ITN网络课程笔记(十七)(完)


十七、构建小型网络

您已经来到了网络简介 v7.0 课程的最后一个模块。您已经掌握了建立自己的网络所需的大部分基础知识。从现在开始怎么做?当然,你要构建一个网络。而且您不仅要构建它,还要验证它是否正常工作,甚至还要解决一些常见的网络问题。

模块目标: 对小型网络实施网络设计,加入 1 台路由器、1 台交换机和多部终端设备。

主题标题 主题目标
小型网络中的设备 明确小型网络中使用的设备。
小型网络应用程序和协议 明确小型网络中使用的协议和应用程序。
扩展到大型网络 说明小型网络如何作为构建大型网络的基础。
验证连接 使用 ping 和 tracert 命令的输出验证连接, 并确定相关网络的性能。
主机和 IOS 命令 使用主机和 IOS 命令获取网络中设备的 相关信息。
故障排除方法 描述常用的网络故障排除方法。
故障排除场景 对网络中的设备进行故障排除。

1、小型网络中的设备

1.1、小型网络拓扑

大多数企业规模都很小,因此,大多数的商业网络也很小就不足为奇了。

小型网络的设计通常很简单。与较大型网络相比,小型网络中设备的数量和类型都显著减少了。

例如,请参考图中所示的小型企业网络示例。

这个小型网络需要一台路由器、一台交换机和一个无线接入点来连接有线和无线用户、IP 电话、打印机和服务器。通常小型网络有一个由 DSL、电缆或以太网连接提供的 WAN 连接。

大型网络需要一个IT部门来维护设备运行、保护设备安全、排除网络设备的故障以及保护组织的数据。管理小型网络所要求的许多技能与管理较大网络所需技能相同。小型网络由当地的IT技术人员或签约的专业人员管理。

1.2、小型网络的设备选择

为了满足用户需求,大型网络和小型网络都要求规划和设计。规划可以确保所有要求、成本因素和部署选项得到适当考虑。

最初设计的注意事项之一就是用于支持网络的中间设备类型。

成本

交换机或路由器的购买成本取决于其性能和功能。这包括可用的端口数量和类型以及背板速率。影响成本的其他因素包括网络管理功能、内嵌的安全技术、可选的高级交换技术。还需要考虑连接网络中每台设备所需的电缆布线费用。影响成本考量的另一个关键因素是网络整合的冗余量。

端口/接口的速度和类型

路由器或交换机上端口数量和类型的选择是至关重要的。较新版本的计算机有内置的 1Gbps 网卡。有些服务器甚至可能有 10Gbps 端口。虽然比较昂贵,但是选用能够适应速度增长的第 2 层设备使网络能够进行扩展,而无需更换中心设备。

可扩展性

网络设备的物理配置有固定式和模块化两种。固定式配置设备具有固定的端口或接口数量和类型。模块化设备具有扩展槽,可以随着需求的提高而新增模块。交换机上有附加端口,供高速上行链路使用。路由器可用于连接不同类型的网络。必须慎重选择每种介质适用的相应模块和接口。

操作系统的功能和服务

网络设备必须具有可以支持组织需求的操作系统,如下:

  • 第 3 层交换
  • 网络地址转换 (NAT)
  • 动态主机配置协议 (DHCP)
  • 安全性
  • 服务质量 (QoS)
  • 网络电话 (VoIP)

1.3、小型网络的IP编址

在实施网络时,创建一个 IP编址方案并使用它。互联网络中的所有主机和设备都必须有一个唯一地址。

将纳入IP编址方案的设备包括以下内容:

  • 终端用户设备-连接的数量和类型(即有线、无线、远程访问)
  • 服务器和外部设备(如打印机和安全摄像头)
  • 路由器、交换机和接入点都属于中间设备。

建议您根据设备类型规划、记录和维护 IP编址方案。使用计划好的IP编址方案可以更容易地识别设备类型并对排除故障,例如,在使用协议分析器排除网络流量问题时。

例如,请参考图中中小型组织的拓扑结构。

该组织需要三个用户局域网(即192.168.1.0/24、192.168.2.0/24和192.168.3.0/24)。该组织已决定为每个192.168.x.0/24局域网实现一致的IP编址方案。计划如下表:

设备类型 可分配的IP地址范围 概括为…
默认网关(路由器) 192.168.x.1 - 192.168.x.2 192.168.x.0/30
交换机(最多 2 个) 192.168.x.5 - 192.168.x.6 192.168.x.4/30
接入点(最多 6 个) 192.168.x.9 - 192.168.x.14 192.168.x.8/29
服务器 (最多 6 台) 192.168.x.17 - 192.168.x.22 192.168.x.16/29
打印机 (最多 6 台) 192.168.x.25 - 192.168.x.30 192.168.x.24/29
IP 电话 (最多 6 台) 192.168.x.33 - 192.168.x.38 192.168.x.32/29
有线设备(最多62个) 192.168.x.65 - 192.168.x.126 192.168.x.64/26
无线设备 (最多 62 个) 192.168.x.193 - 192.168.x.254 192.168.x.192/26

该图显示了使用预定义 IP编址方案分配 IP地址的192.168.2.0/24 网络设备的示例。

例如,默认的网关 IP 地址是 192.168.2.1/24,交换机地址是 192.168.2.5/24,服务器地址是 192.168.2.17/24,等等。

注意,可分配的IP地址范围是有意分配到子网网络边界上的,以简化组类型的汇总。例如,假设另一个IP地址为192.168.2.6 的交换机被添加到网络中。要识别网络策略中的所有交换机,管理员可以指定汇总网络地址 192.168.x.4/30。

1.4、小型网络中的冗余

网络设计的另一个重要部分是可靠性。即使是小型企业,也常常非常依赖其网络以进行企业运营。网络故障的代价是非常大的。

为了保持高可靠度,网络设计中要求冗余。冗余有助于避免单点故障。

在网络中实现冗余有许多方法。可以通过安装重复设备实现冗余,但也可以通过为关键区域提供重复的网络链路来实现,如图所示。

1.5、流量管理

小型网络中良好网络设计的目标也是为了提高员工工作效率和最大限度地减少网络中断。网络管理员应当考虑网络设计中的各种流量类型及其处理。

应当对小型网络中的路由器和交换机进行配置,以相对于其他数据流量的适当方式支持实时流量,如语音和视频。事实上,一个好的网络设计将实现服务质量(QoS),根据优先级对流量进行仔细分类,如图所示。

优先级有四个队列。高优先级队列总是先为空。

2、小型网络应用程序和协议

2.1、常见应用程序

上一个主题讨论了小型网络的组件以及一些设计需要考虑的因素。当您正在建立一个网络时,这些考虑是必要的。建立完成后,您的网络仍然需要某些类型的应用程序和协议才能工作。

