《故障排查.ppt》由会员分享,可在线阅读,更多相关《故障排查.ppt(38页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络故障排查网络故障排查 按网络故障的性质划分按网络故障的性质划分 物理故障,是指设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。比如说,网络中某条线路突然中断,如已安装网络监控软件就能够从监控界面上发现该线路流量突然掉下来或系统弹出报警界面,更直接的反映就是处于该线路端口上的无线电管理信息系统无法使用。网络线路故障排查起来比较容易,先用ping命令检查线路与网络管理中心服务器端口是否连通,如果不连通,则检查端口插头是否松动,如果松动则插紧,再用ping命令检查,如果已连通则故障解决,如图所示。网络故障的分类网络故障的分类逻辑故障中的一种常见情况就是配置错误,就是指因为网络设备的配置原因
2、而导致的网络异常或故障。配置错误可能是路由器端口参数设定有误,或路由器路由配置错误以致于路由循环或找不到远端地址,或者是网络掩码设置错误等。比如,同样是网络中某条线路故障,发现该线路没有流量,但又可以Ping通线路两端的端口,这时很可能就是路由配置错误导致循环了。可使用traceroute命令诊断路由循环故障,可以使用命令tracert来排查,如果存在路由循环故障,可以发现tracert命令结果中某一段之后,两个IP地址循环出现。说明线路远端把端口路由又指向了线路的近端,导致IP包在该线路上来回反复传递。这时需要更改远端路由器端口配置,把路由设置为正确配置,就能恢复线路了。当然处理该故障的所有
3、动作都要记录在日志中,防止再次出现。逻辑故障逻辑故障 线路故障线路故障最常见的情况就是线路不通,诊断这种故障可用ping检查线路远端的路由器端口是否还能响应,或检测该线路上的流量是否还存在。一旦发现远端路由器端口不通,或该线路没有流量,则该线路可能出现了故障。路由器故障事实上,线路故障中很多情况都涉及到路由器,因此也可以把一些线路故障归结为路由器故障。但线路涉及到两端的路由器,因此在考虑线路故障是要涉及到多个路由器。有些路由器故障仅仅涉及到它本身,这些故障比较典型的就是路由器CPU温度过高、CPU利用率过高和路由器内存余量太小。其中最危险的是路由器CPU温度过高,因为这可能导致路由器烧毁。主机
4、故障主机故障常见的现象就是主机的配置不当。例如,主机配置的IP地址与其他主机冲突,或IP地址根本就不在子网范围内,这将导致该主机不能连通。按网络故障的对象划分按网络故障的对象划分OSI的层次结构为管理员分析和排查故障提供了非常好的组织方式。由于各层相对独立,按层排查能够有效地发现和隔离故障,因而一般使用逐层分析和排查的方法。通常有两种逐层排查方式:是从低层开始排查,适用于物理网络不够成熟稳定的情况,如组建新的网络、重新调整网络线缆、增加新的网络设备;是从高层开始排查,适用于物理网络相对成熟稳定的情况,如硬件设备没有变动。在实际应用中往往采用折衷的方式,凡是涉及到网络通信的应用出了问题,直接从位
5、于中间的网络层开始排查,首先测试网络连通性,如果网络不能连通,再从物理层(测试线路)开始排查;如果网络能够连通,再从应用层(测试应用程序本身)开始排查。网络故障分层排除法网络故障分层排除法物理层是OSI分层结构体系中最基础的一层。它建立在通信媒体的基础上,实现系统和通信媒体的物理接口,为数据链路实体之间进行透明传输,为建立、保持和拆除计算机和网络之间的物理连接提供服务。物理层的故障主要表现在设备的物理连接方式是否恰当;连接电缆是否正确;MODEM(调制解调器)、CSU/DSU(通道服务单元/数据业务单元)等设备的配置及操作是否正确。物理层故障排除的基本方法是:采用替换法或专门的线缆测试仪,没有
