第12章 网络连接及互联故障

第 12 章 网络设备故障与处理 本章知识要点： ¾ 网络故障的基本概念 ¾ 网络连接故障 ¾ 交换机故障 ¾ 路由器故障 ¾ 服务器安全维护 12.1 网络故障概述 网络故障就是网络不能提供服务，局部的或全局的网络功能不能实现。网络故障总体可 分为硬件故障与软件故障，即所谓的物理故障与逻辑故障。 网络软件故障是指由于运行在网络上的软件问，或者由于网络配置不当，病毒感染等 逻辑错误引起的网络故障。逻辑故障中最常见的情况就是配置错误。配置错误可能是相关网 络设备的参数设定不当，例如交换机的 VLAN 设备不当，主机的 IP 地址设置错误，路由器 的端口参数错误，路由的配置不当引起路由循环等。 网络硬件故障主要指的是由于网络设备的硬件系统固有问题或者由于长时间运转设备 老化等引起的故障。通常由于设备或线路损坏、插头松动、线路受到严重电磁干扰等都可能 造成网络硬件故障。 12.2 软件故障 网络故障中，类型最为丰富，处理难度最大的属软件故障。由于网络的使用范围在不断 的扩展，各种不同类型的软件出现在网络的频度不断的增加，可以说很难找到一个十全十美 的网络软件，软件的缺陷很有可能造成网络故障。网络目前成为病毒传播的主要环境，处于 网络中的设备和软件都有可能遭受网络病毒的感染和攻击，黑客技术的平民化趋势也导致了 网络攻击风险的增加，因此这对网络的逻辑维护提出了更高的要求。 12.2.1 软件系统固有的缺陷 在市场上很难找到一个 100%稳定且安全的软件系统。网络协议、网络操作系统、网络 应用软件等都存在安全缺陷，这本身就是网络软件故障的根源。 1.网络协议的问题 目前网络中最为常见的协议体系结构为 TCP/IP，这种结构比较简单，层次较少，但是 它对协议本身的体系和层次的划分不很清晰，最初只是一个简单的工业标准而被采用，它的 流行出现了很多问题。 （1）TCP/IP 协议本身的缺陷 由于 TCP/IP 协议的固有缺陷，导致基于 TCP/IP 协议运作过程的网络攻击层出不穷。拒 绝服务攻击（DOS）、TCP 劫持等问题实际上都是由于 TCP/IP 协议本身引起的。TCP/IP 协 议使用范围太广，所以在很长一段时间内，无法解决协议体系结构本身的问题。 （2）IPV4 地址枯竭问题 互联网的急剧膨胀，导致 IPV4 地址基本上枯竭了，在这种情况下，基于代理或者拨号 的网络访问和接入方式发展了起来，这种网络服务的网络管理方式较为混乱，地址的盗用和 复用问题很难解决，无数的个域网（PAN）的发展，使得网络故障的概率大大的增加。 随着下一代互联网技术和 IPv6 的发展，IP 地址的枯竭问题将得到解决，但是 IPV4 向 IPV6 的过渡有一个过程，如何实现平滑的升级，是摆在业界的主要问题。 2.网络操作系统的故障 网络操作系统的故障是网络管理人员最为头痛的问题。网络操作系统的故障主要体现在 如下几个方面： （1）网络操作系统的性能问题 网络操作系统要实现作业的分配，设备资源的管理和分配，内存的管理和分配等工作， 网络的速度瓶颈主要来源于设备 I/O 和 CPU 之间。尽管很多操作系统厂商在强调，自己开 发系统的性能有多高，实际上 I/O 的调度一直是很难解决的问题。调度性能无法改善就可能 导致在大量访问同时进行时出现故障。 （2）网络操作系统的漏洞 网络操作系统的故障通常被称为漏洞，修补漏洞的过程成为打补丁。针对漏洞的修 补程序称之为补丁。操作系统漏洞一旦被别有用心的人员占用，可能就造成系统的入侵，另 外很多病毒也是针对系统漏洞实现攻击的。 就 Windows 系列的网络操作系统而言，其漏洞层出不穷，这就要求网络管理人员，关 注其官方站点，及时下载对应的补丁程序。一般的中文版的系统的补丁发布时间相对推后一 些，所以建议服务器操作系统最好使用英文版的。从网络故障的时候分析来看，很多由于系 统漏洞引起的攻击故障都不是由于最新漏洞造成的，而是由于被发布很早的漏洞没有得到修 补造成的。 目前很多安全类软件都带有系统漏洞扫描等功能，采用这种的方式来实现漏洞的及时修 补较为方便。另外针对微软的 Windows 系列，在大型站点上，构建 WSUS(Windows Server Update Service)服务器实现漏洞修补最好。 注意：补丁程序也不是万能的，可能在修补当前漏洞的时候引入了新的漏洞。所以时常 关注系统的官方站点公告是明智的选择。 12.2.2 人为或者配置错误故障 网络故障中，人为的或者配置不当导致的故障也占很大比例。其主要表现如下几个方面： （1）上的问题 实际上在很多问题中，人的问题最难处理，网络管理也一样，首先要实现如何对网络管 理中人的管理。很多网络由于制度上的疏忽，往往在人员管理上非常模糊，制度不清，责任 不明，这种网络管理本身就是失败的。 部分网络管理人员本身的安全意识较差，导致系统管理口令泄露或者丢失；部分网络管 理中不对管理人员划分权限，实现资源的自由访问；部分网管人员懒惰，对已经不在本部门 工作的曾经的网络管理人员仍然保留访问的用户名和口令，往往问题就出现了。还有一种可 能就是心怀不满情绪的工作人员的故意操作，这些都能造成网络故障。对网络管理而言，一 套完善而人性化的制度，是十分关键的。 （2）配置的问题 软件配置的故障主要包括操作系统的配置错误、网络协议的配置故障和网络应用软件的 配置故障。 1）操作系统的配置错误 操作系统的配置错误主要包括系统的安装问题，磁盘的类型设置问题、相关设备的驱动 程序的安装问题，用户的账户设置问题等。 2）网络协议的故障 网络协议的故障主要包括协议的安装问题，相关协议参数的设置。协议是网络通信的关 键要素，如果没有所需的协议，协议绑定不正确或协议参数设置错误，将直接导致网络出现 故障。 