网络只有在网络上存在应用程序时才有用。有两种形式的软件程序或进程可以提供网络访问:网络应用程序和应用层服务。

网络应用程序

应用程序是指用于网络通信的软件程序。有些终端用户应用程序是网络感知程序,即这些程序实现应用层协议,并可直接与协议栈的较低层通信。电子邮件客户端和 Web 浏览器就属于这种类型的应用程序。

应用层服务

其他程序可能需要通过应用层服务使用网络资源,例如文件传输或网络假脱机打印。虽然这些服务对员工而言是透明的,但它们正是负责与网络交互和准备传输数据的程序。无论数据类型是文本、图形还是视频,只要类型不同,就需要与之对应的不同的网络服务,从而确保 OSI 模型的下层能够正确处理数据。

每个应用程序或网络服务使用协议,定义要使用的标准和数据格式。如果没有协议,数据网络将不能使用通用的方式来格式化及引导数据。为了便于理解不同网络服务的功能,我们有必要先熟悉管理这些服务的底层协议。

如图所示,使用任务管理器来查看 Windows PC 上当前运行的应用程序、进程和服务。

2.2、常见协议

不管在小型还是大型网络中,技术人员的大部分工作都是与网络协议有关的。在小型网络中,网络协议将支持员工所使用的应用程序和服务。

网络管理员通常需要访问网络设备和服务器。两种最常见的远程访问解决方案是 Telnet 和安全外壳 (SSH)。SSH 服务是 Telnet 的安全替代方案。连接后,管理员可以像在本地登录一样访问 SSH 服务器设备。

SSH 用于在 SSH 客户端和其他支持 SSH 的设备之间建立安全的远程访问连接:

  • 网络设备 -网络设备(如路由器、交换机、接入点等)必须支持 SSH,才能为客户端提供远程访问 SSH 服务器的服务。
  • 服务器 -服务器(例如 Web 服务器、电子邮件服务器等)必须支持到客户端的远程访问 SSH 服务器的服务。

网络管理员还必须支持公用网络服务器及其所需的相关网络协议,如图所示。

Web设备安全

  • Web 客户端和 Web 服务器使用超文本传输协议 (HTTP) 交换 Web 流量。
  • 超文本传输协议安全 (HTTPS) 用于安全的 Web 通信。

邮件服务器

  • 邮件服务器和客户端使用简单邮件传输协议 (SMTP)发送邮件。
  • 邮件客户端使用邮局协议 (POP3) 和互联网消息访问协议 (IMAP)检索邮件。
  • 使用 user@xyz.xxx 格式指定收件人。

FTP服务器

  • 文件传输协议 (FTP) 服务允许在客户端和 FTP 服务器之间下载和上传文件。
  • FTP 安全(FPS)和安全 FTP(SFTP)用于保护 FTP 文件交换。

DHCP服务器

客户端使用动态主机配置协议 (DHCP) 从 DHCP 服务器获取 IP 配置(即 IP地址、子网掩码、默认网关等)。

DNS服务器

  • 域名服务(DNS)将域名解析为 IP 地址(例如,cisco.com = 72.163.4.185)
  • DNS 向请求主机提供网站的 IP 地址(即域名)。

注意: 服务器可以提供多个网络服务。例如,服务器可以是电子邮件、FTP 和 SSH 服务器。

这些网络协议将构成网络专家的基本工具集。每种网络协议都会定义:

  • 通信会话任意一端的流程
  • 消息类型
  • 消息语法
  • 信息性字段的意义
  • 消息发送方式和预期响应
  • 与下一层的交互

许多公司都已制定政策,尽可能使用这些协议的安全版本(即SSH、SFTP和HTTPS)。

2.3、语音和视频应用程序

如今,企业越来越多地使用 IP 电话和流媒体与客户和业务合作伙伴沟通。许多组织正在使其员工能够远程工作。如图所示,他们的许多用户仍然需要访问公司软件和文件,以及对语音和视频应用程序的支持。

网络管理员必须确保在网络中安装合适的设备并且对网络设备进行配置以确保优先传输。

基础设施

  • 网络基础设施必须支持实时应用程序。
  • 必须对 现有设备和布线进行测试和验证。
  • 可能需要 更新的网络产品。

VoIP

  • VoIP 设备将模拟电话信号转换为数字 IP 数据包。
  • 通常,VoIP 比IP电话解决方案要低廉得多,但通信质量不能达到相同的标准。
  • 小型网络语音和 IP 视频可以使用 Skype 和非企业版的思科 WebEx 解决。

IP电话

  • IP电话使用专用的呼叫控制和信令服务器进行语音到IP的转换。
  • 许多供应商提供小型企业 IP 电话解决方案,如思科Business Edition 4000 系列产品。

实时应用

  • 网络必须支持服务质量 (QoS) 机制,以最大限度地减少实时流应用程序的延迟问题。
  • 实时传输协议 (RTP) 和实时传输控制协议 (RTCP) 支持这一要求。

3、扩展为大型网络

3.1、小型网络的增长

如果您的网络是为小型企业服务的,那么您可能希望该企业能够增长,您的网络也会随之增长。这称为扩展网络,有一些最佳实践可以做到这一点。

不断扩展是许多小型企业必经的过程,而其网络也必须相应地扩展。理想情况是网络管理员有足够的时间根据公司发展做出关于网络发展的明智决策。

要扩展网络,要求有以下几个要素:

  • 网络文档 - 物理和逻辑拓扑
  • 设备清单 – 使用或组成网络的设备列表
  • 预算 – 逐项列出IT预算,包括财年设备采购预算
  • 流量分析 - 应当记录协议、应用程序和服务以及它们各自的流量要求

这些要素用于为有关小型网络扩展的决策提供信息。

3.2、协议分析

随着网络的增长,确定如何管理网络流量变得非常重要。了解网络上传输的流量类型以及当前的流量流很重要。有几个网络管理工具可用于此目的。但是,也可以使用 Wireshark 等简单的协议分析器。

例如,在多个关键主机上运行 Wireshark 可以显示流经网络的网络流量类型。下图显示了小型网络上 Windows 主机的 Wireshark 协议分布统计信息。

屏幕截图显示主机正在使用 IPv6 和 IPv4 协议。IPv4 特定输出还显示主机已使用 DNS、SSL、HTTP、ICMP 和其他协议。

要确定流量模式,应做好以下几点:

  • 通过捕获网络使用高峰期的流量准确了解各种不同的流量类型。
  • 针对不同的网段和设备捕获流量,因为某些流量仅在特定的网段内传输。

协议分析器收集的信息根据流量的源和目标以及发送的流量类型进行分析。这种分析有助于决定提高流量管理效率的方法,例如减少不必要的流量,或通过移动某台服务器的逻辑位置来改变流量的总体模式。

