Tổng lượt truy cập

Saturday, October 16, 2010

Xử lý sự cố telnet

Hôm nay mới sáng sớm lên cty, cũng như mọi ngày tôi dùng checklist công việc tôi tự lên để check hệ thống, nay tôi gặp vấn đề như sau:

Hiện tượng: Nhiều switch telnet trực tiếp (từ máy quản trị ) vào không được nhưng khi đi vòng vào qua Switch core thì lại được.

Hướng kiểm tra:

- Kiểm tra lại cấu hình telnet trên các switch

- Rà soát xem ACL có vấn đề gì không (có giới hạn truy cập telnet không)? show run

- Rà soát xem các line vty được mở xem có còn idle không à show run, show line

- Kiểm tra bảng arp cache của các switch à show arp

- Kiểm tra default gateway của các switch à show run

Cách khắc phục:

- Các switch mà không telnet tới được từ máy quản trị là do các switch đó chưa được đặt default-gateway, nên sẽ không biết đường trả lời về

đặt default-gateway cho chúng: ip default-network …..

- (Customize) Cấu hình lại truy cập từ xa trên các thiết bị bằng giao thức SSH thay vì Telnet và đổi mật khẩu enable password sang enable secret

Tình huống phát sinh:

Sau khi cấu hình default-gateway cho các switch xong, vẫn có một số switch không telnet tới được à sau khi tìm hiểu thì thấy là bảng Arp của các switch đó thông tin không được đúng, vì nếu truyền thông với một host ở ngoài mạng của mình, lúc đó default-gateway sẽ đóng vai trò là arp proxy.

Nhưng sau khi soi bảng arp của switch bị hiện tượng đó thì, địa chỉ ip của host ngoài mạng (hostA) lại có địa chỉ MAC là một MAC nào đó, không phải là địa chỉ MAC của default-gateway của switch

  • Nghi vấn: trong vùng của swich đó có máy nào liên tục nhả ra các MAC giả làm sai lệch quá trình truyền thông
  • Nguyên nhân: các cổng của switch mặc định là thuộc vlan1, mà ở đây vlan 1 lại đang dùng làm vlan quản lý. Như vậy 1 kẻ xấu chỉ cần cắm vào 1 cổng bất kỳ trên switch là có thể theo dõi được lưu lượng quản lý trên các switch.

Hướng khắc phục:

- Đổi vlan quản lý sang vlan khác: Trước khi đổi vlan quản lý trên các switch layer 2 thì ta cần tạo vlan mới trên switch core và xác nhận các switch layer 2 đã học được vlan mới này, sau đó gán ip cho vlan quản lý mới trên switch core.

- Cấu hình đổi vlan quản lý trên các switch layer 2

int vlan 35

ip add 192.168.35.128 255.255.255.0 //dải management network

no shut

exit

exit

wr me

Sau đó vào lại switch và kiểm tra xem vlan 1 đã shutdown chưa, nếu chưa thì thực hiện shutdown và lưu cấu hình

Đăng bài bởi
Labels: