第 11 章 常见网络故障分析及处理
DESCRIPTION
第 11 章 常见网络故障分析及处理. 案例一 某学校宿舍网方案设计问题. 网络拓扑. 校园网核心. 北电 8610. 认证服务器. 2024M-B. 1926F+. 1926F+. 2024M-A. 1926F+. 2024M-C. 1926F+. 宿舍楼一. 宿舍楼二. 1926F+. 1926F+. 百兆. 千兆. 故障现象. 大约 1-2 天左右,每个 S2024M 下连的个别 1926F+ (不固定)出现断网情况,重启该 1926F+ 不起作用,重启上连的 2024M 后网络正常; - PowerPoint PPT PresentationTRANSCRIPT
第 11 章 常见网络故障分析及处理
案例一某学校宿舍网方案设计问题
网络拓扑
宿舍楼一
宿舍楼二
校园网核
心
千兆 百兆
北电 8610
2024M-A
2024M-B
2024M-C
1926F+
1926F+
1926F+
1926F+
1926F+
1926F+
认证服务器
故障现象
大约 1-2 天左右,每个 S2024M 下连的个别 1926F+ (不固定)出现断网情况,重启该 1926F+ 不起作用,重启上连的 2024M 后网络正常;
三台 S2024M 串起来连接到学校的网络中心,下面级联的两台 S2024M ( B 、 C )不固定时间的与 S2024M-A 出现断网情况,重启下面的两台 S2024M 都不起作用,重启连接学校的网络中心的 S2024M-A 后网络正常。
解决方案
由于用户较多,在做 802.1x 认证时发送大量的认证报文占用带宽,如果保留原拓扑不变,建议关闭该接入交换机的 STP 功能。
故障现象
关闭 STP 后,网络正常运行了一段时间。但是过了没多久,又重复出现上述故障现象,则考虑到网络拓扑的改进。
汇聚层
核心层
访问层
园区 (campus) 网设计等级模型
故障分析
1 、网络结构设计不合理,交换机级联太深,造成连接到学校网络中心的 S2024M-A 带不动整个宿舍楼的网络连接和其他不明的网络故障。
2 、对于网络中的交换机配置应用上有可能存在问题。因为目前是采用 TAG VLAN 的工作方式,同时还打开了 STP功能,这就无形中增加了交换机的负载。所以有可能会造成 2024M 交换功能超负载,而管理功能都正常。
3 、对于断网现象有可能是网络中的电脑上有病毒,病毒发作产生攻击包,造成网络堵塞,所以会出现断网。
改进后网络拓扑
宿舍楼一
宿舍楼二
校园网核
心
千兆 百兆
北电 8610
2024M-A
2024M-B
2024M-C
1926F+
1926F+
1926F+
1926F+
1926F+
1926F+
S-Radius
案例总结
在设计网络之初,要考虑到网络的三层结构:核心层、汇聚层、访问层。由于访问层接终端用户,访问层的各交换机要在汇聚层交换机汇聚,所以如果访问层与汇聚层交换机采用同一级别的设备,则很容易负载过高,尤其是当网络中应用或服务较多时。这时建议关闭不必要的协议,必要时升级设备或优化网络整体结构。
案例二某学校宿舍网改造
网络拓扑
Internet
远程教学服务器
WWW
教育资源服务器
S2126G
S2126G
S2150GS2126GS2126G
S6810
S3550
故障现象
其中一台的一台 S2150G 交换机,准备在两天后与连接三楼和五楼的 S2126G 交换机进行堆叠。管理员将堆叠模块插在了 S2150G 的插槽中,没有连接堆叠线缆,当重启交换机时发现启动时间很长,用超级终端登录没有反映,感觉象死机了。
堆叠介绍
堆叠的两种方式:星型堆叠
• S2024M/S2024菊花链
• S2126G/S2150G
堆叠介绍
S21 系列的堆叠方式 S21 系列的堆叠为菊花链堆叠,最大可堆叠 8 台 S2126G/S
2150G ,最多可达 384 个 10/100MRJ45 端口。 S21 系列堆叠需使用专门的堆叠模块 M2131 ,和堆叠线缆,
堆叠带宽 1G 。
堆叠介绍
堆叠模块和堆叠线缆的连接
堆叠介绍
连接说明:第一台(最上面)交换机堆叠模块的 DOWN 接口通过堆叠线缆与第
二台交换机堆叠模块的 UP 接口相连;第二台交换机堆叠模块的 DOWN 接口通过堆叠线缆与第三台交换机
堆叠模块的 UP 接口相连; ……最下一台交换机堆叠模块的 DOWN 接口必须通过堆叠线缆与最上面
的一台交换机堆叠模块的 UP 接口相连,整个形成一个环路。
堆叠介绍
交换机在启动过程中,如果插有堆叠模块,要进行寻找堆叠的交换机,因此启动的时间就比正常启动长了许多。
故障分析过程
而在本案例中,由于插有堆叠模块,但没有连接堆叠线缆,一直没找到堆叠的交换机,因此重启时等待时间比较久,感觉象死机了。
解决方案
三种解决办法:1 、多等待一阵时间,让其正常启动;2 、重启前,关机把堆叠模块拔出,交换机启动时间与平常一样;3 、把交换机用堆叠线缆与其他 21 交换机正确连接堆叠,交换机
启动时间与平常一样。
案例总结
当在 21 系列交换机进行堆叠操作时,建议当把堆叠模块插入时,把堆叠线缆首尾相连成一个 菊花链,以免重启时不正常。
案例三VLAN 用户无法访问外网
网络拓扑
Internet
业务网综合网
管理网
Cisco 7509Star-S4900
F0
业务网 VLAN110 : 192.168.110.1
综合网 VLAN140 : 192.168.140.1
管理网 VLAN100 : 192.168.100.1
Cisco7509 F0口: 192.168.100.2
故障现象
配置完后发现只有 VLAN100 中的 PC 可访问外网,但 VLAN110 和 VLAN140 中的 PC 却无法访问外网。
解决分析过程
C:\>ping 192.168.110.1
Pinging 192.168. 110.1 with 32 bytes of data:
Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255Reply from 192.168. 110.1: bytes=32 time<10ms TTL=255
Ping statistics for 192.168. 110.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>
解决分析过程
C:\>ping 192.168.140.1
Pinging 192.168. 140.1 with 32 bytes of data:
Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255Reply from 192.168. 140.1: bytes=32 time<10ms TTL=255
Ping statistics for 192.168. 140.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>
解决分析过程
各 Vlan 网关能 Ping通,这说明 S4900 上的三层配置无误,问题应当在路由器上。可以进一步跟踪一下 数据包发送的路径。
通过 Windows 下的 Tracert命令进行跟踪操作来访问外网,发现数据包有去无回,可以得出结论即在路由器上无返回路径。
解决分析过程
Star4900#show ip routeCodes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2
Gateway of last resort is192.168.100.2 to network 0.0.0.0
C 192.168.110.0/24 is directly connectedC 192.168.140.0/24 is directly connectedC 192.168.100.0/24 is directly connectedS* 0.0.0.0/0 is directly connected, Vlan100......
解决分析过程
Cisco7509#show ip routeCodes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2
Gateway of last resort is 10.1.1.1 to network 0.0.0.0
1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, FastEthernet3 10.0.0.0/30 is subnetted, 1 subnetsC 10.1.1.0 is directly connected, FastEthernet1C 192.168.100.0/24 is directly connected, FastEthernet0。。。
解决分析过程
Cisco7509#config t
Cisco7509(config)#ip route 192.168.110.0 255.255.255.0 f0
Cisco7509(config)#ip route 192.168.140.0 255.255.255.0 f0
故障分析结论
在此案例中,其实是一个 典型的单向指路由的问题。即只在 4900 上指定了如何出去的路由,而并没有在 7509 上指定回来的路由,故造成数据无法返回。此案例可以利用扩展的 PING 、 Trace 以及路由表来解决问题。
案例四某企业网无法访问 Internet
网络拓扑
R2614S2126GS2126GInternetS0Fa 0Fa 1
Web Server
Mail Server
故障现象
配置完成后,内部私网 PC已可以访问 Mail 和 Web Server ,但访问公网时,却只有少数几台 PC可以正常上网。
部分配置
interface FastEthernet1ip address 192.168.12.1 255.255.248.0ip nat insideinterface Serial0ip address 10.1.1.2 255.255.255.252ip nat outside ip nat pool sss 200.100.155.66 200.100.155.67 netmask 25
5.255.255.240ip nat inside source list 1 pool sss ip classlessip route 0.0.0.0 0.0.0.0 10.1.1.1access-list 1 permit any
解决分析过程
Red-Giant#show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
tcp 200.100.155.66:2063 192.168.12.65:2063 168.168.12.1:23 168.168.12.1:23
create 00:00:19, use 00:00:10, left 00:09:49, flags: extended
Red-Giant#
NAT 的类型
NAT静态 NAT动态 NAT
NAPT静态 NAPT动态 NAPT
静态与动态 NAT
静态 NAT需要向外网络提供信息服务的主机永久的一对一 IP 地址映射关系
动态 NAT只访问外网服务,不提供信息服务的主机内部主机数可以大于全局 IP 地址数最多访问外网主机数决定于全局 IP 地址数临时的一对一 IP 地址映射关系
什么时候用 NAPT
缺乏全局 IP地址甚至没有专门申请的全局 IP地址,只有一个连接
ISP 的全局 IP地址内部网要求上网的主机数很多提高内网的安全性
静态与动态 NAPT
静态 NAPT需要向外网络提供信息服务的主机永久的一对一“ IP 地址 + 端口”映射关系
动态 NAPT只访问外网服务,不提供信息服务的主机临时的一对一“ IP 地址+ 端口”映射关系
解决分析过程
在命令 ip nat inside source list 1 pool sss 后增加参数 overload ,即允许路由器将一个 全局地址用于多个本地地址,至此问题解决。
解决分析过程
Red-Giant#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 200.100.155.66:1256 192.168.12.91:1256 200.168.168.11:53 200.168.168.11:53
tcp 200.100.155.66:1257 192.168.12.91:1257 172.16.198.2:23 192.168.12.91:23
--- --- --- 172.16.198.2 192.168.12.91
Red-Giant#
案例总结
NAT静态 NAT
适用于一对一的地址转换。动态 NAT
适用于少量的地址共享几个全局 IP ,并且不同时使用。 NAPT
静态 NAPT当内部主机需要对外部网络提供服务,而又缺乏全局地址,或者就没有申请全局地址,就可以考虑配置静态 NAPT 。
动态 NAPT当内部有多个主机需要访问 Internet ,而又缺少全局注册 IP 时则应该使用动态 NAPT 。如本例所示。
