郑州市教育局网管人员培训.ppt

《郑州市教育局网管人员培训.ppt》由会员分享，可在线阅读，更多相关《郑州市教育局网管人员培训.ppt（117页珍藏版）》请在三一办公上搜索。

1、郑州市教育局网管人员培训-网络维护部分,河南威帆信息技术股份有限公司蓝福祥 2009.3,议程,郑州教育信息网拓扑结构介绍网络设备常用配置介绍网络故障处理技术,郑州教育信息网总体逻辑拓扑图,网络中心逻辑拓扑图,学校典型拓扑,家庭用户ADSL VPN接入模式,财政国库支付网络教育网接入模式,议程,郑州教育信息网拓扑结构介绍网络设备常用配置介绍网络故障处理技术,H3C设备,基本操作系统管理配置路由协议配置NAT配置ACL配置端口镜像配置子接口配置交换机VLAN配置交换机三层虚接口配置交换机TRUNK配置交换机STP配置,基本操作,常用命令查看版本信息:display version 查看当前配置:

2、display current-configuration查看已保存配置:display saved-configuration 保存当前配置:save进入系统视图:system-view设置路由器的名称:sysname系统维护重启：reboot 显示debug：terminal debug/terminal monitor 查看cpu占用率：disp cpu 查看系统详细信息：disp diagnostic-information 查看flash上文件：dir 删除配置：delete 文件名 彻底删除某文件：delete/u 文件名 清空回收站：resetrecycle-bin 重命名：re

3、name 文件名a 文件名b 查看当前视图里的配置：disp this,系统管理配置,Console登陆认证功能的配置创建本地帐号与密码local-user h3c password simple h3c设置服务类型为terminalservice-type terminal设置用户优先级为3level 3设置scheme认证user-interface con 0authentication-mode scheme,系统管理配置,本地用户进行telnet认证功能的配置更改同时配置设备的用户数为5，默认为1configure-user count 5启动telnet servertelnet

4、server enable 创建本地帐号与密码local-user h3cpassword simple h3c设置服务类型为terminalservice-type telnet 设置用户优先级为3level 3设置scheme认证user-interface vty 0 4authentication-mode scheme,系统管理配置,使用radius进行telnet认证的功能配置更改同时配置设备的用户数为5，默认为1configure-user count 5创建RADIUS方案radius scheme test配置验证的服务器地址与共享密钥primary authenticati

5、on 10.0.1.100 key authentication testuser-name-format without-domain引用RADIUS方案testdomain systemauthentication default radius-scheme test authorization default radius-scheme testaccounting optional设置scheme认证user-interface con 0user-interface vty 0 4authentication-mode scheme,系统管理配置,SNMP功能的配置配置SNMP参数s

6、nmp-agent配置SNMP读 写属性snmp-agent community write privatesnmp-agent community read public配置SNMP版本snmp-agent sys-info version all配置SNMP的trap主机地址与端口snmp-agent target-host trap address udp-domain 10.0.0.10 udp-port 162 params securityname publicsnmp-agent trap source Ethernet0/1 连接IP网的接口地址 interface Ether

7、net0/1 port link-mode route ip address 10.0.0.100 255.255.255.0,系统管理配置,日志主机功能的配置指定loopback0作为发送日志信息的源地址info-center loghost source LoopBack0 配置日志主机info-center loghost 192.168.0.100连接日志主机interface Ethernet0/1 port link-mode route ip address 192.168.0.1 255.255.255.0 配置 loopback0地址interface LoopBack0ip

8、 address 1.1.1.1 255.255.255.255,路由协议配置-标准静态路由的配置,标准静态路由的配置进入G0/0接口视图，配置IP地址及掩码interface GigabitEthernet0/0ip address 1.1.1.1 255.255.255.0interface GigabitEthernet0/1ip address 2.2.2.1 255.255.255.0配置到3.3.3.0网段的静态路由ip route-static 3.3.3.0 255.255.255.0 1.1.1.2,路由协议配置-单域OSPF路由协议的配置,单域OSPF路由协议的配置,路由协

