青島 李士山

日志是網(wǎng)絡(luò)管理員的幫手。作為網(wǎng)絡(luò)管理員，如果你想在單位的大型網(wǎng)絡(luò)中掌握網(wǎng)絡(luò)性能，離不開對網(wǎng)絡(luò)日志的分析，幫助你在網(wǎng)絡(luò)性能出現(xiàn)問題時(shí)，及早發(fā)現(xiàn)。下面就是一個利用日志解決網(wǎng)絡(luò)故障的真實(shí)案例。

這幾天，筆者單位的網(wǎng)絡(luò)出現(xiàn)了故障：瀏覽網(wǎng)頁時(shí)好時(shí)壞，好的時(shí)候網(wǎng)頁能瞬間打開，壞的時(shí)候根本就打不開網(wǎng)頁。

起初懷疑是DNS 的問題，于是使用ping 命令進(jìn)行測試，發(fā)現(xiàn)域名解析正常。接著又想到了防火墻，難道是遭到了大量的攻擊嗎？但事實(shí)并非如此，防火墻很安全，沒有任何攻擊存在。

又查看了策略和源NAT，根本發(fā)現(xiàn)不了什么問題。

圖1 查看日志

圖2 源NAT 資源枯竭

到底問題出在了哪里？一時(shí)陷入了困惑。就這樣故障持續(xù)了兩三天還是沒有找到解決的辦法。

再次進(jìn)入防火墻，突然看到了窗口左下角的“日志”。日志是網(wǎng)絡(luò)管理員的利器，怎么把它忘了呢？進(jìn)入事件日志，發(fā)現(xiàn)了大量的警告信息：“FLOW：SNAT rule id 1 resource exhausted(proto=6).Reason:out of SNAT resource”。如圖1 所示。

源NAT 資源枯竭！是什么原因?qū)е碌脑碞AT 資源枯竭呢？繼而想到了NAT日志。原先的設(shè)置沒有開啟NAT日志，因此決定啟用它。

幾分鐘后，查看NAT日志，終于發(fā)現(xiàn)了端倪：源IP為192.16.4.4 的主機(jī)以不同的端口號源源不斷地連接不同IP 主機(jī)的445 端口。源NAT 資源枯竭的原因找到了！如圖2。

圖3 增添了一條防火墻策略，以阻止內(nèi)外網(wǎng)445 端口連接

445 端口是一把雙刃劍。利用445 端口，我們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機(jī)；但黑客通過445 端口可以偷偷共享你的硬盤，甚至?xí)谇臒o聲息中將你的硬盤格式化掉！為了阻止內(nèi)外網(wǎng)445端口連接，增添了一條防火墻策略。如圖3。

最后進(jìn)行測試，網(wǎng)站打開正常。通過這次故障認(rèn)識到，在網(wǎng)絡(luò)管理中千萬不可忽略日志的重要性。利用好日志，將會對故障分析起來就能達(dá)到事半功倍的效果。