2025年计算机网络故障诊断与排除(第2版)教学习题答案

2025年计算机网络故障诊断与排除(第2版)教学习题答案一、物理层故障诊断与排除1.某企业办公网突然出现多台PC无法接入局域网，表现为网卡状态显示“未连接”，但相邻工位PC连接正常。请列出诊断步骤及解决方法。诊断步骤：（1）检查故障PC网口状态灯：若指示灯不亮，优先排查物理连接。（2）替换故障PC与交换机间的网线（使用已知正常的Cat6网线），观察是否恢复。若恢复，确认原网线故障（可能为水晶头氧化、线缆断裂或绞合度不达标）。（3）若换线后仍未连接，检查PC网口硬件：使用USB转RJ45转接器测试，若能连接，说明原网口损坏需更换；若仍无法连接，进入交换机端排查。（4）检查交换机对应端口状态：通过`showinterfacesstatus`命令查看端口是否处于`down`状态。若为`down`，检查端口配置（如是否被手动关闭、速率/双工模式是否与PC协商一致）。（5）使用光时域反射仪（OTDR）检测长距离光纤链路（若为光纤接入）：定位断点或衰减异常点（单模光纤正常衰减应≤0.35dB/km，1310nm波长下）。解决方法：网线故障：重新制作水晶头（按T568B标准），或更换符合传输距离（Cat6≤100米）的合格网线。网口损坏：更换PC网口模块或使用USB转网口适配器。交换机端口配置错误：通过`interfaceGigabitEthernet0/1`进入端口模式，执行`noshutdown`开启端口，若速率协商失败，手动配置`speed1000`和`duplexfull`强制匹配。二、数据链路层故障诊断与排除2.某校园网VLAN10内用户无法互访，但能访问VLAN1（管理VLAN）。通过`ping`测试，同一VLAN内PC的MAC地址解析正常（ARP表项存在），但数据包无法转发。分析可能原因及排查方法。可能原因：（1）交换机VLAN配置错误：VLAN10未正确绑定到接入端口，或端口模式（Access/Trunk）设置错误。（2）VLAN间路由故障：三层交换机或路由器的VLAN接口（SVI）未配置IP地址，或路由表中缺失VLAN10的直连路由。（3）提供树协议（STP）环路导致端口被阻塞：VLAN10对应的实例中，某端口因STP计算被设置为Blocking状态。排查方法：（1）检查端口VLAN分配：在交换机执行`showvlanbrief`，确认故障PC所在端口（如Gi0/2）的PVID（端口VLANID）是否为10。若显示为1（默认VLAN），需执行`switchportaccessvlan10`重新绑定。（2）验证Trunk端口配置：若VLAN10需跨交换机传输，检查Trunk链路的允许VLAN列表（`showinterfacestrunk`），确认10是否在`allowedVLANs`中。若缺失，通过`switchporttrunkallowedvlanadd10`添加。（3）检查SVI接口状态：在三层设备执行`showipinterfacebrief`，查看VLAN10接口（如Vlan10）的IP地址是否配置（如/24），且状态为`up/up`。若为`down/down`，检查是否存在物理端口未加入VLAN10导致SVI无法激活。（4）分析STP状态：执行`showspanningtreevlan10`，查看所有端口角色（RootPort/DesignatedPort/BlockingPort）。若某端口为Blocking，检查是否存在冗余链路未优化（如非必要的环路），可通过调整STP优先级（`spanningtreevlan10priority4096`）或手动关闭冗余端口。三、网络层故障诊断与排除3.某公司分支通过IPSecVPN接入总部，分支用户能访问总部内网（/8）的部分服务器（如0），但无法访问另一部分（如0）。总部核心路由显示VPN隧道状态为`UP`，分支路由的静态路由已配置`iproutetunnel0`。分析可能原因及排查步骤。可能原因：（1）ACL（访问控制列表）限制：总部或分支防火墙在VPN隧道接口上配置了ACL，拒绝了/24网段的流量。（2）IPSec策略匹配错误：IPSec的感兴趣流（感兴趣流量）仅定义了/24，未包含/24，导致该网段流量未被加密封装。（3）路由黑洞：总部核心路由对/24的路由指向错误下一跳，或该网段服务器未配置返回路由（至分支内网）。排查步骤：（1）检查IPSec感兴趣流配置：在分支路由执行`showcryptoipsectransformset`和`showcryptomap`，确认`accesslist`是否包含/24。例如，若原配置为`accesslist101permitip5555`，需修改为`permitip5555`以覆盖所有总部网段。（2）验证ACL拦截：在总部防火墙执行`showaccesslists`，检查是否存在针对源IP（分支内网）和目的IP（0）的`deny`规则。若存在，需调整ACL优先级或删除该条目。（3）跟踪路由路径：在分支PC使用`traceroute0`，观察数据包是否到达总部VPN网关后丢失。若在总部网关后无响应，登录总部核心路由执行`showiproute0`，确认下一跳是否正确（如指向服务器所在接入层交换机）。（4）检查服务器端路由：登录0服务器，查看其路由表（`routeprint`或`iprouteshow`），确认是否存在到分支内网（/24）的路由。若缺失，需添加静态路由`routeaddmask`（网关为服务器所在子网的网关）。四、传输层与应用层故障诊断与排除4.某电商平台用户反馈无法使用HTTPS（443端口）访问网站，但HTTP（80端口）访问正常。服务器端确认Nginx服务已启动，防火墙已放行80/443端口。分析可能原因及诊断方法。可能原因：（1）SSL证书配置错误：Nginx的HTTPS虚拟主机未正确绑定证书文件（如`ssl_certificate`或`ssl_certificate_key`路径错误），导致TLS握手失败。