6、测试仪的可通过网络设备(网卡、交换机等)信号灯进行简单的目测。物理层故障及其诊断物理层故障及其诊断数据链路层的主要任务是使网络层无须了解物理层的特征而获得可靠的传输。数据链路层为通过链路层的数据进行打包和解包、差错检测和一定的校正能力,并协调共享介质。在数据链路层交换数据之前,协议关注的是形成帧和同步设备。对于其他的协议层,数据链路层出现问题的可能性不大,对于TCP/IP网络,可以使用简单的arp命令来检查MAC地址(物理地址)和IP地址之间的映射问题。数据链路层故障及其诊断数据链路层故障及其诊断网络层提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复
7、等。网络层和传输层是最容易出现问题的两层,路由配置容易出现错误,可通过route命令来测试路由路径是否正确,也可使用ping命令来测试连通性。对于复杂的问题,也可以通过专门的协议分析器(如微软提供的网络监视器),专业的协议分析软件sniffer pro等,这些协议分析器具有很强的检测和排查能力,能够分析链路层及其以上层次的数据通信。网络层故障及其诊断网络层故障及其诊断应用层的问题,则需要对程序进行检查,或检查有没有什么其他程序影响到应用层本身工作。应用层故障及其诊断应用层故障及其诊断 全面收集信息,并分析故障现象全面收集信息,并分析故障现象全面了解故障的情况,并详细询问相关细节,可以请故障发生
8、时操作人员描述正常运行时的情况,如果有可能的话,亲自去验证一下所出现的问题。看是否有正常的功能不见了,还是有异常的反应?检查一下在故障发生之前是否对该节点或是网络进行了改动。网络故障排除步骤网络故障排除步骤 定位故障范围定位故障范围通过第一步全面的收集的信息分析,可以将故障范围缩小到一个网段或节点。基于所作的分析,判断故障是否与一个网段有关,还是局限于一个节点。缩小故障范围是解决的开始。例如当某台计算机发生无法上网的故障时,管理员可以询问其他用户是否也同样出现了这一问题,如果所有的用户都出现这一现象,则说明故障不在用户网络这端,在出口网络设备或其他设备上。网络故障排除步骤网络故障排除步骤 故障
9、隔离故障隔离如果故障影响整个网段,那么就通过减少可能的故障源来隔离故障。除两个节点外断开其它所有的节点。如果这两个节点能正常通讯,再增加其它节点。如这两个节点不能通讯,就要对物理层的有关部分,如电缆的接头、电缆本身或与它们相连的Hub和网卡等进行检查。如果故障能被隔离至一个节点,可以更换网卡,使用好的网卡驱动程序(绝不能使用该节点现有的网络软件或配置文件),或是用一条新的电缆与网络相连。如果网络的连接没有问题,那么检查一下是否只是某一个应用有问题。使用相同的驱动器或是文件系统运行其它的应用程序。与其它节点比较配置情况,试用应用程序(同样不要使用现有的软件或配置文件)如果只是一名用户出现使用问题
10、,检查涉及该节点的网络安全系统。检查是否对网络的安全系统进行了改变以致影响该用户。是否删除了与该用户安全等级相同的其他用户?该用户是否被网络中的一个安全组所删除?是否某项应用被移到网络中的其它部分?是否改变了系统的注册方法或是改变了该用户的注册方法?比较该用户与其他执行相同任务的用户。网络故障排除步骤网络故障排除步骤 排除故障排除故障一旦确定了故障源,那么识别故障类型是比较容易的。对于网络硬件设备来说,最方便的措施就是简单地更换,对损坏部分的维修可以以后再进行。有两种办法可以解决软件故障。第一种是,重新安装有问题的软件,删除可能有问题的文件并且确保你拥有全部所需的文件。这也是保证第二种方法得以
11、顺利实施的好办法,即对软件进行重新的设置。如果问题是单一用户的问题,通常最简单的方法是整个删除该用户然后从头开始,或是重复必要的步骤,使该用户重新获得原来有问题的应用。比无目标地进行检查,逻辑有序地执行这些步骤可以更快速地找到问题。网络故障排除步骤网络故障排除步骤 检验故障是否被排除检验故障是否被排除请操作人员测试一下故障是否依然存在,这可以确保是否整个故障都已被排除。只是简要地请用户按正常方法操作有关网络设备即可,同时请用户快速地执行其它几种正常操作。有时解决一个地方的问题会引出别处的问题;有时问题是解决了,但可能会掩盖其它故障。网络故障排除步骤网络故障排除步骤ipconfig显示所有当前的
