网络安全运行 常见故障诊断与排除
网络安全运行 常见故障诊断与排除--------------------------------------------------------------------------------
随着网络技术的不断发展,人们对于网络的依赖性不断上升,网络信息传输量也不断加大,随之而来的计算机网络故障也越来越多,故障的出现同时也给网络管理人员带来了许多麻烦。笔者从事网络管理已经多年,对于常见的一些网络故障和排除方法做了一下总结,希望对广大读者有所帮助。
网络故障诊断是以网络原理、网络配置和网络运行的知识为基础,从故障现象出发,以网络诊断工具为手段获取诊断信息、确定网络故障点、查找问题的根源、排除故障、恢复网络正常运行的过程。网络故障通常有一下几种可能:
(1)、物理层中物理设备相互连接失败或者硬件及线路本身的问题。
(2)、数据链路层的网络设备的接口配置问题。
(3)、网络层网络协议配置或操作错误。
(4)、传输层的设备性能或通信拥塞问题。
(5)、上三层或网络应用程序错误。
网络故障的诊断过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信恢复正常为止。
网络诊断可以使用包括局域网或广域网分析在内的多种工具:路由器诊断命令、网络管理工具和其他故障诊断工具。一般情况下查看路由表是解决网络故障的起点。ICMP的ping、trace命令和cisco的show命令、debug命令是获取故障诊断有用信息的网络工具。通常使用一个或多个命令收集相应的信息。根据不同情况,应确定使用什么命令获取所需要的信息。
网络故障的分类
根据网络故障的性质把网络故障分为硬件故障与软件故障,也可以根据网络故障的对象分为线路故障、路由故障和主机故障。
1、按网络故障的性质分类
(1)、硬件故障: 硬件故障指的是设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。
(2)、软件故障:软件故障中最常见的情况就是配置错误,就是指因为网络主机或网络设备的配置原因而导致的网络异常或故障。配置错误可能是主机、交换机或路由器端口参数设定有误,或路由器路由配置错误以至于路由循环或找不到远端地址,或者是路由掩码设置错误等。比如,同样是网络中的线路故障,该线路没有流量,但又可以ping通线路的两端端口,这时就很有可能是路由配置错误了。遇到这种情况,我们通常用“路由跟踪程序”(在不同系统中的路由跟踪命令并不相同,在Windows环境下使用tracert命令,在Linux或Unix下使用traceroute命令,在Cisco路由器中使用trace命令),它和ping类似,最大的区别在于路由跟踪程序是把端到端的线路按线路所经过的路由器分成多段,然后每段返回响应与延迟。如果发现在路由跟踪程序的结果中某一段之后。两个IP地址循环出现,这时,一般就是线路远端把端口路由又指向了线路的近端,导致IP包在该线路上反复传递。幸好路由跟踪程序可以检测到哪个路由器之前都能正常响应,到哪个路由器就不能正常响应了。这时只需要更改远端路由器的端口配置,就能恢复线路正常了。
另一类软件故障就是一些重要进程或端口关闭,以及系统的负载过高。比如也是线路中断,没有流量,用PING命令发现线路端口不同,检查发现该端口处于down的状态,这就说明该端口已经关闭,因此导致故障。这时只需要重新启动端口,就可以恢复线路的连通了。还有一种常见情况是路由器的负载过高,表现为路由器CPU温度太高、CPU利用率太高,以及内存剩余太少等,如果因此影响网络服务质量,最直接也是最好的办法就是——更换路由器,当然换个好点的。
2.、按网络故障的对象分类
(1)、线路故障:线路故障最常见的情况就是线路不通,诊断这种情况首先检查该线路上流量是否还存在,然后用ping命令检查线路远端的路由器端口能否响应,用traceroute命令检查路由器配置是否正确,然后找出问题逐个解决。
