深度解析:莫名奇妙的IP地址沖突
原創網管員在工作中遇到的網絡問題,故障現象都是千變萬化、多種多樣的。所以也不能用單一、固定的方法或知識去解決它們,必須根據實際的故障現象,結合自己的工作經驗,運用多種方法和知識靈活的排除故障。下面就是自己在實際工作中碰到的一則故障實例,通過對故障現象的分析,和故障的排除過程來說明排除網絡故障并不是一件簡簡單單的事情。
圖1 公司網絡服務器部署圖
一、公司網絡服務器部署架構
單位網絡中的服務器部署結構圖,如圖1所示。為了確保重要設備的穩定性和冗余性,核心層交換機使用兩臺Cisco 4506,通過Trunk線連接。在核心交換機上連接有單位重要的服務器,如安全中心、DHCP、E-MAIL和WEB服務器等。單位IP地址的部署,使用的是B類私有172網段的地址。其中,連接在Cisco 4506A上的FTP服務器、Web服務器和流媒體服務器都是戴爾牌的,打印服務器是IBM的。連接在Cisco 4506B上的安全中心服務器和DHCP服務器是戴爾的,E-Mail服務器是HP的,認證服務器是IBM的。
兩臺Cisco 4506之間的連接情況,以及Cisco 4506A和服務器間的連接情況如下所示:
Cisco 4506A GigabitEthernet 1/1 <----> Cisco 4506B GigabitEthernet 1/1
Cisco 4506A GigabitEthernet 4/1 <----> FTP Server Eth0
Cisco 4506A GigabitEthernet 4/2 <----> Web Server Eth0
Cisco 4506A GigabitEthernet 4/3 <----> 流媒體服務器Eth0
Cisco 4506A GigabitEthernet 4/4 <----> 打印服務器 Eth0
Cisco 4506B和服務器之間的連接情況如下所示:
Cisco 4506B GigabitEthernet 4/1 <----> 安全中心服務器 Eth0
Cisco 4506B GigabitEthernet 4/2 <----> DHCP Server Eth0
Cisco 4506B GigabitEthernet 4/3 <----> E-Mail Server Eth0
Cisco 4506B GigabitEthernet 4/4 <----> 認證服務器 Eth0
二、核心交換機的網絡配置情況
Cisco4506A上的配置:
Cisco4506A#vlan database
Cisco4506A(vlan)#vlan 2
Cisco4506A(vlan)#apply
Cisco4506A (config)#interface range gigabitEthernet 4/1 -4
Cisco4506A (config-if-range)# switchport
Cisco4506A (config-if-range)#switchport access vlan 2
Cisco4506A(config)#int vlan 2
Cisco4506A(config-if)#ip address 172.16.2.252 255.255.255.0
//創建vlan 2的SVI接口,并指定IP地址
Cisco4506A(config-if)#no shutdown
Cisco4506A(config-if)standby 2 priority 250 preempt
Cisco4506A(config-if)standby 2 ip 172.16.2.254
//配置vlan 2的HSRP參數
Cisco4506A(config)#int vlan 12
Cisco4506A(config-if)#ip address 172.16.12.252 255.255.255.0
Cisco4506A(config-if)#no shutdown
Cisco4506A(config-if)standby 12 priority 250 preempt
Cisco4506A(config-if)standby 12 ip 172.16.12.254
命令"standby 2 priority 250 preempt"中的"priority"是配置HSRP的優先級,2為組序號,它的取值范圍為0~255,250為優先級的值,取值范圍為0~255,數值越大優先級越高。
優先級將決定一臺路由器在HSRP備份組中的狀態,優先級最高的路由器將成為活動路由器,其它優先級低的路由器將成為備用路由器。當活動路由器失效后,備用路由器將替代它成為活動路由器。當活動和備用路由器都失效后,其它路由器將參與活動和備用路由器的選舉工作。優先級都相同時,接口IP地址高的將成為活動路由器。