12、 TCP/IP 网络配置值、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。其语法格式如下:ipconfig/all/renew Adapter/release Adapter/flushdns/displaydns/registerdns/showclassid Adapter/setclassid Adapter ClassID每个参数的具体含义如下:/all/all显示所有适配器的完整 TCP/IP 配置信息。在没有该参数的情况下,ipconfig 只显示各个适配器的 IPv6 地址或 IPv4 地址、子网掩码和默认网关值。适配器可以代表物理接口(例如安装的网络适配器)或逻辑接
13、口(例如拨号连接)。使用使用ipconfig ipconfig 命令来检查命令来检查TCP/IP TCP/IP 配置配置 /renew Adapter/renew Adapter更新所有适配器(如果未指定适配器),或特定适配器(如果包含了 Adapter 参数)的 DHCP 配置。该参数仅在具有配置为自动获取 IP 地址的适配器的计算机上可用。要指定适配器名称,请键入使用不带参数的 ipconfig 命令显示的适配器名称。/release Adapter/release Adapter发送 DHCPRELEASE 消息到 DHCP 服务器,以释放所有适配器(如果未指定适配器)或特定适配器(如果
14、包含了 Adapter 参数)的当前 DHCP 配置并丢弃 IP 地址配置。该参数可以禁用配置为自动获取 IP 地址的适配器的 TCP/IP。要指定适配器名称,请键入使用不带参数的 ipconfig 命令显示的适配器名称。/flushdnsflushdns刷新并重设 DNS 客户解析缓存的内容。在 DNS 故障排除期间,可以使用本过程从缓存中丢弃否定缓存项和任何其他动态添加项。使用使用ipconfig ipconfig 命令来检查命令来检查TCP/IP TCP/IP 配置配置 /displaydnsdisplaydns显示 DNS 客户解析缓存的内容,包括从 local Hosts 文件预装载
15、的记录以及由计算机解析的名称查询而最近获得的任何资源记录。DNS 客户服务在查询配置的 DNS 服务器之前使用这些信息快速解析被频繁查询的名称。/registerdnsregisterdns初始化计算机上配置的 DNS 名称和 IP 地址的手工动态注册。可以使用该参数对失败的 DNS 名称注册进行故障排除或解决客户和 DNS 服务器之间的动态更新问题,而不必重新启动客户端计算机。TCP/IP 协议高级属性中的 DNS 设置可以确定 DNS 中注册了哪些名称。/showclassidshowclassid Adapter Adapter显示指定适配器的 DHCP 类别 ID。要查看所有适配器的
16、DHCP 类别 ID,请在 Adapter 位置使用星号(*)通配符。该参数仅在具有配置为自动获取 IP 地址的适配器的计算机上可用。/setclassidsetclassid Adapter Adapter ClassIDClassID 配置特定适配器的 DHCP 类别 ID。要设置所有适配器的 DHCP 类别 ID,请在 Adapter 位置使用星号(*)通配符。该参数仅在具有配置为自动获取 IP 地址的适配器的计算机上可用。如果未指定 DHCP 类别 ID,则会删除当前类别 ID。在命令提示符下输入“ipconfig/all”命令后,返回的结果如图8-18所示。使用使用ipconfig
