Hei!
Jeg jobber til daglig med nettverksadministrasjon og brukersupport. Nå har jeg nettopp sittet i telefonen i 4 timer sammenhengende med en leverandør som sammen med meg har forsøkt å spore feilkilden til sporadisk utfall av nettkommunikasjon i et skolenettverk.
Hvordan nettverket ser ut
Internett<->Brannmur<->router<->Win2008r2 (server m/dhcp, wds, wsus, ad og dns)
Ut i fra router går nettverkskabel til eit vlan for elevene i skolen. Dette nettverket inneholder 4 switcher fordelt på to skap med fiber imellom, 5 trådløse accesspunkt og en rekke stasjonære tynnklienter, samt stasjonære PCer med interaktive tavler. Det trådløse nettverket betjener inntil 50 bærbare maskiner. Alle IP-adresser tilbys direkte fra server, og DNS-oppslag går også frå server.
Nettverket har vært dønn stabilt i 6 måneder, da vi utførte total gjennomgang og opprettet et eget management-vlan.
Problemet
I 3 dager har nettverket vært ustabilt. Lærerne forklarer det som at "Internett er ute" og "nettverket/pc-er fungerer ikke", altså enkle beskrivelser som avspeiler hvordan de opplever problemet. Til å begynne med forsøkte vi enkle grep som å starte switcher og router på nytt. Dette løste imidlertid problemet kun i små perioder.
Det viser seg at problemet kommer og går (noen minutter på, noen minutter av), men berører kun en tilfeldig andel av klientene. Andre klienter får svar på ping mot server, men får ikke kontakt med router eller internett.
I dag har vi hatt en stor gjennomgang av nettverket (forsøkt å bytte router, hoppet fra switch til switch og stengt ned porter i vlan-et). Dette holdt vi på med frem til omlag 13:20. Til dette tidspunktet kom og gikk nettverket periodevis, men etter omtrent 13:10 var nettverket dønn stabilt. Tilfeldigvis var dette tidspunktet da siste skoleklasse var ferdige for dagen. Dette får meg til å tro at en av elevene har en privat device (pod, telefon, nettbrett eller laptop) som forårsaker feilen. Om feilen kommer som følge av intesjonell sabotasje, eller et defekt nettverkskort eller lignende, har jeg ingen formening om.
Tiltak
Det er her jeg ønsker hjelp fra dere. Ved flere lignende nettverksjobber har jeg hatt ønske om å ha tilgang på et verktøy som kan spore/identifisere unormal oppførsel blandt klientene.
Har brukt Wireshark på et ganske basic nivå tidligere, men skulle gjerne visst om det er noen kommandoer/filter som kan hjelpe meg å finne "synderen" i nettverket. Er det noen som kan bidra med informasjon på dette, eller kan veilede meg til et annet verktøy som kan gjøre denne jobben? Trenger spesifikke kommandoer/filter jeg kan bruke.
Ser for meg et program jeg kan installere på server, og som kontinuerlig overvåker trafikken fra klientene. Om/når en klient sender unormalt mye trafikk, eller på en annen måte kan identifiseres som en problemkilde, ønsker jeg en alarm/logget oppføring som inneholder netbios-navnet og IP-adressen på klienten. Tilleggsinformasjon som identifiserer trafikken og målkilden hadde også vært nyttig informasjon, som f.eks ved torrent-bruk eller lignende.
Veldig spent på svar.
På forhånd takk!
Jeg jobber til daglig med nettverksadministrasjon og brukersupport. Nå har jeg nettopp sittet i telefonen i 4 timer sammenhengende med en leverandør som sammen med meg har forsøkt å spore feilkilden til sporadisk utfall av nettkommunikasjon i et skolenettverk.
Hvordan nettverket ser ut
Internett<->Brannmur<->router<->Win2008r2 (server m/dhcp, wds, wsus, ad og dns)
Ut i fra router går nettverkskabel til eit vlan for elevene i skolen. Dette nettverket inneholder 4 switcher fordelt på to skap med fiber imellom, 5 trådløse accesspunkt og en rekke stasjonære tynnklienter, samt stasjonære PCer med interaktive tavler. Det trådløse nettverket betjener inntil 50 bærbare maskiner. Alle IP-adresser tilbys direkte fra server, og DNS-oppslag går også frå server.
Nettverket har vært dønn stabilt i 6 måneder, da vi utførte total gjennomgang og opprettet et eget management-vlan.
Problemet
I 3 dager har nettverket vært ustabilt. Lærerne forklarer det som at "Internett er ute" og "nettverket/pc-er fungerer ikke", altså enkle beskrivelser som avspeiler hvordan de opplever problemet. Til å begynne med forsøkte vi enkle grep som å starte switcher og router på nytt. Dette løste imidlertid problemet kun i små perioder.
Det viser seg at problemet kommer og går (noen minutter på, noen minutter av), men berører kun en tilfeldig andel av klientene. Andre klienter får svar på ping mot server, men får ikke kontakt med router eller internett.
I dag har vi hatt en stor gjennomgang av nettverket (forsøkt å bytte router, hoppet fra switch til switch og stengt ned porter i vlan-et). Dette holdt vi på med frem til omlag 13:20. Til dette tidspunktet kom og gikk nettverket periodevis, men etter omtrent 13:10 var nettverket dønn stabilt. Tilfeldigvis var dette tidspunktet da siste skoleklasse var ferdige for dagen. Dette får meg til å tro at en av elevene har en privat device (pod, telefon, nettbrett eller laptop) som forårsaker feilen. Om feilen kommer som følge av intesjonell sabotasje, eller et defekt nettverkskort eller lignende, har jeg ingen formening om.
Tiltak
Det er her jeg ønsker hjelp fra dere. Ved flere lignende nettverksjobber har jeg hatt ønske om å ha tilgang på et verktøy som kan spore/identifisere unormal oppførsel blandt klientene.
Har brukt Wireshark på et ganske basic nivå tidligere, men skulle gjerne visst om det er noen kommandoer/filter som kan hjelpe meg å finne "synderen" i nettverket. Er det noen som kan bidra med informasjon på dette, eller kan veilede meg til et annet verktøy som kan gjøre denne jobben? Trenger spesifikke kommandoer/filter jeg kan bruke.
Ser for meg et program jeg kan installere på server, og som kontinuerlig overvåker trafikken fra klientene. Om/når en klient sender unormalt mye trafikk, eller på en annen måte kan identifiseres som en problemkilde, ønsker jeg en alarm/logget oppføring som inneholder netbios-navnet og IP-adressen på klienten. Tilleggsinformasjon som identifiserer trafikken og målkilden hadde også vært nyttig informasjon, som f.eks ved torrent-bruk eller lignende.
Veldig spent på svar.
På forhånd takk!
Sist endret av han_som_reiste; 2. november 2012 kl. 14:52.