协议配置中最容易出现问题的是 TCP/IP 协议的设置。解决 TCP/IP 协议设置问题的一般 思路为：检查故障计算机的默认网关、DNS 服务器和子网掩码的设置是否正确，然后查看 其他计算机的 Web 浏览器的连接设置，将故障计算机的相关设置修改为与之相同。 网络应用软件由于其应用范围大，各种由于配置引起的故障也有所不同，管理人员必须 养成记录网络故障的习惯，在排除故障后写出排除故障日志，以便为日后实现网络管理打下 坚实的基础。 2）网络服务安装故障 在局域网中，除了协议以外，往往需要安装一些重要的服务。例如，要在 Windows 系 统中共享文件和打印机，就需要安装 Microsoft 文件和打印共享服务。解决此类问题的一般 思路为：根据故障现象和提示安装相关服务（装机系统光盘内有相关服务），若安装后还无 法使用，就需要检查是否与其他服务或应用程序有冲突。 3）网络用户安装故障 不同的网络服务应安装相应的网络用户，否则网络服务将不能正常使用。例如，在 Windows 系统中，如果是对等网中的用户，只要使用系统默认的“Microsoft 友好登录用户” 即可。如果用户需要登录 Windows NT 域，就需要安装“Microsoft 网络用户”。 12.2.3 病毒、黑客问题 计算机病毒指的是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影 响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒是人为制造的 程序，它的运行是非法入侵。 目前流行的木马和蠕虫病毒是最为流行的网络病毒，网络是病毒最活跃的地方，由于病 毒引起的网络软件和硬件故障的案例层出不穷，这样对病毒的防治表现的尤为重要。病毒技 术和反病毒技术都在同步的提高，然而目前还没有一个很好的病毒彻底处理的机制，这对网 络管理来说，防范重于一切，防毒重于杀毒。当然安装一款优秀的杀毒软件和防火墙是必要 的。 黑客是指非法入侵别人的计算机系统，进行恶意的系统修改和坏破的人员。随着网络技 术的发展，黑客技术已经不再神秘了，网络上大量的黑客教程和黑客类软件的出现，给所有 想学习黑客技术的人员提供了机会，一个略懂计算机的人员都有可能使用黑客软件实现网络 攻击。这样对网络管理提出了新的挑战。 黑客或者网络病毒入侵关键的网络设备、例如交换机、路由器等，将对实际的网络造成 巨大的破坏，所以，对网络管理而言，核心设备的安全是至关重要的。 12.3 网络连接故障 本节主要讲述网络底层连接的故障。 12.3.1 双绞线故障 双绞线是最常见的网络传输介质，它的故障主要包括如下几个方面： 1.错误做线线序引起的故障 双绞线是局域网常用的传输介质，由具有保护层的 4 对 8 根铜导线组成，为降低信号的 干扰，每线对按一定缠绕密度互相绞绕在一起。双绞线使用 RJ-45 接头实现网络设备的连接。 按 EIA/TIA568 标准，制作双绞线分为 EIA/TIA568A 和 EIA/TIA568B 两个类型。568A 的排列顺序为：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕。568B 的排列顺序为：白橙、 橙、白绿、蓝、白蓝、绿、白棕、棕。 一般用于连接相同设备的端口需要采用交叉线方式，即线缆一端使用 568A 顺序，另一 端采用 568B 顺序；用于连接不相同设备的端口，需要采用直通线方式，即两端都采用 A 顺 序或 B 顺序。如果网络连接不能正常通信，首先就要考虑是否是线缆制作出现问题。 注意：此类故障主要出现在初次组装的网络中，如果网络以前运行是正常的，线缆没有 更换，现在出现故障问题，就不可能是线缆制作导致的故障。 2.双绞线接触不良故障 随着使用时间的增加，网络中的线缆会老化，尤其是面向桌面的局域网线缆，可能经常 拉动，这会导致网线接触不良的问题时有发生。另外，购买的线缆质量太差，或线缆的连接 水晶头质量差都可能导致网线接触不良。 网线接触不良，就会出现数据堵塞，从而造成死机。因此当软件和硬件都找不出问题时， 就应检查网线是否有问题。当使用了劣质双绞线时，其数据传输速率达不到网络数据传输的 要求，就会发生运行速度慢或因数据堵塞容易死机的故障。 3.近端串扰 当用 5 类双绞线做网线时，应确保线对始终不分开。按 EIA/TIA568 标准，当将双绞线 固定到连接器（水晶头）上时，用户绕开线对的长度不应超过 13mm。如果安装在连接器上 的线对中两根线松开长度过长，则会导致额外的串扰，在线路上将产生错误的信息，影响系 统的正常运行。 4.双绞线的连接距离 双绞线的标准连接长度是 100m，但在５类和超５类双绞线投入市场后，一些网络设备 制造商在自己产品的宣传资料中称自己的双绞线的实际连接距离可以超过 100m，一般能够 达到 103～150m 左右。从理论上讲，确实有一些公司（如美国通贝（T&B）等）的双绞线 可以在长度超过 100m 的状态下工作，同时最高能够达到 100Mbps(5 类）或 155Mbps(超５ 类）的最高数据传输率。但值得注意的是，即使一些双绞线能够在大于 100m 的状态下工作， 但通信能力将会大打折扣，甚至可能会影响网络的稳定性。 12.3.2 网卡故障 网卡故障是最常见的硬件设备故障，常见的网卡故障由以下问题引起： 1.网卡松动 由于温度变化、振动及插槽与网卡尺寸配合等原因，可能出现网卡松动，网卡与插槽接 触不良，从而造成网络不通。这时网卡指示灯（LED）不发光，通过 ping 命令测试本机或 网络中其他计算机的 IP 地址均发回响应失败的信息，但网卡的驱动程序正常。