排除企业网络故障

西安思源学院 . http://www.xasyu.cn

排除企业网络故障

介绍企业中的路由和交换– 第 9 章

章节目标

解释正常运行时间的重要性，并说明可能引起失败的事件类型 .

隔离并修正交换故障 .

隔离并修正路由故障 .

隔离并修正 WAN 配置故障 .

隔离并修正 ACL 故障 .

章节索引 9.1 了解网络故障的影响 9.2 排除交换和连接的故障 9.3 排除路由故障 9.4 排除 WAN 配置故障 9.5 排除 ACL 故障

西安思源学院 . http://www.xasyu.cn

9.1 了解网络故障的影响

介绍企业中的路由和交换– 第 9 章

9.1.1 企业网络要求

网络正常运行时间是指网络可用并能提供预期功能的时间 .

网络中断时间则是指网络没有按要求运作的时间 .

网络正常运行时间减少会对业务造成负面影响 中断会导致效率低下，客户信心受挫

9.1.1 企业网络要求导致网络中断的因素有多种。包括 :

天气和自然灾害 安全入侵 人为灾难 电源浪涌 病毒攻击 设备故障 设备配置错误 资源缺乏

9.1.1 企业网络要求

为了确保通信正确、有效，最好为所有关键组件和数据路径设置冗余功能。冗余功能可消除单点故障 .

9.1.1 企业网络要求

业务连续性计划是一份用于规定发生意外的人为或自然灾害（例如停电或地震）时应采取哪些详细措施的方案 .

确保业务运作的方法之一是在其它位置设立冗余备份站点，以防主站点发生故障 .

9.1.2 监控和主动维护

确保正常运行的方法 :

主动维护 网络监控

9.1.2 监控和主动维护

有许多工具可用来监控网络性能级别和收集数据。这些工具包括 :

网络实用程序，如 ping 和 tracert, 提供有关网络性能和网络链接的信息 .

数据包嗅探工具，监控网络不同部分的流量类型 . 这类工具能够指示出网络中某种类型流量是否超常 .

SNMP 监控工具 : 简单网络管理协议 (SNMP) 可监控网络中的各个设备。兼容 SNMP 的设备使用代理来监控针对特定条件预定义的一系列参数。这些代理收集信息并将其存储在称为管理信息库 (MIB) 的数据库中。

9.1.3 故障排除和故障域

任何故障排除工作的目的都是快速恢复运作、将对最终用户的影响降至最低 .

在业务连续性计划中详细列出安全考量。该计划中应包括 :

- 潜在问题的记录- 出现故障时应采取的恰当措施的描述-公司的详细安全政策- 各项措施的具体安全风险

9.1.3 故障排除和故障域 故障域：受网络设备故障或误配置影响的网络区域 首先应为故障域较大的资源排除故障，除非出现严重影

响业务的其他问题

9.1.3 故障排除和故障域

LAN 网段上第 2 层交换机的故障仅会影响到广播域内的用户，对网络其它区域没有任何影响。然而边界路由器的故障将导致公司内的所有用户无法连接本地网络外的网络资源 .

9.1.4 故障排除过程

故障排除方法 :

自上而下 自下而上 分治法 试错法 替换法

9.1.4 故障排除过程

处理故障时，无论采用哪种故障排除技术，都请遵循以下的常规问题解决模型：

确定问题 收集信息 推导各种可能性和方案 规划行动方案 实施解决方案 分析结果

西安思源学院 . http://www.xasyu.cn

9.2 排除交换和连接的故障

介绍企业中的路由和交换– 第 9 章

9.2.1 排除基本交换故障 交换机的大多数问题发生在物理层

9.2.1 排除基本交换故障

如果终端设备无法连接到网络，而且链路 LED 没有点亮，则说明链路或交换机端口有问题或被关闭，此时请执行以下步骤 :

确保电源 LED 亮起 .

确保终端设备与交换机之间的电缆类型正确 .

重新插一遍连接工作站和交换机的电缆 .

检查配置，确保端口状态为 no shutdown.

9.2.1 排除基本交换故障

确保交换机端口安全功能没有禁用该端口。使用以下命令确认这一点 :

show running-config

show port-security interface interface_id

交换机在第 2 层发挥作用，它会记录所有所连接设备的 MAC 地址 .

要显示连接到每个交换机端口的设备的 MAC 地址，请使用 :

show mac-address-table

要清除表中的动态条目，发出命令 :

clear mac-address-table dynamic

9.2.1 排除基本交换故障

要设置端口速度或双工 , 可使用命令 :

Interface speed ,interface duplex

要显示端口的速度和双工设置，可使用命令 :

show interface interface_id

交换环路也可能造成连接问题 .

