RCNA11 常见网络故障分析及处理0

第11章

常见网络故障分析及处理

锐捷认证网络工程师RCNA1案例一

某学校宿舍网方案设计问题2网络拓扑宿舍楼一宿舍楼二校园网核心千兆百兆北电86102024M-A2024M-B2024M-C1926F+1926F+1926F+1926F+1926F+1926F+认证服务器3故障现象大约1-2天左右，每个S2024M下连的个别1926F+（不固定）出现断网情况，重启该1926F+不起作用，重启上连的2024M后网络正常；三台S2024M串起来连接到学校的网络中心，下面级联的两台S2024M（B、C）不固定时间的与S2024M-A出现断网情况，重启下面的两台S2024M都不起作用，重启连接学校的网络中心的S2024M-A后网络正常。4解决方案由于用户较多，在做802.1x认证时发送大量的认证报文占用带宽，如果保留原拓扑不变，建议关闭该接入交换机的STP功能。5故障现象关闭STP后，网络正常运行了一段时间。但是过了没多久，又重复出现上述故障现象，则考虑到网络拓扑的改进。6汇聚层核心层访问层园区(campus)网设计等级模型7故障分析1、网络结构设计不合理，交换机级联太深，造成连接到学校网络中心的S2024M-A带不动整个宿舍楼的网络连接和其他不明的网络故障。2、对于网络中的交换机配置应用上有可能存在问题。因为目前是采用TAGVLAN的工作方式，同时还打开了STP功能，这就无形中增加了交换机的负载。所以有可能会造成2024M交换功能超负载，而管理功能都正常。3、对于断网现象有可能是网络中的电脑上有病毒，病毒发作产生攻击包，造成网络堵塞，所以会出现断网。8改进后网络拓扑宿舍楼一宿舍楼二校园网核心千兆百兆北电86102024M-A2024M-B2024M-C1926F+1926F+1926F+1926F+1926F+1926F+S-Radius9案例总结在设计网络之初，要考虑到网络的三层结构：核心层、汇聚层、访问层。由于访问层接终端用户，访问层的各交换机要在汇聚层交换机汇聚，所以如果访问层与汇聚层交换机采用同一级别的设备，则很容易负载过高，尤其是当网络中应用或服务较多时。这时建议关闭不必要的协议，必要时升级设备或优化网络整体结构。10案例二

某学校宿舍网改造

11网络拓扑Internet远程教学服务器WWW教育资源服务器S2126GS2126GS2150GS2126GS2126GS6810S355012故障现象其中一台的一台S2150G交换机，准备在两天后与连接三楼和五楼的S2126G交换机进行堆叠。管理员将堆叠模块插在了S2150G的插槽中，没有连接堆叠线缆，当重启交换机时发现启动时间很长，用超级终端登录没有反映，感觉象死机了。13堆叠介绍堆叠的两种方式：星型堆叠S2024M/S2024菊花链S2126G/S2150G14堆叠介绍S21系列的堆叠方式S21系列的堆叠为菊花链堆叠，最大可堆叠8台S2126G/S2150G，最多可达384个10/100MRJ45端口。S21系列堆叠需使用专门的堆叠模块M2131，和堆叠线缆，堆叠带宽1G。15堆叠介绍堆叠模块和堆叠线缆的连接16堆叠介绍连接说明：第一台（最上面）交换机堆叠模块的DOWN接口通过堆叠线缆与第二台交换机堆叠模块的UP接口相连；第二台交换机堆叠模块的DOWN接口通过堆叠线缆与第三台交换机堆叠模块的UP接口相连；……最下一台交换机堆叠模块的DOWN接口必须通过堆叠线缆与最上面的一台交换机堆叠模块的UP接口相连，整个形成一个环路。17堆叠介绍交换机在启动过程中，如果插有堆叠模块，要进行寻找堆叠的交换机，因此启动的时间就比正常启动长了许多。18故障分析过程而在本案例中，由于插有堆叠模块，但没有连接堆叠线缆，一直没找到堆叠的交换机，因此重启时等待时间比较久，感觉象死机了。19解决方案三种解决办法：1、多等待一阵时间，让其正常启动；2、重启前，关机把堆叠模块拔出，交换机启动时间与平常一样；3、把交换机用堆叠线缆与其他21交换机正确连接堆叠，交换机启动时间与平常一样。20案例总结当在21系列交换机进行堆叠操作时，建议当把堆叠模块插入时，把堆叠线缆首尾相连成一个菊花链，以免重启时不正常。21案例三

