网络故障诊断.doc

网络故障检测的一般流程当我们组建好了一个小型网络后，为了使网络运转正常，网络维护就显得很重要了。由于网络协议和网络设备的复杂性，许多故障解决起来绝非像解决单机故障那么简单。网络故障的定位和排除，既需要长期的知识和经验积累，也需要一系列的软件和硬件工具，更需要你的智慧。1、故障排除过程在开始动手排除故障之前，最好先准备一支笔和一个记事本，然后，将故障现象认真仔细记录下来。在观察和记录时一定注意细节，排除大型网络故障如此，一般十几台电脑的小型网络故障也如此，因为有时正是一些最小的细节使整个问题变得明朗化。1.1 识别故障现象在排故障之前，必须确切地知道网络上到底出了什么毛病，是不能共享资源，还是找不到另一台电脑，如此等等。知道出了什么问题并能够及时识别，是成功排除故障最重要的步骤。为了与故障现象进行对比，必须知道系统在正常情况下是怎样工作的，反之，你是不好对问题和故障进行定位的。识别故障现象时，应该向操作者询问以下几个问题：（1）当被记录的故障现象发生时，正在运行什么进程（即操作者正在对电脑进行什么操作）。（2）这个进程以前运行过吗？（3）以前这个进程的运行是否成功？（4）这个进程最后一次成功运行是什么时候？（5）从那时起，哪些发生了改变？带着这些疑问来了解问题，才能对症下药排除故障。1.2 列举可能导致错误的原因我们应当考虑，导致无法查看信息的原因可能有哪些，如网卡硬件故障、网络连接故障、网络设备（如集线器、交换机）故障、TCP/IP协议设置不当等等。注意：不要着急下结论，可以根据出错的可能性把这些原因按优先级别进行排序，一个个先后排除。1.3 缩小搜索范围对所有列出的可能导致错误的原因逐一进行测试，而且不要根据一次测试，就断定某一区域的网络是运行正常或是不正常。另外，也不要在自己认为已经确定了的第一个错误上停下来，应直到测试完为止。除了测试之外，还要注意：千万不要忘记去看一看网卡、Hub、Modem、路由器面板上的LED指示灯。通常情况下，绿灯表示连接正常（Modem需要几个绿灯和红灯都要亮），红灯表示连接故障，不亮表示无连接或线路不通。根据数据流量的大小，指示灯会时快时慢的闪烁。同时，不要忘记记录所有观察及测试的手段和结果。1.4 隔离错误经过一番折腾后，这时基本上知道了故障的部位，对于电脑的错误，你可以开始检查该电脑网卡是否安装好、TCP/IP协议是否安装并设置正确、Web浏览器的连接设置是否得当等一切与已知故障现象有关的内容。然后剩下的事情就是排除故障了。1.5 故障分析处理完问题后，还必须搞清楚故障是如何发生的，是什么原因导致了故障的发生，以后如何避免类似故障的发生，拟定相应的对策，采取必要的措施，制定严格的规章制度。2、故障原因虽然故障原因多种多样，但总的来讲不外乎就是硬件问题和软件问题，说得再确切一些，这些问题就是网络连接性问题、配置文件选项问题及网络协议问题。2.1网络连接性网络连接性是故障发生后首先应当考虑的原因。连通性的问题通常涉及到网卡、跳线、信息插座、网线、Hub、Modem等设备和通信介质。其中，任何一个设备的损坏，都会导致网络连接的中断。连通性通常可采用软件和硬件工具进行测试验证。例如，当某一台电脑不能浏览Web时，可以通过测试进行验证是否网络连通性的问题。看得到网上邻居吗？可以收发电子邮件吗？ping得到网络内的其他电脑吗？只要其中一项回答为“yes ”，那就可以断定本机到Hub的连通性没有问题。当然，即使都回答“No”，也不就表明连通性肯定有问题，而是可能会有问题，因为如果电脑的网络协议的配置出现了问题也会导致上述现象的发生。另外，看一看网卡和Hub接口上的指示灯是否闪烁及闪烁是否正常也是个不坏的主意。排除了由于电脑网络协议配置不当而导致故障的可能后，就应该查看网卡和Hub的指示灯是否正常，测量网线是否畅通。2.2 配置文件和选项服务器、电脑都有配置选项，配置文件和配置选项设置不当，同样会导致网络故障。如服务器权限的设置不当，会导致资源无法共享的故障。电脑网卡配置不当，会导致无法连接的故障。当网络内所有的服务都无法实现时，应当检查Hub。2.3 网络协议没有网络协议，网络设备和电脑之间就无法通信，是不能实现资源共享Modem上网的。 网络故障检测与排除办法当用户端出现网络故障时，请用户先依据以下步骤进行检测网络故障原因，看是自己计算机端故障，还是外界线路或其他故障，对于故障排除做到有的放矢。1.利用ipconfig命令：检测网卡的配置1.1 ipconfig/all:显示网卡的详细配置。ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : SealPrimary Dns Suffix . . . . . . . :Node Type . . . . . . . . . . . . : UnknownIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/100+ PCI AdapterPhysical Address. . . . . . . . . : 00-D0-B7-E0-6D-E0Dhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesIP Address. . . . . . . . . . . . : xxx.xxx.xxx.xxxSubnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . : xxx.xxx.xxx.xxxDHCP Server . . . . . . . . . . . : DNS Servers . . . . . . . . . . . : 8Lease Obtained. . . . . . . . . . : 200x年x月x日 x:x:xLease Expires . . . . . . . . . . : 200x年x月x日 x:x:x1.2 ipconfig/renew:释放并更新网卡的配置。ipconfig/renewWindows IP ConfigurationEthernet adapter 本地连接:Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : xxx.xxx.xxx.xxxSubnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . : xxx.xxx.xxx.xxx1.3 ipconfig/release:释放网卡的配置。ipconfig/release:Windows IP ConfigurationEthernet adapter 本地连接:Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : Subnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . :2、Ping命令：验证本机到被Ping目标主机的物理线路连通性。