网络故障排除培训讲义(-59张)课件.ppt

1、网络故障排除网络故障排除目录目录n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 ACL原理及基本配置原理及基本配置n第三章第三章 常用维护方法和命令常用维护方法和命令n第四章第四章 案例分析案例分析VLAN的产生原因广播风暴传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中通过路由器隔离广播域通过VLAN划分广播域市场部工程部财务部以太网端口的链路类型 Access link：只能允许某一个VLAN的untagged数据流通过。Trunk link：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。Hybri

2、d link：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。三种类型的端口可以共存在一台设备上Access Link和Trunk LinkTrunk Link和VLAN数据帧在网络通信中的变化n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 ACL原理及基本配置原理及基本配置n第三章第三章 常用维护方法和命令常用维护方法和命令n第四章第四章 案例分析案例分析目录目录ACL访问控制列表 为了过滤通过网络设备的数据包，需要配置一系

3、列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。以太网访问列表主要作用:在整个网络中分布实施接入安全性访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤包过滤镜像镜像流量限

4、制流量限制流量统计流量统计分配队列优先级分配队列优先级流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型以太网帧承载的数据类型源源/目的目的MAC地址地址以太网封装格式以太网封装格式Vlan ID入入/出端口出端口3/4层流分类项协议类型协议类型源源/目的目的IP地址地址源源/目的端口号目的端口号DSCPIP 数据包过滤访问控制列表的构成 Rule（访问控制列表的子规则）Time-range（时间段机制）ACL=rules+time-range（访问控制列表由一系列规则组成，有必要时会和时间段结合）时间段的相关配置 访问控制列表的类型 20002999：表示基本ACL

5、。只根据数据包的源IP地址制定规则。30003999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。40004999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。50005999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。定义访问控制列表 基本访问控制列表的规则配置 高级访问控制列表的规则配置 端口

6、操作符及语法接口访问控制列表的规则配置 二层访问控制列表的规则配置 自定义访问控制列表的规则配置 规则匹配原则 一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该规则时按用户的配置顺：指定匹配该规则时按用户的配置顺序（后下发先生效）序（后下发先生效）Auto：指定匹配该规则时系统自动排序（按：指定匹配该规则时系统自动排序（按“深度优先深度优先”的顺序）的顺序）激活访问控制列表 配置ACL进行包过滤的步骤访问控制列表配置举例一要求配置高级要求配置高级ACL，禁止员工在工作日，禁止员工在

7、工作日8:0018:00的时间段内访问新浪的时间段内访问新浪网站（网站（61.172.201.194）1.定义时间段定义时间段System time-range test 8:00 to 18:00 working-day2.定义高级定义高级ACL 3000，配置目的，配置目的IP地址为新浪网站的访问规则。地址为新浪网站的访问规则。System acl number 3000System-acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口在端口Ethernet1/0/15上应用上应用ACL

8、3000。System interface Ethernet 1/0/15System-Ethernet1/0/15 packet-filter inbound ip-group 3000访问控制列表配置举例二配置防病毒ACL1.定义高级ACL 3000System acl number 3000System-acl-adv-3000 rule 1 deny udp destination-port eq 335System-acl-adv-3000 rule 3 deny tcp source-port eq 3365System-acl-adv-3000 rule 4 deny udp s

9、ource 61.22.3.0 0.0.0.255 destination-port eq 38752.在端口Ethernet1/0/1上应用ACL 3000System-Ethernet1/0/1 packet-filter inbound ip-group 3000n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 ACL原理及基本配置原理及基本配置n第三章第三章 常用维护方法和命令常用维护方法和命令n第四章第四章 案例分析案例分析目录目录故障排除常用方法故障排除常用方法 分层故障排除法 分块故障排除法 分段故障排除法 替换法 分层故障排除法。物物 理理 层层数据链路层数据

10、链路层网网 络络 层层所有的技术都是分层的！所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧 关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分块故障排除法 配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）分段故障排除法网络分为若干段，逐段测试，缩小故障范网络分为若干段，逐段测试，缩小故障范围，逐段定

11、位网络故障，并排除。围，逐段定位网络故障，并排除。中继线路中继线路ModemModemModemModemDDN节点节点DDN节点节点网络连通性测试命令操作命令说明检查IP网络中的指定地址是否可达ping ip -a source-ip|-c count|-f|-h ttl|-i interface-type interface-number|-m interval|-n|-p pad|-q|-r|-s packet-size|-t timeout|-tos tos|-v|-vpn-instance vpn-instance-name *remote-system可选网络层协议为IPv4时使用