9、议配置-单域OSPF路由协议的配置,Router A配置进入G0/0、G0/1接口视图，配置IP地址及掩码interface GigabitEthernet0/0ip address 1.1.1.1 255.255.255.0interface GigabitEthernet0/1ip address 2.2.2.1 255.255.255.0启动ospf协议，并设置路由器的router idospf 1 router-id 1.1.1.1创建区域0，在接口G0/0、G0/1使能OSPFarea 0.0.0.0network 1.1.1.0 0.0.0.255network 2.2.2.0 0

10、.0.0.255,路由协议配置-单域OSPF路由协议的配置,Router B配置配置接口的IP地址及掩码interface GigabitEthernet0/0ip address 1.1.1.2 255.255.255.0interface GigabitEthernet0/1ip address 3.3.3.1 255.255.255.0启动ospf协议，并设置路由器的router idospf 1 router-id 2.2.2.2创建区域0，在接口G0/0、G0/1使能OSPFarea 0.0.0.0network 3.3.3.0 0.0.0.255network 1.1.1.0 0.

11、0.0.255,路由协议配置-多域OSPF路由协议的配置,多域OSPF路由协议的配置,路由协议配置-多域OSPF路由协议的配置,Router A配置设置router-id，与loopback 0的IP地址一致router-id 1.1.1.1 interface GigabitEthernet0/0ip address 20.2.2.1 255.255.255.252interface GigabitEthernet0/1ip address 10.1.1.1 255.255.255.0interface Loopback0ip address 1.1.1.1 255.255.255.255启

12、动OSPF进程，创建区域0，并在接口使能OSPFospf 1area 0.0.0.0network 10.1.1.0 0.0.0.255network 20.2.2.0 0.0.0.255,路由协议配置-多域OSPF路由协议的配置,Router B配置设置router-id，与loopback 0的IP地址一致router-id 2.2.2.2interface GigabitEthernet0/0ip address 20.2.2.2 255.255.255.252interface GigabitEthernet0/1ip address 30.3.3.1 255.255.255.252i

13、nterface Loopback0ip address 2.2.2.2 255.255.255.255启动OSPF进程，创建区域0和区域1，并将接口加入到不同的区域中ospf 1area 0.0.0.0network 20.2.2.0 0.0.0.255area 0.0.0.1network 30.3.3.0 0.0.0.255,路由协议配置-多域OSPF路由协议的配置,Router C配置设置router-id，与loopback 0的IP地址一致router-id 3.3.3.3interface GigabitEthernet0/0ip address 30.3.3.2 255.255

14、.255.252 interface GigabitEthernet0/1ip address 40.4.4.1 255.255.255.0interface Loopback0ip address 3.3.3.3 255.255.255.255启动OSPF进程，创建区域1，在接口上使能OSPFospf 1area 0.0.0.1network 30.3.3.0 0.0.0.255network 40.4.4.0 0.0.0.255,路由协议配置-OSPF区域路由聚合的配置,OSPF区域路由聚合的配置,路由协议配置-OSPF引入路由聚合的配置,Router A配置设置router-id，与lo

15、opback 0的IP地址一致router-id 1.1.1.1interface LoopBack1ip address 11.1.1.1 255.255.255.255interface LoopBack2ip address 11.1.2.1 255.255.255.255interface GigabitEthernet0/0port link-mode routeip address 10.1.1.1 255.255.255.252ospf 1对发布路由进行聚合asbr-summary 11.1.0.0 255.255.0.0引入直连路由import-route directarea

16、 0.0.0.0network 10.1.1.0 0.0.0.3,路由协议配置-OSPF区域路由聚合的配置,Router B配置interface Ethernet0/0port link-mode routeip address 10.1.1.2 255.255.255.252interface Ethernet0/1port link-mode routeip address 20.1.1.2 255.255.255.252ospf 1area 0.0.0.0配置区域路由聚合abr-summary 11.1.0.0 255.255.0.0 advertisenetwork 10.1.1.0

