故障現(xiàn)象
公司局域網(wǎng)內(nèi)的客戶機(jī)均使用Windows 98操作系統(tǒng),但是某天在客戶端開(kāi)機(jī)后:登錄NT域時(shí)順利通過(guò)驗(yàn)證,但是在測(cè)覽器地址欄中輸入 "http://192.168.0.1",試圖洲覽局域網(wǎng)Web服務(wù)器網(wǎng)頁(yè)時(shí),要求輸入用戶名和密碼(我們?cè)O(shè)定的Web服務(wù)是允許匿名訪問(wèn)的),而且驗(yàn)證域也變了,無(wú)論是輸入合法的用戶口令、超級(jí)用戶口令還是Web姑點(diǎn)管理者口令均無(wú)法通過(guò)驗(yàn)證。但是使用命令"ping 192.168.0.1"卻能順利得到應(yīng)答。
診斷過(guò)程
我們首先初步估計(jì)是Web服務(wù)器的用戶訪問(wèn)權(quán)限已經(jīng)被人改動(dòng),但是經(jīng)過(guò)檢查,無(wú)論設(shè)匿名訪問(wèn)還是基本驗(yàn)證,故障依然存在,從而排除了這種可能性。
接著,我們查看服務(wù)器事件日志,發(fā)現(xiàn)有一條信息 系統(tǒng)檢測(cè)到網(wǎng)絡(luò)中IP地址192.168.0.1與網(wǎng)絡(luò)硬件地址00:90:04:E2:28:78有沖突,本機(jī)接口已經(jīng)禁用,網(wǎng)絡(luò)操作隨時(shí)有中斷的可能"。該信息說(shuō)明網(wǎng)絡(luò)上某臺(tái)客戶機(jī)的IP地址與服務(wù)器的IP地址有沖突,懷疑有人修改了某臺(tái)客戶機(jī)的IP地址。
于是,把服務(wù)器與交換機(jī)斷開(kāi),在局域網(wǎng)中一臺(tái)IP地址為192.168.0.2的客戶機(jī)上執(zhí)行命令 "ping 192.168.0.1",得到回應(yīng),說(shuō)明網(wǎng)上確實(shí)有臺(tái)1P地址與服務(wù)器一樣的設(shè)備。
現(xiàn)在執(zhí)行命令 "nbtstat-a 192.168.O.1",卻得到 "hostnotfound"的結(jié)果。pinq得通說(shuō)明兩臺(tái)設(shè)備能夠通過(guò)TCP/IP協(xié)議進(jìn)行通信,因?yàn)樵赪indows98中安裝網(wǎng)卡時(shí)必須在網(wǎng)絡(luò)標(biāo)識(shí)中輸入計(jì)算機(jī)名和工作組名,假若這臺(tái)與服務(wù)器IP地址沖突的設(shè)備是Windows98客戶機(jī),用nbtstat命令應(yīng)該返回計(jì)算機(jī)名和工作組名。據(jù)此判斷,與服務(wù)器IP地址沖突的設(shè)備不是Windows 98客戶機(jī)。
由此想到,交換機(jī)也可以設(shè)定IP地址,但是從組網(wǎng)以來(lái),我們使用交換機(jī)的默認(rèn)設(shè)置一直工作正常,難道有人改動(dòng)了交換機(jī)的IP地址?
為了證明這一想法,我們斷開(kāi)交換機(jī)上多余的網(wǎng)線,只留服務(wù)器與IP地址為192.168.0.2的Windows98客戶機(jī),故障現(xiàn)象依然存在。斷開(kāi)服務(wù)器,只留IP地址為192.168.0.2的Windows 98客戶機(jī)連到交換機(jī)上,執(zhí)行命令:ping 192.168.0.1,依然得到回應(yīng),最終確定故障源在交換機(jī)。
原來(lái),為了管理、配置參數(shù)的方便,交換機(jī)上運(yùn)行著一個(gè)Web服務(wù),提供了一個(gè)Web界面(web interface),我們可以通過(guò)測(cè)覽器來(lái)設(shè)置交換機(jī)的參數(shù),但是這個(gè)Weh服務(wù)器卻不能匿名訪問(wèn)。網(wǎng)絡(luò)中的每臺(tái)設(shè)備都必須有惟一的IP地址:當(dāng)交換機(jī)的IP地址被設(shè)成192.168.0.1后,局域網(wǎng)Web服務(wù)器因?yàn)镮P地址沖突而中止了服務(wù)。當(dāng)我們輸入 "http://192.168.0.1"時(shí),訪問(wèn)的是交換機(jī)上的Web服務(wù)。
要排除這個(gè)故障,只要使局域網(wǎng)Web服務(wù)器與交換機(jī)的IP地址避免重復(fù)即可,改變交換機(jī)的IP地址有以下兩種方法,一種是利用交換機(jī)提供的WebInterface,在Windows 98客戶機(jī)的測(cè)覽器地址欄中輸入 "http://192.168.0.1",輸入系統(tǒng)默認(rèn)的用戶名"admin",口令不輸,進(jìn)入系統(tǒng)后在IPsetup中可以更改交換機(jī)的IP地址、子悶掩碼、默認(rèn)路由等。
或者還可以利用Windows98里附帶的超級(jí)終端程序登錄交換機(jī),這里面又有兩種方式:
(1)利用信號(hào)纜將Windows98客戶機(jī)的串口與交換機(jī)的console port直接相連,新建連接時(shí)選直接連接到串口(波特率建議使用9600)即可;
(2)利用雙絞線(RJ-45接頭)將Windows98客戶機(jī)與交換機(jī)相連,新建連接時(shí)選通過(guò)TCP/IP(WINSOCK)方式,輸入交換機(jī)的IP地址,默認(rèn)端口號(hào)為23即可。
利用上述兩種方法建立連接后,利用系統(tǒng)默認(rèn)口令登錄即可根據(jù)系統(tǒng)菜單修改IP地址配置。
排除心得
由于對(duì)公司內(nèi)部局域網(wǎng)的安全問(wèn)題考慮不周,組網(wǎng)時(shí)對(duì)交換機(jī)的默認(rèn)配置沒(méi)做任何修改,使得了解我們網(wǎng)絡(luò)設(shè)備型號(hào)的人利用交換機(jī)的默認(rèn)口令就能輕而易舉地修改交換機(jī)的IP地址,造成局域網(wǎng)Web服務(wù)的一度中止。
改進(jìn)措施:給交換機(jī)設(shè)定一個(gè)在網(wǎng)絡(luò)中惟一的IP地址,并將交換機(jī)的默認(rèn)登錄口令全部修改,防止此類事情的再度發(fā)生。
來(lái)源:賽迪網(wǎng)