有时,只要简单地将服务器或服务移到另一个网段就能提高网络性能并满足不断增长的流量需求。有时则需要大刀阔斧地进行网络的重新设计并投入巨大的人力才可以优化网络的性能。

3.3、员工网络使用率

除了要了解流量的变化趋势,网络管理员必须知道网络的使用是如何变化的。许多操作系统都提供内置工具来显示此类信息。例如,Windows 主机提供任务管理器、事件查看器和数据使用情况工具等工具。

这些工具可用于捕获以下信息的 “快照”:

  • 操作系统和操作系统版本
  • CPU 使用率
  • 内存利用率
  • 驱动程序利用率
  • 非网络应用程序
  • 网络应用程序

在一段时间内记录小型网络中的员工快照对于识别不断发展的协议需求和相关的流量流非常有用。这种资源利用率的转变就可能要求网络管理员相应地调整网络资源分配。

Windows 10 数据使用量工具对于确定哪些应用程序正在使用主机上的网络服务特别有用。数据使用量工具可以使用 Settings > Network & Internet > Data usage > network interface (从最近 30 天开始)访问。

图中的示例显示了使用本地 Wi-Fi 网络连接在远程用户 Windows 10 主机上运行的应用程序。

4、验证连接

4.1、通过Ping验证连接性

无论您的网络是新的还是小的,或者您正在扩展现有的网络,您总是希望能够验证您的组件彼此之间以及与互联网的连接是否正确。本主题讨论了一些可用于确保网络连接的实用程序。

ping命令是快速测试源和目的 IP 地址之间第 3 层连接的最有效方法。该命令还显示各种往返时间统计信息。

具体而言,该 ping 命令使用 Internet 控制消息协议 (ICMP) 来Echo请求(ICMP 类型 8)和Echo应答(ICMP 类型 0)消息。该 ping 命令可用于大多数操作系统,包括 Windows、Linux、macOS 和思科 IOS。

在 Windows 10 主机上,该 ping 命令发送四个连续的 ICMP Echo消息,并期望从目标收到四个连续的 ICMP Echo应答。

例如,假设 PC A Ping PC B. 如图所示,PC A Windows 主机将四个连续的 ICMP Echo消息发送到 PC B(即 10.1.1.10)。

目的主机接收并处理 ICMP Echos。如图所示,PC B 通过向 PC A 发送四条 ICMP Echo应答消息进行响应。

如命令输出中所示,PC A 已收到来自 PC-B 的Echo应答,验证了第 3 层网络连接。

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=47ms TTL=51
Reply from 10.1.1.10: bytes=32 time=60ms TTL=51
Reply from 10.1.1.10: bytes=32 time=53ms TTL=51
Reply from 10.1.1.10: bytes=32 time=50ms TTL=51
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 47ms, Maximum = 60ms, Average = 52ms
C:\Users\PC-A>

输出验证了 PC A 和 PC B 之间的第 3 层连接。

思科 IOS ping 命令的输出不同于 Windows 主机。例如,IOS ping 会发送五条 ICMP Echo消息,如输出所示。

R1# ping 10.1.1.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R1#

请注意 !!!!! 输出字符。IOS ping 命令为收到的每个 ICMP Echo应答显示一个指示符。下表列出 ping 命令可能输出的字符:

IOS Ping 指示符

元素 说明
! 感叹号表示成功收到Echo应答 消息。它验证了源和目标之间的第 3 层连接。
. 句点意味着等待Echo应答消息的时间已过期。这表示路径中某处可能存在连接 问题。
U 大写 U 表示沿路径的路由器 回应了 ICMP 类型 3 “目的地 不可达” 的错误消息。可能的原因包括路由器不知道目标网络的方向, 或者在目标网络上 找不到主机。

注意: 其他可能的 ping 回复包括 Q、M、? 或 &。但是,这些含义超出了本模块的范围。

4.2、扩展Ping

标准 ping 使用最接近目标网络的接口的 IP 地址作为ping的源地址 。R1 上 ping 10.1.1.10 命令的源 IP 地址将是 G0/0/0 接口的地址(即 209.165.200.225),如示例所示。

思科IOS 提供ping命令的“扩展”模式。此模式允许用户通过调整与命令操作相关的参数来创建特殊类型的 ping。

在特权 EXEC 模式键入ping ,可进入扩展模式,无需目的 IP 地址。然后,您将得到多个提示来自定义扩展 ping

注意: Pressing Enter 可接受所指出的默认值。

例如,假设您想要测试从 R1 局域网(即 192.168.10.0/24)到 10.1.1.0 局域网的连接性。这可以从 PC A 进行验证。但是,扩展 ping 可以在 R1 上配置以指定不同的源地址。

如示例所示,R1 上扩展 ping 命令的源 IP 地址可以配置为使用 G0/0/1 接口的 IP 地址(即 192.168.10.1)。

下面在R1上的命令输出配置一个扩展ping,并指定源IP地址为G0/0/1接口的IP地址(即192.168.10.1)。

R1# ping
Protocol [ip]:
Target IP address: 10.1.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface: 192.168.10.1
DSCP Value [0]:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#

注意: ping ipv6命令用于 IPv6 扩展 ping。

4.3、通过Traceroute验证连接性

ping 命令可用于快速确定是否存在第 3 层连接问题。但是,它不能确定问题位于路径的什么位置。

Traceroute可以帮助定位网络中的第3层问题区域。追踪可用于返回数据包在网络中传输时沿途经过的跳跃列表。它可以用来识别路径上发现问题的点。

追踪命令的语法因操作系统而异,如图所示。

Windows 和思科 IOS 追踪命令

以下是 Windows 10 主机上的 tracert 命令输出示例。

C:\Users\PC-A> tracert 10.1.1.10
Tracing route to 10.1.10 over a maximum of 30 hops:
  1     2 ms     2 ms     2 ms  192.168.10.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
^C
C:\Users\PC-A>

注意: Use Ctrl-C to interrupt a 跟踪器 在窗口.

