网络管理员要为自己的疏忽买单

　　做网管时间久了，技术上过分自信自我感觉良好，觉得一切都在自己的掌握之中。因此，在解决问题时形成心理定势，想当然地进行操作。笔者曾经做过网管，经历过也目睹过网管们因疏忽造成的恶果。总结这些，深深觉得作为网管是疏忽不得，如果你疏忽了，你一定会为自己的疏忽买单。下面笔者追述两例网管为自己的疏忽买单的案例。

　　一、因为疏忽而丢掉工作

　　笔者曾经兼任本地一重点中学的网络管理员。该校在本地享有极高的声誉，每年的暑期招生工作非常紧张，为此该校在2007年的招生前夕部署了招生系统，采用网上招生和现场招生两种形式。

　　首先介绍一下该校网络拓扑，由于行政楼涉及的敏感部门比较多，所以，根据需要划分了多个VLAN，并设置了相应的访问策略，以提高数据访问安全。不同VLAN的计算机均使用不同的IP地址段、子网掩码和默认网关。招生系统属于学生处这个子网。

　　招生的前一天，学生处又新购置了4台计算机，要求接入校园网络，扩充招生系统， 和学校的数据库服务器进行一些数据的交流。当天对这四台计算机部署了招生系统的客户端，由于时间已晚，就没有连接入子网进行测试。认为小事一桩，在第二天早晨8：30招生开始之前10分钟搞定。

　　第二天，我将分配给新计算机的IP地址信息写在纸上，交给新分来的小张按照图示把这4台计算机分别连接至一号交换机的21~24端口。大概过了20分钟，小张从学生处打电话过来，两台机器已经顺利接入校园网和nternet,另外两台则无法正常通讯。这时，距离招生开始还有10分钟，学生及其家长都已经准备好了。学生处已经打电话催了，我赶紧跑过去。

　　来到学生处，首先在“设备管理器”中查看了一下网卡驱动程序的安装情况一切正常，没有黄色的 "!"提示。在网络属性中查看了一下TCP/IP协议和IP地址信息的设置也是正常，TCP/IP协议已经安装，且IP地址、子网掩码和默认网关设置正确。ping了一下本地计算机的IP地址也是正常，说明网卡工作正常。Ping了一下另外一台也不通的计算机的IP地址，连接正常，说明物理链路没有问题，交换机工作正常。

　　一切正常，那问题出在哪呢?我开始有些紧张，头涔涔了。时间已经过了8:30，有些不耐烦的学生和家长开始叫嚷了。校领导，急得进进出出，脸色非常难看。当时真后悔昨天没有进行测试，但后悔有什么用。

　　我又Ping另外两台计算机，不通;Ping了一下该VLAN的默认网关，也不通。再Ping网络内的服务器和路由器的默认网关，也是不通!看来，问题出在默认网关上，也就是说，其实就是出在交换机上。既然两台计算机之间都可以Ping到，但为什么无法Ping到默认网关，也无法Ping到同一VLAN内的其他计算机了呢?是不是这两台计算机的跳线插错了，接到其他VLAN端口当中去了?

　　到行政楼配线间一看，果不其然，Switche-Catalyst 2900是上下两排共48个端口，这位老弟按照我的纸条把4条跳线全插在上一排了(我的图示把端口画成了一排)，结果使用的不是21-24，而是21、23、25、27如图2所示。事实上，25和27端口属于另外一个VIAN。将相应的跳线改到21-24,再回到学生处测试，所有计算机全部连通!

　　这时候，时间已经9.00了，几百个学生和家长足足等了半个小时。当然我必须为自己的疏忽买单，从此不再兼任这所学校的网络管理员了。事后我进行了反思：网络管理员小小的疏忽，往往给企业、单位造成无形的损失。走在事前，不要过分迷信自己的技术。

　　二、年终奖为疏忽买单

　　这个案例来自我的一位网管朋友。朋友是一家烟草企业在本地分公司的CIO，前段时间从总公司申请到一定的经费用于网络升级。分公司老总特别关照，钱要用到刀刃上，使分公司的网络质量有一个大的提升，促进公司在春节前夕的生产。根据预算，新买了一台CISCO(思科)的Catalyst6509交换机，并且配备了WS-X6548-GE-TX这个思科推出的10M、100M、1000M自适应的48口RJ-45交换模块。6509一共有9个插槽，所以可以插上9个模块，但必须手工添加模块。

　　朋友干网管5年了，技术很棒，为核心设备升级添加模块是习以为常的事情了。于是从CISCO官方网站找来支持WS-X6548-GE-TX模块的新版本的IOS准备升级。

　　对于本次采用的这个WS-X6548-GE-TX模块一共有48个RJ-45端口，然而6509交换机又没有配其他的带RJ-45接口的模块。经过一番寻找，朋友发现超级引擎720上面有一个RJ-45模样的接口，旁边写着Link的字样，结果拿来网线插上一试，发现指示灯都不亮。指示灯不亮就说明该接口无法使用，不过因为这个接口是唯一的希望，否则只能用xmodem方式传输41MB的IOS，这无疑不符合老总提高网络性能的要求。

