组网与网络管理技术.ppt

组网与网络管理技术,网络管理与维护 徐记金 ,中粮安徽丰原砀山梨业有限公司,组网与网络管理技术,第四章 计算机网络管理,4.1 网络管理的基本概念 4.2 简单网络管理协议SNMP 4.3 VLAN的使用和管理 4.4 日常网络管理 4.5 计算机网络的测试与维护,组网与网络管理技术,4.4 日常网络管理,以Windows NT为例,组网与网络管理技术,4.4.1 安全规则,组网与网络管理技术,一、操作系统安全定义, 信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的,组网与网络管理技术,二、信息安全评估标准,ITSEC和TCSEC 美国国防部TCSEC描述的系统安全级别 D A（彩虹系列） CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准,组网与网络管理技术,TCSEC彩虹系列标准,没有安全性可言，例如MS DOS,不区分用户，基本的访问控制,有自主的访问安全性，区分用户,标记安全保护，如System V等,结构化内容保护，支持硬件保护,安全域，数据隐藏与分层、屏蔽,校验级保护，提供低级别手段,组网与网络管理技术,C2级安全标准的要求,自主的访问控制 对象重用必须由系统控制 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问,组网与网络管理技术,C2级别操作系统应包含的安全组件,访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆（Mandatory log on） 要求所有的用户必须登陆，通过认证后才可以访问资源 审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。,组网与网络管理技术,三、Windows系统的安全架构,Windows NT系统内置支持用户认证、加密、访问控制、管理、审核。,组网与网络管理技术,四、Windows NT的对象,为了实现自身的安全特性， Windows NT 把所有的资源作为系统的特殊的对象。这些对象包含资源本身， Windows NT 提供了一种访问机制去使用它们。由于这些基本的原因，所以我们把 Windows NT 称为基于对象的操作系统。,组网与网络管理技术,Microsoft的安全就是基于以下的法则：,用对象表现所有的资源 只有Windows NT才能直接访问这些对象 对象能够包含所有的数据和方法 对象的访问必须通过Windows NT的安全子系统的第一次验证 存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么,组网与网络管理技术,Windows 中首要的对象类型,文件 文件夹 打印机 I/O 设备 窗口 线程 进程 内存,组网与网络管理技术,五、Windows安全子系统的组件,安全标识符（Security Identifiers） 访问令牌（Access tokens） 安全描述符（Security descriptors） 访问控制列表（Access control lists） 访问控制项（Access control entries）,组网与网络管理技术,安全标识符（Security Identifiers）,就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。 SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-234321321-500,组网与网络管理技术,访问令牌（Access tokens）,用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。,组网与网络管理技术,安全描述符（Security descriptors）,Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。,组网与网络管理技术,访问控制列表（Access controllists）,访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。