12、可在任意视图下执行ping ipv6 -a source-ipv6|-c count|-m interval|-s packet-size|-t timeout *remote-system -i interface-type interface-number 可选网络层协议为IPv6时使用可在任意视图下执行查看当前设备到目的设备的路由tracert -a source-ip|-f first-ttl|-m max-ttl|-p port|-q packet-number|-vpn-instance vpn-instance-name|-w timeout *remote-system可选网络

13、层协议为IPv4时使用可在任意视图下执行tracert ipv6 -f first-ttl|-m max-ttl|-p port|-q packet-number|-w timeout *remote-system可选网络层协议为IPv6时使用可在任意视图下执行ping命令参数（1）ip：支持IPv4协议。-a source-ip：指定ICMP回显请求报文中的源IP地址。该地址必须是设备上已配置的合法IP地址。-c count：指定发送ICMP回显请求报文的数目，取值范围为14294967295，缺省值为5。-f：将长度大于接口MTU的报文直接丢弃，即不允许对发送的ICMP回显请求报文进行分片

14、。-h ttl：指定ICMP回显请求报文中的TTL值，取值范围为1255，缺省值为255。-i interface-type interface-number：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能ping直连网段地址。-m interval：指定发送ICMP回显请求报文的时间间隔，取值范围为165535，单位为毫秒，缺省值为200毫秒。如果在timeout时间内收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为报文的实际响应时间与interval之和；如果在timeout时间内没有收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为timeo

15、ut与interval之和。-n：不进行域名解析。缺省情况下，系统将对hostname进行域名解析。ping命令参数-p pad：指定ICMP回显请求报文的填充字节，格式为16进制。比如将“pad”设置为ff，则报文将被全部填充为ff。缺省情况下，填充的字节从0 x01开始，逐渐递增，直到0 x09，然后又从0 x01开始循环填充。-q：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。-r：记录路由。缺省情况下，系统不记录路由。-s packet-size：指定发送的ICMP回显请求报文的长度（不包括IP和ICMP报文头），取值范围为208100，单位为字节

16、，缺省值为56字节。-t timeout：指定ICMP回显应答报文的超时时间，取值范围为165535，单位为毫秒，缺省值为2000毫秒。-tos tos：指定ICMP回显请求报文中的ToS（Type of Service，服务类型）域的值，取值范围为0255，缺省值为0。-v：显示接收到的非回显应答的ICMP报文。缺省情况下，系统不显示非回显应答的ICMP报文。-vpn-instance vpn-instance-name：指定MPLS VPN的实例名称，是一个长度为131个字符的字符串，不区分大小写。remote-system：目的设备的IP地址或主机名（主机名为120个字符的字符串）。pi

17、ng命令用来检查指定IP地址是否可达，并输出相应的统计信息。systemeping 11.1.1.1 PING 11.1.1.1:56 data bytes,press CTRL_C to break Reply from 11.1.1.1:bytes=56 Sequence=0 ttl=255 time=31 ms Reply from 11.1.1.1:bytes=56 Sequence=1 ttl=255 time=31 ms Reply from 11.1.1.1:bytes=56 Sequence=2 ttl=255 time=32 ms Reply from 11.1.1.1:by

18、tes=56 Sequence=3 ttl=255 time=31 ms Reply from 11.1.1.1:bytes=56 Sequence=4 ttl=255 time=31 ms -11.1.1.1 ping statistics-5 packets transmitted 5 packets received 0.00%packet loss round-trip min/avg/max=31/31/32 mstracert命令参数-a source-ip：指明tracert报文的源IP地址。该地址必须是设备上已配置的合法IP地址。-f first-ttl：指定一个初始TTL，即

19、第一个报文所允许的跳数。取值范围为1255，且小于最大TTL，缺省值为1。-m max-ttl：指定一个最大TTL，即一个报文所允许的最大跳数。取值范围为1255，且大于初始TTL，缺省值为30。-p port：指明目的设备的UDP端口号，取值范围为165535，缺省值为33434。用户一般不需要更改此选项。-q packet-number：指明每次发送的探测报文个数，取值范围为165535，缺省值为3。-vpn-instance vpn-instance-name：指定MPLS VPN的实例名称，是一个长度为131个字符的字符串。-w timeout：指定等待探测报文响应的报文的超时时间，取