17、 0.0.0.3area 0.0.0.1network 20.1.1.0 0.0.0.3,NAT配置,EASY NAT的配置配置允许进行NAT转换的内网地址段192.168.0.0/24acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255rule 1 denyinterface Ethernet0/0port link-mode routeip address 202.100.1.1 255.255.255.0在接口E0/0上进行NAT转换nat outbound 2000配置内网网关interface Ethernet0/1por

18、t link-mode routeip address 192.168.0.1 255.255.255.0,NAT配置,地址池方式的NAT配置用户NAT的地址池nat address-group 1 202.100.1.3 202.100.1.6配置允许进行NAT转换的内网地址段acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255rule 1 denyinterface GigabitEthernet0/0port link-mode route在出接口上进行NAT转换nat outbound 2000 address-group

19、1ip address 202.100.1.2 255.255.255.0内网网关interface GigabitEthernet0/1port link-mode routeip address 192.168.0.1 255.255.255.0配置默认路由ip route-static 0.0.0.0 0.0.0.0 202.100.1.1,NAT配置,通过NAT对外提供www服务的配置用户NAT的地址池nat address-group 1 202.100.1.3 202.100.1.6配置允许进行NAT转换的内网地址段acl number 2000rule 0 permit sour

20、ce 192.168.0.0 0.0.0.255rule 1 denyinterface GigabitEthernet0/0port link-mode route在出接口上进行NAT转换nat outbound 2000 address-group 1在出接口上配置内网服务器192.168.0.2的www服务nat server protocol tcp global 202.100.1.3 www inside 192.168.0.2 wwwip address 202.100.1.2 255.255.255.0interface GigabitEthernet0/1port link-

21、mode route配置外网用户可以ping通内网服务器192.168.0.2nat server protocol icmp global 202.100.1.3 inside 192.168.0.2内网网关ip address 192.168.0.1 255.255.255.0配置默认路由ip route-static 0.0.0.0 0.0.0.0 202.100.1.1,ACL配置,禁止主机192.168.1.22/32访问所有WEB界面 使能防火墙功能firewall enable配置防火墙缺省过滤方式为允许包通过firewall default permit定义用于包过滤的访问控制

22、的ACLacl number 3005rule 0 deny tcp source 192.168.1.22 0 destination-port eq wwwrule 5 permit tcp source 192.168.1.22 0对于inbound流量进行过滤interface Ethernet0/1port link-mode routeip address 192.168.1.1 255.255.255.0firewall packet-filter 3005 inboundip route-static 0.0.0.0 0.0.0.0 Serial0/1,端口镜像配置,PCB通过

23、Eth5/2监视PCA发出的报文，在RTA的交换板做端口镜像的配置。创建本地镜像组mirroring-group 1 local为本地镜像组配置源端口和目的端口mirroring-group 1 mirroring-port Ethernet 5/0 inboundmirroring-group 1 monitor-port Ethernet 5/2,子接口配置,在局域网中，通过交换机上配置VLAN可以减少主机通信广播域的范围，当VLAN之间有部分主机需要通信，但交换机不支持三层交换时，可以采用一台支持802.1Q的路由器实现VLAN的互通。这需要在以太口上建立子接口，分配IP地址作为该VLA

24、N的网关，同时启动802.1Q。,子接口配置,设置子接口封装类型为vlan10 interface GigabitEthernet0/0.10vlan-type dot1q vid 10ip address 10.0.0.1 255.255.255.0设置子接口封装类型为vlan20 interface GigabitEthernet0/0.20vlan-type dot1q vid 20ip address 20.0.0.1 255.255.255.0设置子接口封装类型为vlan30 interface GigabitEthernet0/0.30vlan-type dot1q vid 30i

25、p address 30.0.0.1 255.255.255.0,交换机VLAN配置,VLAN配置流程缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan；如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉；除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图；如果VLAN XX已经存在，则进入VLAN视图。,交换机VLAN配置,方法一创建（进入）vlan2SwitchAvlan 2将端口E0/1加入到vlan2SwitchA