打开机箱， 将网卡重新插好即可。 注意：如果多次出现网卡松动情况，说明此插槽容易造成网卡松动，则应更换插槽。 2.网卡驱动程序故障 驱动程序直接指挥着硬件设备的运行，是否正确安装了网卡驱动程序，直接影响着网卡 性能。由于杀毒和非正常关机等原因，可能造成网卡驱动程序的损坏。如果网卡驱动程序损 坏，网卡不能正常工作，网络也 ping 不通，但网卡指示灯发光。这时可通过“控制面板”的“系 统”中的“设备管理器”选项，查看网卡驱动程序是否正常，如果“网络适配器”中显示的网卡 图标上标有一黄色“！”，说明此网卡驱动程序不正常，必须在 Windows 环境下将网卡设备 和驱动程序都删除，然后将网卡的最新驱动程序安装到系统中。驱动程序安装完成后，再进 行一次网络连接测试，检查故障是否能被排除。 注意：目前一般的网卡驱动程序都内置在操作系统中，不需要单独安装，而最新版本的 驱动程序可能包含更多的功能，能更准确、高效地将网络性能发挥出来。要确保下载的驱动 程序与网卡的型号一致，尽量不用相近的网卡驱动程序来代替。 3.网卡冲突 由于在主板上插入多块网卡或其他相关的 PCI 卡设备，这样就有可能引起端口冲突， 这样网卡就不能正常工作，尤其是采用双网卡做路由等相关配置实验。检查网卡是否出现冲 突，首先查看网卡的驱动程序是否安装正常，打开设备管理器，找到网络适配器选项，双击 对应的网卡设备出现网卡属性窗口，切换到对应的资源选项卡下，查看设备是否出现冲突。 如果设备出现冲突，应该重新安装设备并设置对应的中断地址。如图 12-1 是查看网卡是否 出现冲突的窗口。 图 12-1 查看网卡是否出现冲突 4.网络参数设置引起的故障 网卡参数设置是否正确也影响着网卡的正常工作。在设置网卡参数时，应查看相关协议 是否已经安装，IP 地址、DNS 服务器、网关地址等参数是否设置正确。如果希望网卡支持 局域网共享传输，还必须正确安装“Microsoft 网络客户端”以及“Microsoft 网络的文件与打印 机共享”项目。以上设置或配置均在如图 12-2 所示的对话框中完成。 图 12-2 “本地连接属性”对话框 在网卡参数的设置中，TCP/IP 协议的参数设置尤为重要，参数设置对话框如图 12-3 所 示。如果网络是通过局域网接入等接入方式，则必须设置 IP 地址、子网掩码、默认网关、 相关的 DNS 服务器地址等相关参数；如果网络是通过拨号等方式接入，则选择“自动获得 IP 地址”和“自动获得 DNS 服务器地址”。 图 12-3 设置 IP 地址 12.4 集线器故障 集线器是用于小型局域网的网络设备，常见的集线器故障包括如下几个方面： ⑴集线器电源问题 此故障一般表现为集线器电源指示灯显示微弱或不亮，通过此集线器连接的设备之间均 不通等。由于电源的长时间运行，设备本身可能已经损坏，由此需要更换。 ⑵集线器接口故障 由于频繁的插拔网线，可能导致接口老化、接触不良或者损坏。出现这种情况，可以通 过集线器各接口对应的指示灯或者和此端口连接的网卡指示灯判断。在保证网卡和网线正常 之后，如果指示灯时灭时亮或者不正常，则可以判断是此故障引起。也可以通过网络线路测 试仪此故障。另外要查看，是否是由于制作线序错误和水晶头老化引起的故障。 (3)集线器级联故障 级联是在网络中增加用户数的一种方法，但要求集线器提供可级联的端口，此端口上常 标有“Uplink”或“MDI”的字样，用此端口与其他集线器进行级联。如果没有提供专门的端口， 而必须要进行级联时，连接两个集线器的双绞线在制作时必须要进行错线。如果线缆制作错 误就会出现问题。如果设置了集线器的级联，要注意级联方式是否正确，如果是连接错误， 则会导致集线器之间的设备无法连通或者网络传输速度很慢。 （4）集线器连接的网络距离故障 集线器用于小范围的局域网使用。一般的，在采用集线器的 10Mb/s 网络中最多可级联 四级，使网络的范围扩展到最大 600m。但当网络从 10Mb/s 升级到 100Mb/s 或新建一个 100Mb/s 的局域网时，只允许对两个 100Mb/s 的集线器进行级联，而且两个 10Mb/sHub 之 间的连接距离不能大于 5m，所以 100Mb/s 局域网在使用集线器时最大距离为 205m。如果 实际连接距离不符合以上要求，网络将无法连接。 （5）网络带宽故障 集线器属于共享带宽设置，它有最大带宽限制，如果网络需求带宽超过了集线器提供的 最大带宽，则网络冲突的概率将增大，使网络速度变慢。 一般的集线器，随着连接计算机数量的增加，网络速度就会下降。由于连接在集线器上 的所有站点均争用同一个上行总线，因此连接的端口数目越多，就越容易造成冲突。同时， 发往集线器任一端口的数据将被发送至与集线器相连的所有端口上，端口数过多将降低设备 有效利用率。 一般的，一个 l0Mbps 集线器所管理的计算机数不宜超过 15 个，一个 l00Mbps 集线器 所管理的计算机数不宜超过 25 个。如果超过，应使用交换机来代替集线器。 12.5 交换机故障 交换机的故障多种多样，不同的故障有不同的表现形式。故障分析时要通过各种现象灵 活运用排除方法如排除发、对比法、替换法，找出故障所在，并及时排除。 （1）对比法 所谓对比法，就是利用现有的、相同型号的且能够正常运行的交换机作为参考对象，和 故障交换机之间进行对比，从而找出故障点。这种方法简单有效，尤其是系统配置上的故障， 只要简单地对比一下就能找出配置的不同点，但是有时要找一台型号相同、配置相同的交换 机也不是一件容易的事。 （2）替换法 这是我们最常用的方法，也是在维修电脑中使用频率较高的方法。替换法是指使用正常 的交换机部件来替换可能有故障的部件，从而找出故障点的方法。