房東的兒子電話中告訴我們,他們的環境是一條中華電信 100M/40M 、9個房間、一個有8個攝影鏡頭的監視器。監視器網路有時連不上去、房客網路會不順暢、斷線。
現場看,發現設備都擺在天花板上,有一個維修孔可以打開。上面有一個中華電信的數據機、一台8孔的交換器、一台監視器主機、一台Hiper 510頻寬管理器(沒插電)
現場分析:
1、頻寬管理器沒插電,放在天花板上是不會發揮頻寬管理的功能的(我猜測水電師傅買了,但不會裝…最後就放著保平安吧!
2、監視器的網路接在 中華電信數據機的第一個孔,同時用了 @ip.hinet.net 撥號取得固定IP位址。(監視器用了固定IP位址,我就沒的用,所以必須改監視器的網路設定,才能兼顧遠端網路管理及遠端網路監視器的需求)
3、其中兩個房間的網路線直接接到中華電信數據機的第二、第三孔。(網路架構不好,將來發生問題會比較難找出原因)
4、中華電信數據機的第四孔接一條網路線到8孔的交換器,其它7間就接在交換器剩餘的7孔上。
專業看法:
1、網路架構必須簡化,所以我們準備了一台頻寬管理器、一台16孔的vLAN交換器。
中華電信數據機 ->頻寬管理器->16 孔vLan交換器-> (9個房間 + 監視器主機)
事後追蹤:
1、 裝機時跟房東說每個房客的最大下載頻寬設定下載6M,速度足夠了。房東詢問「是否可以再加一條中華電信100M/40M,讓每個房客的下載頻寬可以提昇到12M呢?」我回答可以,但沒必要。如果個別房客有較高的頻寬, 我們可以另外開給那個房客。多拉一條中華電信只是增加成本而已。
2、雖然有9個房間,但同時上線不會超過5台電腦(如下圖所示,只有4台電腦加1台監視器主機)。其中一個房客(IP:192.168.2.10)有在抓東西,短短兩天就抓了5G的資料。如果沒有做頻寬管理,那他抓東西的當下是會搶走所有的頻寬。
3、 監視器主機異常(IP:192.168.2.250) 。即使房東沒有用手機看監視器,它的連線數維持在400個(我們設定每台電腦最多只能用400個連線數;它已經達到上限了)。如果沒有頻寬管理器,不正常的監視器是拖垮整個網路的主要原因。我們猜測監視器主機可能是中毒、或是早已被駭客入侵。我們看完報告後,關閉了該IP的幾個port、讓連線數小於200個,不會拖垮整個網路。
2016/10/1
一星期前裝機,網路一直是沒有問題。(除了9/28茱蒂颱風的晚上中華電信線路瞬斷一下,但馬上就恢復了)
今天早上十點多就接到3個房客的電話,說不能上網。我從外面連不到頻寬管理器,心裡想故障原因是中華電信的外線斷了?還是我們的頻寛管器當掉了?…最後請其中一個房客重開電源(開關可以控制天花板上的設備電源。有數據機、頻寬管理器、交換器、和監視器主機),結果網路就恢復了。
一小時後又接到房客電話,說網路不能用。這次詢問中華電信的客服,發現外線是正常,推斷應該是頻寬管理器故障了。下午2點帶著備用的新頻寬管理器去搭捷運,車上想著上星期去安裝的是全新的頻寬管理器,應該沒問題才對…可能是因為颱風天停電、復電的電壓不穩,燒壞變壓器? … 到了請房東來開門,順便問了颱風天有無停電?結果那天是沒有停電的。
打開天花板看一下所有設備的燈號(數據機Alarm紅燈沒亮,其它綠燈正常閃爍…數據機是OK的;頻寬管理器也是綠燈正常閃爍…所以變壓器也沒壞,頻寬管理器也是OK的)…那為什麼不能上網呢?把監視器主機的網路線拔掉,網路瞬間恢復可以上網,也可以打開頻寬管理器的管理網頁。
監視器主機透過網路線對頻寬管理器發動了DDoS分散式阻斷服務攻擊,以至於頻寬管理器無法負荷超高的網路流量,所以大家都不能上網。
管理套房網路以來,第一次發現監視器主機會發動DDoS分散式阻斷服務攻擊,癱瘓了頻寬管理器。如果是房客的電腦中毒,發動DDoS分散式阻斷服務攻擊,我們會請房客重灌電腦就可以解毒了;但監視器主機沒辦法用重灌來決解(因為是主機的OS有漏洞,一開始就被駭客入侵)…所幸房東願意花錢換新的監視器主機,不然我也沒辦法了。
#2016-09-13