26、-vlan2port ethernet 0/1创建（进入）vlan3SwitchA-vlan2vlan 3将端口E0/2加入到vlan3SwitchA-vlan3port ethernet 0/2方法二创建（进入）vlan2SwitchAvlan 2进入端口E0/1视图SwitchAinterface ethernet 0/1指定端口E0/1属于vlan2SwitchA-Ethernet1port access vlan 2创建（进入）vlan3SwitchAvlan 3进入端口E0/2视图SwitchAinterface ethernet 0/2指定端口E0/2属于vlan3SwitchA-

27、Ethernet2port access vlan 3,交换机TRUNK配置,报文在进入交换机端口时如果没有802.1Q标记，将被打上端口的PVID（即defauld vlan ID），之后该数据包就只能在这个vlan域内进行转发，不同的vlan在二层之间是隔离开的，不能实现互相访问。如果一个端口是trunk端口，则该端口可以属于多个vlan。缺省情况下trunk端口的PVID为1，可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID。一般情况下最好指定端口允许通过哪些具体的VLAN，不要设置允许所有的VLAN通过。,交换机TRUNK配置,Swi

28、tch A配置创建（进入）vlan10SwitchA vlan 10将E0/1加入到vlan10SwitchA-vlan10port Ethernet 0/1创建（进入）vlan20SwitchAvlan 20将E0/2加入到vlan20SwitchA-vlan20port Ethernet 0/2实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchA-Ethernet0/3port link-type trunk允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值SwitchA-Ethernet0/3port trunk permit vlan all,交

29、换机TRUNK配置,Switch B配置创建（进入）vlan10SwitchB vlan 10将E0/1加入到vlan10SwitchB-vlan10port Ethernet 0/1创建（进入）vlan20SwitchBvlan 20将E0/2加入到vlan20SwitchB-vlan20port Ethernet 0/2实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchB-Ethernet0/3port link-type trunk允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值SwitchB-Ethernet0/3port trunk perm

30、it vlan all,交换机三层虚接口配置,三层交换机如果起用了多个三层虚接口，这个时候多个虚接口之间是直连路由，所以它们的网段之间默认是直接互通的。如果要实现某些网段之间的隔离，需要通过配置访问控制列表来实现。,交换机三层虚接口配置,创建（进入）vlan2SwitchAvlan 2将端口E0/1加入到vlan2SwitchA-vlan2port ethernet 0/1进入vlan2的虚接口SwitchA-vlan2interface vlan 2在vlan2的虚接口上配置IP地址SwitchA-Vlan-interface2ip address 1.0.0.1 255.255.255.0

31、创建（进入）vlan3SwitchAvlan 3将E0/2加入到vlan3SwitchA-vlan3port ethernet 0/2进入vlan3的虚接口SwitchA-vlan3interface vlan 3在vlan3的虚接口上配置IP地址SwitchA-Vlan-interface3ip address 2.0.0.1 255.255.255.0,交换机STP配置,缺省情况下交换机的优先级都是32768，如果想人为指定某一台交换机为根交换机，也可以通过修改优先级来实现；缺省情况下打开生成树后，所有端口都会开启生成树协议，请把接PC的端口改为边缘端口模式；如果要控制某条链路的状态，可以

32、通过设置端口的cost值来实现。,交换机STP配置,Switch A配置启动生成树协议SwitchAstp enableSwitch B配置启动生成树协议SwitchBstp enable配置本桥为根桥SwitchBstp root primarySwitch C配置启动生成树协议SwitchCstp enable配置本桥为备份根桥SwitchCstp root secondarySwitch D 配置启动生成树协议SwitchDstp enable,H3C与CISCO命令对比,H3C与CISCO命令对比（续）,H3C与CISCO命令对比（续）,议程,郑州教育信息网拓扑结构介绍网络设备常用配置