它主要用于硬件故障的诊 断，但需要注意的是，替换的部件必须是相同品牌、相同型号的同类交换机才行。 12.5.1 交换机硬件故障 硬件故障主要指交换机电源、背板、模块、端口等部件的故障，可以分为以下几类。 1.电源故障 由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止， 从而不能正常工作。由于电源缘故而导致机内其他部件损坏的事情也经常发生。如果面板上 的 Power 指示灯是绿色的，就表示是正常的;如果该指示灯灭了，则说明交换机没有正常供 电。这类问题很容易发现，也很容易解决，同时也是最容易预防的。 针对这类故障，首先应该做好外部电源的供应工作，一般通过引入独立的电力线来提供 独立的电源，并添加稳压器来避免瞬间高压或低压现象。如果条件允许，可以添加 UPS 不 间断电源来保证交换机的正常供电，有的 UPS 提供稳压功能，而有的没有，选择时要注意。 在机房内设置专业的避雷措施，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业 公司，实施网络布线时可以考虑。 2.端口和模块故障 端口故障是最常见的硬件故障，无论是光纤端口还是双绞线的 RJ-45 端口，在插拔接头 时一定要小心。如果不小心把光纤插头弄脏，可能导致光纤端口污染而不能正常通信。交换 机由很多模块组成，如堆叠模块、管理模块（也叫控制模块）、扩展模块等，如果插拔模块 时不小心、搬运交换机时受到碰撞，或电源不稳定等情况都可能导致模块故障的发生。 在排除此类故障时，首先确保交换机及模块的电源正常供应，然后检查各个模块是否插 在正确的位置上，最后检查连接模块的线缆是否正常。在连接管理模块时，还要考虑它是否 采用规定的连接速率，是否有奇偶校验，是否有数据流控制等因素。连接扩展模块时，需要 检查是否匹配通信模式，如使用全双工模式还是半双工模式。如果确认是模块故障，应送修 或更换。 3.线缆故障 其实这类故障从理论上讲，不属于交换机本身的故障，但电缆故障经常导致交换机系统 或端口不能正常工作，例如，接头接插不紧，线缆制作时顺序排列错误或不规范，线缆连接 时应用交叉线却使用了直连线，光缆中的两根光纤交错连接，错误的线路连接导致网络环路 等。 12.5.2 交换机软件故障 1.系统错误 交换机系统是硬件和软件的结合体。在交换机内部有一个可刷新的只读存储器，它保存 的是这台交换机的网络操作系统（NOS）。一般的交换机都为用户提供刷新网络操作系统的 机会。系统错误可能来自于操作系统自身的漏洞，也可能来自用户的更新。因此，应及时给 交换机的软件系统打补丁。 2.配置不当 交换机可以通过配置来实现不同的功能，如使用 VLAN 技术等。由于不同厂商的产品、 甚至同一厂商的不同系列的产品有着不同的配置方式和命令，因此错误的配置将导致交换机 不能正确服务。这类故障有时很难发现，如果不能确保用户的配置有问题，可以先将交换机 系统恢复到默认的出厂配置，然后再重新进行配置。 3.病毒和其他因素 由于病毒或黑客攻击等情况的存在，可能导致交换机故障。一般的由于病毒或者黑客攻 击引起的交换机死机，端口广播风暴等问题都特别突出。所以做好防范攻击和设备安全问题 是十分关键的，对于可配置的交换机来说，注意及时安装设备 IOS 补丁程序是必要的。 12.6 路由器故障 路由器是网络的核心设备之一，关注路由器的安全性，是保证网络安全的首要任务。 12.6.1 路由器硬件故障 1．电源故障 这种故障问题表现为当打开路由器的电源开关时，路由器前面板的电源灯不亮，风扇也 不转动，如果出现这种状况，则应首先应检查电源系统，查看供电插座是否有电流，电压是 否正常。如果供电正常，就查看电源线是否损坏、松动，电源线有所损坏就更换一条，松动 了就重新插好。 如果电源线检查完好后故障仍然没有排除，就要检查是否是路由器的电源保险断了，如 果是，就将其更换，若问题仍未解决，就只能把路由器送修。 2．路由器部件损坏故障 出现这类故障的部件通常是接口卡，常表现为两种情况：一种情况是把有问题的部件插 到路由器上时，系统的其他部分都可以正常工作，但却不能正确识别插上去的部件，这种情 况多数是因为所插的部件本身有问题。另一种情况就是所插部件可以被正确识别，但在正确 配置完之后，接口不能正常工作，出现这种情况往往是因为存在其他的物理故障。 此类故障问题的解决方法是：先要确认是以上哪一种情况，然后用相同型号的部件替换 怀疑有问题的部件。 3．路由器散热或兼容性故障 路由器开始接入网络时正常，但是使用了一段时间之后，网速开始下降，频频断线。当 出现网速下降的现象时，用手感觉路由器等网络接入设备的表面温度，如果感觉很烫手，就 说明频繁断线的原因是硬件设备问题，最好考虑更换一个新设备，也可以把路由器放在散热 条件比较好的地方，情况会有所好转。如果设备温度没有异常，就很有可能是路由器和 ISP 的局端设备不兼容，此时的解决办法就只能是换用其他型号的路由器了。 4．硬件配置低引起的故障 CPU 利用率过高和系统内存余量太小等情况都将直接影响到路由器所提供的网络服务 的质量。通常情况下，网络管理系统都由专门的管理进程不断地检测路由器的关键数据，并 及时给出报警。解决 CPU 利用率过高和系统内存余量太小这种故障，只需要企业相关人员 对路由器设备进行升级、扩大内存等就可以了。 12.6.2 路由器软件故障 路由器软件故障可能由路由器软件系统本身的漏洞引起，也可能由人为的错误配置引 起。 (1)系统软件损坏 路由器的系统软件往往有许多版本，每个版本支持的功能有所不同，如果当前版本的系 统软件不支持某些功能而导致路由器部分功能的丧失，那么进行相应的软件升级就可以实现 路由器的全部功能。