唯一成功的响应来自 R1 上的网关。对下一跳的追踪请求超时,由星号(*)表示,这意味着下一跳的路由器没有响应。超时的请求表明,局域网以外的互联网络中有错误,或者这些路由已经配置为不响应追踪中使用的Echo请求。在这个例子中,R1 和 R2 之间似乎存在问题。

思科 IOS traceroute 命令输出与 Windows tracert命令不同。例如,请参考以下拓扑结构。

以下是来自 R1 的Traceroute命令的示例输出。

R1# traceroute 10.1.1.10
Type escape sequence to abort.
Tracing the route to 10.1.1.10
VRF info: (vrf in name/id, vrf out name/id)
1 209.165.200.226 1 msec 0 msec 1 msec
2 209.165.200.230 1 msec 0 msec 1 msec
3 10.1.1.10 1 msec 0 msec
R1#

在此示例中,追踪验证了它可以成功到达 PC B。

超时表示存在潜在的问题。例如,如果 10.1.1.10 主机不可用,则该 traceroute 命令将显示以下输出。

R1# traceroute 10.1.1.10
Type escape sequence to abort.
Tracing the route to 10.1.1.10
VRF info: (vrf in name/id, vrf out name/id)
1 209.165.200.226 1 msec 0 msec 1 msec
2 209.165.200.230 1 msec 0 msec 1 msec
3 * * *
4 * * *
5 *

使用 Ctrl-Shift-6 来中断思科IOS上的 traceroute命令。

注意: traceroute (tracert) 的 Windows 实现用于发送 ICMP Echo请求。思科 IOS 和 Linux 使用具有无效端口号的 UDP。最终目的地将返回一个ICMP 端口不可达的消息。

4.4、扩展 Traceroute

就像扩展 ping命令一样,同样也有一个扩展 traceroute 命令。它允许管理员调整与命令操作相关的参数。这有助于在排除路由环路故障以及准确确定下一跳路由器时定位问题,或者可以帮助确定路由器或防火墙在何处丢弃或拒绝了数据包。

Windows tracert命令允许通过命令行中的选项输入多个参数。但是,它不像扩展追踪 IOS 命令那样提供引导。以下输出显示了 Windows tracert 命令的可用选项。

C:\Users\PC-A> tracert /?
Usage: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout]
               [-R] [-S srcaddr] [-4] [-6] target_name
Options:
    -d                 Do not resolve addresses to hostnames.
    -h maximum_hops    Maximum number of hops to search for target.
    -j host-list       Loose source route along host-list (IPv4-only).
    -w timeout         Wait timeout milliseconds for each reply.
    -R                 Trace round-trip path (IPv6-only).
    -S srcaddr         Source address to use (IPv6-only).
    -4                 Force using IPv4.
    -6                 Force using IPv6.
C:\Users\PC-A>

思科IOS扩展traceroute选项允许用户通过调整与命令操作相关的参数来创建特殊类型的 trace。在特权 EXEC 模式键入traceroute ,可进入扩展traceroute模式,无需目的 IP 地址。IOS 将会显示一些与各个参数的设置相关的提示,引导您使用命令选项。

注意:按Enter可接受所指出的默认值。

例如,假设您要测试从 R1 局域网到 PC B 的连接。虽然这可以从 PC A 进行验证。但是,扩展 traceroute 可以在 R1 上配置以指定不同的源地址。

如示例所示,R1 上扩展 traceroute 命令的源 IP 地址可以配置为使用 R1局域网接口的 IP 地址(即 192.168.10.1)。

R1# traceroute
Protocol [ip]:
Target IP address: 10.1.1.10
Ingress traceroute [n]:
Source address: 192.168.10.1
DSCP Value [0]:
Numeric display [n]:
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 192.168.10.10
VRF info: (vrf in name/id, vrf out name/id)
  1 209.165.200.226 1 msec 1 msec 1 msec
  2 209.165.200.230 0 msec 1 msec 0 msec
  3  *
    10.1.1.10 2 msec 2 msec
R1#

4.5、网络基线

监控网络和排除网络故障的最有效的工具之一就是建立网络基线。创建一条有效的网络性能基线需要一段较长的时间才能完成。在不同时间以及各种负载下测量网络性能有助于建立更准确的网络整体性能概貌。

网络命令的输出可为网络基线提供数据。开始基线的方法之一就是将pingtrace或其他相关命令的执行结果复制并粘贴到文本文件中。然后为这些文本文件加上时间戳并保存到档案中以备将来检索和比较。

需考虑的项目包括错误消息以及主机之间的响应时间。如果响应时间增加较大,则表示可能有延时问题需要解决。

例如,以下 ping 输出已捕获并粘贴到文本文件中。

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC-A>

请注意 ping 往返时间小于 1 毫秒。

一个月后,再次进行了ping测试并捕获记录。

**September 19, 2019 at 10:1,821

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=50ms TTL=64
Reply from 10.1.1.10: bytes=32 time=49ms TTL=64
Reply from 10.1.1.10: bytes=32 time=46ms TTL=64
Reply from 10.1.1.10: bytes=32 time=47ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 46ms, Maximum = 50ms, Average = 48ms
C:\Users\PC-A>

请注意,这次 ping 往返时间要长得多,表明存在潜在的问题。

企业网络应该制备详尽的基线,覆盖内容要远比我们在本课中所述全面得多。可选用专业的软件工具来存储和维护基线信息。在本课程中,我们介绍几个基本技巧并讨论基线的用途。

通过在互联网上搜索 “基准流程最佳实践”,可以找到思科的基准流程最佳实践。

4.6、实验 - 使用 Ping 命令和 Traceroute 命令测试网络延时

5、主机和IOS命令

5.1、Windows主机的 IP 配置

如果您使用上一主题中的任何工具来验证连接性,并发现网络的某些部分不能正常工作,那么现在是使用一些命令来对设备进行故障排除的时候了。主机和 IOS 命令可以帮助您确定问题是否与设备的 IP编址有关,这是一个常见的网络问题。

检查主机设备上的 IP 地址是网络中用于验证端到端连接并排除故障的常见做法。在 Windows 10 中,您可以从Network and Sharing Center(如图所示)访问 IP 地址详细信息,以快速查看四个重要的设置:地址、掩码、路由器和 DNS。

但是,网络管理员通常通过会在 Windows 计算机的命令行发出 ipconfig 命令来查看 Windows 主机上的 IP编址信息,如示例输出中所示。

C:\Users\PC-A> ipconfig
Windows IP Configuration
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16   
   IPv4 Address. . . . . . . . . . . : 192.168.10.10   
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.10.1
(Output omitted)

使用ipconfig /all命令可查看 MAC 地址和有关设备第 3 层编址的许多细节,如示例输出中所示。

C:\Users\PC-A> ipconfig /all
Windows IP Configuration
   Host Name . . . . . . . . . . . . : PC-A-00H20
   Primary Dns Suffix  . . . . . . . : cisco.com
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : cisco.com
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8265
   Physical Address. . . . . . . . . : F8-94-C2-E4-C5-0A
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.10.10(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : August 17, 2019 1:20:17 PM
   Lease Expires . . . . . . . . . . : August 18, 2019 1:20:18 PM
   Default Gateway . . . . . . . . . : 192.168.10.1
   DHCP Server . . . . . . . . . . . : 192.168.10.1
   DHCPv6 IAID . . . . . . . . . . . : 100177090
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-F3-76-75-54-E1-AD-DE-DA-9A
   DNS Servers . . . . . . . . . . . : 192.168.10.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

