候，显示的状态，因为 NETSTAT 需要手动操作，但这个软件，可以自己RFLASH，那你就可以看到IE的动作。