,组网与网络管理技术,组网与网络管理技术,访问控制项（Access control entries）,访问控制项（ACE）包含了用户或组的SID以及对象的权限。 访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。,组网与网络管理技术,六、 Windows安全子系统,组网与网络管理技术,1、登录进程（WinLogon）,接受用户的登录申请，包括初次交互登录（对用户显示初始登录对话框）和允许远程用户访问Windows NT服务器进程的远程登录进程。,组网与网络管理技术,2、本地安全机构（LSA）,确保具有权限的用户能够访问系统。是WindowsNT安全子系统的核心部分。 LSA提供了许多服务程序，保障用户获得存取系统的许可权。它产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由SRM产生的审查记录信息。,组网与网络管理技术,3、安全账号管理器（SAM）,用来维护用户的账号数据库。 保存SAM数据库，该数据库包含所有组和用户的信息。SAM提供用户登录认证，负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对，并为用户赋予一个安全标识符（SID）。根据网络配置的不同，SAM数据库可能存在于一个或多个Windows NT系统中。,组网与网络管理技术,4、安全引用监视程序（SRM）,负责检查具有权限的用户访问对象和试图执行的任何操作。 SRM负责访问控制和审查策略，由LSA支持。提供客体（文件、目录等）的存取权限，检查主体（用户账户等）的权限，产生必要的审查信息。客体的安全属性由安全控制项（ACE）来描述，全部客体的ACE组成访问控制表（ACL）。没有ACL的客体意味着任何主题都可访问。而有ACL的客体则由SRM检查其中的每一项ACE，从而决定主体的访问是否被允许。,组网与网络管理技术,4.2.2 访问控制,允许或限制访问的特征： 用户帐号 用户权利 用户组 主体和模仿 对象的安全信息（权限）,组网与网络管理技术,一、用户帐号,在域中独立用户必须有一个用户帐号，以进行登录和使用域的资源。 管理员建立用户帐号时，需要分配用户名，指定用户的标识数据，并定义该用户在系统中的权限。 用户帐号包含用户信息、组成员关系和安全策略信息。,组网与网络管理技术,Windows NT Server给新帐号分配了一个唯一的安全标识符SID。每个SID在任何时候都是唯一的。 当用户登陆时， Windows NT 生成一个安全访问标记。该标记包含用户的安全标识符，以及该用户所属组的其他安全标识符。同时包含该用户名及所属组的其他用户名等信息。该用户的每个进程都会获得该用户的访问标记副本。,组网与网络管理技术,二、用户权利,用户权力决定用户能执行哪些操作。 一般为一个组用户定义用户权利，某个用户帐号加入这个组时自动享有指定用户权利。 可能需要改变的默认用户权力有本地登录和关闭系统等。,组网与网络管理技术,三、具有相近需求的组用户,管理员根据用户在网络上进行分组，使同组具有相同的权利和权限。 组账号的两种类型： 全局组 本地组,组网与网络管理技术,全局组,由同一个域中的几个用户帐号组成，这些用户帐号被分配在一个组账号名下。 “全局”表示该组具有实用多个域中资源的权利和权限。 运行Windows NT Workstation的计算机或者作为成员服务器的计算机不能创建全局组。,组网与网络管理技术,本地组,由一个或多个域中的用户帐号或者全局组构成，用户帐号和全局组被安排在同一个账号名下。 “本地”表示该组仅有使用本域中资源的权限和权利。 本地组可以包含用户和全局组，不能包含其他本地组。,组网与网络管理技术,组的使用原则,最好把权力和权限分配给本地组。通过使用全局组的方法把用户添加到本地组中。将很多用户添加到另一个域中的最佳方法是全局组。包含该全局组的本地组将必要的权利和权限提供给加入的全局组。 将用户加入本地组最有效的方法是全局组。,组网与网络管理技术,四、主体与模仿,主体（Subject）包含用户的访问标记和按用户意愿运行的程序。 Windows NT使用主体跟踪和管理用户运行程序所具有的权限。 