如果将主机配置为 DHCP 客户端,则可以使用 ipconfig /releaseipconfig /renew 命令续订 IP 地址配置,如示例输出中所示。

C:\Users\PC-A> ipconfig /release
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16
   Default Gateway . . . . . . . . . :
(Output omitted)
C:\Users\PC-A> ipconfig /renew
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16
   IPv4 Address. . . . . . . . . . . : 192.168.1.124
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.1.1
(Output omitted)
C:\Users\PC-A>

在安装了 Windows 系统的 PC 上,DNS 客户端服务可以预先在内存中存储已解析的域名,从而优化 DNS 域名解析性能。在 Windows 计算机系统中,输入ipconfig /displaydns命令可以显示所有 DNS 缓存条目,如示例输出中所示。

C:\Users\PC-A> ipconfig /displaydns
Windows IP Configuration
(Output omitted)
    netacad.com
    ----------------------------------------
    Record Name . . . . . : netacad.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 602
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 54.165.95.219
(Output omitted)

5.2、Linux主机的 IP 配置

在 Linux 计算机上使用 GUI 验证 IP 设置将根据 Linux 发行版和桌面界面而有所不同。下图显示了运行 Gnome 桌面的 Ubuntu 发行版上的 Connection Information 对话框。

在命令行中,网络管理员使用 ifconfig 命令显示当前活动接口的状态及其 IP 配置,如输出中所示。

[analyst@secOps ~]$ ifconfig
enp0s3    Link encap:Ethernet  HWaddr 08:00:27:b5:d6:cb  
          inet addr: 10.0.2.15  Bcast:10.0.2.255  Mask: 255.255.255.0
          inet6 addr: fe80::57c6:ed95:b3c9:2951/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1332239 errors:0 dropped:0 overruns:0 frame:0
          TX packets:105910 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1855455014 (1.8 GB)  TX bytes:13140139 (13.1 MB)
lo: flags=73  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Linux的ip address 命令用于显示地址及其属性。它也可以用于添加或删除 IP 地址。

注意: 显示的输出可能会因 Linux 发行版不同和而有所区别。

5.3、macOS主机的 IP 配置

在 Mac 主机的 GUI 中,打开 Network Preferences > Advanced 以获取 IP编址信息,如图所示。

但是,该 ifconfig 命令也可用于验证输出中显示的接口 IP 配置。

MacBook-Air:~ Admin$ ifconfig en0
en0: flags=8863 mtu 1500
        ether c4:b3:01:a0:64:98
        inet6 fe80::c0f:1bf4:60b1:3adb%en0 prefixlen 64 secured scopeid 0x5
        inet 10.10.10.113 netmask 0xffffff00 broadcast 10.10.10.255
        nd6 options=201
        media: autoselect
        status: active
MacBook-Air:~ Admin$ 

用于验证主机 IP 设置的其他有用的 macOS 命令包括 networksetup -listallnetworkservicesnetworksetup -getinfo <***网络服务***>, 如下面的输出所示。

MacBook-Air:~ Admin$ networksetup -listallnetworkservices
An asterisk (*) denotes that a network service is disabled.
iPhone USB
Wi-Fi
Bluetooth PAN
Thunderbolt Bridge
MacBook-Air:~ Admin$ 
MacBook-Air:~ Admin$ networksetup -getinfo Wi-Fi
DHCP Configuration
IP address: 10.10.10.113
Subnet mask: 255.255.255.0
Router: 10.10.10.1
Client ID:
IPv6: Automatic
IPv6 IP address: none
IPv6 Router: none
Wi-Fi ID: c4:b3:01:a0:64:98
MacBook-Air:~ Admin$

5.4、arp 命令

arp 命令是从 Windows、Linux 或 Mac 的命令提示符执行的。该命令列出了当前主机 ARP 缓存中的所有设备,所列出的信息包括每台设备的 IPv4 地址、物理地址和编址类型(静态/动态)。

例如,请参考图中的拓扑结构。

在Windows PC-A主机上显示了该arp -a命令的输出。

C:\Users\PC-A> arp -a
Interface: 192.168.93.175 --- 0xc
  Internet Address      Physical Address      Type
  10.0.0.2              d0-67-e5-b6-56-4b     dynamic
  10.0.0.3              78-48-59-e3-b4-01     dynamic
  10.0.0.4              00-21-b6-00-16-97     dynamic
  10.0.0.254            00-15-99-cd-38-d9     dynamic

arp -a 命令显示了已知 IP 地址及 MAC 地址绑定。请注意, IP 地址 10.0.0.5 不包含在列表中。这是因为ARP 缓存仅显示最近访问过的设备的信息。

要确保填充 ARP 缓存,请ping一台设备以使该设备对应的条目出现在 ARP 表中。例如,如果 PC-A ping了 10.0.0.5,则 ARP 缓存将包含该 IP 地址的条目。

当网络管理员要使用更新后的信息重新填充路由器缓存时,可通过使用netsh interface ip delete arpcache命令来清空缓存。

注意: 您可能需要主机的管理员访问权限才能使用 netsh interface ip delete arpcache 命令。

5.5、常用show 命令回顾

命令和工具可用于验证主机配置,同样,命令也可用于验证中间设备的接口。Cisco IOS 提供了用于验证路由器接口和交换机接口工作情况的命令。

思科IOS CLI show命令显示有关设备配置和运行的相关信息。网络技术人员使用 show命令广泛用于查看配置文件,检查设备接口和进程的状态并且验证设备运行状态。几乎路由器的每个进程或功能的状态都可使用show命令显示出来。

表中列出了常用的 show 命令以及应该何时使用它们。

Command Useful for …
show running-config 验证当前的配置和设置
show interfaces 验证接口状态并显示任何错误消息
show ip interface 验证接口的第 3 层信息
show arp 验证本地以太网局域网上的已知主机列表
show ip route 验证第 3 层路由信息。
show protocols 验证哪些协议是可操作的
show version 验证设备的内存、接口和许可

注:对每个命令的详情见之前的笔记

5.6、show cdp neighbors 命令

还有几个很有用的 IOS 命令。思科发现协议 (CDP) 是思科专有协议,在数据链路层运行。由于 CDP 在数据链路层运行,即使第 3 层连接还未建立,两台或多台思科网络设备(例如支持不同网络层协议的路由器)也可以互相获取信息。