9.2.1 排除基本交换故障

另一个需要解决的问题是交换不理想 .

要提供有关 STP 配置的信息 :

show spanning-tree

要提供有关单个端口的 STP 状态的信息 :

show spanning-tree interface interface_id

9.2.2 排除 VLAN配置故障 如果需要 VLAN 间路由，则检查以下配置 :

-每个 VLAN 都有一个端口连接到路由器接口或子接口 .

- 交换机端口和路由器接口都配置了中继功能 .

- 交换机和路由器接口都配置为使用相同的封装 .

9.2.2 排除 VLAN配置故障

排除 VLAN 间故障时，确保路由器的物理接口上没有任何 IP 地址。接口必须处于活动状态 .

要检验接口配置，使用 :

show ip interface brief

show ip route

9.2.2 排除 VLAN配置故障

接入端口或中继端口 本征 VLAN 和管理 VLAN :默认情况下，本征 VLAN

和管理 VLAN 都是 VLAN1. 应该为 802.1Q 中继的每一端配置相同的本征 VLAN 号 .

9.2.3 排除 VTP故障 所有参与设备具有相同的 VTP 域名 所有设备上的修订版号相同 所有设备使用相同的 VTP 版本

9.2.3 排除 VTP故障

要显示设备所使用的 VTP 版本、 VTP 域名、 VTP 模式以及 VTP 修订版号，发出以下命令 :

show vtp status

要修改 VTP 版本号，可使用 :

vtp version <1 | 2>

要设置域的 VTP 口令，可使用以下全局配置命令 :

vtp password password

要检查口令，可使用命令 :

show vtp password

西安思源学院 . http://www.xasyu.cn

9.3 排除路由故障

介绍企业中的路由和交换– 第 9 章

9.3.1 RIP 故障

有许多工具都可用于排除路由故障。包括 IOS show 命令、 debug 命令和 TCP/IP 实用程序（例如 ping 、 traceroute 和 telnet ）。

show ip protocols

show running-config,

show interfaces

show ip interface

show ip route

debug ip rip

9.3.1 RIP 故障

9.3.1 RIP故障

RIPv1 与 RIPv2 之间存在兼容性问题。如果没有通告 RIP 路由，可检查以下方面 :

第 1 层或第 2 层的连接问题 需要使用 VLSM 划分子网，却误用了 RIPv1

RIPv1 和 RIPv2 路由配置不匹配 Network 语句缺少或不正确 接口 IP 编址不正确 传出接口关闭 通告的网络接口关闭 被动接口配置错误 使用 show ip route 命令测试时，不妨使用 clear ip route * 命令将

路由表清空。

9.3.1 RIP故障

R1 show ip protocol, R2 show ip protocol, R1 show ip route and R1 debug ip rip

9.3.2 EIGRP故障

有许多 IOS show 命令和 debug 命令可同时用来排除 EIGRP 和 RIP 故障。此外，专门用来排除 EIGRP 故障的命令包括 :

show ip eigrp neighbors

show ip eigrp topology

show ip eigrp traffic

debug ip eigrp

9.3.2 EIGRP故障

show ip route

show ip protocols

show ip interface

show ip eigrp neighbors

9.3.2 EIGRP故障

show ip eigrp topology

show ip eigrp traffic

debug eigrp packets

debug ip eigrp

9.3.2 EIGRP故障

EIGRP 无法工作的原因可能包括 :

-第 1 层或第 2 层存在连接问题 .

- 接口的编址或子网掩码不正确 .

- EIGRP 路由器上的 AS 编号不匹配 .

- 路由过程中指定的网络或通配符掩码错误 .

- 链路可能发生拥塞或断开 .

-传出接口关闭 .

- 所通告网络的接口关闭 .

如果带不连续子网的路由器上启用了自动总结，那么通告的路由可能不正确 .

9.3.3 OSPF故障

排除 OSPF 故障 -邻居必须在同一个 OSPF 区域中 .

-邻居的接口必须具有兼容的 IP 地址和子网掩码- 一个区域中的路由器应具有相同的 OSPF hello 时间间隔和 dead 时间间隔 .

- 路由器必须通告正确的网络，接口才能参与 OSPF 过程 .

-必须使用正确的通配符掩码来通告正确的 IP 地址范围 .

-必须在路由器上正确配置验证才能进行通信 .