系统软件损坏的处理方法是，把有问题的软件部分重新写一遍。 (2)无法进行系统软件升级 如果出现不能完成升级系统软件程序的情况，一般是因为所要升级的软件内容超过了 NVRAM 的容量，此时应对 NVRAM 进行升级，这样不但可以扩充 NVRAM 的容量，也可 以对里面的数据进行更新。 (3)人为故障 人为故障是指由于管理人员的疏忽或操作错误，或是黑客和别有用心人员的恶意操作而 导致网络连接错误等现象。这情况多表现为线路不通，网络无法建立连接。若出现这种情况， 就要检测传输线路是否使用正确的电缆与端口。 (4)网络配置故障 由于管理人员进行了错误的网络配置，使得网络不能正常运行。通常的路由器配置文件 可以分为以下几个部分：管理员部分（路由器名称、口令、服务、日志），端口部分（地址、 封装、带宽、度量值开销、认证），路由协议部分（IGRP/EIGRP、OSPF、RIP、BGP），流 量管理部分（访问控制列表、团体），路由原则部分（路由映射），宽之外的接入部分（主控 台、远程登录、拨号）等，此类故障首先应判断故障所处的位置，然后考虑如何排除故障。 12.6.3 路由器诊断命令 Cisco ISO 操作系统软件提供了一组功能丰富的命令，可以用来进行故障查找与排除， 问题诊断和性能检测。路由器诊断命令大致可以分为两类：show 命令和 debug 命令，同时 还包含一组用于连接这两类命令的 clear 命令。 1.show 命令 （1）show version 命令 Show version 命令显示了路由器的许多有用信息，在解决网络故障时，通常应从这个命 令开始收集数据。命令的输出信息包括：IOS 的版本、路由器持续运行的时间、最近一次重 启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS 映像的文件名，以 及路由器从何处启动等信息。如图 12-4 显示的是采用 show version 命令后路由器的显示信 息。 图 12-4 show version 命令执行结果 （2）show memory 命令 如果路由器的多个接口同时丢失报文，则可能是路由器内存不足或 CPU 过载。用户可 以使用 show memory 命令检查内存利用率；使用 show process 命令检查 CPU 利用率；使用 show memory free 命令，可以看到可用内存的碎片。如图 12-5 显示的是采用 show memory 命令后路由器的显示信息。 图 12-5 show memory 命令执行结果 注意：路由器中存在一定数量的内存碎片是正常的。虽然并没有一个很严格的界限来划 分内存碎片的可接受程度，但是可用块的大小至少应不小于可用内存的一半。用户可以通过 重新启动路由器来解决内存碎片问题。 （3）show process cpu 命令 用户可以使用 show process cpu 命令检查路由器的 CPU 是否过载，此命令将显示路由器 CPU 的利用率以及路由器中不同进程的 CPU 占用率。如图 12-6 是 show process cpu 命令的 执行结果。 图 12-6 show process cpu 命令执行结果 （4）show process memory 命令 show process memory 命令可以用来显示路由器可用内存的一般信息，以及每一个进程 所占用的内存空间的详细信息。如图 12-7 是 show process memory 命令的执行结果。 图 12-7 show process memory 命令执行结果 （5）show stack 命令 show stack 命令用于跟踪路由器的堆栈，提供路由器临时重新启动的原因。如果由于错 误而导致重新启动，堆栈记录将在输出的末尾显示。为了抽取与故障相关的信息，堆栈记录 需要解码。如果路由器由于临时重启动而完全崩溃，则相应的错误消息将包含在 show version 命令的输出中。这一工作通常由 Cisco TAC 工程师完成。如图 12-8 是 show stack 命令的执 行结果。 图 12-8 show stack 命令的执行结果 （6）show ip interface brief show ip interface brief 将显示每一个路由器接口的 IP 地址信息以及第二层的状态信息， 如图 12-9 所示是此命令的一个应用实例。 图 12-9 show ip interface brief 命令 其他与端口对应协议的相关信息可以通过相应命令属性获得，如 show ipx interface brief。 （7）show interface ethernet 命令 对于以太端口故障的诊断，可以使用 show interfaceeth ernet 命令，以下是诊断以太端口 0 的命令： router#show int ethernet 0 表 12-1 为通过运行此命令后显示的相关信息。 表 12-1 show int ethernet0 命令提示信息 提示信息 表示状态 Ethernet 0 is up,line protocol is up 端口正常 Ethernet 0 is up,line protocol is down 连接故障，路由器未接到 LAN 上 Ethernet 0 is down, line protocol is down (disable) 接口故障 Ethernet 0 is administratively down, line protocol is down 接 口 被 人 为 地 关 闭 ( 可 在 配 置 状 态 中 interface_mode 删去 shutdown 命令) 注意：可以使用 show nversion 命令测试端口是否有物理性故障,此命令将显示出物理性 正常的端口，而出现物理故障的端口将不被显示出来。 （8）show interface serial 命令 可以使用 show interface serial 命令对串行端口故障进行诊断，以下是诊断串行端口 0 的 命令： router#show int serial 0 表 12-2 为通过此命令显示的相关信息。 表 12-2 show int serial 0 命令提示信息 提示信息 表示状态 Serial 0 is up, line protocol is up 正常 Serial 0 is up, line protocol is down 端口无物理故障，但上层协议未通（IP、IPX、 X25 等，请查看路由器的配置命令，检查地 址是否匹配） Serial 0 is down, line protocol is disable 端口出现物理性故障，只有更换端口 Serial 0 is down, line protocol is down DCE 设备（MODEN/DTU）未送来载波/时钟 信号，请与电信部门联系 Serial 0 is administratively down, line protocol is down 接口被人为地关闭，可在配置状态中 interface_mode 下去掉 shutdown 命令 （9）show protocol 使用 show protocol 命令可以显示路由器运行的协议信息以及路由这些协议的每一个接 口的地址信息，如图 12-10 所示。 图 12-10 show protocol 命令 2.Debug 命令 Cisco IOS 软件中包含大量的调试命令，这些命令可以在路由器正常工作或发生网络故 障时获得在路由器中交换的报文和帧的详细信息。调试命令可以减少用户对协议分析仪的需 求，但它仅能捕获通过过程交换的报文，并且会明显增加处理器的负载。调试命令针对故障 排除，监视时最好不要使用这些命令。 （1）debug serial interface 命令 debug serial interface 命令是直接与路由器接口和传输介质类型相关的调试命令。使用 undebug all 命令可以关闭所有的调试。 （2）debug ip rip debug ip rip 命令用于显示 ip RIP 调试信息。在调试开始时，并没有清空路由器表，因 为路由器每隔 30 秒自动进行一次 RIP 更新，因此不需要强制更新。在获得了足够的调试信 息后应关闭所有的调试。 3.ping 命令 ping 是最常使用的故障诊断与排除命令，它由一组 ICMP 回应请求报文组成，如果网 络正常运行将返回一组回应应答报文。ICMP 消息以 IP 数据包传输，因此如果接收到 ICMP 回应应答消息，则表明第三层以下的连接都工作正常。 Cisco 的 ping 命令不但支持 IP 协议，而且支持大多数其他的桌面协议，如 IPX 和 AppleTalk 协议。 （1）“ping IP 地址”命令 “Ping IP 地址”命令既可以在用户模式下执行，也可以在特权模式下执行。正常情况 下，命令会发送回 5 个回应请求，5 个惊叹号表明所有的请求都成功地接收到了响应。输出 中还包括最大、最小和平均往返时间等信息。如图 12-11 为此命令的一个应用实例。 图 12-11 ping 命令 （2）“ping IPX 地址”命令 “ping IPX 地址”命令只能在运行 IOS v8.2 及其以上版本的路由器上执行。用户模式下 的 IPXping 通常仅用于测试 Cisco 路由器接口。在特权模式下，用户可以 ping 特定的 Novell 工作站，命令的格式为“ping ipx IPX 地址”。 （3）“ping apple Appletalk 地址”命令 “ping apple Appletalk 地址”命令使用 Apple Echo Protocol（AEP）以确认 AppleTalk 节 点之间的连通性。需要注意的是，目前的 Cisco 路由器仅对以太网接口支持 Apple Echo Protocol。命令的格式为“ping apple Appletalk 地址”。 （4）扩展的 ping 命令 在特权执行模式下，扩展的 ping 命令适用于任何一种桌面协议。它包含更多的功能属 性，因此可以获得更为详细的信息。通过这些信息可以分析网络性能下降的原因，而不只是 服务丢失的原因。扩展的 ping 命令的执行方式也是输入 ping 。然后路由器提示各种不同 的属性。如图 12-12 所示为采用扩展 ping 命令的运行方式。 图 12-12 扩展 ping 命令 4.Trace命令 Trace 命令提供路由器到目的地址的每一跳的信息，它通过控制 IP 报文的生存期（Time to Live，TTL）字段来实现。TTL 等于 1 的 ICMP 回应请求报文将被首先发送。路径上的第 一个路由器将会丢弃此报文并发送回标识错误消息的报文。错误消息通常是 ICMP 超时消 息，表明报文顺利到达路径的下一跳；或端口不可达消息，表明报文已经被目的地址接收， 但不能向上传送到 IP 协议栈。 为了获得往返延迟时间的信息，Trace 发送 3 个报文并显示平均延迟时间，然后将报文 的 TTL 字段加 1 并发送 3 个报文。这些报文将到达路径的第二个路由器上，并返回超时错 误或端口不可达消息。反复使用这一方法，不断增加报文的 TTL 字段的值，直到接收到目 的地址的响应消息。 