思科设备启动时会默认启动 CDP。CDP 会自动发现运行 CDP 的邻近思科设备,无论这些设备运行哪种第 3 层协议或协议簇。CDP 还会与直连的 CDP 邻居交换硬件和软件设备信息。

CDP 提供每台 CDP 邻居设备的以下信息:

  • 设备标识符 -交换机、路由器或其他设备的已配置主机名
  • 地址列表 - 每种支持的协议最多对应一个网络层地址
  • 端口标识符 -本地和远程端口的名称 - ASCII 字符格式的字符串,例如 FastEthernet 0/0
  • 功能列表 -例如,特定设备是第 2 层交换机还是第 3 层交换机
  • 平台 - 设备的硬件平台-例如 Cisco 1841 系列路由器

请参考拓扑和show cdp neighbor命令的输出。

R3# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
S3               Gig 0/0/1         122              S I   WS-C2960+ Fas 0/5
Total cdp entries displayed : 1
R3#

输出显示了 R3 G0/0/1 接口连接到 S3 的F0/5 接口,这是思科2960+交换机。请注意,R3 尚未收集有关 S4 的信息。这是因为思科发现协议(CDP)只能发现直接连接的思科设备。S4 没有直接连接到 R3,所以没有在输出中列出。

show cdp neighbors detail 命令显示相邻设备的 IP 地址,如输出中所示。无论是否能 ping 通邻居,CDP 都会显示邻居的 IP 地址。当两台思科路由器无法通过共享的数据链路进行路由时,此命令非常有用。show cdp neighbors detail命令有助于确定某个 CDP 邻居是否存在 IP 配置错误。

虽然它和 CDP 同样有用,但它也会带来安全风险,因为它可以为威胁行动者提供有用的网络基础设施信息。例如,许多 IOS 版本默认情况下会向所有已启用的端口发送 CDP 通告。但是,最佳实践建议仅在连接到其他基础设施思科设备的接口上启用 CDP。应在面向用户的端口上禁用 CDP 通告。

由于某些 IOS 版本默认情况下会向外发送 CDP 通告,因此必须知道如何禁用 CDP。要全局禁用 CDP,可以使用全局配置命令no cdp run。要在某一接口上禁用 CDP,请使用接口命令no cdp enable

5.7、show ip interface brief 命令

show ip interface brief是最常用的命令之一。它提供的输出比show ip interface命令的输出更简略。它提供路由器上所有网络接口的重要信息摘要。

例如,show ip interface brief输出显示路由器的所有接口、分配给每个接口的 IP 地址(如果有)和接口的运行状态。

R1# show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0/0   209.165.200.225 YES manual up                    up
GigabitEthernet0/0/1   192.168.10.1    YES manual up                    up
Serial0/1/0            unassigned      NO  unset  down                  down
Serial0/1/1            unassigned      NO  unset  down                  down
GigabitEthernet0       unassigned      YES unset  administratively down down
R1#

验证交换机接口

show ip interface brief命令也可用于验证交换机接口的状态,如输出所示。

S1# show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
Vlanl                  192.168.254.250 YES manual up                    up
FastEthernet0/l        unassigned      YES unset  down                  down
FastEthernet0/2        unassigned      YES unset  up                    up
FastEthernet0/3        unassigned      YES unset  up                    up

The VLAN1 interface is assigned an IPv4 address of 192.168.254.250, has been enabled, and is operational.

输出还显示 FastEthernet0/1 接口已关闭。这表示没有设备连接到该接口或与该接口连接的设备中有一个网络接口不能正常运行。

相反,输出显示 FastEthernet0/2 接口和 FastEthernet0/3 接口都运行正常。这通过 Status(状态)列和 Protocol(协议)列中的 up(工作)来表明。

5.8、视频- Show Version 命令

show version命令可用于检验和检修启动过程中使用的一些基本硬件和软件组件。

视频略

5.9、Packet Tracer-解释show命令输出

6、故障排除方法

6.1、故障排除基本方法

在前两个主题中,您了解了一些可用于帮助识别网络中的问题区域的实用程序和命令。这是故障排除的一个重要部分。有很多方法可以解决网络问题。本主题详细介绍了一个结构化的故障排除过程,该过程可帮助您成为更好的网络管理员。它还提供了一些更多的命令来帮助您解决问题。网络问题可能非常简单,也可能很复杂,而且可能会因硬件、软件和连接问题综合导致。技术人员必须能够分析问题并确定错误的原因才能解决网络问题。此过程称为故障排除。

常用且有效的故障排除方法以科学方法为基础。

此表显示故障排除流程的六个主要步骤。

步骤 描述
第 1 步:确定问题 这是故障排除流程的第一步。虽然此步骤中可以使用工具,但是沟通 往往非常有用。
第 2 步:推测潜在原因 问题确定后,尝试推测一个 潜在的原因。此步骤通常会得出问题的多种潜在 原因。
第 3 步:验证推测以确定原因 推断真正的原因 根据可能的原因,验证自己的理论,推断出 哪个才是导致问题的真正原因。技术人员通常会应用快速程序测试潜在原因,看 其是否能解决问题。流程没有解决这个问题,可能需要进一步研究 这个问题并且判断出准确的原因。
第 4 步:制定解决方案并实施方案 在您已经明确了导致问题的原因之后,设计一个 方案来解决问题并实施解决方案。
步骤 5. 检验解决方案并实施预防措施 在修复了问题之后,要验证完整的功能。如果需要的话,还要实施一些防御措施。
第 6 步:记录调查结果、采取措施和结果 在故障排除流程的最后一步,记录 调查结果、采取措施和结果。这对于未来参考非常重要。

为了对问题进行评估,请先确定网络中有多少台设备存在问题。如果网络中的一台设备存在问题,则在该设备上开始进行故障排除。如果网络中的所有设备都有问题,请在连接所有其他设备的设备上开始实施故障排除流程。您应该开发出一种合理且一致的方法,通过一次排除一个问题来诊断网络问题。

6.2、解决还是上报?

