我也来出题，陌生环境盲测

seignior

看版主出题那么爽，但题目都是倾向对ros调配有一定了解的人，配合论坛版面经常有人提的问题，我来提出一个要求低一点(嘿嘿，其实是更高了)，更符合实际情况一点的问题。
这只是一个概念题，没有标准答案(但为了示范，所以整个环境被简化了，以更突出常见问题，请回答的人给出完整思路，仅仅给出答案是没价值的)，同时也是me(以及论坛很多人)经常要处理的问题。

-------------------------------------------------------------------------------------------------------------------------------
故障现场描述：局域网一个标准C段192.168.0.0/24，辖下200台客户机分别位于1~200，GW是192.168.0.254/32，外网固定IP：10.0.0.1，还有一个公网ip 10.0.0.2，此前已经正确配置NAT，内网可以上网(仅配置NAT，无其他设置)，带宽10M。网络结构是标准星形，下级交换机分别接23台客户机，然后汇总到主交换，主交换连接ROS和少数个别文件服务器(交换机无特别设置)。客户机使用者对电脑知识都不充分，客户机无特别设置限制。其他情况未知。

额外说明：这是大多数的情况了，可以同时套用在办公室环境或网吧环境，你可以想像是别人在电话里向你求助，而你又不能立刻赶往现场，只能电话遥控现场略懂一点点基础知识的人排查处理。

-------------------------------------------------------------------------------------------------------------------------------
问题1
大约有1/4客户机无法上网，其他客户机正常。
-------------------------------------------------------------------------------------------------------------------------------
问题2
所有人无法打开网页，部分游戏无法玩，但又有部分游戏能玩，QQ能上。
-------------------------------------------------------------------------------------------------------------------------------
问题3
所有人都无法连接文件服务器，但登陆文件服务器检查无异常。
-------------------------------------------------------------------------------------------------------------------------------
问题4
个别客户机无法上外网，但能连接文件服务器，检查故障点网络配置无异常。(注意和问题1是有差别的)
-------------------------------------------------------------------------------------------------------------------------------
问题5
客户机ping外网本地ip(例如本地区dns)ping值不稳定甚至偶然掉包，但pc直接接外线设置10.0.0.1或10.0.0.2皆无此现象。
-------------------------------------------------------------------------------------------------------------------------------
问题6
忽然发现网络很慢甚至几乎断网，pc接外网10.0.0.2检查ping非常高，但撤离原ros后恢复正常，重新接上原ROS又立刻高ping。

naboo

1 原因较多，中毒等，详细分的话，先问清在哪个交换上
2 DNS问题
3 检查主从交换策略，端口，有无环，再进一步分析
4 先检查本机获取的网关
5 检查NAT，交换机环，内网病毒（同6）
6 检查ROS，无策略下，更换硬件

楼主设置的环境下，要凭经验判断，哈，真是远程打电话的真实再现啊。。。（等于什么情况都不知道）

[ 本帖最后由 naboo 于 2006-11-30 09:33 编辑 ]

seignior

不但要答案，更期望给出判断流程，例如比较明显的第一题，比较容易判断的是中毒、交换机坏的等，问题是，如何判断出究竟是中毒还是交换机坏(如何区分出)？

在实际环境下，实际上绝大多数人对一些基础知识还是欠奉，所以其实和“远程打电话的真实再现”差不多，无论是远程的人还是本地的人都一头雾水，正是期望大家能给出一个流程来解答，厘清各种常见情况(点出如何在各种情况下常见用于判断的点，直接忽略掉无助判断的点)，而不是直接给出答案。

列出各种炫目的空中楼阁高新技术或者直接给出乘法表让新手背诵却不加解释，或者是高手的表现，但我觉得，我会更感激当年那些用事例分析给我看让我明白来龙去脉的老鬼。

[ 本帖最后由 seignior 于 2006-11-30 10:39 编辑 ]

naboo

老兄，我个人认为，原因真的很多，意想不到的因素也多，只得一一问清，一一排除。。。要是对方真的是白菜，只好动身了。

zooyo

顶一下，大家都来说说意见，然后 seignior 费心整理一个判断流程嘛。

naboo

原帖由 seignior 于 2006-11-30 10:34 发表
不但要答案，更期望给出判断流程，例如比较明显的第一题，比较容易判断的是中毒、交换机坏的等，问题是，如何判断出究竟是中毒还是交换机坏(如何区分出)？

在实际环境下，实际上绝大多数人对一些基础知识还是 ...