（2）TCP端口复用冲突：服务器上其他进程（如Apache）占用了443端口，导致Nginx无法监听。（3）客户端TLS版本限制：用户浏览器仅支持TLS1.0/1.1，而服务器强制启用TLS1.2/1.3，导致握手失败。（4）DNS解析异常：HTTPS请求被解析到旧IP（已关闭443端口），而HTTP请求解析到新IP（正常）。诊断方法：（1）检查端口占用：在服务器执行`netstatano|findstr:443`（Windows）或`lsofi:443`（Linux），确认监听443端口的进程是否为Nginx（进程ID需与`psef|grepnginx`中的主进程匹配）。若显示其他进程（如`httpd`），需停止该进程或修改其监听端口。（2）验证SSL证书配置：查看Nginx配置文件（`/etc/nginx/conf.d/https.conf`），检查`ssl_certificate`是否指向正确的`.crt`文件（如`/etc/ssl/certs/server.crt`），`ssl_certificate_key`是否指向对应的`.key`文件（如`/etc/ssl/private/server.key`）。使用`opensslx509inserver.crtnoouttext`验证证书是否过期或域名匹配（`SubjectAlternativeName`需包含网站域名）。（3）分析TLS握手日志：启用Nginx的SSL调试日志（在`server`块中添加`ssl_session_log/var/log/nginx/ssl_debug.log;`），重启服务后，使用Wireshark捕获客户端与服务器的通信流量（过滤`tcp.port==443`）。观察握手阶段是否出现`Alert`消息（如`handshake_failure`），若客户端发送`ClientHello`后无响应，可能是服务器不支持客户端提议的密码套件或TLS版本。（4）检查DNS记录：在客户端使用`nslookup`和`dig+short`，确认HTTPS和HTTP请求是否解析到同一IP。若HTTPS解析到旧IP（如00），而HTTP解析到新IP（00），需更新DNS记录或清理客户端DNS缓存（`ipconfig/flushdns`或`systemctlrestartsystemdresolved`）。五、高级网络（SDN/NFV）故障诊断5.某数据中心基于SDN架构（OpenDaylight控制器+OpenvSwitch），租户反馈虚拟机（VM）间跨机架通信延迟高达200ms（正常<10ms）。控制器显示流表推送正常，OVS日志无错误。如何定位故障？诊断思路：SDN架构下，延迟异常需结合控制平面与数据平面协同分析，重点关注流表匹配效率、链路负载及控制器南向接口（OpenFlow）通信。具体步骤：（1）检查流表条目数量：在OVS执行`ovsofctldumpflowsbr0`，若流表条目超过OVS硬件支持的最大容量（如某些交换机仅支持10万条），可能导致查表延迟增加。需优化流表规则（如合并相似规则、使用组表（GroupTable）聚合动作）。（2）监控链路带宽利用率：通过`ovsvsctlgetInterfaceeth0statistics`查看物理接口的`tx_bytes`和`rx_bytes`，计算实时带宽（如10G链路利用率超过80%会导致排队延迟）。若某条链路负载过高，通过控制器调整流量路径（如将部分流量切换至冗余链路）。（3）分析OpenFlow消息延迟：在控制器（OpenDaylight）上启用日志调试（修改`org.opendaylight.controller.ofmgr.impl`的日志级别为`DEBUG`），捕获`PacketIn`消息的处理时间。若`PacketIn`从OVS发送到控制器的处理延迟超过100ms，可能是控制器性能不足（如CPU/内存耗尽），需横向扩展控制器集群或优化应用逻辑（减少不必要的`PacketIn`触发）。（4）验证VXLAN封装开销：若VM间通过VXLAN隧道通信，检查隧道封装是否引入额外延迟。使用Wireshark捕获VXLAN流量（过滤`udp.port==4789`），分析`OuterIPTTL`和`InnerIPTTL`的差值，若外层TTL递减过快，可能是隧道跳数过多（如跨多个SDN交换机），需调整VXLAN隧道端点（VTEP）的分布。六、自动化排障工具实践6.简述如何使用Python脚本结合Netmiko库自动化诊断多台交换机的端口状态，并提供故障报告。实现步骤：（1）环境准备：安装Python3.8+、Netmiko库（`pipinstallnetmiko`）及`pandas`（用于提供表格）。（2）设备清单配置：创建`devices.csv`文件，包含设备IP、类型（如`cisco_ios`）、用户名、密码。（3）脚本逻辑：```pythonfromnetmikoimportConnectHandlerimportpandasaspddevices=pd.read_csv('devices.csv').to_dict('records')results=[]fordeviceindevices:try:conn=ConnectHandler(device)获取端口状态output=conn.send_command('showinterfacesstatus')解析输出（示例：提取端口名、状态、速率）forlineinoutput.split('\n')[2:]:跳过表头ifline.strip():port,status,vlan,duplex,speed,type_=line.split()ifstatus!='connected':results.append({'设备IP':device['host'],'端口':port,'状态':status,'问题':'端口未连接'})conn.disconnect()exceptExceptionase:results.append({