17、ipconfig 命令来检查命令来检查TCP/IP TCP/IP 配置配置Ping通过发送 Internet 控制消息协议(ICMP)回响请求消息来验证与另一台 TCP/IP 计算机的 IP 级连接。相应的回响应答消息的接收情况将和往返过程的时间一起显示出来。Ping 是用于检测网络连接性、可到达性和名称解析的疑难问题的主要 TCP/IP 命令。其语法格式如下:ping-t-a-n Count-l Size-f-i TTL-v TOS-r Count-s Count-j HostList|-k HostList-w Timeout-R-S SrcAddr-4-6 TargetName每个参数的
18、具体含义如下:-t-t指定在中断前 ping 可以向目的地持续发送回响请求信息。要中断并显示统计信息,请按 Ctrl+Break。要中断并退出 ping,请按 Ctrl+C。-a-a指定对目的地 IP 地址进行反向名称解析。如果解析成功,ping 将显示相应的主机名。-n Count-n Count指定发送回响请求消息的次数。默认值是 4 。-l Size-l Size指定发送的回响请求消息中“数据”字段的长度(以字节为单位)。默认值为 32。Size 的最大值是 65,527。-f-f指定发送的“回显请求”中其 IP 标头中的“不分段”标记被设置为 1(只适用于 IPv4)。“回显请求”消息
19、不能在到目标的途中被路由器分段。该参数可用于解决“路径最大传输单位(PMTU)”的疑难。使用使用pingping命令排查网络故障命令排查网络故障 -i TTL-i TTL指定回响请求消息的 IP 数据头中的 TTL(生存时间)字段值。其默认值是是主机的默认 TTL 值。TTL 的最大值为 255。-v TOS-v TOS指定发送的“回显请求”消息的 IP 标头中的“服务类型(TOS)”字段值(只适用于 IPv4 可用)。默认值是 0。TOS 的值是 0 到 255 之间的十进制数。-r Count-r Count指定 IP 标头中的“记录路由”选项用于记录由“回显请求”消息和相应的“回显回复”
20、消息使用的路径(只适用于 IPv4)。路径中的每个跃点都使用“记录路由”选项中的一项。如果可能,可以指定一个等于或大于来源和目的地之间跃点数的 Count。Count 的最小值必须为 1,最大值为 9。-s Count-s Count指定 IP 数据头中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count 的最小值是 1,最大值是 4。这对于链接本地目标地址是必需的。-j-j HostListHostList指定“回显请求”消息对于 HostList 中指定的中间目标集在 IP 标头中使用“稀疏来源路由”选项(只适用于 IPv4)。使用稀疏
21、来源路由时,相邻的中间目标可以由一个或多个路由器分隔开。HostList 中的地址或名称的最大数为 9。HostList 是一系列由空格分开的 IP 地址(带点的十进制符号)。-k-k HostListHostList指定“回显请求”消息对于 HostList 中指定的中间目标集在 IP 标头中使用“严格来源路由”选项(只适用于 IPv4)。使用严格来源路由,下一个中间目的地必须是直接可达的(必须是路由器接口上的邻居)。HostList 中的地址或名称的最大数为 9,HostList 是一系列由空格分开的 IP 地址(带点的十进制符号)。-w Timeout-w Timeout指定等待回响应答
22、消息响应的时间(以微秒计),该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息,将会显示“请求超时”的错误消息。默认的超时时间为 4000(4 秒)。-R-R指定应跟踪往返路径(只适用于 IPv6)。-S-S SrcAddrSrcAddr指定要使用的源地址(只适用于 IPv6)。-4-4指定将 IPv4 用于 ping。不需要用该参数识别带有 IPv4 地址的目标主机。仅需要它按名称识别主机。-6-6指定将 IPv6 用于 ping。不需要用该参数识别带有 IPv6 地址的目标主机。仅需要它按名称识别主机。TargetNameTargetName指定目标主机的名称
