1、區分硬故障和軟故障
網路故障分硬故障和軟故障,有時是軟硬體相結合的故障,網路工程師要能夠根據故障表現敏銳準確地判斷是哪類故障。所謂硬故障就是由硬體引起的網路故障,比如接觸不良,插口、元件損壞等。硬故障具有立竿見影的效果,如果發生硬故障其所在的這段網路馬上崩潰。我特別提醒大家,所謂軟故障並不僅僅是軟體故障。這種故障時隱時現,可以由軟體故障引起,也可以是硬體故障引起,是難度比較高的一類故障。這除了需要網路維護和管理人員具備一定的軟硬體故障診斷知識外,對診斷經驗的積累也有一定的要求。
通常情況下,借用適當的網路檢測工具可以使我們的工作事半功倍。如何選擇合適的檢測工具對故障監測點進行測試是很有講究的。許多故障需要進行多點測試才能定位,這時非常需要的是行動式的測試工具。網路故障的診斷髮展方向是測試工具的網路化和故障診斷的網路化。一般的網路裝置和網上裝置只支援有限的網管功能,所以監測網路效能和快速定位網路故障需要一些必要的固定測試工具(如固定探頭、網管系統等)和移動測試工具(如網路測試儀、流量分析儀等)。對重要的網路裝置要準備適當的備用裝置,至少要留足備用通道。網路關鍵裝置不一定要選用最昂貴和功能最齊全的裝置,但一定要選用應用比較成熟,可靠性高、使用者數量大的裝置,這樣技術支援的難度就會降低。如果將關鍵網路裝置的維護工作交給整合商或廠商來做,那使用者就得準備將網路的命運完全交給整合商或廠商來控制,而這是非常危險的。因此對人員進行適當的培訓並配備合適的、易懂易用的工具是做好網路維護工作的必要條件之一。
2、掌握故障隔離技巧
網路故障不可避免,如何才能快速定位並排除故障呢?以我的經驗,依據經驗並借用第三方工具分析就可以逐漸縮小範圍,直至定位到故障源。在這個過程中,需要藉助網路隔離技術。這樣不僅可以簡化網路快速定位故障源,同時也可以減少網路故障給整個網路帶來的損失。
其中,用交換機來隔離網段和網路故障有較好的作用。主伺服器、網管機等重要網路裝置應以獨享交換機埠為佳,不宜再用共享式集線器連線上其它裝置,這樣可以迅速孤立出故障裝置,減少因網路停運造成的損失。如果恰好遇到交換器故障,那麼根據網路拓撲結構圖就可以迅速定位交換機的問題,提高維護工作的時效性。另外,Mac地址是文件備案的最重要內容之一,除了用於排除網路裝置故障有極大方便外,對於迅速查詢我們稱之為“惡意使用者”的非合法上網成員也有很大幫助。
3、網路診斷中的社會工程學
社會工程學通俗地說就是使人們順從你的意願、滿足你的慾望的一門藝術與學問,在黑客技術中比較常用。其中不少網路故障是有網路內部的人員有意或者無意造成的,一個對公司不滿的員工就可以在一定程度上損壞企業的網路,至少會讓網路工程師忙得團團轉。有的時候,進行網路故障的診斷,瞭解這方面的資訊是非常有用的,很多時候會讓我們的工作柳暗花明。
說一個簡單的例子,某公司的`網管辭職後,不到一天就出現了網路故障。具體症狀為:公司外網基本上兩小時自動掉一次線,然後過一分鐘又自動連線上。這期間雖然耽誤時間只有一分鐘,但由於公司很多廣告設計都是多人線上協作完成。另外,公司的視訊點播系統對網路的連通性要求很高。因此,這一分鐘的掉線對公司的影響還是比較大的。在網路故障的排查過程中,排除了硬體連線和病毒等因素,就是找不到原因,網路排故陷入困境。最後維護人員瞭解到,前網管因不滿公司待遇憤然辭職的事實後,事情才柳暗花明,原來是前管理員離職前為洩憤修改了路由器的撥號設定才造成了如此蹊蹺的網路故障。由上面的這個案例可以看到,社會工程學在網路排故中的作用。這個例子非常簡單,大家在實戰中可能遇到更復雜的情況,不管怎樣掌握一定的社會工程學知識是必要的,它可是“技術之外的技術”。
