第 11 章常见网络故障分析及处理

第11章常见网络故障分析及处理

案例一某学校宿舍网方案设计问题

网络拓扑 校园网核心北电8610 认证服务器 2024M-B 1926F+ 1926F+ 2024M-A 1926F+ 2024M-C 1926F+ 宿舍楼一宿舍楼二 1926F+ 1926F+ 百兆千兆

故障现象 • 大约1-2天左右，每个S2024M下连的个别1926F+（不固定）出现断网情况，重启该1926F+不起作用，重启上连的2024M后网络正常； • 三台S2024M串起来连接到学校的网络中心，下面级联的两台S2024M（B、C）不固定时间的与S2024M-A出现断网情况，重启下面的两台S2024M都不起作用，重启连接学校的网络中心的S2024M-A后网络正常。

解决方案 • 由于用户较多，在做802.1x认证时发送大量的认证报文占用带宽，如果保留原拓扑不变，建议关闭该接入交换机的STP功能。

故障现象 • 关闭STP后，网络正常运行了一段时间。但是过了没多久，又重复出现上述故障现象，则考虑到网络拓扑的改进。

园区(campus)网设计等级模型 访问层汇聚层核心层

故障分析 1、网络结构设计不合理，交换机级联太深，造成连接到学校网络中心的S2024M-A带不动整个宿舍楼的网络连接和其他不明的网络故障。 2、对于网络中的交换机配置应用上有可能存在问题。因为目前是采用TAG VLAN的工作方式，同时还打开了STP功能，这就无形中增加了交换机的负载。所以有可能会造成2024M交换功能超负载，而管理功能都正常。 3、对于断网现象有可能是网络中的电脑上有病毒，病毒发作产生攻击包，造成网络堵塞，所以会出现断网。

改进后网络拓扑 校园网核心北电8610 S-Radius 2024M-B 1926F+ 1926F+ 2024M-A 1926F+ 2024M-C 1926F+ 宿舍楼一宿舍楼二 1926F+ 1926F+ 百兆千兆

案例总结 • 在设计网络之初，要考虑到网络的三层结构：核心层、汇聚层、访问层。由于访问层接终端用户，访问层的各交换机要在汇聚层交换机汇聚，所以如果访问层与汇聚层交换机采用同一级别的设备，则很容易负载过高，尤其是当网络中应用或服务较多时。这时建议关闭不必要的协议，必要时升级设备或优化网络整体结构。

案例二某学校宿舍网改造

网络拓扑 远程教学服务器 S6810 Internet WWW 教育资源服务器 S3550 S2150G S2126G S2126G S2126G S2126G

故障现象 • 其中一台的一台S2150G交换机，准备在两天后与连接三楼和五楼的S2126G交换机进行堆叠。管理员将堆叠模块插在了S2150G的插槽中，没有连接堆叠线缆，当重启交换机时发现启动时间很长，用超级终端登录没有反映，感觉象死机了。

堆叠介绍 • 堆叠的两种方式： • 星型堆叠 • S2024M/S2024 • 菊花链 • S2126G/S2150G

堆叠介绍 • S21系列的堆叠方式 • S21系列的堆叠为菊花链堆叠，最大可堆叠8台S2126G/S2150G，最多可达384个10/100MRJ45端口。 • S21系列堆叠需使用专门的堆叠模块M2131，和堆叠线缆，堆叠带宽1G。

堆叠介绍 • 堆叠模块和堆叠线缆的连接

堆叠介绍 • 连接说明： • 第一台（最上面）交换机堆叠模块的DOWN接口通过堆叠线缆与第二台交换机堆叠模块的UP接口相连； • 第二台交换机堆叠模块的DOWN接口通过堆叠线缆与第三台交换机堆叠模块的UP接口相连； • …… • 最下一台交换机堆叠模块的DOWN接口必须通过堆叠线缆与最上面的一台交换机堆叠模块的UP接口相连，整个形成一个环路。

堆叠介绍 • 交换机在启动过程中，如果插有堆叠模块，要进行寻找堆叠的交换机，因此启动的时间就比正常启动长了许多。

故障分析过程 • 而在本案例中，由于插有堆叠模块，但没有连接堆叠线缆，一直没找到堆叠的交换机，因此重启时等待时间比较久，感觉象死机了。

解决方案 • 三种解决办法： 1、多等待一阵时间，让其正常启动； 2、重启前，关机把堆叠模块拔出，交换机启动时间与平常一样； 3、把交换机用堆叠线缆与其他21交换机正确连接堆叠，交换机启动时间与平常一样。

案例总结 • 当在21系列交换机进行堆叠操作时，建议当把堆叠模块插入时，把堆叠线缆首尾相连成一个菊花链，以免重启时不正常。

案例三VLAN用户无法访问外网

网络拓扑 Star-S4900 Cisco 7509 F0 Internet 业务网 VLAN110：192.168.110.1 综合网 VLAN140：192.168.140.1 管理网 VLAN100：192.168.100.1 Cisco7509 F0口：192.168.100.2 业务网综合网管理网