VLAN用户无法访问外网22网络拓扑Internet业务网综合网管理网Cisco7509Star-S4900F0业务网VLAN110：综合网VLAN140：管理网VLAN100：Cisco7509F0口：23故障现象配置完后发现只有VLAN100中的PC可访问外网，但VLAN110和VLAN140中的PC却无法访问外网。24解决分析过程C:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=255Replyfrom:bytes=32time<10msTTL=255Replyfrom:bytes=32time<10msTTL=255Replyfrom:bytes=32time<10msTTL=255Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msC:\>25解决分析过程C:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=255Replyfrom:bytes=32time<10msTTL=255Replyfrom:bytes=32time<10msTTL=255Replyfrom:bytes=32time<10msTTL=255Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msC:\>26解决分析过程各Vlan网关能Ping通，这说明S4900上的三层配置无误，问题应当在路由器上。可以进一步跟踪一下数据包发送的路径。通过Windows下的Tracert命令进行跟踪操作来访问外网，发现数据包有去无回，可以得出结论即在路由器上无返回路径。27解决分析过程Star4900#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaE1-OSPFexternaltype1,E2-OSPFexternaltype2GatewayoflastresortistonetworkC/24isdirectlyconnectedC/24isdirectlyconnectedC/24isdirectlyconnectedS*/0isdirectlyconnected,Vlan100......28解决分析过程Cisco7509#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaE1-OSPFexternaltype1,E2-OSPFexternaltype2Gatewayoflastresortistonetwork/24issubnetted,1subnetsCisdirectlyconnected,FastEthernet3/30issubnetted,1subnetsCisdirectlyconnected,FastEthernet1C/24isdirectlyconnected,FastEthernet0。。。29解决分析过程Cisco7509#configtCisco7509(config)#iproutef0Cisco7509(config)#iproutef030故障分析结论在此案例中，其实是一个典型的单向指路由的问题。即只在4900上指定了如何出去的路由，而并没有在7509上指定回来的路由，故造成数据无法返回。此案例可以利用扩展的PING、Trace以及路由表来解决问题。31案例四某企业网无法访问Internet32网络拓扑R2614S2126GS2126GInternetS0Fa0Fa1WebServerMailServer33故障现象配置完成后，内部私网PC已可以访问Mail和WebServer，但访问公网时，却只有少数几台PC可以正常上网。34部分配置interfaceFastEthernet1ipaddressip

natinsideinterfaceSerial0ipaddress52ip

natoutsideip

natpoolsss67netmask40ip

natinsidesourcelist1poolsss

ipclasslessiprouteaccess-list1permitany35解决分析过程Red-Giant#showip

nattranslationsverboseProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp6:20635:2063:23:23create00:00:19,use00:00:10,left00:09:49,flags:extendedRed-Giant#36NAT的类型NAT静态NAT动态NATNAPT静态NAPT动态NAPT37静态与动态NAT静态NAT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系38什么时候用NAPT缺乏全局IP地址甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性39静态与动态NAPT静态NAPT需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址＋端口”映射关系40解决分析过程在命令ip

natinsidesourcelist1poolsss后增加参数overload，即允许路由器将一个全局地址用于多个本地地址，至此问题解决。41解决分析过程Red-Giant#sh

ip

nattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobaludp6:12561: