《网络安全运行与维护配套资源M92网络安全故障排除》由会员分享,可在线阅读,更多相关《网络安全运行与维护配套资源M92网络安全故障排除(26页珍藏版)》请在金锄头文库上搜索。
1、网络安全运行与维护,模块九 网络安全故障与设备故障排除,总体概述,能力单元2,网络安全故障排除,任务描述,拓维公司办公区网络中设备众多,在复杂的网络应用环境中,用户常常会遇到网络应用完全中断、频繁掉线、网络响应缓慢等问题。在办公区网络发生故障后,公司希望信息中心能及时排除,保证网络设备的安全和正常使用。,任务分析,网络故障诊断的细节分析一般可首先使用替换法,即保持网络状况不变,用一台运行正常的PC替换故障PC测试,以确定是PC自身问题还是网络或服务器的问题。如果不是PC问题,在PC上访问提供类似服务的其它服务器,确定是否是服务器的问题。 如果是网络问题,使用分层法判断故障是发生在OSI七层模型
2、的网络层以下还是网络层之上。在PC上测试与服务器的连通性,观察Ping命令返回的信息,如果显示信息正常,说明网络层以下部分正常,故障可能发生在传输层或应用层;如果延时很长,有丢包现象,甚至不通,说明网络层以下部分存在故障;如果故障定位在网络层之下,用分段法将从PC到服务器的网络路径分段,使用Ping命令诊断。,任务分析,(1)PC到三层网关设备的LAN接口 状态正常的标准:无丢包,延时一般小于10ms。 目的:确认PC到网关设备是否正常连通。 丢包、时延长可能的原因:网络设备负荷大、线路质量差。 无法连通的可能原因:物理线路、接口硬件、接口配置问题。 排查方法:使用Show Interface
3、命令查看接口状态,使用Show Cpu命令查看CPU状态。,任务分析,(2)PC到出口路由器的LAN接口 状态正常的标准:无丢包,延时一般小于10ms。 目的:确认PC到出口路由器是否连通正常。 丢包、时延长可能的原因:出口路由器设备负荷大、线路质量差。 无法连通的可能原因:物理线路、路由器上路由表错误、中间三层交换机故障。 排查方法:在路由器和三层交换机上通过使用Show Interface命令查看接口状态,使用Show Cpu命令查看CPU状态,使用Show Ip Route命令查看路由表。,任务分析,(3)PC到出口路由器的WAN接口 状态正常的标准:无丢包,延时一般小于10ms。 目的
4、:确认PC到出口路由器是否连通正常。 丢包、时延长可能的原因:出口路由器设备负荷大;线路质量差。 无法连通的可能原因:路由器上路由表错误。 排查方法:使用Show Interface命令查看接口状态,使用Show Cpu命令查看设备CPU状态。 使用Show Ip Route命令查看路由器路由表,使用Show Run命令查看路由器配置。,任务分析,(4)PC到ISP运营商的接口 状态正常的标准:无丢包,延时一般小于30ms。 目的:确认出口路由器NAT功能是否正常。 丢包、时延长可能的原因:出口路由器设备负荷大、外网线路质量差。 无法连通的可能的原因:路由器上路由表错误,NAT配置错误。 排查
5、方法:使用Show Interface命令查看路由器接口状态,使用Show Cpu命令查看路由器CPU状态。 使用Show Ip Route命令查看路由器路由表,使用Show Run命令查看路由器配置。,任务分析,(5)出口路由器到ISP运营商的接口 状态正常的标准:无丢包,延时一般小于30ms。 目的:确认外网线路是否正常。 丢包、时延长的可能原因:出口路由器设备负荷、线路质量问题。 无法连通的可能原因:物理线路、问题路由器ARP学习错误、对端设备问题。 排查方法:在路由器上使用Show Interface命令查看接口状态,使用Show Cpu命令查看路由器CPU状态,使用Show Ip R