Windows NT安全体系架构中的两类实体： 简单实体：对应的用户登录时指定安全环境的进程。 服务器主体：作为保护方式的服务器执行的进程，具有作为客户机的其他主体。 Windows NT允许进程通过一项称为“模仿”的技术获取另一进程的安全属性。,组网与网络管理技术,五、对象的安全信息（权限）,安全描述符描述对象的安全属性，包含： 安全标识符（ Object Owner SID ） 组安全标识符（ Group SID ） 自选访问控制列表（ DACL ） 系统访问控制列表（ SACL ）,组网与网络管理技术,4.4.3 Windows NT Server域,域是一个共享公共安全性和用户帐号信息的网络服务器和其它计算机的逻辑组。 域结构在维护安全的网络方面具有优势： 单一登录进程； 全域资源访问； 集中化网络管理。,组网与网络管理技术,一、域控制器,域控制器是运行Windows NT Server，并使用一个共享目录存放整个域中的安全和用户帐号信息的计算机。 负责位域验证用户身份的服务器。 有两种域控制器： 主控制器PDC 备份控制器BDC,组网与网络管理技术,二、成员服务器,成员服务器不存储目录数据库的副本。不能鉴别账号，也不能接受同步产生的目录数据库的副本。 用来执行特定的任务，如打印或文件服务器。,组网与网络管理技术,三、委托关系,委托关系使多个域之间的安全得到保证。委托关系是能把两域组合成为一个管理单元的连接，该管理单元有权访问两个域中的资源。 两种类型： 单项委托关系：一个域(委托域)委托其他域中（受托域）的用户使用其资源。 双向委托关系：每个域都委托对方域中的用户帐号。 使用任何一个域中的资源都要受限于资源有关权限,组网与网络管理技术,四、域安全策略,域的三种安全策略 账号策略：控制用户帐号如何使用密码。 审计策略：控制安全日志需要记录的事件类型。 委托关系策略：控制哪些是受托域，哪些是委托域。,组网与网络管理技术,五、计算机账号和安全通信通道,计算机账号是域中每台运行Windows NT Workstation和 Windows NT Server的计算机在目录数据库中的账号。 安全通信通道是Windows NT Workstation和 Windows NT Server的计算机登录上网时，客户机的NetLogon服务程序和服务器上的NetLogon间建立的通信会话。 两者能使管理员远程管理工作站和成员服务器。,组网与网络管理技术,六、混合操作系统环境的安全性,Windows NT Server有一个开放的网络结构，具有和其他网络产品通信的灵活性。 工作组客户机 Windows 95客户机 MS-DOS客户机 Novell NetWare客户机,组网与网络管理技术,七、登录和身份验证过程,可启动登陆身份验证的两种登陆过程： 交互式登陆 远程登录身份验证 登陆方式 在运行Windows NT Workstation或 Windows NT Server的计算机上进行成功远程登录的步骤。 工作组计算机远程登录到域中运行Windows NT计算机的步骤。 域计算机成功远程登录到同一域中运行Windows NT 计算机的步骤。,组网与网络管理技术,八、NetLogon服务,仅给用户提供对域中的PDC和所有BDC进行访问的单一访问点。也使PDC和所有域控制器上的目录数据库同步变化。 更改日志 部分与完全同步 用户身份验证 发现 安全通信通道 域间委托账号,组网与网络管理技术,4.5 计算机网络的测试与维护,组网与网络管理技术,网络故障诊断概述,组网与网络管理技术,一、网络故障诊断的目的,确定网络的故障点，恢复网络的正常运行； 发现网络规划和配置中的问题，改善和优化网络的性能； 观察网络的运行状况，及时预测网络通信质量,组网与网络管理技术,二、产生网络故障的原因,物理层问题，由于物理设备相互连接失败或者硬件及线路本身而引起的问题； 数据链路层问题，包括网络设备接口的配置等问题； 网络层问题，由于网络协议配置或操作引起的错误； 传输层问题，由于性能或通信拥塞引起传输超时问题； 应用层问题，包括网络操作系统（NOS）、网络应用程序或网际操作系统（IOS）自身中的软件错误。,组网与网络管理技术,三、一般故障排除步骤,故障定位。 收集相关信息。 考虑故障的可能原因。 确定解决方案。 实施解决方案。 测试验证。 记录解决方案。 确定预防措施。