23、或 IP 地址。ping 127.0.0.1ping 127.0.0.1这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有ping通,就表示TCP/IP的安装或运行存在某些最基本的问题,如网卡损坏或网卡驱动安装不正确。图1中ping命令返回结果“Replay from 127.0.0.1:bytes=32 time1ms TTL=128”表示已ping通目的地址,在1毫秒之内收到ICMP报文,ICMP报文大小为32个字节,报文生存时间(TTL)为128秒。如果出现如图2所示界面,说明没有收到ICMP报文,也就没有ping通目的地址。典型的检测次序及对应的可能故障典型的
24、检测次序及对应的可能故障如果出现如图所示界面,表示目标地址不可到达,这是没有ping通的另一种情况,出现这种情况,应该是网络配置存在问题。这个命令被送到本地计算机所配置的IP地址,本地计算机始终都应该对该Ping命令作出应答,如图所示,如果没有,则表示本地配置或安装存在问题。出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址。ping ping 本机本机IPIP这个命令应该离开本地计算机,经过网卡及网络电缆到达其他计算机,再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答,那么表示子网掩码
25、(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题,也可能是目标计算机存在问题或没有开机,如图所示。3.ping 3.ping 局域网内其他局域网内其他IPIP这个命令如果应答正确,表示局域网中的网关路由器正在运行并能够作出应答,如图所示。4.ping 4.ping 网关网关IPIP如果能够ping通远程IP,表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题),如图所示。ping ping 远程远程IPIP如果能够ping通网址,表示DNS服务器工作正常。如果不能ping通网址,但能pi
26、ng通远程IP,说明本地网络配置中所使用的DNS服务器不能正常工作,需要重新指定DNS服务器,如图所示。ping ping 网址网址用用arparp命令抵御命令抵御ARPARP攻击攻击尽管清除ARP病毒或ARP欺骗的杀毒软件有很多,但病毒清除工具只能避免本地计算机成为ARP攻击方,并不能抵御ARP攻击。多数ARP欺骗把自己伪装成网关地址,让所有上网的计算机必须经过感染ARP病毒的计算机。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。如果使用arp命令将网关地址和IP地址绑定起来,就可以抵御这种ARP攻击。用用arpa
27、rp命令抵御命令抵御ARPARP攻击攻击用arp命令绑定网关的过程如下:首先使用ping命令ping网关IP,以便在本地计算机的ARP 缓存中增加网关IP的ARP缓存项,如图所示。使用arp a命令显示当前的缓存表,通过命令返回的结果获得网关的MAC地址,如图1所示。使用“arp s 网关IP 网关MAC”命令就可以将网关的IP和MAC地址绑定在一起,如图2所示。使用arp命令绑定网关的IP和MAC地址后,如果重新启动计算机,需要重新绑定。可建立一个批处理文件,将绑定网关命令放进该批处理文件,然后将批处理文件拖放到启动菜单中,这样每次启动计算机后就会自动绑定网关的IP和MAC地址。创建批处理文
28、件的命令是“copy con wgbd.bat”,如图所示。批处理文件的内容含义为:“echo off”:不显示批处理文件中命令;“arp-d”:删除本地计算机中的缓存表;“arp s 192.168.0.1 00-0c-29-6a-b6-ca”:绑定网关的IP和MAC地址;“Z”:同时按“CTRL”和“Z”键产生的文件结束符,结束批处理文件。对于已形成上网习惯的计算机用户而言,不能上网是难以接受的,因此,保持网络的通畅非常关键。不能上网可能是多方面的原因引起的,涉及到操作系统问题、网络问题、应用软件问题或硬件问题,解决起来需要有一个特定过程,如图所示不能上网故障的排查不能上网故障的排查 Pi