6、oute命令查看路由器路由表,使用Show Arp命令查看对端MAC信息。,任务分析,(6)如果要访问的服务器在内网,可以将访问路径分为四段再进行分析处理。 PC到网关三层设备LAN接口的这一段是否可以连通? PC到服务器网关三层接口这一段是否可以连通? PC所在网关设备到服务器网络接口的这一段是否可以连通? PC网关设备到要访问资源的IP这一段是否可以连通?,相关知识,1分块定位 先从故障现象初步定位开始,分析和判断网络故障的类型。,相关知识,2分层定位 从故障应用服务对象初步定位开始,分析和判断网络存在的问题。 在排除故障前要清楚:故障影响的是个别用户还是某一范围的用户,故障原因是服务器问
7、题还是网络自身问题。,拓扑结构,任务实施,步骤1办公区多子网连接 配置所有测试计算机的IP地址。 配置所有路由器设备的接口IP地址。 在所有路由器上配置动态路由,实现全网连通。 对二层交换机设备不作任何配置。,任务实施,步骤2处理用户网络应用完全中断故障 案例一:ARP欺骗导致客户端网络应用完全中断 办公区中有一个网段的用户不能上网,而另外几个网段的用户能上网,该故障近两天反复出现,有时则会自行消失。由于只是个别网段用户反映此问题,表示故障与出口路由器无关。故障出现时,在用户机器上无法连通自己的网关地址和路由器地址。 在PC机的命令窗口执行Arp -A命令,发现网关设备的MAC地址前6位不是0
8、0-d0-f8(在不启用VRRP的前提下,所有锐捷网络设备的MAC地址前6位都是00-d0-f8),至此判定网络内存在ARP欺骗。 在PC机的命令窗口执行Arp -S命令,用手动方式添加正确的网关MAC值后,能正常连通网关和访问外网。用户使用包监控软件Sniffer,发现一台机器发送大量的ARP报文,将该PC与网络的连接断开后,全网恢复正常。,任务实施,步骤2处理用户网络应用完全中断故障 案例二:ARP欺骗导致客户端到本地服务器网络应用完全中断 有办公区用户反映,所有网段的用户能上外网,却不能访问本企业内部服务器,公网用户也不能访问企业内部对外发布的服务器,但同一服务器网段内的机器能互相访问。
9、 在用户机器上使用Ping命令能连通服务器所在网段的网关地址,说明PC与服务器连接正常。在服务器A上使用Ping命令能连通服务器B的IP地址,说明服务器A、B的物理线路和网卡都正常。在服务器A上使用Ping命令无法连通自己网段的网关IP地址,说明网关不能转发从服务器上发送到用户机器的数据,此时肯定无法访问跨IP网段。 在服务器网段检查,发现存在ARP欺骗。用户使用Sniffer软件监控网络,并将带毒服务器与网络隔离,此时应用服务恢复正常。,任务实施,步骤2处理用户网络应用完全中断故障 案例三:接口工作模式不匹配导致客户端与外网网络应用中断 有办公区用户反映,其外网线路从ADSL调整为电信光纤专
10、线,光纤直接连接到NBR1000E路由器光模块上。调整配置后,一直无法与电信IP地址连通。将光纤用光纤转换器转换到双绞线,连接到一台PC,此时与电信对端连通正常。 将光纤用光纤转换器转接到双绞线上,网络能正常通信,说明线路正常。 在不同厂商的设备进行互联互通时,首先要考虑接口工作模式是否正确。 将光纤直接连接到光纤模块上,在路由器上使用Show Interface命令,发现路由器光纤接口工作状态为100M、半双工(Half-Duplex),而正常情况下百兆接口状态应为100M、全双工(Full-Duplex)。据此判断对端设备可能手动指定了接口工作模式。在路由器接口上手动指定工作模式为100M
11、、Full-Duplex后,网络恢复正常。,任务实施,步骤2处理用户网络应用完全中断故障 案例四:NAT配置错误导致客户端与外网网络应用中断 有办公区用户反映,该网络使用一台NBR2000的路由器接入了互联网。通过配置向导完成配置后,所有用户能访问内部服务器,但不能访问外网。 在用户机器上使用Ping命令能连通路由器WAN口地址,说明PC到路由器连通正常。在路由器上使用Ping命令能连通对端运营商IP地址,说明路由器到运营商连通正常。在用户机器上使用Ping命令无法连通对端运营商IP地址,说明可能是PC的数据在路由器上没有被正确地转发出去。 在路由器上使用Show Run命令检查配置,发现用户