,组网与网络管理技术,组网与网络管理技术,网络维护的重要意义,网络维护的重要意义在于我们能够通过对网络的故障现象进行准确的判断，我们要积累一些经验或掌握一些规则，遇到什么问题对这个网络进行准确的判断。很多网络方面的问题都给经验有关，经验非常重要。,组网与网络管理技术,经常使用的逻辑思维方式,1、什么正常 2、什么不正常 3、正常与不正常有什么关系 4、不正常的事情曾经正常吗 5、要是曾经正常，后来做了什么改变,组网与网络管理技术,我们对网络上面的一些问题首先要正确的判断，这是网络的问题，还是不是网络的问题，中间差距是多少，名种性能的指标是怎么样的，这是我们在判断网络故障经常问的问题。我们判定故障后，那么就看第二点。,组网与网络管理技术,4.5.1 网络故障查找,查找网络故障的几种步骤 仔细倾听网络用户报告的问题 在出现问题时记录下错误信息 从简单的解决方案着手 确定时候还有其他人有同样问题 检查最近是否有突发事件，确定是否有设备处在注意或警告状态 电源中断是网络故障的普遍根源,组网与网络管理技术,一、设备故障查找,普遍使用的测试设备 电压表、万用表和光能表 电缆扫描仪 收发器监控仪 MAU分析仪 时域反射仪 协议分析仪 远程网络监督,组网与网络管理技术,万用表,万用表是在网络诊断和测试中经常用到的工具。对传输介质如细缆和双绞线的电阻（连通情况）的检测，以及BNC连接器的电阻等测试。 万用表在使用过程中要特别注意档位和量程的选择，如在测电压时，如果选错为电流或电阻档，有可能会把万用表烧坏。下图所示的数字式万用表。,组网与网络管理技术,电缆测试仪,电缆测试仪是常用的网络故障诊断工具。电缆测试仪不仅能够测试电缆的连通性、开路、短路、跨接、反接、串绕、以及电缆的长度等各种参数，而且能够用来诊断网络中电缆出现的故障和综合布线的论证测试。,组网与网络管理技术,左图所示的是美国福禄克(Fluke)公司的数字式F620、DSP-100和DSP4000电缆测试仪。右图表示了Microtest公司的光纤测试工具SimpliFiber.,组网与网络管理技术,网络测试仪,网络测试仪包括了大部分的电缆测试仪的功能，而且还将网络分析仪的大部分的底层功能集成在仪器之中。这类仪器可以收集网络的统计资料并用图表形式显示出来。网络测试仪即可以用于被动的工作方式（即出了问题去查找），也可用于主动方式（即网络动态监测）。网络测试仪可以对广播帧、错误帧、帧检测序列FCS、短帧、长帧、冲突帧进行检测。能够对流量进行网络测试，可以检测到诸如噪声、前导帧冲突等。较高级的网络测试仪能够将网络管理、故障诊断以及网络安装调试等众多功能集中在仪器里，可以通过交换机、路由器很容易地观察整个网络的状况。,组网与网络管理技术,左图所示是Pinger网络IP测试仪 . 右图所示是安捷伦WireScope 350网络测试仪。,组网与网络管理技术,Fluke公司的F68X网络测试仪，它集网络管理，故障诊断，网络安装及维护于一身的网络测试工具，能实时分析动态获得并不断更新网络基本参数，包括利用率，错误率，协议种类，发送接受最多者，广播以及信标等，能进行协议统计Netbios, Novell NetWare, TCP/IP协议，支持SNMP-整个企业级网络的诊断(F68X)，可以快速追踪可产生IP,IPX,LLC流量并同时进行网络分析测试等。,组网与网络管理技术,协议分析仪,协议分析仪的主要目的是捕获和解码穿过网络的数据帧. 主要作用是解码数据帧，使用户可以清晰地看到数据链路层、网络层和传输层的数据报头，以及每个数据帧中的数据。 使用协议分析仪不像网络分析仪提供的信息简单易懂，而是要具备计算机网络的专业知识。,组网与网络管理技术,Fluke公司的IP 协议分析仪。 需要利用专业协议分析工具进行监控、 诊断和故障定位。能对10/100/1000M 以太网和令牌环网提供全部7层协议包的捕捉, 解码和滤波能力。,组网与网络管理技术,网络万用表,网络万用表包括了电缆测试的功能，从而不需要另外的电缆测试工具，其他的功能还包括：能够记录网络问题，可以连续记录所发现的PC和网络问题，例如它不但能实现协议分析，还能对复杂的PC至网络连通等问题进行诊断，例如IP地址相关问题、缺省网关，Mail和Web服务器等问题；同时监测全双工网络的健康问题(发送的帧，利用率，广播，错误，碰撞) ，并对PC和网络通讯的每个帧进行计数 ，显示PC和网络之间不匹配的问题，识别不需要的协议。