故障现象 • 配置完后发现只有VLAN100中的PC可访问外网，但VLAN110和VLAN140 中的PC 却无法访问外网。

解决分析过程 C:\>ping 192.168.110.1 Pinging 192.168. 110.1 with 32 bytes of data: Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255 Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255 Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255 Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255 Ping statistics for 192.168. 110.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\>

解决分析过程 C:\>ping 192.168.140.1 Pinging 192.168. 140.1 with 32 bytes of data: Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255 Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255 Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255 Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255 Ping statistics for 192.168. 140.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\>

解决分析过程 • 各Vlan网关能Ping通，这说明S4900上的三层配置无误，问题应当在路由器上。可以进一步跟踪一下数据包发送的路径。 • 通过Windows下的Tracert命令进行跟踪操作来访问外网，发现数据包有去无回，可以得出结论即在路由器上无返回路径。

解决分析过程 Star4900#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2 Gateway of last resort is192.168.100.2 to network 0.0.0.0 C 192.168.110.0/24 is directly connected C 192.168.140.0/24 is directly connected C 192.168.100.0/24 is directly connected S* 0.0.0.0/0 is directly connected, Vlan100 ......

解决分析过程 Cisco7509#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2 Gateway of last resort is 10.1.1.1 to network 0.0.0.0 1.0.0.0/24 is subnetted, 1 subnets C 1.1.1.0 is directly connected, FastEthernet3 10.0.0.0/30 is subnetted, 1 subnets C 10.1.1.0 is directly connected, FastEthernet1 C 192.168.100.0/24 is directly connected, FastEthernet0 。。。

解决分析过程 Cisco7509#config t Cisco7509(config)#ip route 192.168.110.0 255.255.255.0 f0 Cisco7509(config)#ip route 192.168.140.0 255.255.255.0 f0

故障分析结论 • 在此案例中，其实是一个典型的单向指路由的问题。即只在4900上指定了如何出去的路由，而并没有在7509上指定回来的路由，故造成数据无法返回。此案例可以利用扩展的PING、Trace以及路由表来解决问题。

案例四 某企业网无法访问Internet

S2126G Fa 0 S0 Internet R2614 Fa 1 S2126G 网络拓扑 Web Server Mail Server

故障现象 • 配置完成后，内部私网PC已可以访问Mail和Web Server，但访问公网时，却只有少数几台PC可以正常上网。

部分配置 interface FastEthernet1 ip address 192.168.12.1 255.255.248.0 ip nat inside interface Serial0 ip address 10.1.1.2 255.255.255.252 ip nat outside ip nat pool sss 200.100.155.66 200.100.155.67 netmask 255.255.255.240 ip nat inside source list 1 pool sss ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 access-list 1 permit any

解决分析过程 Red-Giant#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global tcp 200.100.155.66:2063 192.168.12.65:2063 168.168.12.1:23 168.168.12.1:23 create 00:00:19, use 00:00:10, left 00:09:49, flags: extended Red-Giant#

NAT的类型 • NAT • 静态NAT • 动态NAT • NAPT • 静态NAPT • 动态NAPT

静态与动态NAT • 静态NAT • 需要向外网络提供信息服务的主机 • 永久的一对一IP地址映射关系 • 动态NAT • 只访问外网服务，不提供信息服务的主机 • 内部主机数可以大于全局IP地址数 • 最多访问外网主机数决定于全局IP地址数 • 临时的一对一IP地址映射关系

什么时候用NAPT • 缺乏全局IP地址 • 甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址 • 内部网要求上网的主机数很多 • 提高内网的安全性

静态与动态NAPT • 静态NAPT • 需要向外网络提供信息服务的主机 • 永久的一对一“IP地址 + 端口”映射关系 • 动态NAPT • 只访问外网服务，不提供信息服务的主机 • 临时的一对一“IP地址＋端口”映射关系

解决分析过程 • 在命令ip nat inside source list 1 pool sss后增加参数overload，即允许路由器将一个全局地址用于多个本地地址，至此问题解决。

解决分析过程 Red-Giant#sh ip nat translations Pro Inside global Inside local Outside local Outside global udp 200.100.155.66:1256 192.168.12.91:1256 200.168.168.11:53 200.168.168.11:53 tcp 200.100.155.66:1257 192.168.12.91:1257 172.16.198.2:23 192.168.12.91:23 --- --- --- 172.16.198.2 192.168.12.91 Red-Giant#

案例总结 • NAT • 静态NAT 适用于一对一的地址转换。 • 动态NAT 适用于少量的地址共享几个全局IP，并且不同时使用。 • NAPT • 静态NAPT 当内部主机需要对外部网络提供服务，而又缺乏全局地址，或者就没有申请全局地址，就可以考虑配置静态NAPT。 • 动态NAPT 当内部有多个主机需要访问Internet，而又缺少全局注册IP时则应该使用动态NAPT。如本例所示。

Q&A

第 11 章 常见网络故障分析及处理