第8章 局域网故障诊断、分析与排除技术

第八章局域网故障诊断、分析与排除技术
在本章中,我们将对局域网络常见的一些故障进行诊断、分析,同时给出相应的处理措施。

8.1 局域网故障概述
8.1.1 局域网故障分类
根据网络故障的性质可把网络故障分为物理故障与逻辑故障,也可以根据网络故障的对象把网络故障分为线路故障、路由故障和主机故障。

1.按照网络故障的不同性质划分
(1) 物理故障
物理故障指的是设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。

比如说,网络管理人员发现网络某条线路突然终端,首先用ping或fping检查线路与网管中心是否连通。

ping一般一次只能检测到一端到另一端的连通性,而不能一次检测一端到多端的连通性,但fping一次就可以ping多个IP地址,比如C类的整个网段地址等。

网络管理员经常发现有大量的IP地址在扫描本地局域网,这种情况不一定就是黑客攻击,fping也可以做到。

如果连续几次ping都出现“Request time out”的提示信息,则表明网络不通。

这时可检查端口插头是否松动,或者网络插头误接,这种情况经常是没有搞清楚网络插头规范或者没有弄清网络拓扑规划所导致的。

另一种情况,比如两个路由器直接相连,这时应该让一台路由器的出口连接另一台路由器的入口,而这台路由器的入口连接另一路由器的出口才行。

当然,集线器、交换机、多路复用器也必须连接正确,否则也会导致网络中断。

还有一些网络连接故障显得很隐蔽,要诊断这种故障没有特别好的工具,只有依靠经验丰富的网络管理人员。

(2) 逻辑故障
逻辑故障中最常见的情况就是配置错误,就是指因为网络设备的设置原因而导致的网络异常故障。

配置错误可能是路由器端口参数设定有误,或路由器路由配置错误以导致路由循环或找不到远端地址,或者是掩码设置错误等。

比如,同样是网络中的线路故障,该线路没有流量,但又可以ping通线路的两端端口,这时就很有可能是路由配置错误了。

遇到这种情况,我们通常用的路由跟
踪程序是traceroute,它和ping类似,最大的区别在于traceroute是把端到端的线路接线路所经过的路由器分为多端,然后每段返回响应或延迟。

如果发现在traceroute的结果在某一段之后,两个IP地址循环出现,这时,一般就是线路远端把端口路由又指向了线路的近端,导致IP包在该线路上来回反复传递。

traceroute可以检测到在哪些路由器之前都能正常响应,到哪个路由器就不能正常响应了。

这时只需要更改远端路由器端口配置,就能恢复线路正常了。

逻辑故障的另一类就是一些重要进程或端口关闭,以及系统的负载过高。

比如线路中断,没有流量,用ping发现线路端口不通,检查发现该端口处于down的状态,这就说明该端口已经关闭,因此导致故障。

这时只需重新启动该端口,就可以恢复线路的连通了。

还有一种常见情况时路由器的负载过高,表现为路由器CPU温度太高、CPU利用率太高,以及内存剩余太少等,如果因此影响网络服务的质量,最直接也是最好的办法就是更换路由器。

2.根据故障的不同对象划分
(1) 线路故障
线路故障最常见的情况就是线路不通,诊断这种情况首先检查该线路上流量是否还存在,然后用ping检查线路远端的路由器端口能否响应,用traceroute检查路由器配置是否正确,找出问题逐个加以解决。

(2) 路由器故障
事实上,线路故障中很多情况都涉及路由器,因此也可以把一些线路故障归结为路由器故障。

检测这种故障,需要利用MIB变量浏览器,用它手机路由器的路由表、端口流量数据、计费数据、路由器CPU的温度、负载以及路由器的内存余量等数据,通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据,并及时进行报警。