　　1.更改接口

　　既然使用XMODEM方式传输IOS不太现实，那么只能从超级引擎720上面那个RJ-45模样的接口入手。朋友非常了解，超级引擎720上的port2 有两种模式：一种是RJ-45接口，还有一种是SFP接口。而默认的设置是SFP，要使用RJ-45接口就必须更改设置，输入以下命令：

　　Switch#configure terminal //进入特权模式

　　Switch(config)#interface gigabitethemet 5/2 //进入该接口进行设置

　　Switch(config-if)#media-type rj45 //修改模式为RJ45，默认是SFP

　　Switch(config-if)#no shutdown //启用该接口

　　执行命令后发现橘红色的指示灯终于变成了绿色，首战告捷，朋友很得意。

　　2.更改传输方式

　　轻车熟路，接下来给接口配上管理地址，再把原来的IOS备份出来，在超级终端全局模式下输入命令:

　　Switch#copy sup-rootflash: s72033-pk9sv-mz.122-14.SX1.bin

　　TFTP Server 出现一连串#字号，开始传输数据，本来以为一切OK。谁知道眼看着就要传完的时候，系统提示:“timeout! Write error!”。

　　这当然难不住朋友，接下来根据系统提示的信息，确认不是网线和磁盘空间不足的问题，他马上判断肯定是TFTP普通文件传输协议不支持传输32MB的文件。于是决定采用FTP方式传输。于是在PC上建好FTP服务，键入如下命令:

　　Switch# configure terminal //进入交换机配置模式

　　Switch(config)# ip ftp username username //设置FTP的访问用户名

　　Switch(config)# ip ftp password password //设置登录FTP的密码

　　Touter(config)# end //结束，退出

　　Switch#copy sup-bootflash: s72033-pk9sv-mz.122-14.SX1.bin ]192.168.1.1]

　　执行FTP传输命令，传输文件为s72033-pk9sv-mz.122-14.SX1.bin，已经建立好的FTP服务器地址为192.168.1.1。

　　FTP传输更新IOS后文件复制非常正常，等待了几分钟，系统提示“successful!”。

　　朋友的判断完全正确，一切不出所料。

　　3.上传IOS

　　将IOS成功备份到FTP上后，就轮到将新的用于升级的IOS进行上传了，进入6509配置模式使用如下命令进行操作:

　　Switch# configure terminal //进入配置模式

　　Switch(config)#ip ftp username username //设置登录FTP的用户名

　　Switch(config)#ip ftp password password //设置登录FTP的密码

　　Switch(config)#end //退出设置

　　Switch#copy/ s72033-jk9o3sv-mz.122-17a.SX.bin] sup-bootflash:

　　//复制s72033-jk9o3sv-mz.122-17a.SX.bin新版IOS到本交换机

　　上面的操作虽然一波三折，但还算顺利，都在朋友的掌握之中!朋友的噩梦才刚刚开始。

　　4.升级失败

　　下面该更新交换机的Flash了，首先清除Flash的IOS,不假思索，朋友敲入如下命令：

　　Switch#delete sup-bootflash:s72033-pk9sv-mz.122-14.SX1.bin //删除IOS

　　Switch#copy tftp flash: //复制文件从tftp到flash

　　经过一阵感叹号后，新的IOS文件成功复制到flash中。看到屏幕上的信息，朋友坚信已经成功了，于是，非常熟练地敲入最后一条命令，重启交换机：RELOAD

　　翘首期盼，朋友期待的界面并没有出现，交换机没有启动起来!再次重启，依然如故。难道升级失败!朋友事后说当时他郁闷透了，明明显示升级成功，为什么交换机就是启不起来。更让他叫苦的是在更新前没有备份IOS，以为不会有什么问题，就直接删除了原来的ISO，然后更新。最后朋友尝试用各种办都没能让交换机重启，估计是在升级的过程中出现了物理故障。

　　万幸的是交换机还在包换期内，但是交换机是在省城购买的。要去换的话，势必影响企业局域网的正常运转。但有什么办法呢?事后朋友自掏腰包去省城更换了交换机，一个来回，用去了一天的时间。分公司老总，把这起事件定性为生产事故，朋友的年终奖金全部泡汤了。

　　总结：这两起比较典型的网络案例告诉我们：技术并应该是网管的全部，单靠技术并不能解决所有的网络问题。良好的工作习惯、认真的工作态度是一个网络管理人员必须具备的素质。技术没有尽头，操作前请停手思考30秒，往往可以减少很多不必要的损失。确实，疏忽要不得，如果你疏忽了，你必然要为自己的疏忽买单。