基於長期的網路支援的經驗和相關的案例,我發現網路管理的漏洞大多數來自於內部管理人員,因此建立嚴格的內部管理機制是非常必要的。比如將MAC地址的備份列入必備文件。另外,每日對網路進行狀態自動搜尋會有助於很快發現並清除非法使用者。健康的網路維護方案中必須要有定期測試(包括每日測試和每日迴圈測試)的專案,只要堅持每日必要的測試和檢查,就可以保證99.9%的網路不會有超過2天而解決不了的嚴重網路問題的存在。
4、工程師的祕密武器
工欲善其事,必先利其器。因為,通常情況下,網路管理系統只能發現約30%~40%的網路故障(這還取決於被管理裝置支援網管的能力和分析、記錄網路異常流量的能力),當有故障報警後,多數情況下需要進一步迅速確定具體的故障位置和故障屬性。所以,為大型網路的管理者配置一些備用網路裝置是必要的。並且還需要按網路規模和使用級別、維護人員的技術等級配備相應的維護工具,並建立一整套測試維護的方案和規定,這樣才能保證網路的可靠性,並保證能及時處理各種網路故障。
另外,人們往往有這樣的錯覺:只要具備網管功能,就能發現網路的一切故障。其實,進一步的效能測試需要專用工具,要求這類工具不光能識別各種正常的工作協議,還要能識別形形色色的“網上垃圾”。網路工程師除了配備相應的LAN測試工具外,由於WAN鏈路的測試維護由WAN鏈路運營商(比如電信公司)負責,但網路使用者和系統整合商也需要配備一定數量的WAN測試工具以備效能評測、故障救急以及定期測試的需要。
5、黑客技術是高階工程師應備的技能
網路工程師掌握黑客技術並不是為了攻擊,考試,大提示而是為了防禦——知己知彼積極主動有效地防禦。我的理解,工程師不僅僅是網路的維護者(維護網路正常執行),而且還應該是網路的保護者。不說WAN,就LAN也面臨者來自外部和內部的攻擊,可以說在夾縫中求生存。攻擊者攻擊一個企業的網路,其最終目標的取得企業伺服器、核心網路裝置(路由器/交換機)的控制權。從而進一步控制整個網路或者獲取重要資料。作為網路工程師,應該特別對這些核心裝置重點保護,那就需要有一定的黑客(安全)技術了。
一名高階工程師必須掌握以下安全技能:
(1).入侵檢測技術。對於安全要求比較的企業網路一般都部署了IDS(入侵檢測系統),它能夠監控並幫助檢測網路系統是否發生了攻擊行為,它擴充套件了管理員的安全管理能力。但是,裝置部署萬能的(往往被突破),工程師自身掌握一定的入侵檢測技術這樣互相配合才能把安全做得更好。
(2).入侵測試技術。網路部署完成後,或者添加了新的伺服器、網路裝置後工程師最好自己進行入侵測試,看看是否足夠安全。當然,工程師的入侵測試技術越高,網路安全就更有保障。
(3).入侵跟蹤技術。如果網路屢遭攻擊入侵,工程師除了能夠分析找到安全漏洞進行修復外,還要能夠進行入侵跟蹤。入侵跟蹤除了進行入侵習慣的分析,最終目標是定位入侵者。不管是內網還是外網的入侵者,如果領教了該網路後面的工程師的厲害後,也許它就會就此停止對該網路的入侵。入侵跟蹤不僅是網路保護,更是對入侵者的震懾。