12、NAT配置错误,修改NAT配置后网络恢复正常。,任务实施,步骤2处理用户网络应用完全中断故障 案例五:DNS服务器问题导致用户无法打开网页 有办公区用户反映,计算机不能上网,更换了另外一台计算机也不行。 使用Ping命令连通ISP运营商网关IP没有问题。 使用Ping命令连通某公网网站IP地址没有问题。 使用Ping命令测试其域名,发现无法解析IP地址。 使用Ping命令连通DNS服务器的IP地址没有问题。 在IE中直接输入该公网IP地址,发现可以打开网页。 这样基本可以断定是DNS服务器出了问题,DNS物理上是连通的,但DNS服务器已失效。在PC上更换DNS服务器地址后问题解决了。,任务实施
13、,步骤3处理用户网络应用频繁掉线故障 案例:DDOS病毒导致客户端到外网网络应用频繁掉线 某网吧游戏用户反映,在某个时间段内频繁掉线,浏览网页速度缓慢。 在路由器上使用Show Cpu命令,发现CPU利用率历史峰值为90以上,询问网管,该峰值时间与故障发生时间基本一致。这说明故障原因是路由器CPU负荷过高。 在路由器上使用Show Ip Nat Statistics Per-user命令,发现个别PC使用的NAT条目达到了路由器配置时设定的上限200,表明这些PC可能在使用P2P软件或者中毒了。 将NAT条目高的PC与网络断开,路由器CPU利用率立刻下降到正常水平,网络恢复正常。利用协议分析软
14、件Ethereal进行抓包分析,发现的确存在病毒,对外网发起了DDOS攻击。,任务实施,步骤4处理用户网络应用响应缓慢故障 案例一:IE设置错误导致打开网页速度慢 某用户反映通过NBR2000上网时,个别PC浏览网页时网页打开速度很慢。 由于只是个别用户反映此问题,很可能是客户端自身的问题。在用户机器上连通服务器地址,时延正常。换一台便携机在用户处进行上网测试,发现打开网页速度也正常(替换法)。在用户PC中的IE浏览器中打开网页时,状态栏总是出现提示“正在检测代理服务器”,而该用户并未使用代理服务器上网,因此怀疑IE浏览器设置有误。 检查后发现IE浏览器中 “工具”“Internet选项”“连
15、接”“局域网设置”选项中,用户选中了“自动检测设置”选项,这导致IE浏览器在打开网页时总是去检测代理服务器,从而影响了打开速度。取消该设置后问题解决了。,任务实施,步骤4处理用户网络应用响应缓慢故障 案例二:接口工作模式不匹配导致客户端连接外网网络应用速度缓慢 某用户反映,公司内部网络刚刚进行了扩容,汇聚交换机采用的是锐捷S3750,为了节约成本,一部分接入交换机使用了H公司生产的低端设备。扩容完成后,发现由该设备接入的用户上网速度非常慢,用户下载文件时速率通常只能达到2030 Kbps,用户连通路由器地址时有丢包的现象,且不丢包时的延时也不稳定。而使用锐捷设备的用户下载速度能够达到10020
16、0 Kbps。,任务实施,步骤4处理用户网络应用响应缓慢故障 案例二:接口工作模式不匹配导致客户端连接外网网络应用速度缓慢 只是接入H公司设备的用户有问题,那该故障与路由器相关的可能性不大。使用替换法,使用锐捷同档次交换机替换H公司设备后,网络恢复正常,说明H设备可能存在问题。检查H公司设备接口状态和CPU状态,发现其上行以太网口状态为100M、Half-Duplex。 将H公司设备与锐捷设备互联,将以太网口工作模式手动指定为100M、Full-Duplex,网络恢复正常。,任务实施,步骤4处理用户网络应用响应缓慢故障 案例三:网络环路导致客户端访问外部网络应用速度缓慢 某用户反映突然无法访问外网与内网服务器,全网网络速度都变慢,过几分钟后全网网络应用中断。用户