,组网与网络管理技术,美国福禄克网络公司的Net Tool网络万用表。功能如下： 迅速验证和诊断PC和网络的连通性问题。 迅速判定插口的类型，以太网，电话，令牌环或者是没有开通的插口。 解决复杂的PC至网络连通设置问题，例如IP地址，缺省网关，email和web服务器。 迅速显示PC所使用的网络关键设备，例如服务器，路由器和打印机。 检查连接脉冲，网络速度，通讯方式(半双工或全双工)，电平以及接收线对。,组网与网络管理技术,二、网络故障查找,组网与网络管理技术,1、 网络电缆,电缆长度 电缆类型 终止器 接地 电缆阻抗 短路或断路 RFI与EMI 连接器 连接之间的距离,组网与网络管理技术,2、 Ethernet故障查找,帧类型 网络号 晚期冲突或过度的CRC错误，可以检查中继器、收发器和网桥是否出现问题。,组网与网络管理技术,3、令牌环故障查找,从电缆问题查起 检查是否发生信标 检查备用监督站和他们的网卡 检查多路访问器MAU,组网与网络管理技术,4、 光纤线缆故障查找,检查是否有断路或断点 检查光缆的连接与终止 检查光纤绕过角落弯曲的角度角周线 检查所安装光缆的类型,组网与网络管理技术,5、 NIC问题,厂商提供的诊断软件 检查厂商的网络驱动器是否为最新版本 确定NIC的设置信息是否与连接NIC电缆匹配 直接换NIC,组网与网络管理技术,6、 打印服务器问题,打印服务器的能力分成两部分 服务器端 文件服务器或打印服务器的打印服务器软件 远程独立打印服务器或卡上的服务器排错步骤 检查连接打印机服务器上的网络电源，检查打印服务器与打印机连接的数据电源 检查打印机和打印服务器肯定有电源 关闭后再打开打印机电源 关闭后再打开打印服务器电源 检查以便确保已为打印服务器定义了一个队列并且该打印服务器与它定义的文件服务器打印队列相连。,组网与网络管理技术,查找文件服务器或主机上软件打印服务器的问题 检查以便肯定打印服务器有一个队列并连接在该队列上 审查打印服务器配置参数，肯定准确 停止，重新启动打印服务器软件。,组网与网络管理技术,7、 文件服务器,文件服务器的操作系统可按网络性能进行调整 服务器的NIC也会造成瓶颈和响应减慢。 选择可缩放的服务器,组网与网络管理技术,8、 网关,丢失结点重新引导网关或进行替换 产生坏包和很高的网络出错率协议分析仪,组网与网络管理技术,9、 中继器,检查确定是否划分了中继器网段 检查电源和中继器的保险丝 检查中继器的通信量 检查中继器是否过载,组网与网络管理技术,10、网桥,检查网桥是否过载 网桥重置,组网与网络管理技术,11、路由器,路由软件是否更新 电源工作是否正常 路由器存储是否工作 对于基于PC的路由器，硬盘驱动器为满或分段存储？ 对于基于PC的路由器，硬盘驱动器和控制器是否工作？,组网与网络管理技术,12、智能集线器,自身提供软件对集线器进行监控 检查保险丝和电源 检查集线器的重定时模块,组网与网络管理技术,13、重新引导网络设备,15、邮件系统,14、IP或网络地址问题,组网与网络管理技术,4.5.2 TCP/IP故障诊断工具概述,组网与网络管理技术,ping（此命令在Windows 95/98，Windows NT中都是同样用法）：用来检测一帧数据从当前主机传送到目的主机所需要的时间。 winipcfg和ipconfig：都是用来显示主机内IP协议的配置信息，winipcfg适用于Windows 95/98，而ipconfig适用于Windows NT。 tracert（此命令在Windows 95/98，Windows NT中都是同样用法）：判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。,组网与网络管理技术,netstat（此命令在Windows 95/98，Windows NT中都是同样用法）：这个命令有助于我们了解网络的整体使用情况。 它可以显示当前正在活动的网络连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。 arp（此命令在Windows 95/98，Windows NT中都是同样用法）：arp命令主要用来显示及修改特定IP地址的网卡地址。