简单的问题文章(简单的问题曲折的经历)
简单的问题文章(简单的问题曲折的经历)真是不看不知道,一看就明了,万万没想到啊,跑满国际链路的,不是业务应用,也不是病毒,而是windows update ! 微软到底是美国公司,连windows update都想回家,不好好地走国内线路,偏要走国际链路到美国服务器去下载更新,难怪开机到十几台就跑满4M链路,哪怕就一台电脑,windows update 也能把4M跑满啊!病毒?第一反应就是病毒,否则没人跑国际业务,凭什么链路被占有满?而且广州人表示,跑流量的IP一直在变。肯定有几台电脑中毒了! 一共80台电脑,还好,当天开机状态的电脑只有30多台,立刻标记这30多台电脑,然后全部关机,苏州分公司IT负责一台一台地开机,我负责远程盯着防火墙,广州IT负责远程盯着爱*快,开到第十几台的时候,国际链路又基本上达到爆满状态了,4M,对防火墙来说,根本不算什么,所以在我这里,我就看看流量排行榜而已,看爱*快的兄弟就看得很明显了,眼看着带
有个全球知名的互联网公司,因为某些原因,在多年前痛失中国市场,它当然心有不甘,所以现在正以另外一种形式,在全国开花——各地建立体验中心——据说是类似于阿里巴巴的平台,旨在将中国制造的产品推向国外市场,每个体验中心,看上去都很高大上,我们有幸成为该公司苏州体验中心的IT建设商
整个项目历时两三个月时间,防火墙、三层交换机、二层交换机、AC控制器、无线AP、LED屏、拼接屏、投影仪、广播系统、背景音乐等等,一应俱全,安装调试也非常顺利,直到总部来人安装了一台国际链路设备,从此故障不断,经常出现链路挤爆卡死,怀疑没做好防火墙的策略配置
我们工程师过去一看,国际链路用了一台爱*快的设备!
可惜我们的工程师,一天到晚调试网络,没想这么高大上的公司,竟然用了一台他没见过的爱*快,防火墙厂商的工程师也一起到现场,两人在机房一起吐槽这台设备,并且一致认为,就是这台设备导致网络卡,毕竟这玩意儿性能不会高到哪里去,但毕竟,咱们都是专业人士,得用数据说话,于是,Wireshark抓包走起,厂商工程师在防火墙上抓包,我们的工程师在爱*快上抓包,抓了半天,网络一切正常。。。客户很郁闷,我们的工程师也很郁闷,厂商的工程师有些生气,声称下次再这样不来了,根本没问题! 好吧,无功而返!
三天过去,客户又来电话,说是国际链路又被卡死了,关键应用失联!赶紧远程登录客户的防火墙,看了策略,也做了测试,没问题啊,只有某些国外网址才会走国际链路,一般上网就走电信线路。想登录爱*快设备,被告之禁止外部用户远程登录,我汗,那怎么判断问题?
好在能联系上广州分公司的IT,据说,这台设备就是他过来上的,好吧,让他远程登录爱*快,他表示国际链路是4M的,目前基本上是被占满状态!然后把几个流量跑得最凶的IP地址发给我了。
我擦,才4M啊!立刻打电话给苏州分公司的IT,告诉他广州IT在线,国际链路被挤爆了!赶紧查一下,这几个IP是谁在用?他们在跑什么业务?但是他回复:现在根本没人在跑国际业务!因为链路挤爆了,想跑国际业务的,都在消极怠工呢!
病毒?第一反应就是病毒,否则没人跑国际业务,凭什么链路被占有满?而且广州人表示,跑流量的IP一直在变。肯定有几台电脑中毒了! 一共80台电脑,还好,当天开机状态的电脑只有30多台,立刻标记这30多台电脑,然后全部关机,苏州分公司IT负责一台一台地开机,我负责远程盯着防火墙,广州IT负责远程盯着爱*快,开到第十几台的时候,国际链路又基本上达到爆满状态了,4M,对防火墙来说,根本不算什么,所以在我这里,我就看看流量排行榜而已,看爱*快的兄弟就看得很明显了,眼看着带宽被吃完,赶紧让苏州的IT去看排在前5名的电脑,但是这位兄弟表示,电脑都刚开机,没人开过任何窗口,任务管理器也看不到什么程序在跑流量。这兄弟看来不专业啊,告诉他,下载个360安全卫士,里面有个流量防火墙,就能看到哪个程序在跑流量了
真是不看不知道,一看就明了,万万没想到啊,跑满国际链路的,不是业务应用,也不是病毒,而是windows update ! 微软到底是美国公司,连windows update都想回家,不好好地走国内线路,偏要走国际链路到美国服务器去下载更新,难怪开机到十几台就跑满4M链路,哪怕就一台电脑,windows update 也能把4M跑满啊!
广州IT表示很无语,错怪我们了,不是我们防火墙的策略没做好,但是这怎么破啊?windows update不是应该自动选择最短路径么?怎么会跑到美国服务器更新?该怎么杜绝这个问题呢?
我回答:这还不好解决么?要么服务器上WSUS跑起来呗,大家都从内网更新,就不可能占用国际链路了啊! 要么部署360企业版,同样通过内部服务器更新系统,连杀毒软件都顺便一起更新了,更省流量了(虽然电信固定IP不限流量,哈哈)
由于对方号称国际知名大公司,部署360企业版一秒钟就被否决了,那就没别的选择了,只能架设WSUS服务器,然后这台服务器在防火墙中配置,只允许走电信线路出去,从此相安无事
BTW:国际知名IT公司也不过如此,本以为个个都是高手,结果碰到几个菜瓜,也就广州的那位兄弟感觉挺不错,可能大牛们都在美国吧。。。