在某些情况下,立即解决该问题是不可能的。如果问题需要经理决策,要求一些特定专业知识,或者实施故障排除的技术人员不具备所需网络访问级别,则应上报此问题。

例如,在完成故障排查后,技术人员推断应该更换路由器模块。此问题应上报经理批准。经理可能需要再次上报此问题,因为需要财务部门批准后才能购买新的模块。

公司政策应清楚地说明技术人员应何时以及如何上报问题。

6.3、debug命令

OS 进程、协议、机制和事件生成消息以告知它们的状态。在排除故障或验证系统操作时,这些消息可以提供有价值的信息。IOSdebug命令允许管理员实时显示这些消息,以便进行分析。它是思科IOS 设备中用于监控事件的一个非常重要的工具。

所有debug命令都在特权 EXEC 模式下输入。思科IOS 允许缩小debug的输出,以便仅包含相关功能或子功能。这一点很重要,因为调试输出在 CPU 进程中享有高优先级,可能会导致系统不可用。因此,只在排查特定问题时才使用debug命令。

如示例所示,要监控思科路由器中 ICMP 消息的状态,请使用debug ip icmp命令。

R1# debug ip icmp
ICMP packet debugging is on
R1#
R1# ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R1#
*Aug 20 14:18:59.605: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
*Aug 20 14:18:59.606: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
*Aug 20 14:18:59.608: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
*Aug 20 14:18:59.609: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
*Aug 20 14:18:59.611: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
R1#

要列出所有调试命令选项的简短说明,请在特权 EXEC 模式下的命令行处使用**debug ?**命令。

要关闭特定调试功能,请在debug命令前添加关键字no

Router# no debug ip icmp

或者,您可以在特权 EXEC 模式中输入命令的undebug形式:

Router# undebug ip icmp

要同时关闭所有活动的 debug 命令,请使用undebug all命令:

Router# undebug all

使用某些 debug 命令时要小心。某些命令(例如debug alldebug ip packet )会生成大量输出,并会使用大量的系统资源。路由器可能会忙于显示debug消息,以至于没有足够的处理能力来执行其网络功能,或侦听关闭调试的命令。因此,不建议使用这些命令选项,应尽量避免。

6.4、terminal monitor 命令

授权访问IOS命令行界面的连接可以通过以下两种方式建立:

  • 本地 本地连接(即控制台连接)需要使用反转电缆对路由器或交换机的控制台接口进行物理访问。
  • 远程 -远程连接需要使用 Telnet 或 SSH 来与配置了IP的设备建立连接。

某些 IOS 消息会自动显示在控制台连接上,但不会显示在远程连接上。例如,默认情况下,在控制台连接上显示 debug 输出。但是, debug 输出不会自动显示在远程连接上。这是因为debug消息是日志消息,它被禁止显示在vty线路上。

例如,在以下输出中,用户使用 Telnet 建立了从 R2 到 R2 的远程连接。然后用户发出了 debug ip icmp 命令。但是,该命令无法显示 debug 输出。

R2# telnet 209.165.200.225
Trying 209.165.200.225 ... Open
 Authorized access only!
User Access Verification
Password:
R1> enable
Password:
R1# debug ip icmp
ICMP packet debugging is on
R1# ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R1#
! No debug output displayed>

要在终端(虚拟控制台)上显示日志消息,请使用terminal monitor特权 EXEC 命令。要停止终端上的日志记录消息,请使用terminal no monitor特权 EXEC 命令。

例如,注意terminal monitor命令现在是如何输入的,ping命令显示了debug输出。

R1#  terminal monitor
R1# ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R1#
*Aug 20 16:03:49.735: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
**Aug 20 16:03:49.737: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
**Aug 20 16:03:49.738: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
**Aug 20 16:03:49.740: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
**Aug 20 16:03:49.741: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0
R1# no debug ip icmp
ICMP packet debugging is off
R1#

注意: 该 debug 命令的目的是在短时间内捕获实时输出(即几秒钟到一分钟左右)。不需要时总是禁用debug

7、故障排除场景

7.1、双工操作和不匹配问题

许多常见的网络问题可以很容易地识别和解决。现在您已经掌握了用于网络故障排除的工具和流程,本主题将回顾作为网络管理员可能遇到的一些常见网络问题。

在数据通信中,双工是指两台设备之间数据传输的方向。

有两种双工通信模式:

  • 半双工 -通信限制为每次在一个方向进行数据交换。
  • 全双工 -允许同时发送和接收通信。

该图说明了每种双工方法的工作方式。

为了达到最佳通信性能,两个互相连接的以太网接口必须在同一双工模式下运行,以避免低效和链路延迟。

以太网自动协商功能简化了配置,最大限度地减少了问题,最大限度地提高了两个相互连接的以太网链路之间的链路性能。连接的设备首先通告其支持的功能,然后选择两端所支持的最高性能模式。例如,图中的交换机和路由器已成功自动协商全双工模式。

如果两个连接的设备,一个在全双工模式下运行,另一个在半双工模式下运行,就会出现双工不匹配。当数据通过双工不匹配的链路通信时,链路性能就会很差。

双工不匹配通常是由于接口配置错误导致的,或者在极少数情况下是由自动协商失败引起的。当设备之间仍在通信时,可能很难对双工不匹配的问题进行排查。

7.2、IOS 设备的 IP 寻址问题

与 IP 地址相关的问题可能会阻止远程网络设备进行通信。由于 IP 地址是分层的,分配给网络设备的任何 IP 地址都必须符合该网络地址范围。错误分配的 IP 地址会导致很多问题,包括 IP 地址冲突和路由问题。

IPv4 分配不正确的两个常见原因是手动分配错误或与 DHCP 相关的问题。

网络管理员通常必须手动将 IP 地址分配到设备,比如服务器和路由器。如果在分配期间出现错误,则很可能引发设备的通信问题。

在 IOS 设备上,请使用show ip interfaceshow ip interface brief命令验证哪些 IPv4 地址分配给了网络接口。例如,如图所示发出 show ip interface brief 命令将验证 R1 上的接口状态。

R1# show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0/0   209.165.200.225 YES manual up                    up
GigabitEthernet0/0/1   192.168.10.1    YES manual up                    up
Serial0/1/0            unassigned      NO  unset  down                  down
Serial0/1/1            unassigned      NO  unset  down                  down
GigabitEthernet0       unassigned      YES unset  administratively down down
R1#

7.3、终端设备的 IP编址问题

在基于 Windows 的计算机中,当设备无法与 DHCP 服务器通信时,Windows 将自动分配一个属于 169.254.0.0/16 范围内的地址。此功能称为自动专用IP编址 (APIPA),旨在促进本地网络内的通信。可以将其想象成 Windows 发声说“我将使用 169.254.0.0/16 范围内的这个地址,因为我无法获得任何其他地址”。

通常,拥有APIPA地址的计算机无法与网络中的其他设备通信,因为这些设备很可能不属于 169.254.0.0/16 网络。这种情况表示,应对 IPv4 地址自动分配问题进行修复。

注意: 如果与 DHCP 服务器的通信失败,其他操作系统(例如 Linux 和 OS X)不会将 IPv4 地址分配给网络接口。

大多数终端设备配置为依赖于 DHCP 服务器来实现 IPv4 地址的自动分配。如果设备无法与 DHCP 服务器通信,则服务器不会为该特定网络分配 IPv4 地址,而且设备将无法通信。

