(1)分布层交换机Catalyst 2948-L3的“STATUS”红灯告警,单元网络陷于瘫痪。
一个比较大的网络系统的设计,分为核心层、分布层和接入层。在某单位的网络中,分布层有四个单元,每个单元采用两个三层交换机Catalyst 2948-L3互为冗余备份,以增加系统的可靠性,接入层设备是Catalyst 2924,每个Catalyst 2924采用BVI技术分别与两个Catalyst2948-L3相联,这样的话,整个系统的设计是以可靠性为前提的,可以说非常可靠。但在现实中却遇到了一个让技术人员无法解决的故障。
故障现象:①分布层交换机Catalyst 2948-L3的“STATUS”红灯告警。②同一网段内的PC互PING延迟达到200多毫秒。⑨从Console口查看配置文件,进不去,整个屏幕不停地显示“BUFFER ERROR”的信息。
故障分析:从①和②两条信息看,好像是交换机硬件故障,但不可能是两个交换机同时出现硬件故障。从第③条看,问题好像那么不简单。
故障排除:读者可能从第③条故障现象意识到了:网络受到了大数据量的攻击!因为出现了大量的“BUFFER ERROR”信息!拔掉分布层交换机Catalyst 2948-L3与接入层交换机 Catalyst 2924的所有连接,Catalyst 2948-L3立即恢复正常。再逐个查找可以看到攻击网络的接入层交换机Catalyst 2924的某个端口指示灯“狂闪”,拔掉连接,系统即恢复正常。
(2)硬件防火墙PIX 520故障。
某单位的网络与公网的联结采用了PIX 520的硬件防火墙安全技术。PIX 520共有三个区域:外网、内网和DMZ区,具有很强的安全防黑客能力。但在某一天遇到了蓄意的攻击,致使整个大厦与公网的联结中断了两个小时。
我们知道PIX 520的安全性能,以内网为最高。黑客要想跨越PIX对内部主机进行攻击,简直是不可能,因为不会有黑客费那么大的力气去破解128位的加密算法密码。但该网络还是受到了攻击,这是因为DMZ区主机存在的缘故。2002年中美黑客大战,采用的就是大数
据量的攻击,致使白宫网站中断数小时。
我们知道,PIX的安全性很高,但数据的处理能力远远赶不上SWITCH,当遇到来自DMZ区主机的大数据量的攻击时,PIX就会陷于瘫痪。达到此目的很简单,黑客只须在DMZ区内的任意一个主机上种下木马,当夜深人静时(这是黑客的习惯)轻易破解存在安全漏洞的 WIN NT和UNIX操作系统并获取管理员密码,进而控制主机,当他(黑客)高兴时就会发动攻击,因数据处理量太大,PIX会马上陷于瘫痪。
所以在日常工作中,要定期检查DMZ区主机,查看是否中了黑客的木马,不给黑客可乘之机。其次为安全起见,DMZ端口应限速在10Mbit/s,这样的话即便受到了攻击,PIX 520也能应付。