值得注意的是:路由器CPU温度过高是十分危险的,因为这有可能会导致路由器的烧毁;而路由器CPU利用率过高和路由器内存余量太小都将直接影响到网络服务的质量。

解决这种故障,只有对路由器进行升级、扩大内存,或者重新规划网络拓扑结构。

(3) 主机故障
主机故障常见的现象就是主机的配置不当,象主机配置的IP地址与其它主机冲突,或IP地址根本就不在子网范围内,由此导致主机无法连通。

主机的另一故障就是安全故障,比如,主机没有控制其上的finger、rlogin等多余服务,而攻击者可以通过这些多余进程的正常服务或bug攻击该主机,甚至得到管理员权限等。

还要值得注意的一点就是,不要轻易地共享本机硬盘,因为这将导致恶意攻击者非法利用该主机的资源。

发现主机故障一般比较困难,特别是别人恶意的攻击,一般可以
通过监视主机的流量、扫描主机端口和服务来防止可能的漏洞。

8.1.2 局域网故障诊断步骤
(1) 网络故障诊断的目的
●确定网络的故障发生点,恢复网络的正常运行;
●发现网络规划和配置中的不当之处,改善和优化网络的性能;
●观察网络的运行状况,及时预测网络通信质量。

网络故障诊断以网络原理、网络配置和网络运行的知识为基础,从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络的正运行。

(2) 网络故障
●物理层中物理设备相互连接失败或者硬件及线路本身的问题;
●数据链路层的网络设备的接口配置问题;
●网络层网络协议配置或操作错误;
●传输层的设备性能或通信拥塞问题;
●高层(会话层、表示层和应用层)或网络应用程序错误。

诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。

首先检查物理层,然后数据链路层,其次是网络层,以此类推,设法确定通信失败的故障点,直到系统通信正常为止。

(3)故障症状
故障症状包括一般性的故障(比如用户不能接入服务器)和较特殊的故障(如路由器不在路由表中)。

对每一个症状使用特定的故障诊断工具和方法都能查找出一个或者多个故障原因。

一般故障排除模式如下:
第一步:识别故障现象
分析网络故障时,首先要分清楚故障现象。

应该详细说明故障的症状和潜在的原因。

为此,要确定故障的具体现象,然后确定造成这种故障现象的原因和类型。

例如,主机不响应客户请求服务。

可能的故障原因是主机配置问题、接口卡故障或路由器配置命令丢失等。

第二步:对故障现象进行描述
收集故障原因的信息。

向用户、网络管理员、管理者和其它关键人物提一些和故障有关的问题。

广泛地从网络管理系统、协议分析跟踪、路由器诊断命令的输出报告或软件说明书中收集有用的信息。

第三步:制定诊断计划,列举可能导致错误的原因。

根据收集到的故障信息情况进行故障原因的分析。

可以根据有关情况排除某
些故障原因。

例如,根据某些资料可以排除硬件故障,把注意力集中在软件原因上。

对于任何机会都应该设法减少可能发生的故障原因,以便尽快地策划出有效的故障诊断计划。

第四步:根据分析出的故障原因,建立一个诊断计划。

开始仅用一个可能的故障原因进行诊断活动,这样可以容易恢复到故障的原始状态。

如果一次同时考虑多个故障原因,试图返回故障原始状态就困难得多了。

第五步:排除故障。

执行故障排除预案,认真做好每一步测试、观察和处理,直到故障症状消失。

第六步:每改变一个参数都要确认其结果。

分析结果确定问题是否解决,如果没有解决,继续下去,直到彻底解决问题。

8.2 局域网故障诊断技术
8.2.1 物理层诊断技术
物理层是OSI分层结构体系中最基础的一层,它建立在通信介质的基础上,实现系统和通信介质的物理接口,为数据链路实体之间进行透明传输,为建立、保持和拆除计算机和网络之间的物理连接提供服务。