,组网与网络管理技术,解除疑难的最佳途径,首先验证计算机TCP/IP配置的正确性，然后使用ping检验计算机和网络主机间已有的连接和路由,组网与网络管理技术,4.5.3 用ping命令测试TCP/IP网络连接,有助于验证IP级连通性 验证主机能否与TCP/IP网络和网络资源连接。 隔离网络硬件问题和不相容配置 验证本机和网络主机间的通道是否存在,组网与网络管理技术,命令格式 ping 目的地址 -t -a -n count -l size 目的地址是指IP地址或主机名或域名。 主要功能 用来测试一帧数据从一台主机传输到另一台主机所需的时间，从而判断主机响应时间。 参数含义 -t：不停地向目标主机发送数据，直到用户按“Ctrl+C”组合键为止； -a： 以IP地址格式来显示目标主机的网络地址 ; -n count ：指定要Ping多少次，具体次数由count来指定，默认值为4 ； -l size ：指定发送到目标主机的数据包的大小，默认值为32，最大值为65527。,组网与网络管理技术,一、用ping命令的步骤,1、按回路地址（）Ping，可验证本机TCP/IP安装和配置的准确性。 2、按本机的IP地址ping，可验证该地址加入网络是否正确。 3、按默认网关的IP地址ping,可验证其是否起作用,是否可与本地网上的本地主机通信。 4、按远程主机的IP地址ping，可验证路由器能否通信。因为远程的主机肯定经过路由器。,组网与网络管理技术,二、若按任何一点都Ping不通,1、安装并配置TCP/IP后，重启计算机; 2、本机IP地址有效; 3、IP路由可用，而且路由器间链接可用。,组网与网络管理技术,常见的错误信息,unknown host 不知主机名 远程主机的名字不能被命名服务器转换成IP地址。 Network unreachable 网络不能到达 本地系统没有到达远程系统的路由，可以用netstat rn检查路由表来确定路由配置情况。 No answer 无响应 远程系统没有响应。 Timed out 超时 与远程主机的链接超时，数据包全部丢失。故障原因可能是到路由器的连接问题、路由器不能通过，也可能远程主机已经关机。,组网与网络管理技术,4.5.4 理解地址和名字解析,Win NT TCP/IP允许通过网络彼此通信 1、IP地址 2、主机名 3、NetBIOS名,组网与网络管理技术,一、用HOSTS文件解析主机名,1、计算机A用计算机B的主机名输入一条命令; 2、分析计算机A上的HOSTS文件，找到B的主机名时，解析成IP地址; 3、用地址解析协议（ARP）将计算机B的IP地址解析成其硬件地址。,组网与网络管理技术,二、用ARP测试IP地址到MAC地址的解析,允许用户查看和修改本地计算机上的ARP表项 有助于查看ARP缓存，并解决地址解析问题。,组网与网络管理技术,4.5.5 理解IP路由选择,组网与网络管理技术,一、路由表,在命令行输入 route print 命令可显示路由表,组网与网络管理技术,二、用Tracert检查网络连接间的路由,Tracert是路由跟踪的工具。判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。 格式：tracert 目的地址 -d-h maximum_hops-j host_list -w timeout -d ：不将地址解析为主机名； -h maximum_hops：指定搜索到目标地址可经过的最大跳跃数； -j host_list：按照主机列表中的地址释放源路由； -w timeout ：指定超时时间间隔，程序默认的时间单位是毫秒。,组网与网络管理技术,三、用Route检查路由表,命令route是在MS-DOS下运行。Route命令有许多用法，可以操作路由表，包括建立和删除路由。 Route 在DOS提示符下，输入route（或输入route / ?）命令后，会显示route命令的使用格式及其参数的详细说明。,组网与网络管理技术,Route print Route print命令是显示路由表中的当前信息。根据显示的信息可知本机的网关、IP地址、广播地址、环回测试等信息。 Route add 和route delete 使用Route add 和route delete命令可以增加和删除路由信息。