你看，这要写出来就多了，比如问，你们那里机器都什么配置啊，上面什么软件啊，中没中毒啊，（他说没中但真的有毒）。再问，你交换机中有没有环哪？（他问啥是环？）你再问，是什么型号的交换机哪？（他说我不知道。。。），没办法，动身吧。

seignior

不是嘛，这些只是例题，只锁定在常见问题上，最简单的就是我举的例子，第一题，我们就直接锁定是病毒或者交换机坏好了，如何让在本地的人判断出是病毒还是交换机？(例如可以直接让他reboot交换机或者观察交换机闪灯来判断)

naboo

啊，也对～

seignior

我直接给一个示范吧，例如第一题
我们就不要先定义病毒还是交换机了(虽然略微有点经验的人差不多都直接能判断出来了)
首先我们观察到一个现象，1/4客户机，大约就是一个交换机的数量了，直接问这些机器在不在同一台交换机里...答案明确的话已经相当清晰了，是的话直接锁定交换机，不是的话锁定病毒。
答案不明确的话(例如网线是埋墙的看不到)，需要先厘清几个常见问题，确认故障点网络配置(默认y,n的话恢复即可)，确认故障点能否ping通本机ip(默认y,n的话检查协议)，确认故障点arp表(默认y,n的话需要解决arp问题)，确认故障点能否ping通ros(默认n,y的话下一步检查ros)，确认故障点能否ping通外网(默认n,y的话检查dns)，再次确认故障点能否ping通内网其他机器(默认n,y的话再次检查ros)，观察各交换机是否有死灯现象(默认n，y的话重启该交换机)，reboot全场交换机，依然无解的话在其他正常的机器安装杀毒软件并确认升级到最新病毒库，卸载故障机器硬盘查毒，并同时用其他正常机器卸载硬盘替换原故障点硬件及网线位置测试。

platinum

原帖由 seignior 于 2006-11-30 09:05 发表
故障现场描述：局域网一个标准C段192.168.0.0/24，辖下200台客户机分别位于1~200，GW是192.168.0.254/32

呵呵，GW 是 192.168.0.254/32，能上网才怪
network 是 24 bits mask，即 255.255.255.0
你的 GW 怎么却是 192.168.0.254/32（即 255.255.255.255）？

你的描述首先都有问题啊，你应该写 192.168.0.254/24 或者 192.168.0.254/255.255.255.0

vipe

发不出去？
ROS防火墙
VLAN

ssffzz1

超级无敌复杂之问题也。我只能回答我不会做，因为答案太多。

naboo

原帖由 platinum 于 2006-11-30 13:55 发表

呵呵，GW 是 192.168.0.254/32，能上网才怪
network 是 24 bits mask，即 255.255.255.0
你的 GW 怎么却是 192.168.0.254/32（即 255.255.255.255）？

你的描述首先都有问题啊，你应该写 192.168.0.254/ ...

就是/24，楼主一定配置ROS配多了～习惯加/32了

9939781

可以上的机子IP是不是连续的？

seignior

原帖由 platinum 于 2006-11-30 13:55 发表

呵呵，GW 是 192.168.0.254/32，能上网才怪
network 是 24 bits mask，即 255.255.255.0
你的 GW 怎么却是 192.168.0.254/32（即 255.255.255.255）？

你的描述首先都有问题啊，你应该写 192.168.0.254/ ...

暴汗，答案在13楼，哈哈哈哈哈........谢谢纠正错误。
时事评论家是专家，..不过期望不只是事后评论专家。