29、ng Ping 网易或网易或SohuSohu等知名网站的网址等知名网站的网址像网易、Sohu、Badu这样的国内知名网站,很少出现不能访问的现象,通过Ping网易或Sohu等知名网站的网址,根据返回结果就可以确定不能上网故障是故障出在网络内部还是外部。如果不能够到达目的地址,转第5步操作,否则转第2步操作。关闭防火墙并打开网易或关闭防火墙并打开网易或SohuSohu等知名网站等知名网站如果Ping 网易或Sohu等知名网站的网址时,能够到达目的地址,说明网络配置没有问题,连通性也没有问题,不能上网的原因可能是防火墙阻止IE浏览器访问网络,只需关闭(或退出)防火墙就可以判定是否是防火墙阻止IE浏
30、览器访问网络。重新配置防火墙重新配置防火墙关闭防火墙并打开网易或Sohu等知名网站后,如果能够打开这些网站,说明是防火墙阻止了IE浏览器访问网络,此时可通过配置防火墙规则,将阻止IE浏览器访问网络更改为允许即可。重新配置或安装重新配置或安装IEIE浏览器浏览器如果关闭防火墙后,仍不能上网,很有可能是IE浏览器的问题,现在网络流氓软件较多,一些垃圾插件给IE浏览器带来了很大负担,加上用户操作不当,自然会出现不能上网或IE假死的故障,可重新安装IE浏览器,或使用Windows 优化大师、超级兔子魔法设置等工具软件清除禁止安装插件。Ping Ping外部外部IPIP地址地址如果Ping 网易或Soh
31、u等知名网站的网址时,不能够到达目的地址,此时通过Ping 外部IP地址,例如,可以ping Sohu网站的IP地址“220.181.26.163”,通过Ping命令结果即可判断出是外部网络故障还是DNS服务器故障。重新指派重新指派DNSDNS服务器服务器如果能够Ping通外部IP地址,在配置网络时所指派的DNS服务器发生故障,此时可重新指派一个DNS服务器即可,为了避免出现类似的故障,可同时指派多个DNS服务器。PingPing网关网关如果不能Ping通外部IP地址,说明计算机不能连接到外部网络。此时需要Ping网关IP,以判定故障出在外部网络,还是内部网络故障。重新启动路由器重新启动路由器
32、因为网关(路由器)是计算机访问外部网络的唯一通道,如果不能Ping通网关(路由器),说明路由器出现故障,此时重启或更换路由器即可。Ping Ping局域网内其他局域网内其他IPIP如果能够Ping通网关,说明网关工作正常,此时需要Ping局域网内其他IP地址,以判断是本地计算机故障,还是网络连通性故障。排查线路排查线路如果不能Ping通局域网内其他IP,说明该计算机出现线路故障,此时应检查线路网线与计算机的连接否接触不良,网线另一端与交换机(或其他网络设备)的连接是否接触不良。如果网线没有问题,还有可能是交换机端口损坏,更换一个端口即可。Ping Ping本地本地IPIP如果能够Ping通局域
33、网内其他IP,说明线路也没有问题,此时基本可以将故障定位在出现故障的计算机内,使用Ping本地IP命令,判断是网络配置故障,还是网卡或网卡驱动程序故障。重新配置网络重新配置网络如果不能够Ping通本地IP,说明网络配置出现问题,重新配置网络,包括更改计算机名,指派IP地址,配置子网掩码和网关。PingPing回环地址回环地址如果能Ping通本地IP,说明计算机的网络配置没有问题,此时可将故障锁定为网卡、网卡驱动程序或操作系统故障,使用Ping 回环地址可进一步排查故障。更新网卡驱动程序或更换网卡更新网卡驱动程序或更换网卡如果不能Ping通回环地址,基本上可以确定故障出现在网卡或网卡驱动程序,更新驱动程序即可排除故障,如果仍不能排除故障,建议更换网卡。重新安装操作系统重新安装操作系统如果能够Ping通回环地址,仍不能上网,说明操作系统出现问题,重新安装系统即可排除故障。
限制150内