"preempt"是配置HSRP為搶占模式。如果需要高優先級的路由器能主動搶占成為活動路由器,則要配置此命令。配置preempt后,能夠保證優先級高的路由器失效恢復后總能成為活動路由器。活動路由器失效后,優先級最高的備用路由器將處于活動狀態,如果沒有使用preempt技術,則當活動路由器恢復后,它只能處于備用狀態,先前的備用路由器代替其角色處于活動狀態。
Cisco4506B上的配置:
Cisco4506B#vlan database
Cisco4506B(vlan)#vlan 12
Cisco4506B(vlan)#apply
Cisco4506B (config)#interface range gigabitEthernet 4/1 -4
Cisco4506B (config-if-range)# switchport
Cisco4506B (config-if-range)#switchport access vlan 12
Cisco4506B(config)#int vlan 12
Cisco4506B(config-if)#ip address 172.16.12.253 255.255.255.0
Cisco4506B(config-if)#no shutdown
Cisco4506B(config-if)standby 12 priority 249 preempt
Cisco4506B(config-if)standby 12 ip 172.16.12.254
Cisco4506B(config)#int vlan 2
Cisco4506B(config-if)#ip address 172.16.2.253 255.255.255.0
Cisco4506B(config-if)#no shutdown
Cisco4506B(config-if)standby 2 priority 249 preempt
Cisco4506B(config-if)standby 2 ip 172.16.2.254
三、問題的發生和主要的故障現象
在公司的網絡中,還部署有入侵檢測系統IDS和入侵防御系統IPS,在圖1所示的"安全中心"服務器的瀏覽器中,分別輸入IDS和IPS的管理IP地址后,就可以對這兩個安全設備進行管理和設置,也可以查看這兩個安全設備上的一些日志和報警信息。這也就是在遠程通過瀏覽器,用WEB的方式對安全設備進行遠程管理和監控。網絡中的IDS設備是連接到Cisco 4506A的GigabitEthernet 3/1鏡像端口上,在4506A上相關的配置命令如下所示:
Cisco 4506A (config)#monitor session 1 source vlan 2 , 12 both
Cisco 4506A (config)#monitor session 1 destination interface gigabitEthernet 3/1
在"安全中心"服務器上,通過IDS設備對圖1中,Vlan 2和Vlan 12兩個區域的監控,IDS總會提示IP地址192.168.0.120沖突的告警信息。也就是說在圖1中的Vlan 2、Vlan 20中存在兩個設備都在使用IP地址192.168.0.120。因為從上面4506A上的兩行配置命令可以看出IDS只監控了Vlan 2和Vlan 20兩個網段的數據。
剛看到告警信息時覺得很奇怪,因為公司的網絡中使用的都是172網段的地址,根本就沒有部署過192的地址,所以首先想到的是不是有攻擊。而且IDS設備能夠顯示出引起IP地址沖突的兩個MAC地址:842b.2b48.a187和842b.2b58.ea6f。
四、排除故障的步驟
1、因為IDS監控的是Vlan 2和Vlan 20兩個網段,所以就首先要排除沖突是發生在Vlan 2,還是發生在Vlan 20中。把在4506A上的配置"Cisco 4506A (config)#monitor session 1 source vlan 2 , 12 both",改為"Cisco 4506A (config)#monitor session 1 source vlan 2 both",也就是只讓IDS監控Vlan 2中的數據。結果發現IDS還是會提示IP地址192.168.0.120沖突的告警信息。
接著,把配置"Cisco 4506A (config)#monitor session 1 source vlan 2 both",改為"Cisco 4506A (config)#monitor session 1 source vlan 12 both",也就是只讓IDS監控Vlan 12中的數據。但IDS依舊會提示IP地址192.168.0.120沖突。所以說目前在Vlan 2和Vlan 20中都存在IP地址192.168.0.120沖突的問題。難道說攻擊都已經滲透到網絡核心層的這兩個Vlan中了?