33、介绍网络故障处理技术,网络故障处理,网络故障处理技术概述网络故障的一般分类故障处理流程故障处理常用方法故障处理常用工具和诊断命令,网络故障处理技术概述,当今的网络互联环境是复杂的，而且其复杂性还在日益增长，主要原因如下：现代的因特网络要求支持更广泛的应用，包括数据、语音、视频及它们的集成传输。新业务发展使网络带宽的需求不断增长，这就要求新技术的不断出现。例如：十兆以太网向百兆、千兆、万兆以太网的演进。新技术的应用同时还要兼顾传统的技术。能够正确地维护网络尽量不出现故障，并确保出现故障之后能够迅速、准确地定位问题并排除故障，对网络维护和管理人员来说是个挑战。这不但要求对网络协议和技术有着深入的理

34、解，更重要的是要建立一个系统化的故障处理思想并合理应用于实际中，以将一个复杂的问题隔离、分解或缩减排错范围，从而及时修复网络故障。,网络故障的一般分类,按性质划分物理故障设备或线路损坏、插头松动、网络插头误接、线路受到严重电磁干扰等逻辑故障配置错误、进程或端口关闭、系统负载过高等按对象划分线路故障线路不通，线路没有流量网络设备故障网络设备硬件故障或配置错误主机故障主机配置不当，如IP地址与其它主机冲突等，DNS设置错误主机安全故障，如超级用户权限，系统漏洞补丁等,故障处理系统化,故障处理系统化是合理地一步一步找出故障原因并解决的总体原则。它的基本思想是系统地将可能产生故障的原因所构成的一个大集

35、合缩减（或隔离）成几个小的子集，从而使问题的复杂度迅速下降。,故障处理流程,故障现象观察,故障处理流程,该处理流程是网络维护人员所能够采用的排错模型的一种。如果你根据自己的经验和实践总结了另外的排错模型并证明是行之有效的，请继续使用它！网络故障解决的处理流程是可以变化的，但故障处理有序化的思维模式是不可变化的。下面我们以一个故障处理的实例来学习如何应用这些步骤。,该案例组网如上：某校园网的三个局域网，其中10.11.56.0为一个用户网段，10.11.56.118为一个日志服务器；10.15.254.0是一个集中了很多应用服务器的网段。,日志服务器与备份服务器间FTP业务传输速度慢,故障处理的

36、实例,1）故障现象描述,要想对网络故障做出准确的分析，首先应该了解故障表现出来的各种现象用户反映“日志服务器与备份服务器间备份发生问题。”这是一个不完整不清晰的故障现象描述。因为这个描述没有讲述清楚下列问题：这个问题是连续出现，还是间断出现的？是完全不能备份，还是备份的速度慢（即性能下降）？哪个或哪些局域网服务器受到影响，地址是什么？正确的故障现象描述是：在网络的高峰期，日志服务器10.11.56.118到集中备份服务器10.15.254.253之间进行备份时，FTP传输速度很慢，大约是0.6Mbps,2）相关信息收集,收集有助于查找故障原因的详细信息：向受影响的用户、网络人员或其他关键人员提

37、出问题；根据故障描述性质，使用各种工具收集情况，如网管系统、抓包工具、相关show和debug命令等；测试性能与网络正常情况下的记录进行比较。如上述案例，可以向用户提问或自行收集下列相关信息：网络结构或配置是否最近修改过，即问题出现是否与网络变化有关？是否有用户访问受影响的服务器时没有问题？在非高峰期日志服务器和备份服务器间FTP传输速度是多少？通过该步骤，我们收集到了下面一些相关信息：最近10.11.56.0网段的客户机不断在增加；10.9.35.0网段的机器与备份服务器间进行FTP传输时速度正常为7Mbps，与日志服务器间进行FTP传输时速度慢，只有0.6Mbps；在非高峰期日志服务器和备

38、份服务器间FTP传输速度正常，大约为6Mbps。,3）经验判断和理论分析,利用前两个步骤收集到的数据，并根据自己以往的故障处理经验和所掌握的的知识，确定一个排错范围。通过范围的划分，就只需注意某一故障或与故障情况相关的那一部分设备、介质和主机。如上述案例，我们现在能够确定是一个网络性能下降问题。那么，是网段10.11.56.0的性能问题？是中间网络的性能问题？还是10.15.254.0网段的性能问题呢？根据10.9.35.0网段的机器与备份服务器间进行FTP传输时速度正常为7Mbps这一事实，我们可以排除掉10.15.254.0网段的性能问题。,4）各种可能原因列表,该步骤列出根据经验判断和理