物理层的故障主要表现在设备的物理连接方式是否恰当;连接电缆是否正确;MODEN、CSU/DSU等设备及操作是否正确。

确定路由器端口物理连接是否完好的最佳方法是使用show interface命令,检查每个端口的状态,解释屏幕输出信息,查看端口状态、协议建立和EIA状态。

8.2.2 数据链路层诊断技术
数据链路层的主要任务是使网络层无需了解物理层的特征而获得可靠的传输。

数据链路层为通过链路层的数据进行打包和解包、差错检测和一定的校正,并协调共享介质。

在数据链路层交换数据之前,协议关注的是形成帧和同步设备。

查找和排除数据链路层的故障,需要查看路由器的配置,检查连接端口的共享同一数据链路层的封装情况,每对接口要和与其通信的其它设备有相同的封装。

通过查看路由器的配置检查其封装,或者使用show命令查看相应接口的封装情况。

8.2.3 网络层诊断技术
网络层提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、
传输确认、中断、差错及故障恢复等。

排除网络层故障的基本方法是:沿着从源到目标的路径,查看路由器路由表,同时检查路由器接口的IP地址。

如果路由没有在路由表中出现,应该通过检查来确定是否已经输入适当的静态路由、默认路由或者动态路由,然后手工配置一些丢失的路由,或者排除一些动态路由选择过程中的故障,包括RIP或者IGRP路由协议出现的故障。

例如,对于IGRP路由选择信息只在同一自治系统(AS)的系统之间交换数据,查看路由器配置的自治系统的匹配情况。

8.3 常见局域网故障分析与排除
8.3.1 局域网故障诊断与分析
小型的局域网是最常见的网络,有的局域网络是由两台计算机构成的对等网,但网络虽小却也容易出这样或那样的问题.最常见的问题大致分以下几种:
1.网卡设置问题
该问题是局域网中发生率最高的问题之一,当系统启动后网络马上提示: “网络适配器无法正常工作”,这是因为网络适配器没有正确安装,在系统设备里发现网络适配器前有个黄色的惊叹号,就可证明网卡没有正确安装,或者与系统中的其他设备在中断上有冲突,这时候就需要进行手工调整.常见的ISA接口NE2000及其兼容网卡出厂时默认的IRQ是3,I/O地址是300,建议使用这个中断和I/O地址.因为如果要改变中断的化,要用网卡附带的设置程序进行更改,实在是麻烦。

根据以往的经验,与这类网卡冲突最多的设备是COM2,最好的解决方案是在CMOS中将“Assign IRQ for VGA”项设置为禁止,不给显卡分配固定的中断。

如果以上办法还不能奏效,那就只好运行网卡设置程序,关闭网卡的PNP功能,设置IRQ中断号和I/O地址为系统未占用的地址,并在BIOS中将相应中断号由PCI/ISA改为Legacy ISA。

某些ISA网卡,比如NE2000网卡,只有当I/O地址范围设置错了才会出现黄色的惊叹号。

如果只是中断号错了,它在Windows的系统设备状态中显示为正常,如果出现这种情况,在其他相关设置都正常的情况下,计算机始终连不上网络,这时候请注意查一下网卡的中断,方法是使用网卡的设置程序,查处它所用的实际中断号,然后再到系统资源中将相应的中断改过来即可,另外,有可能的一种情况是Windows的伪报错,即设备本身的安装和设置没有错误,是Windows的错报。

这种情形可不理会它的错误提示,因为设备是可以正常工作的。

假如上述所有的办法均无效,就只有换新的网卡了。

2.连不上网络
在“网上邻居”中只看到本机,而看不到同一网段上的其他计算机,说明网络适配器的安装是正确的,出现这种情况首先确认网线是否插好,相关的网络设备(如Hub、交换机等)是否都工作正常。