2、因為在IDS上還提示了引起IP地址沖突的兩個MAC地址,而MAC地址具有全球唯一性,所以可以通過這兩個MAC地址找到IP地址192.168.0.120是和什么設備關聯在一起的。所以,在Cisco 4506A上執行以下命令:
Cisco 4506A#sh mac address-table | include 842b.2b
2 842b.2b48.a187 DYNAMIC Gi4/1
2 842b.2b58.ea6f DYNAMIC Gi4/2
從以上命令的輸出結果,可以看出在Vlan 2中引起IP地址192.168.0.120沖突的兩個設備,就是連接在Cisco 4506A端口Gi4/1上的FTP Server和連接在Cisco 4506A端口Gi4/2上的Web Server。但是在進行網絡部署時,并沒有在這兩個服務器上配置192的IP地址。為了更加確認這種判斷,還在FTP和Web服務器上的"命令行"中執行了命令"ifconfig -a",從輸出的結果中也沒有看到192網段的IP地址,都是172的地址。
因為從上面的第"1"點中可以看出,在Vlan 20中也存在IP地址192.168.0.120沖突的問題。所以,在Cisco 4506B上也執行了"Cisco 4506B#sh mac address-table"命令,結果發現引起IP地址沖突的兩個設備是連接在Cisco 4506B端口Gi4/1上的安全中心服務器和連接在Cisco 4506B端口Gi4/2上的DHCP Server。但是,我們在這兩個服務器上也沒有配置192網段的地址。
3、綜合上面排查故障的過程,可以發現引起IP地址沖突的服務器都是DELL服務器。因為確實查找不到引起IP地址沖突的原因,就在百度中搜索了"戴爾192.168.0.120沖突"相關信息,發現192.168.0.120這個IP地址是戴爾服務器遠程控制功能中默認使用的一個IP地址。戴爾服務器的遠程控制功能是通過DRAC(Dell Remote Access Controller,戴爾遠程控制卡)實現的,它是一種系統管理硬件和軟件解決方案,專門用于為 Dell PowerEdge系統提供遠程管理功能、崩潰系統恢復和電源控制功能。
也就是用戶在遠程若能訪問到圖1中Vlan 2或Vlan 20中的192.168.0.120這個IP地址,也就能實現在遠程對Vlan 2或Vlan 20中的戴爾服務器進行簡單的管理和配置。因為默認情況下具備DRAC功能的戴爾服務器,都在遠程控制卡上配置了192.168.0.120這個IP地址,而且DRAC功能的實現是通過共用戴爾服務器的網口實現的。
所以,連接在Cisco 4506A上的,都位于Vlan 2中的戴爾牌FTP服務器、Web服務器和流媒體服務器,在它們連接到4506A上的網口上都同時具備了兩個IP地址,一個是172網段的地址,一個是192.168.0.120地址。而且,它們都位于同一個Vlan中,所以IDS在監控時就會發出IP地址沖突的告警信息。同樣道理,連接在Cisco 4506B上的安全中心服務器和DHCP服務器也會出現同樣的地址沖突告警。
五、總結
1、為了驗證戴爾服務器的DRAC功能,在圖1的Vlan 2中接入一臺筆記本電腦,電腦上的IP地址配置為192.168.0.144,子網掩碼為255.255.255.0,如圖2所示。
圖2 筆記本電腦網絡配置參數
然后,在筆記本電腦的瀏覽器中輸入網址"https://192.168.0.120"回車,就可以看到如圖3所示的登錄界面,輸入默認的用戶名root,密碼calvin后就可以進入到戴爾服務器的Web管理控制界面。
圖3 通過DRAC管理戴爾服務器的登陸界面
在管理界面中可以看到戴爾服務器的基本配置屬性,還可以對"電源"和"警報"進行管理配置,也可以瀏覽查看服務器的日志信息。而且在"屬性"的系統摘要中,可以看到服務器的IP地址信息,其中也包括有192.168.0.120這個IP地址,如圖4所示。
圖4 通過DRAC管理戴爾服務器的系統摘要信息
2、要解決在IDS設備中總提示192.168.0.120沖突的告警信息,可以使用兩種解決辦法。一是重新啟動戴爾服務器,進入到服務器的CMOS設置,在其中把"遠程控制卡"的功能關閉即可。
圖5 在戴爾服務器CMOS中設置DRAC卡IP地址
二是進入到服務器的CMOS中,對DRAC卡的IP地址進行設置,可以把圖1中位于Vlan 2或Vlan 12中的幾臺戴爾服務器的IP地址設置成相互間不一樣的地址,也可以把它們配置成為172網段的IP地址,這樣就可以通過公司的網絡,遠程對各個戴爾服務器進行簡單的管理和配置。如圖5所示,是在CMOS中設置DRAC卡IP地址的界面。