如输出所示,要验证 IP 地址是否分配到基于 Windows 的计算机,请使用ipconfig命令。

C:\Users\PC-A> ipconfig
Windows IP Configuration
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16
   IPv4 Address. . . . . . . . . . . : 192.168.10.10
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.10.1
(Output omitted)

7.4、默认网关问题

终端设备的默认网关是可以将流量转发到其他网络的最近的网络设备。如果设备的默认网关地址不正确或不存在,它将无法与远程网络中的设备通信。由于默认网关是通向远程网络的路径,其地址必须与终端设备属于同一网络。

默认网关地址可以手动设置,也可以从 DHCP 服务器获取。与 IPv4 寻址问题类似,默认网关问题可能与配置错误(在手动分配的情况下)或 DHCP 问题(如果使用自动分配)有关。

要解决默认网关配置错误问题,请确保为设备配置正确的默认网关。如果手动设置的默认地址不正确,只需将其替换为合适的地址即可。如果默认网关地址是自动设置的,请确保设备可以与 DHCP 服务器通信。还必须验证路由器接口上的 IPv4 地址和子网掩码是否配置适当,以及该接口是否处于活动状态。

如显示所示,要验证基于 Windows 的计算机上的默认网关,请使用ipconfig命令。

C:\Users\PC-A> ipconfig
Windows IP Configuration
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16
   IPv4 Address. . . . . . . . . . . : 192.168.10.10
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.10.1
(Output omitted)

在路由器上,使用show ip route命令列出路由表,并验证称为默认路由的默认网关是否已设置。当数据包的目的地址与路由表中任何其他路由不匹配时,使用此路由。

例如,输出验证 R1具有指向 IP 地址 209.168.200.226 的默认网关(即最后求助网关)。

R1# show ip route | begin Gateway
Gateway of last resort is 209.165.200.226 to network 0.0.0.0
O*E2  0.0.0.0/0 [110/1] via 209.165.200.226, 02:19:50, GigabitEthernet0/0/0
      10.0.0.0/24 is subnetted, 1 subnets
O        10.1.1.0 [110/3] via 209.165.200.226, 02:05:42, GigabitEthernet0/0/0
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, GigabitEthernet0/0/1
L        192.168.10.1/32 is directly connected, GigabitEthernet0/0/1
      209.165.200.0/24 is variably subnetted, 3 subnets, 2 masks
C        209.165.200.224/30 is directly connected, GigabitEthernet0/0/0
L        209.165.200.225/32 is directly connected, GigabitEthernet0/0/0
O        209.165.200.228/30
           [110/2] via 209.165.200.226, 02:07:19, GigabitEthernet0/0/0
R1#

突出显示的第一行基本上说明了网关通往任何地址(即 0.0.0.0)都应该发送到 IP 地址 209.165.200.226。第二行显示了 R1 如何获悉默认网关。在这种情况下,R1 从另一个启用了OSPF的路由器接收信息。

7.5、排除 DNS 故障

域名服务 (DNS) 定义了一种将域名(例如 www.cisco.com)与-ob5f/) IP 地址相匹配的自动化服务。DNS 解析对于设备无关紧要,但对最终用户而言非常重要。

用户通常会错误地将互联网链路的运行与 DNS的可用性相关联。“网络中断”或“互联网中断”等用户投诉通常就是由于 DNS 服务器无法访问所导致的。当数据包路由以及其他网络服务仍正常运行时,DNS 故障经常会导致用户得出错误结论。如果用户在 Web 浏览器中键入一个域名(例如 www.cisco.com),而%2C-w63n/) DNS 服务器无法访问,则该域名将无法转换为 IP 地址,网站将不会显示。

DNS 服务器地址可以手动或自动分配。网络管理员通常负责在服务器和其他设备上手动分配 DNS 服务器地址,而 DHCP 用于将 DNS 服务器地址自动分配到客户端。

虽然公司和组织通常会管理他们自己的 DNS 服务器,但任何可访问的 DNS 服务器都可以用于解析域名。小型办公室和家庭办公室 (SOHO) 用户通常依赖其 ISP 所维护的 DNS 服务器来进行域名解析。ISP 维护的 DNS 服务器通过 DHCP 分配给 SOHO 客户。另外,Google 维护了一个可供所有人使用的公共 DNS 服务器,它对于测试非常有用。Google 的公共 DNS 服务器的 IPv4 地址为 8.8.8.8,其 IPv6 DNS 地址为 2001:4860:4860::8888。

思科提供了OpenDNS,它通过过滤网络钓鱼和一些恶意网站来提供安全的 DNS 服务。您可以在首选 DNS 服务器和备用 DNS 服务器字段中将 DNS 地址更改为 208.67.222.222 和 208.67.220.220。家庭和企业可以使用web内容过滤和安全等高级功能。

如显示所示,使用ipconfig /all验证 Windows 计算机正在使用哪个 DNS 服务器。

C:\Users\PC-A> ipconfig /all
(Output omitted)
Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8265
   Physical Address. . . . . . . . . : F8-94-C2-E4-C5-0A
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.10.10(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : August 17, 2019 1:20:17 PM
   Lease Expires . . . . . . . . . . : August 18, 2019 1:20:18 PM
   Default Gateway . . . . . . . . . : 192.168.10.1
   DHCP Server . . . . . . . . . . . : 192.168.10.1
   DHCPv6 IAID . . . . . . . . . . . : 100177090
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-F3-76-75-54-E1-AD-DE-DA-9A
   DNS Servers . . . . . . . . . . . : 208.67.222.222
   NetBIOS over Tcpip. . . . . . . . : Enabled
(Output omitted)

nslookup命令是 PC 的另一个有用的 DNS 故障排除工具。利用 nslookup,用户可以手动进行 DNS 查询并分析 DNS 响应。该 nslookup 命令显示了对于www.cisco.com 查询的输出。请注意,您也可以简单地输入一个IP地址然后通过 nslookup 解析其域名。

C:\Users\PC-A> nslookup
Default Server:  Home-Net
Address:  192.168.1.1
> cisco.com
Server:  Home-Net
Address:  192.168.1.1
Non-authoritative answer:
Name:    cisco.com
Addresses:  2001:420:1101:1::185
          72.163.4.185
> 8.8.8.8
Server:  Home-Net
Address:  192.168.1.1
Name:    dns.google
Address:  8.8.8.8
>
> 208.67.222.222
Server:  Home-Net
Address:  192.168.1.1
Name:    resolver1.opendns.com
Address:  208.67.222.222
>

7.6、Packet Tracer - 排除连接故障

7.7、实验 - 排除连接故障


文章作者: wck
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 wck !
评论
  目录