郑州市第五十一中学 - 郑州教育博客
郑州市第五十一中学校园网络巡查基本情况
巡查时间:2012年16日 下午 出口设备: DP FW1000GC,N 核心交换设备:锐捷 S5750 一、网络速度分析 内网速度:3.86 MB/秒 测试位置:核心交换
外网速度:226KB/秒
测试位置:核心交换
二、路由信息分析
访问www.zzedu.net.cn 路由共6跳。
其中:校园内部,1跳;广电VPN,4跳;信息中心,1跳。 分析:广电VPN历经4跳,相对其他学校,跳数较少,网络时延主要来自广电VPN。
访问www.sina.com 路由共21跳。
其中:校园内部,1跳;广电VPN,9跳;信息中心,3跳。 外网,8跳 分析:网络时延主要来自广电VPN和外网。
三、网络整体流量分析
时间:上午 16:40
总流量分析:单位时间内每秒位数:11.92Mbps;相对广电100Mbps利用率为:11.92%
四、有危害的网络问题及解决分析
问题描述-1:TCP SYN风暴,基于TCP的DOS/ DDOS攻击, 建立并维护TCP半开连接,消耗目标主机资源。 发现:源地址为10.1.153.180的ip对51中内
网ip网段进行TCP SYN扫描。
问题解决:在迪普FW1000GC,N上面添加过滤策略,限制源地址为10.1.153.180的ip对51内网ip网段的访问。策略,如下图,添加后,风暴消失。
问题描述-2:网络中存在疑似肉鸡或中病毒主机10.1.17.169,需要进行核实,此主机连接外网地址4696台,远远超过正常主机连接数量。
问题解决:核实之后,可以在迪普出口设备上进行策略控制,限制其接入外网。
问题描述-3:核心交换机日志,存在ip地址冲突。
*Feb 15 16:09:29: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.37 on VLAN 10 changed
50af.7313.ef29 to 0016.ec60.29ca due to ARP packet from GigabitEthernet 0/16.
*Feb 15 16:09:29: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.37 on VLAN 10 changed
0016.ec60.29ca to 50af.7313.ef29 due to ARP packet from GigabitEthernet 0/16.
*Feb 15 16:09:35: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.37 on VLAN 10 changed
50af.7313.ef29 to 0016.ec60.29ca due to ARP packet from GigabitEthernet 0/16.
*Feb 15 16:09:35: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.37 on VLAN 10 changed
0016.ec60.29ca to 50af.7313.ef29 due to ARP packet from GigabitEthernet 0/16.
*Feb 15 16:12:08: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.172 on VLAN 10 changed 4437.e60b.a144 to e89a.8f29.c343 due to ARP packet from GigabitEthernet 0/15. *Feb 15 16:12:08: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.172 on VLAN 10 changed e89a.8f29.c343 to 4437.e60b.a144 due to ARP packet from GigabitEthernet 0/15. *Feb 15 16:12:08: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.172 on VLAN 10 changed 4437.e60b.a144 to e89a.8f29.c343 due to ARP packet from GigabitEthernet 0/15. *Feb 15 16:12:08: %ARP-4-ARPCHANGEMAC: ARP entry 10.1.17.172 on VLAN 10 changed e89a.8f29.c343 to 4437.e60b.a144 due to ARP packet from GigabitEthernet 0/15.?
问题解决:建议核查内网地址为10.1.17.37和10.1.17.172的主机,有冲突发
生,建议加强管理。
问题描述-4:核心交换机日志,ip会话扫描。
*Feb 16 08:22:44: %NFPP_IP_GUARD-4-SCAN:
Host
was detected.(2012-2-16 8:22:15)
*Feb 16 08:23:15: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16 8:23:15)
*Feb 16 08:23:45: %NFPP_IP_GUARD-4-DOS_DETECTED:
Host was detected.(2012-2-16 8:23:19)
*Feb 16 08:24:15: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16 8:24:15)
*Feb 16 08:24:45: %NFPP_IP_GUARD-4-DOS_DETECTED:
Host was detected.(2012-2-16 8:24:27)
*Feb 16 08:25:15: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16 8:25:15)
*Feb 16 08:38:14: %LINK-3-UPDOWN: Interface GigabitEthernet 0/23, changed state to up.
*Feb 16 08:38:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet 0/23, changed state to up.
*Feb 16 09:37:31: %NFPP_IP_GUARD-4-DOS_DETECTED:
Host was detected.(2012-2-16 9:37:31)
*Feb 16 09:38:01: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16
9:37:32)
*Feb 16 09:38:32: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16
9:38:32)
*Feb 16 09:39:02: %NFPP_IP_GUARD-4-DOS_DETECTED:
Host was detected.(2012-2-16
9:38:36)
*Feb 16 09:39:32: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16
9:39:32)
*Feb 16 09:40:02: %NFPP_IP_GUARD-4-DOS_DETECTED:
Host was detected.(2012-2-16
9:39:38)
*Feb 16 09:40:32: %NFPP_IP_GUARD-4-SCAN:
Host was detected.(2012-2-16
9:40:32)
*Feb 16 09:41:02: %NFPP
问题解决:建议核查内网地址有没有和教育信息网内网10.207.21.3的业务联系
较多,如果没有,建议在出口中过滤此ip的会话。
五、
总结
初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf
及建议
1、下午16:40点进行的网络分析,校园网络访问教育信息网内网速度正常,
外网速度较慢,利用率较其他学校正常。
2、校园网络使用静态ip地址分配。
3、网络中存在,网络中毒的肉鸡,大量吞噬网络外网带宽,连接较多的外网主
机,消耗校园网络外网资源,导致外网下载较慢。建议进行定期网络杀毒。
4、建议学校网络设备及应用服务器定期除尘,以免灰尘较厚影响设备的正常散
热,从而降低设备的性能及使用寿命。
5、建议对学校各机柜线序进行梳理。
六、相关照片