如图 12-13 所示的是运行 Trace 命令的一个实例。 图 12-13 Trace 命令 12.7 服务器的维护和安全 服务器是网络的中心，保证服务器的安全性是实现网络安全的核心。 12.7.1 服务器的安全类型 服务器的安全类型主要包括物理安全、逻辑安全、操作系统安全和联网安全。 1.物理安全 物理安全指网络系统中各通信计算机设备以及相关设备的安全性。通常的物理网络安全 使用网络物理隔离设备来实现。网络物理隔离的作用是使网络之间无连接的物理途径，内网 的信息不能外泄。 目前比较流行的保证网络物理安全的方法是采用物理隔离卡。物理隔离卡使用双硬盘物 理隔离技术，隔离器与主板之间无数据交换途径，彻底物理隔离，真正实现了网络隔离和数 据隔离。内网和外网的切换通过手动物理开关来实现，且只能由用户自己操作，任何软件的 操作方法都无效，因此不存在软件操作隐患。 另外，在网络管理中建立一套严格的安全制度非常必要，应做好防盗、防火措施。在非 常机密的网络环境下做好网络信息的屏蔽工作也非常必要，例如，在无线网络环境中，为防 止信息的窃取，在网络中安装屏蔽层等。 2.逻辑安全 逻辑安全是指通过软操作方式来实现网络安全的措施，通常是用户通过安装杀毒软件、 系统补丁，关闭服务、端口，加密等多种方式实现网络安全的过程。逻辑安全包括信息完整 性、保密性和可用性。保密性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够 防止非法修改及删除数据和程序，可用性是指系统能够防止非法独占计算机资源和数据，合 法用户的正常请求能及时、正确、安全地得到服务或回应。 3.操作系统安全 在网络服务中，网络操作系统的安全关系到网络整体性能的构造。每一种网络操作系统 都采用了一些安全策略，并使用了一些常用的安全技术。目前，很难找到一个完全安全的网 络操作系统。就微软的 Windows NT 系列操作系统而言，关注系统的漏洞，升级系统文件， 为系统打补丁是非常必要的。操作系统安全应注意以下几个方面： （1）为操作系统选择一个优秀的杀毒软件和防火墙系统。 （2）为操作系统管理员设置足够强壮的账号和密码。 （3）对系统进行分角色控制，严格控制系统用户。 （4）定期进行系统扫描，及时安装系统补丁程序。 （5）对系统进行备份，定期进行磁盘扫描，检测系统是否出现异常。 （6）可以在系统上安装外壳软件或蜜罐系统进行反跟踪过程。 4.联网安全 网络可以按照其工作方式划分为两级体系结构，即把由发送端和接收端组织的网络称为 资源子网，把由中间的链路机构成的网络称为通信子网，因此联网的安全性就体现在内部网 络安全和外部网络安全两个方面。 内部网络的安全性表现在不向外部网络发送非安全数据（如病毒等），对来自外部网络 的攻击有一定的防御能力，保护联网资源不被非授权使用。外部网络安全指的是通过数字加 密等方式认证数据的机要性与完整性，保证数据通信的可靠性。 12.7.2 服务器的安全威胁 服务器的安全威胁包括物理安全和逻辑安全，物理威胁是人为地对设备造成破坏；逻辑 威胁是由相关操作或配置引起的，服务器软件系统本身的漏洞也可能造成安全威胁。 1.物理威胁 物理威胁可能来源于外界的有意或无意的破坏。物理威胁有时可以造成致命的系统破 坏，如系统的硬件设施遭到严重破坏。另外一套严格的防范措施也必要的。 物理威胁的防比治更加重要，然而在网络维护中很多物理威胁往往被忽略，例如，网络 设备被盗等。另外在更换设备时，进行系统信息的销毁也十分重要，例如，在更换磁盘时， 必须做格式化处理，因为反删除软件很容易获取磁盘上删除的文件。 2.系统漏洞造成的威胁 （1）端口威胁 端口威胁是系统漏洞威胁的一个重要方面。一般的操作系统都有很多端口是开放的，在 用户上网时，网络病毒和黑客可以通过这些端口连接到用户的机器上。潜在的端口开放相当 于给系统开了一个后门，病毒和网络攻击者可以通过开放的端口入侵系统。 为防止端口产生的威胁，用户应使用端口扫描软件来查看系统已经开启的服务端口，并 将不安全的端口关闭，在 WindowsNT 系统下用户应扫描并关闭的端口有 TCP135、139、445、 593、1025 端口和 UDP135、137、138、445 端口，以及一些流行病毒的后门端口，如 TCP2745、 3127、6129 端口，远程服务访问端口 3389 都应关闭。 （2）不安全服务 操作系统的部分服务程序不需要进行系统的安全认证服务就可以登录，这些程序一般都 是基于 UDP 协议的，由于它的无认证服务导致系统很有容易被病毒和网络攻击者控制。因 此，此类服务在使用完毕后应立即停止，否则将造成系统不可挽回的损失。例如，基于 UDP 协议的 TFTP 服务就是一种不安全的服务，它是不经过认证的网络服务方式，一旦安装并开 启了此服务，就相当于提供了一个和 FTP 类似的服务功能，唯一不同的是，它访问网络根 本就不需要认证。 （3）配置和初始化 对于某些系统，同时提供认证和匿名两种服务方式，所以如何区分服务方式，如何进行 系统服务的初始化配置非常关键。例如，FTP 服务器默认就提供了匿名访问方式，到底是否 提供给用户，应该根据实际情况选择。一些不同的服务系统本身对服务方式的提供，既有不 同的观点，比如 IIS 服务器中默认是禁止目录浏览的，而 Apache 系统中默认就可以实现目 录浏览，所以必须根据网络需求选择。 3.身份鉴别威胁 （1）假冒 假冒的身份鉴别通常是用一个模仿的程序代替真正的程序登录界面，设置口令圈套，以 窃取口令。一般是在用户的机器上运行后门软件或修改用户的 DNS 服务器地址，当用户登 录真正的站点时，后门软件自动确导向它自己的站点（这个网站的界面和真正站点的界面基 本相同），一旦用户登录此假冒网站，密码就可能被窃取。 