39、论分析后总结的各种可能原因。如上述案例，可能原因如下：网段10.11.56.0的性能问题，其原因可能为：日志服务器A的性能问题10.11.56.0网络的网关性能问题10.11.56.0网络本身的性能问题中间网络性能问题，主要是到网络10.15.254.0的路由不是最佳路由,5）对每一原因实施排错方案,根据所列出的可能原因制定故障排查计划，分析最有可能的原因，确定一次只对一个变量进行操作，这种方法使你能够重现某一故障现象。如果有多个变量同时被改变，而问题得以解决，那么如何判断哪个变量导致了故障发生呢？,6）观察故障排查结果,当我们对某一原因执行了排错方案后，需要对结果进行分析，判断问题是否解决？

40、是否引入了新的问题？如果问题解决，那么就可以直接进入文档化过程；如果没有解决问题，那么就需要再次循环进行到故障排查过程。,7）循环进行故障排查过程,在进行下一循环之前必须做的事情就是将网络恢复到实施上一方案前的状态。如果保留上一方案对网络的改动，很可能导致新的问题。循环排错可以有两个切入点：当针对某一可能原因的排错方案没有达到预期目的，循环进入下一可能原因制定排错方案并实施；当所有可能原因列表的排错方案均没有达到排错目的，重新进行故障相关信息收集以分析新的可能原因。如上述案例，我们在列出了可能原因列表后，开始制定方案进行故障处理。,7）循环进行故障排查过程（续）,可能原因1：网络10.11.5

41、6.0到网络10.15.254.0的路由不是最佳路由。制定的方案：在10.11.56.0网段的网关上使用“tracert 10.15.245.253”命令，发现探测报文返回时长仅为10ms，表明该可能原因并不是造成故障的原因。我们进入循环排错过程。,7）循环进行故障排查过程（续）,可能原因2：日志服务器A的性能问题。制定的方案：测试同一网段的主机C和日志服务器间的FTP传输速度，是6Mbps，正常。可见问题与服务器A无关。,7）循环进行故障排查过程（续）,可能原因3：10.11.56.0网络的网关性能问题。制定的方案：测试主机C和备份服务器B间FTP传输速度是7Mbps，正常。排除了网关因素，

42、因为B、C在不同网段上而速度正常。,7）循环进行故障排查过程（续）,可能原因4：10.11.56.0网络本身的性能问题。制定的方案：在网段10.11.56.0的以太网交换机上使用命令“dis int g1/0”，输出如下：Input:0 shorts,0 jumbos,0 giants,0 pauses 10317812 unicasts,0 multicasts,8665 broadcasts 0 MulticastOctets,0 MulticastPkts 0 input fragments,0 jabbers 0 CRC,0 errors,0 overruns Output:0 sho

43、rts,0 jumbos,0 giants 6667987 unicasts,286652 multicasts,2474038 broadcasts(广播：单播比例=1：3，太大了。)0 MulticastOctets,0 MulticastPkts 0 runts,0 jabbers,0 CRC 0 deferrals,0 underruns,0 aborts 0 collisions,0 lates,0 singles 0 multiples,0 excessives,7）循环进行故障排查过程（续）,在网段10.15.254.0上的以太网交换机上使用命令“dis int g1/1”输出如

44、下：Input:0 shorts,0 jumbos,0 giants,0 pauses 55780287 unicasts,0 multicasts,285 broadcasts 0 MulticastOctets,0 MulticastPkts 0 input fragments,0 jabbers 0 CRC,0 errors,0 overruns Output:0 shorts,0 jumbos,0 giants 27879749 unicasts,190257 multicasts,119430 broadcasts（广播：单播比例1：230，属于正常。）0 MulticastOcte