(2)、路由器故障:线路故障中的很多情况都涉及到路由器,因此也可以把一些线路故障归结为路由器故障。检测路由器故障,需要易用MIB变量流览器,用它收集路由器的路由表、端口流量数据、计费数据、路由器CPU的温度、负载以及路由器的内存余量等数据。通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据,并及时给出报警。
(3)主机故障:主机故障常见的现象就是主机的配置不当。例如主机配置的IP地址与其它主机冲突,或IP地址根本就不存在子网范围内,由此导致主机无法连通。主机的另一故障就是安全故障。
网络故障的分层诊断技术
(1)、物理层及其诊断: 物理层是OSI分层结构体系中最基础的一层,它建立在通信媒体的基础上,实现系统和通行媒体的物理接口,为数据链路实体之间进行透明传输,为建立、保持和拆除计算机和网络时间的物理连接提供服务。物理层的故障主要表现在设备的物理连接方式是否恰当,连接电缆是否正确。确定路由器端口物理连接是否完好的最佳方法是使用SHOW INTERFACE命令,检查每个端口的状态,结合屏幕输出信息,查看端口状态、协议建立状态和EIA状态。
(2)、数据链路层及其诊断:数据链路层的主要任务是使用网络层无须了解物理层的特征而获得可靠的传输。数据链路层为通过链路层的数据进行封装和拆封装、差错检测和一定的校正操作,并协调共享介质。查找和排除数据链层的故障,需要查看路由器的配置。
(3)、网络层及其诊断:网络层提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复等。排除网络层故障的基本方法是沿着从源到目标的路径,查看路由器路由表,同时检查路由器接口的IP地址。如果路由没有在路由表中出现,应该通过检查来确定是否已经输入适当的静态路由、默认路由或者动态路由。然后手工配置一些丢失的路由,或者排除一些动态路由选择过程的故障。
路由器接口故障排除
1、故障排除一般过程
第一步:收集故障现象。
第二步:收集能够确定故障原因的一切信息。
第三步:根据收集到的信息考虑可能的故障原因。
第四步:根据可能的故障原因,建立一个诊断计划。
第五步:执行诊断计划,做好每一步测试和观察,每改变一个参数都要确认其结果,只至故障症状消失。
2、路由器的串口故障排除
串口出现连通性问题时,一般是从show interface serial命令开始,分析屏幕输出的报告内容,找出问题之所在。接口和线路协议的可能组合有以下几种:
(1)、串口运行、线路协议运行,这是完全的工作条件。
(2)、串口运行、线路协议关闭,这说明可能的故障发生在路由器配置、调制解调器等方面。
(3)、串口和线路协议都关闭,可能是电信部门的线路故障、电缆故障或者是调制解调器故障。
(4)、串口管理性关闭和线路协议关闭,这种情况是在接口配置中输入了shutdown命令。可以通过输入no shutdown命令,打开串口连接。
3、路由器的以太接口故障排除
以太接口的典型故障问题是宽带的过分利用,碰撞冲突次数频繁。使用不兼容的帧类型。使用show interface ethernet命令可以查看该接口的吞吐量、碰撞冲突、信息包丢失、以及帧类型的有关内容等。
(1)、通过查看接口的吞吐量可以检测网络的利用。
(2)、当两个基本点接口试图同时传输信息包到以太电缆上时,将发生碰撞。碰撞冲突产生拥塞,碰撞冲突的原因通常是由于敷设的电缆过长或者过分利用。
(3)、如果接口和线路协议报告运行状态无误,并且节点的物理连接都完好,可是不能通信,引起问题的原因也可能是两个节点使用了不兼容的帧类型。解决问题的办法是重新配置使用相同帧类型。
总结:网络故障的检测除了运用纯手方法外,还可以借助网络故障测试工具来辅助检测。如:测试线缆可以用美国理想LANTEK 7G线缆认证测试仪;交换机测试可以选用FLUKE(福禄克)OneTouch;Test-Um(泰优)WP150可以用来测试无线网络; 故障综合测试选用FLUKE NetTool万用表等。总之,作为网络管理人员的最大职责就是利用一切可能利用的方法保障网络安全畅通运行。
页:
[1]