2.1Ping 验证本机TCP/IP协议是否安装好；打开命令提示符，键入“Ping ”命令如出现如下所示字样，则表示本机TCP/IP协议安装完好：Pinging with 32 bytes of data: Reply from : bytes=32 time10ms TTL=128Reply from : bytes=32 time10ms TTL=128Reply from : bytes=32 time10ms TTL=128Reply from : bytes=32 time10ms TTL=128Ping statistics for :Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms否则如出现如下所示字样，则表示本机TCP/IP协议安装不完整，请重新添加TCP/IP协议： Pinging with 32 bytes of data: Request timed out.Request timed out.Request timed out.Request timed out. Ping statistics for :Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms2.2 Ping 你的本机IP：验证你本机IP地址是否配置完成或者网卡物理属性是否完好；例如Ping我的本机IP（xxx.xxx.xxx.xxx举例，实践中是你主机对应的IP），如出现如下所示字样，则表示本机IP地址已配置好且网卡物理属性完好： Pinging xxx.xxx.xxx.xxx with 32 bytes of data: Reply from xxx.xxx.xxx.xxx: bytes=32 time10ms TTL=128Reply from xxx.xxx.xxx.xxx: bytes=32 time10ms TTL=128Reply from xxx.xxx.xxx.xxx: bytes=32 time10ms TTL=128Reply from xxx.xxx.xxx.xxx: bytes=32 time”表解释说明）：Tracing route 31 解析出首都在线站点的主机IP地址；over a maximum of 30 hops:1 1 ms 2 ms 2 ms 到这一步，就说明网内的线路连通性完好，线路故障只能发生在校外了；2 2 ms 2 ms 2 ms 26 3 3 ms 4 ms 4 ms 34 5 ms 5 ms 6 ms 495 * * * Request timed out. 说明从49到上一级路由器之间发生了故障，导致连接不了首都在线站点/size/sizeWindows下常见 arp病毒发作现象及排除办法ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。例子中的IP地址均为假设一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp a命令查看：C:WINNTsystem32arp -aInterface: 3 on Interface 0x1000003Internet Address Physical Address Type 00-50-da-8a-62-2c dynamic3 00-11-2f-43-81-8b dynamic4 00-50-da-8a-62-2c dynamic5 00-05-5d-ff-a8-87 dynamic00 00-50-ba-fa-59-fe dynamic可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为4的MAC地址，的实际MAC地址为00-02-ba-0b-04-32，我们可以判定4实际上为有病毒的机器，它伪造了的MAC地址。二、在4上进入命令提示符(或MS-DOS方式)，用arp a命令查看：C:WINNTsystem32arp -aInterface: 4 on Interface 0x1000003Internet Address Physical Address Type 00-02-ba-0b-04-32 dynamic3 00-11-2f-43-81-8b dynamic5 00-05-5d-ff-a8-87 dynamic93 00-11-2f-b2-9d-17 dynamic00 00-50-ba-fa-59-fe dynamic可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。三、如果主机可以进入dos窗口，用arp a命令可以看到类似下面的现象：C:WINNTsystem32arp -aInterface: on Interface 0x1000004Internet Address Physical Address Type3 00-50-da-8a-62-2c dynamic4 00-50-da-8a-62-2c dynamic5 00-50-da-8a-62-2c dynamic93 00-50-da-8a-62-2c dynamic00 00-50-da-8a-62-2c dynamic该病毒不发作的时候，在代理服务器上看到的地址情况如下：C:WINNTsystem32arp -aInterface: on Interface 0x1000004Internet Address Physical Address Type3 00-11-2f-43-81-8b dynamic4 00-50-da-8a-62-2c dynamic5 00-05-5d-ff-a8-87 dynamic93 00-11-2f-b2-9d-17 dynamic00 00-50-ba-fa-59-fe dynamic 病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。解决办法：一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。1 在所有的客户端机器上做网关服务器的ARP静态绑定。首先在网关服务器（代理主机）的电脑上查看本机MAC地址C:WINNTsystem32ipconfig /allEthernet adapter 本地连接 2:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)Physical Address. . . . . . . . . : 00-02-ba-0b-04-32Dhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : Subnet Mask . . . . . . . . . . . : 然后在客户机器的DOS命令下做ARP的静态绑定C:WINNTsystem32arp s 00-02-ba-0b-04-32注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。2 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定首先在