45、ts,0 MulticastPkts 0 runts,0 jabbers,0 CRC 0 deferrals,0 underruns,0 aborts 0 collisions,0 lates,0 singles 0 multiples,0 excessives,7）循环进行故障排查过程（续）,由此得知，网段10.11.56.0上广播包和单播包比例为1:3，确实太大了。再次询问用户该网段主要运行的业务是什么，而得出了故障最终原因如下：10.11.56.0是普通用户网段，由于业务原因每个用户需要发送大量广播包和多播包，随着近期越来越多的用户接入该网络，在这个网段上的服务器需要花费更多的资源来处理

46、越来越多的广播和多播包，因此其服务的传输速度自然减慢。这是一个网络布局不恰当的问题，需要重新安排服务器的位置，将服务器移动10.15.254.0网段后，故障解决。,8）故障处理过程文档化,当最终排除了网络故障后，流程的最后一步就是对所做的工作进行文字记录。文档化过程决不是一个可有可无的工作，原因如下：文档是排错宝贵经验的总结，是“经验判断和理论分析”这一过程中最重要的参考资料；文档记录了这次排错中网络参数所做的修改，这也是下一次网络故障应收集的相关信息。文档记录主要包括以下几个方面：故障现象描述及收集的相关信息网络拓扑图绘制网络中使用的设备清单和介质清单网络中使用的协议清单和应用清单故障发生的

47、可能原因对每一可能原因制定的方案和实施结果本次排错的心得体会其他（如排错中使用的参考资料列表等）,故障处理常用方法,分层法 分块法 分段法 替换法,分层法,分层法思想很简单：所有模型都遵循相同的基本前提-当模型的所有低层结构工作正常时，它的高层结构才能正常工作。在确信所有低层结构都正常运行之前，解决高层结构问题完全是浪费时间。,分层法各层次的关注点,物理层：电缆、连接头、信号电平、编码、时钟和组帧，这些都是导致端口处于down状态的因素。数据链路层：数据链路层负责在网络层与物理层之间进行信息传输；规定了介质如何接入和共享；站点如何进行标识；如何根据物理层接收的二进制数据建立帧。封装的不一致是导

48、致数据链路层故障的最常见原因。可以使用show interfaces命令初步判断数据链路层是否存在故障。网络层：地址错误和子网掩码错误是引起网络层故障最常见的原因；网络中的地址重复是网络故障的另一个可能原因；另外，路由协议是网络层的一部分，在较复杂的网络中是排错重点关注的内容。,分块法,路由器和交换机的配置文件的组织结构，一般是以全局配置、物理接口配置、逻辑接口配置、路由配置等方式编排的。我们可以以此作为故障定位的原始框架，当出现一个故障案例现象时，我们可以把它归为上述某一类或某几类中，从而有助于缩减故障定位范围。管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等

49、）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）,分块法举例,当使用show ip route命令，结果只显示出了直连路由，那么问题可能发生在哪里呢？根据上述的分块，我们发现有三部分可能引起该故障：路由协议、策略、端口。如果没有配置路由协议或配置不当，路由表就可能为空；如果访问列表配置错误，就可能妨碍路由的更新；如果端口的地址、掩码或认证配置错误，也可能导致路由表错误。,分段法,如果两个路由器跨越运营商网络而不能相互通信时，分段法是有效的：主机

50、到路由器LAN接口这一段路由器到光纤收发器接口这一段光纤收发器到运营商局端这一段运营商网络问题光纤收发器本身问题路由器本身问题,替换法,这是我们在检查硬件是否存在问题时最常用的方法。当怀疑是网线问题时，更换一根确定是好的网线试一试；当怀疑是接口模块有问题时，更换一个其他接口模块试一试。,路由器和交换机故障排查常用命令,1,选择一个登录点，登录设备，查看设备的名称、安装的模块以及运行版本。display version,2,查看激活接口以及其IP地址。display ip int brief,3,查看接口的信息，包括接口的IP地址、掩码、接口名称、接口类型，双工、速率，以及物理层和数据链路层状态