■ 江苏 杨莹莹 肖瑞兴

编者按：某单位引入了云桌面系统，与PC 环境不同的是，云桌面系统一旦遭受病毒攻击，处理起来更加困难。而该单位所遇到的业务系统无法收发外网文件正是由于云桌面感染病毒风暴引起的网络故障。

经过多年的发展，桌面虚拟化技术日益成熟，在多个行业拥有较为广泛的部署。

某单位办公网络在2015年引入了华为云桌面系统，实现了网络化、虚拟化办公，在提高用户办公效率、降低管理成本的同时，也对网络管理人员的技术水平提出了更高的要求。

本文通过单位出现的一则云桌面病毒风暴引起网络故障的实例，讲述分析及解决过程及云环境下处理网络病毒问题面临的挑战。

网络环境

单位云数据中心接入交换机为HW5700，该交换机与数据中心核心交换机HW 12700 之间存在VPN 客户端设备，用于和外单位服务区的VPN 服务端设备组成加密通道。HW5700 通过路由器连接到外网。核心交换机HW12700 下接两台HW7700 汇聚交换机，其中一台HW7700下接云桌面服务器集群，另外一台下接各楼层交换机，用户通过瘦终端接入网络并访问云桌面系统服务器，或者通过传统PC 访问网络。

故障现象

某天，有用户反映多个业务系统无法收发外网文件，网管人员在台式机上Ping网关1 和网关3 正常，Ping路由器正常，Ping 网关2 则丢包严重。在云桌面虚拟机上Ping 网关2 正常，Ping 网关3 丢包严重。

故障分析

数据包从网管人员台式机到达网关2，依次要经过网关1、网关3 和VPN 客户端。通过Ping 网关1 和网关3 都正常，而Ping 网关2 丢包，说明故障点可能在VPN 客户端或网关2。数据包从云桌面虚拟机到网关3，依次要经过网关2 和VPN 客户端，Ping网关2 正常，而Ping 网关3丢包，说明故障点可能在VPN客户端或网关3。结合两条路径分析，很可能是VPN 客户端出了问题。

于是网管人员跳开VPN客户端来进行测试，发现内部网络恢复了正常，但是Ping 路由器却出现大量丢包，说明网络中存在其他的故障点。

由于网络断断续续，所以判断可能是用户机器感染了病毒导致了数据量过大。断开各楼层交换机，问题依旧。于是网管人员估计是数据中心机房内的云桌面虚拟机的问题比较大。

故障处理

第二天，华为技术人员前来查看，在用户云桌面上安装抓包软件进行流量统计和抓包，但一抓包云桌面虚拟机立即死机。技术人员登录交换机管理软件查看端口状态，发现HW12700 上端口数据量非常大，分析数据包发现有至少三台虚拟机对一个内网中不存在的地址218.7.219.90 发包，数据量非常大。

由于HW12700 的性能很好，所以内部网络可以正常通信，而VPN 客户端的出口仅有百兆，所以一开始数据包阻塞在VPN 客户端处，当将其跳开以后，由于路由器的带宽有限，于是数据包阻塞在路由器处。技术人员立即在HW12700 上进行病毒ACl 访问控制，禁止所有虚拟机对218.7.219.90 发包，网络逐渐恢复正常。

之后技术人员登录其中一台问题虚拟机发现，网卡向外发送的数据量达到正常数据量的上百倍，安装抓包工具发现绝大部分数据包都是发送给地址218.7.219.90，通过“任务管理器”→“性能”→“资源监视器”→“网络”可看到WP9service 进程发送数据包达100 MB，定位后发现其位于webplay 播放器的安装目录下。网管人员上网查找资料，发现WP9service 是webplay 播放器进程，很可能感染了木马病毒，但采用杀毒软件没有查到病毒。之后网管人员将WP9service.exe 文件手动删除，并卸载webplay 播放器，重启虚拟机，网卡发送数据恢复正常。其它问题虚拟机采用同样的方法进行处理。最后还原HW12700 配置，接上VPN 客户端，网络恢复正常。

结语

自从部署了云桌面系统用于日常办公后，在网络管理维护方面给技术人员提出了新的挑战。

一方面，病毒造成的危害更大了。用户虚拟机集中在服务器集群上运行，都连接到同一台交换机HW7700，染毒虚拟机同时爆发，产生病毒风暴，会使数据包都集中在HW7700 上或上一级故障点，造成网络阻塞，导致所有TC 都无法访问虚拟机。而且病毒风暴也会导致资源池内CPU 和内存资源被大量占用，使得大量虚拟机不能正常工作。

另一方面，病毒处理起来更复杂。传统PC 环境下，发现用户终端感染病毒时可以直接断开该用户端口，或者是断开染毒终端所在交换机，然后通知其杀毒处理，这些都不需要修改交换机配置，并且也不会影响到其他用户访问网络。在云桌面环境下，用户虚拟机集中存储在一个服务器集群上，没有办法采用断网杀毒的方式处理。因此，只能先在交换机上进行ACL 控制，然后通知用户处理，处理完再恢复交换机配置。