在出现这类问题时应先从简单的方面去考虑,除了确认网络线已经插好外,还要确认网线工作是否正常,使用的是正线序还是反线序(交叉电缆)。

连接不同类设备使用的是正线序,如网卡-Hub/交换机号另当别论)、网卡-网卡。

如果一切正常,仍然连不上网络就要看是不是属于同一个工作组的计算机有重名的情况。

如果两个条件都正常,就要看是不是协议的问题了。

一般而言,局域网使用TCP/IP协议就足够了。

首先用ping 127.0.0.1来确认本地的TCP/IP配置是否正确。

如果试图用这个ping命令来判断网卡是否有故障,是不正确的,因为ICMP被认为是IP层的一个组成部分,ping本地地址到IP层的时候就被短路了,并没有调用到网卡驱动程序,所以是无法判断网卡是否有故障的,也没有使用到更高层的协议(如TCP/IP或UDP);实际上如果ping命令返回正常的结果,仅仅说明本地的TCP/IP协议安装正确。

ping局域网中的另外一台主机,如果返回的结果正确,但仍然无法在网上邻居中看到它,表示对方计算机没有打开“文件和打印机共享”服务;当然,如果要让别人看到你,你也必须打开“文件和打印机共享”,否则别人会看不到你。

3.网络速度不正常
网络速度不正常,通常表现为以下几种情况:
(1)不能访问服务器或某项服务
要先测试一下这一故障是影响一台工作站,还是影响其他全部站点,这可以通过其他工作站登录服务器或服务来证明这一点.如果这些有问题的工作站都出现在同一网段中或连接在相同的Hub上,那么就要分析这个Hub或网段,检查Hub 是否正常工作,该网段的子网掩码是否正确,还要看服务器是否禁止该网段的工作站使用这项服务。

(2)与服务器有关的问题
无论是网络流量高或低都有网络响应速度过慢的情况.有可能是服务器的高速缓冲区设置得太小,保留的缓冲区不足,服务器内存不够,服务器硬盘所余空间有限等。

另外也可能是另一类软件问题(通常是服务器端的ASP、CGI脚本或其他应用服务),它们可能造成不正常的“网络磁盘请求”导致服务器内存不足,这时有必要停止某些不用的服务,或将某一部分服务分担到另一个服务器上去处理,甚至干脆升级现有的服务器。

(3)数据包错误
有时你的计算机会因为接收到的数据包导致出错数据或故障。

虽然TCP/IP 可
以容许这些类型的错误,并能够自动重发数据包。

但如果累计的出错数目占到所接收的IP数据包相当大的百分比,或者它的数目正迅速增加的话,那么你就应该使用Netstat查一查为什么会出现这些情况,并找到解决的方法。