利用Route Delete 和 Route ADD 两条命令还可以实现跨网段访问，此时计算机应安装双网卡。,组网与网络管理技术,组网与网络管理技术,四、用Netstat显示当前TCP/IP连接和统计信息,显示协议统计信息和当前TCP/IP连接。该命令可以使用户了解到自己的主机是怎样与因特网相连接的。 格式： netstat -r -s -n -a -r： 显示本机路由表的内容； -s ：显示每个协议的使用状态(包括TCP协议、UDP协议、IP协议)； -n ：以数字表格形式显示地址和端口； -a ：显示所有主机的端口号。,组网与网络管理技术,Netstat另一个应用,使用ICQ或其他的工具与你相连时（例如你给他发一条ICQ信息或他给你发一条信息），你立刻在DOS提示符下或在【运行】对话框中输入netstat -n或netstat a命令，回车后就可以看到对方上网时所用的IP或ISP域名了，甚至可以显示出Port。,组网与网络管理技术,4.3.6使用Microsoft Network Monitor,微软公司开发的工具，通过网络或使用拨号（RAS）实现远程网络段的监视或跟踪，运行Network Monitor 的站可依附于运行代理软件的站。 Network Monitor通过设置NIC来捕获本地计算机上的往来信息。可根据资源与目标NIC地址、资源与目标协议地质以及匹配模型定义过滤器。,组网与网络管理技术,4.5.7 排除其他连接故障,不能连接指定服务器 用主机不能连接外部系统 与远程主机的TCP/IP连接被挂起 网关故障排除 用TCP/IP作为RAS客户不能Ping,通过路由器,组网与网络管理技术,一、工作站故障,组网与网络管理技术,1. IP地址冲突,检查冲突主机的操作步骤 ： 更改自己的IP地址 使用ping命令，确认非法使用IP地址的主机还在网络上。 使用nbtstat -a ，确定机器的MAC地址和主机名。 知道了主机名，就确定了是谁的IP地址强占了别人的IP地址。,组网与网络管理技术,如何预防IP地址冲突呢？,捆绑MAC地址和IP地址 在DOS命令提示符下，输入Ipconfig /all命令，查出你的IP地址及对应的MAC地址。 如：IP地址为：，MAC地址为：00-E0-4C-A0-02-A4，则输入命令如下：ARP s 00-E0-4C-A0-02-A4。这样就把MAC地址和IP地址捆绑在一起了。 加强IP地址的管理 记录好IP地址及MAC地址等信息的记录，记录信息包括：主机名、分配的IP地址、网卡的MAC地址（在每台计算机上通过Ipconfig /all命令可以得到）。另外就是要动态监视网络中的IP地址变化。,组网与网络管理技术,组网与网络管理技术,如输入nbtstat -a tsg后，屏幕出现如下提示： C:WINDOWSNbtstat -a tsg8 NetBIOS Remote Machine Name Table Name Type Status - TSG8 UNIQUE Registered TSGTSG GROUP Registered TSG8 UNIQUE Registered TSG8 UNIQUE Registered TSGTSG GROUP Registered MAC Address = 00-00-B4-97-85-66 C:WINDOWS 根据显示就可以知道主机名为tsg8的计算机网卡的MAC地址为00-00-B4-97-85-66,组网与网络管理技术,除了使用nbtstat命令来监视网络中的IP地址变化外，还可使用工具软件来自动生成IP地址与MAC地址对应表。使用Nbtstat命令的速度慢、效率低，而用一些工具软件可以快速地生成所需要的IP地址和MAC地址的对应表格。如Tamosoft公司的Essential NetTools软件就可以做这项工作。,组网与网络管理技术,组网与网络管理技术,2.子网掩码设置不正确,在同一个网段中的计算机应该具有相同的子网掩码。如果子网掩码不同，就算位于同一个网段的计算机也是ping不通的。所以，出现同一网段的两台计算机不能互通的故障，除了两台计算机的IP地址设置正确外，还要查看它们的子网掩码是否相同。,组网与网络管理技术,3.没有安装网络协议,（1）TCP/IP协议：是互联网协议，如果不安装该协议，网络是不能实现互联