黑客可以使用很多技巧来破解登录口令；以超长字符串使口令加密算法失效。另外，许 多系统内部也存在用户身份鉴别漏洞，有些口令过于简单或长期不更改，甚至存在许多不设 口令的帐户，为非法侵入敞开了大门。 （2）密码暴力破解 按照密码学的观点，任何密码都可以被破解出来，任何密码都只能在一段时间内保持系 统的安全性，这就提示用户账号和密码足够强壮才能保持系统的安全性。在常见的口令破解 中，先按照密码字典破解常用字符，因此，如果用户名和密码相同，密码使用常见的字符、 词组、单独的数字（如电话号码、区号）等就很容易被破解，一个强壮的密码应是一些无关 的字符的组合，并在长度和类型上应都有要求，例如，字母和数字的组合，并且字母有大小 写的区分等。 12.7.3 服务器安全管理 服务器的安全管理项目太多，服务器可能随时都受到来自网络的攻击，作为网络管理人 员，必须在日常的管理中积累经验，实现服务器安全管理。下面介绍常见的服务器安全管理 措施。 （1）NTFS 文件系统 NTFS 是微软 WindowsNT 内核的系列操作系统支持的、一个特别为网络和磁盘配额、 文件加密等管理安全特性设计的磁盘格式。 在 NTFS 文件系统中，用户可以为任何一个磁盘分区单独设置访问权限，把敏感信息和 服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得服务文件所在磁盘分区 的访问权限，还需要突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。 （2）服务器备份 备份是为了在系统遇到人为或自然灾难时，能够通过备份内容对系统进行有效的灾难恢 复。备份不仅仅是保存原有资料的一个副本，管理也是备份的重要组成部分。为防止不能预 料的系统故障或用户的非法操作，必须对系统进行安全备份，不仅要对全系统每月进行一次 备份，还应对修改过的数据每周进行一次备份。同时，应将修改过的重要系统文件存放在不 同的服务器上，以便出现系统崩溃时(通常是硬盘出错)将系统恢复到正常状态。 （3）服务和端口的设置 服务器操作系统在安装的时候会启动一些不需要的服务，这会占用系统的资源，也增加 了系统的安全隐患。例如，可以关闭节假日期间不用的服务器，。另外，还要关闭不必要的 TCP 端口。 （4）入侵检测系统 入侵检测系统（Intrusion-detectionsystem，IDS）是一种对网络传输进行即时监视，在发 现可疑传输时发出警报或采取主动反应措施的网络安全设备。与其他网络安全设备的不同之 处便在于，IDS 是一种积极主动的安全防护技术。IDS 提供了企业防御保护的另一道防线， 它使得网络在面临攻击或信息遭滥用时立即做出报警。 (5)防火墙 防火墙是由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间构 造的保护屏障。 防火墙对流经它的网络通信进行扫描，这样能够过滤一些攻击，以免其在目标计算机上 被执行。防火墙还可以关闭不使用的端口，以及禁止特定端口的流出通信，封锁特洛伊木马。 还可以使用防火墙禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 本章小结 本章主要讲述了常见网络设备故障及其基本的处理方法，学习完本章，读者应该掌握基 本的网络设备故障处理方法，重点掌握路由器和交换机的故障处理手段，掌握服务器的维护 和安全控制方式。 习题 1.下列用于分析路由跟踪配置错误的命令为 。 A.Ping B.trace C.tracert D.show 2.下列用语实现连通性测试的网络命令为 。 A.ping B.show C.debug D.trace 3. 命令可以在路由器发生网络故障时，进行调试获得在路由器中交换的报 文和帧的详细信息。 A.ping B.show C.debug D.trace 4.下列关于病毒的描述正确的是 。 A.病毒可以引起软件故障，但不会造成硬件故障 B.病毒可以攻击软件系统，但对硬件系统无碍 C.病毒造成的网络故障，有些可以修复，有些则无法修复 D.病毒不攻击那些没有管理功能的硬件设备 5. 是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主 动反应措施的网络安全设备。 A. 入侵检测系统 B.防火墙 C.网络报警系统 D.网络管理系统 6.用户可以使用 命令检查内存利用率。 A. show memory free B. show memory C. show cpu D. show buffer 7.在路由器上运行了“show int ethernet 0”命令后，提示“Ethernet 0 is up,line protocol is down”，则表示 。 A.端口正常 B.连接故障，路由器未接到 LAN 上 C.接口故障 D.接口被人为地关闭 8.下列关于双绞线的连接方式的描述错误的是 A.连接相同设备需要使用直通线 B.连接不同设备需要使用交叉线 C.EIA568A 和 EIA568B 都可以用于直通线 D. EIA568A 和 EIA568B 不惜配合使用，才能完成正确的交叉线 9.下列属于服务器的逻辑安全范畴的是 。 A.安装物理隔离卡 B.安装杀毒软件 C.安装屏蔽层 D.安装报警器 10.下列关于网络操作系统安全的描述错误的是 。 A.为操作系统选择一个优秀的杀毒软件和防火墙系统。 B.定期进行系统扫描，及时安装系统补丁程序。 C.对系统进行备份，定期进行磁盘扫描，检测系统是否出现异常。 D.服务器绝对不要安装非英文版本的网络操作系统。