(4)碰撞问题
把本地和远端碰撞的损失都加起来,如果平均碰撞的值大于5%~10%,就要进行进一步的故障查找。

如果碰撞较多,要算一下有多少带宽碰撞是因为流量明显增大引起的,如果是这样就意味着某处的物理层出现了比较严重的问题。

例如,不正确的端接(RJ45连接头没有压紧),BNC阻抗不连续、残破线缆、坏网卡以及网络线和电源线在布线的时候并行在一起而引起的串绕。

在碰撞与流量之间应是有一定的关系的。

这种关系应当在进行网络参照基准测试时收集到。

如果碰撞始终是比较多的但仍是可以接受的,可能是太多站点同时在参与发送,这时候网络结构应做一些优化把近距离的站点分在一起。

(5)折半法查找网络错误
如果使用的是同轴电缆构架的总线型网,可以使用“折半法”(也叫二分法)来查找网络错误。

使用终端匹配器将网络从中间分段开来,从网络是否正常工作来判断问题发生在前半部分还是后半部分。

按照不断折半的方法最终找到出现问题的计算机或网络线路。

该原理也适用于星形网络,你可以把网络分成几部分,看问题出在哪部分,再对有问题的部分进行划分,如此下去,就可查出问题所在。

(6)利用率过高和过载网段
如果网络带宽利用率过高(平均值大于40%,瞬间峰值高于60%),那么网段负荷就过重了。

应当考虑安装路由器以减少在网段中的流量或用交换机把网段分成若干小的网段。

如果利用率很高(持续峰值超过60%)而碰撞又可以接受(平均碰撞小于10%),那么网络就饱和了。

这时也应该增加网段或把网段分成较小的可以支持正常流量的网段。

(7)病毒
互联网上出现了许多比较厉害的病毒,例如“红色代码”、“蓝色代码”、“尼姆达”等病毒。

有些病毒除了使计算机运行变慢,还可以阻塞网络,造成网络塞车。

对付这些病毒,大多数病毒厂商,例如瑞星、卡巴斯基等都有对付的办法,在这里一定要注意,不要按照平常的杀毒办法杀毒,必须对杀毒软件进行定时的升级,而且某些病毒直接查杀无法杀干净,需要进行手动删除。

4.局域网中客户机无法上网
首先确认有没有其他计算机(包括主机)可以上网。

如果都没有机器可以上网
则有可能是ISP的问题。

如果ISP没有问题,就要根据实际情况进行处理。

如果是使用局域网代理服务器上网,应该确认该客户机可以访问代理服务器,浏览器中代理服务器地址和端口设置正确。

由于代理服务器多种多样,具体设置要向网络管理员查询。

在各种操作系统下都可以找到的ping是一个非常有用的网络工具。

它可以测试系统是否能到达一台远程主机,这一简单功能对于测试Internet的连接是非常有用的。

首先,主机ping远程主机成功后,则测试用户对该主机使用ping命令,如果执行成功,再ping远程主机,如果也执行成功,说明网络在通信方面是正常的。

如果主机的ping命令执行成功,用户的ping命令失败,就可以集中测试该用户的系统配置文件。

如果你和用户的ping命令都失败了,ping命令显示的出错信息是很有帮助的,可以指导你进行下一步的测试计划。

以下是几种基本的出错类型:
(1)unknown host
该远程主机的名字不能被DNS(域名服务器)转换成IP地址,DNS可能出故障、该名字可能是不正确的、你的系统和远程服务器之间的网络可能出问题。

如果你知道该远程主机的IP地址,可以再试一试ping命令。

如果利用它的IP地址能达到该主机,问题就可能出在DNS上。

(2)Network unreachable
远程主机不可到达。

如果在ping命令中使用IP地址,则利用主机名重新输入ping命令,这就消除了输入不正确IP地址的可能性。

如果使用路由选择协议,一定要确保它正在运行,并使用netstat、trace看看问题出在哪个路由器上,然后去查看它的路由表。

(3)request time out
远程主机没有响应。

这种问题的原因有很多,远程主机可能没有工作(开机)、本地或远程主机可能配置不当、本地和远程主机之间的线路不正常等,用前面所说的方法可找到原因。

5.其他检查方法
通常可以从网卡、Hub或者交换机的LED灯的状态来判断网络的工作状态。

正常工作的网卡至少一个LED灯应该保持闪烁;交换机上的Link/Act或Transmit/Receive灯也应该如此,如果长时间不动,则应先考虑网络线的问题,然后是网卡和交换机。

在某些交换机上有个端口供MDI和MDI-X切换,可以在级联口和非级联的普通口之间切换,供连接不同的设备使用,如使用正线序,MDI是级联口连接到下一个Hub/交换机,MDI-X是普通口连接至网卡。