9.3.3 OSPF故障

除了标准的 show 和 debug 命令，还可使用以下命令来协助排除 OSPF 故障 :

show ip ospf

show ip ospf neighbor

show ip ospf interface

debug ip ospf events

debug ip ospf packet

9.3.3 OSPF故障

show ip ospf

show ip ospf neighbor

9.3.3 OSPF故障

show ip ospf interface

debug ip ospf events

debug ip ospf packet

9.3.3 OSPF故障确定并修正 OSPF 故障 :

认证不匹配或时间间隔不匹配 通配符掩码错误或网络语句错误 接口配置错误

9.3.4 路由重分布问题

确定并修正路由重分布问题 无论使用哪种路由协议，在边缘路由器上配置默认的全零静态路由 .

ip route 0.0.0.0 0.0.0.0 S0/0/0

接下来，将边缘路由器配置为发送或传播其默认路由给其它路由器。若使用的是 RIP 和 OSPF ，进入路由器配置模式，然后使用命令 default-information originate 。 EIGRP 可直接重分布默认路由；当然也可使用 redistribute static 命令 .

9.3.4 路由重分布问题 确认内部路由器用户可以访问外部网络

西安思源学院 . http://www.xasyu.cn

9.4 排除 WAN 配置故障

介绍企业中的路由和交换– 第 9 章

9.4.1 排除WAN连通性故障

时钟频率 电缆类型 连接有问题或松开

要显示电缆类型、检测 DTE 和 DCE 的状态、以及时钟频率，可使用以下命令 :

show controllers<serial_port>

确定并修正 WAN物理层连通性故障 :

9.4.1 排除WAN连通性故障

确定并修正 WAN 数据链路层和网络层连通性故障 :

封装不匹配 格式不兼容 IP 地址错误

要查看串行线路上使用的封装，可使用命令 :

show interfaces<serial_port>

9.4.1 排除WAN连通性故障 接口上配置的 IP 地址、端口以及线路协议的状态都可通过以下命令来查看 :show ip interface brief

如果接口为 up 状态，但线路协议关闭，则检查连接的电缆是否正确、电缆是否牢固插入到端口 .

如果接口的状态是 administratively down （因管理原因关闭），最可能的原因是没有为该接口配置 no shutdown 命令 .默认情况下，接口都处于关闭状态。

9.4.1 排除WAN连通性故障

可使用一些命令来协助进行 PPP 故障排除。要显示 LCP 和 NCP 阶段的状态，可使用 : show interface

要显示在协商 PPP 选项的启动阶段传输的 PPP 数据包，可使用 :

debug ppp negotiation

要显示实时 PPP 数据包流，可使用 :

debug ppp packet

9.4.1 排除WAN连通性故障

show ip interface

debug ppp negotiation

debug ppp packet

9.4.2 排除WAN身份验证故障 确定并修正 WAN身份验证故障

9.4.2 排除WAN身份验证故障

身份验证方面最常见的问题是：忘记为远程路由器配置帐户，或者用户名和口令配置错误 .

debug ppp authentication

9.4.2 排除WAN身份验证故障

No User Account

Wrong Password

西安思源学院 . http://www.xasyu.cn

9.5 排除 ACL 故障

介绍企业中的路由和交换– 第 9 章

9.5.1 判断 ACL是否是故障原因 在应用 ACL 之前确认网络的连通性 使用 logging 记录日志

9.5.1 判断 ACL是否是故障原因

要显示路由器上配置的所有 ACL 、以及 ACL 是否应用到了接口上，可使用以下命令 : show access-lists

要清除每条 ACL 语句的匹配数，可使用 : clear access-list counters

要显示路由器上任意接口接收或发送的每个数据包的源和目的 IP 地址，可使用 : debug ip packet

9.5.1 判断 ACL是否是故障原因

show running-config

show ip interface

debug ip packet

show access-lists

9.5.2 ACL配置和使用位置问题确定并修正配置和放置位置问题 :

ACL 语句排序应该首先允许最大的流量通过 隐式拒绝可能对其它流量造成预计之外的影响 ACL 使用位置不当可能会造成带宽浪费

章节总结 秉持三层式分层设计模型有利于故障排除工作 排除网络故障时，需确定故障范围并将其限定在特定的

故障域中 .

绝大多数交换机问题都发生在物理层 .

使用 debug命令来找出问题，而不要用来监控常规网络运行 .

排除 PPP 故障时 , 需确认 LCP处于开启状态，认证和NCP已完成 .

ACL 会增加排除网络故障的复杂度 .