总而言之,产生网络故障的原因是很复杂的,同样故障可能导致不同的表现。

但是,查找故障的基本方法应从最简单的错误入手,先检查网线、网卡配置、网络连接设备Hub/交换机在使用了一段时间后,都可能会出现故障。

为了有效地解决故障,我们需要有网络的文档。

最好要装备合理工具软件来帮助我们了解在网络正常工作时的参数通过分析找出网络的故障。

8.3.2 局域网经典故障分析与排除
问题1: 已经用双绞线把两台计算机连接起来,但是为什么相互之间不能看到?
问题分析与处理:
①首先要检查连线是否正常。

这需要检查双机直接连接时使用的对应管脚是否是连通的,可以用万用表测量对应管脚是否连通。

②检查两台计算机的连接口是否正常。

如果你使用串口,看串口鼠标是否可以在这里正常使用;如果你使用并口,看打印机是否可以在这个并口使用;如果使用USB接口,则看USB鼠标、USB音箱是否可以正常使用;对于红外接口,注意使两台计算机靠近,对准红外口。

③检查通信协议。

这时两台计算机通话的共同语言。

需要按照下面的方法分别检查两台计算机是否已经安装了NetBEUI通信协议。

若是Windows 98系统打开“开始”->“设置”->“控制面板”->“网络”->“配置”,若是Windows 2000/XP系统则打开“开始”->“设置”->“网络连接”->“本地连接”->“属性”,看是否有“NetBEUI-3com EtherLink xxx(3com网卡)”等字样的协议和网卡捆绑后的配置。

当然,网卡也可能是NE2000或D-Link。

如果没有安装,可以单击“添加”按钮来安装。

④如果主机还连接到其他网络上,则一定要注意“客户机”的“计算机名”、“工作组名”不能与其他连接到主机的计算机相同。

⑤检查直接连线是否安装。

依次打开“开始”->“程序”->“附件”->“通信”,看是否存在“直接电缆连接”,如果没有,必须安装该组件。

问题2: 在客户机搜索共享资源时,提示“直接电缆连接无法显示主机共享的文件夹。

要查看共享文件夹,请输入主计算机名称”对话框。

这是什么回事,如何解决?
问题分析与处理: 将主机“控制面板”的“网络”选项的“标识”中的计算机名称输入查询对话框即可。

问题3: 为什么从“网络邻居”中能够看到别人的机器，但不能读取别人电脑上
的数据？
问题分析与处理：
(1) 首先必须设置好资源共享。

选择"网络→配置→文件及打印共享"，将两个
选项全部打勾并确定，安装成功后在"配置"中会出现"Microsoft 网络上的文件与打印机共享"选项。

(2) 检查所安装的所有协议中，是否绑定了"Microsoft网络上的文件与打印机共享"。

选择"配置"中的协议如"TCP/IP协议"，点击"属性"按钮，确保绑定中"Microsoft网络上的文件与打印机共享"、"Microsoft网络用户"前已经打勾了。

问题4: 为什么无法在网络上共享文件和打印机？
问题分析与处理：
（1）确认是否安装了文件和打印机共享服务组件。

要共享本机上的文件或打印机，必须安装"Microsoft网络上的文件与打印机共享"服务。

（2）确认是否已经启用了文件或打印机共享服务。

在"网络"属性框中选择"
配置"选项卡，单击"文件与打印机共享"按钮，然后选择"允许其他用户访问的我的文件"和"允许其他计算机使用我的打印机"选项。

（3）确认访问服务是共享级访问服务。

在"网络"属性的"访问控制"里面应
该选择"共享级访问"。

问题5: 为什么在"网上邻居"或"资源管理器"中只能找到本机的机器名?
问题分析与处理：网络通信错误，一般是网线断路或者与网卡的接确不良，还有可能是Hub有问题。

问题6: 在Windows 98/2000中,关机时总是提示“有其他用户登录这台计算机”,这是什么回事?应该怎么办?
问题分析与处理:
(1)可以删除你的计算机上的所有共享。

(2)安装一个防火墙软件,禁止139端口的使用。

(3)如果你的系统是Windows XP,启用Windows XP内置的防火墙就行了。

问题7: 打开“网上邻居”后，只能查看到部分计算机，无法查看到局域网中的有些计算机，甚至自己的计算机，这是怎么回事呢？。