20、值范围是165535，单位为毫秒，缺省值为5000毫秒。remote-system：目的设备的IP地址或主机名（主机名是长度为120的字符串）。tracert命令用来查看IPv4报文从当前设备传到目的设备所经过的路径。tracert 18.26.0.115traceroute to 18.26.0.115(18.26.0.115)30 hops max,40 bytes packet,press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 1

21、9 ms 19 ms4 128.32.136.23 19 ms 39 ms 39 ms5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.70.13 80 ms 79 ms 99 ms9 129.140.71.6 139 ms 139 ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 *13 128.121.54.7

22、2 259 ms 499 ms 279 ms14 *15 *16 *17 *18 18.26.0.115 339 ms 279 ms 279 ms display interface（1）display interface ethernet1/0/1 Ethernet1/0/1 current state:DOWN IP Sending Frames Format is PKTFMT_ETHNT_2,Hardware address is 0012-a990-2240 Media type is twisted pair,loopback not set Port hardware type

23、is 100_BASE_TX 100Mbps-speed mode,full-duplex mode Link speed type is force link,link duplex type is force link Flow-control is enabled The Maximum Frame Length is 9216 Broadcast MAX-pps:500 Unicast MAX-ratio:100%Multicast MAX-ratio:100%Allow jumbo frame to pass PVID:1 Mdi type:auto Port link-type:a

24、ccess Tagged VLAN ID:none Untagged VLAN ID:1display interface（2）Last 300 seconds input:0 packets/sec 0 bytes/sec Last 300 seconds output:0 packets/sec 0 bytes/sec Input(total):0 packets,0 bytes 0 broadcasts,0 multicasts,0 pauses Input(normal):-packets,-bytes -broadcasts,-multicasts,-pauses Input:0 i

25、nput errors,0 runts,0 giants,-throttles,0 CRC 0 frame,-overruns,0 aborts,0 ignored,-parity errors Output(total):0 packets,0 bytes 0 broadcasts,0 multicasts,0 pauses Output(normal):-packets,-bytes -broadcasts,-multicasts,-pauses Output:0 output errors,-underruns,-buffer failures 0 aborts,0 deferred,0

26、 collisions,0 late collisions 0 lost carrier,-no carrierdisplay mac-address用来显示MAC地址转发表的信息，包括MAC地址所对应VLAN和以太网端口、地址状态（静态还是动态）、是否处在老化时间内等信息#显示MAC地址000f-e20f-0101的信息。display mac-address 000f-e20f-0101MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20f-0101 1 Learned Ethernet1/0/1 AGING#显示端口Etherne

27、t1/0/4的MAC地址转发表内容。display mac-address interface Ethernet 1/0/4MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING000d-88f7-b094 1 Learned Ethernet1/0/4 AGING000f-e200-00cc 1 Learned Ethernet1/0/4 AGING000f-e200-2201

28、1 Learned Ethernet1/0/4 AGING000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING000f-e209-ecf9 1 Learned Ethernet1/0/4 AGING-7 mac address(es)found on port Ethernet1/0/4-display arp用来显示ARP表项 display arp Type:S-Static D-DynamicIP Address MAC Address VLAN ID Port Name/AL ID Aging Type10.2.72.162 000a-000a-0a

29、aa N/A N/A N/A S192.168.0.77 0000-e8f5-6a4a 1 Ethernet1/0/2 13 D192.168.0.200 0014-222c-9d6a 1 Ethernet1/0/2 14 D192.168.0.45 000d-88f6-44c1 1 Ethernet1/0/2 15 D192.168.0.110 0011-4301-991e 1 Ethernet1/0/2 15 D192.168.0.32 0000-e8f5-73ee 1 Ethernet1/0/2 16 D192.168.0.3 0014-222c-aa69 1 Ethernet1/0/2

30、 16 D192.168.0.17 000d-88f6-379c 1 Ethernet1/0/2 17 D192.168.0.115 000d-88f7-9f7d 1 Ethernet1/0/2 18 D192.168.0.43 000c-760a-172d 1 Ethernet1/0/2 18 D192.168.0.5 000f-e280-2b38 1 Ethernet1/0/2 20 D-11 entries found -display environment#显示设备环境信息。display environmentSystem temperature information(degre

31、e centigrade):-Board Temperature Lower limit Upper limit 0 33 10 45 2 35 10 65 4 34 10 65 display fan命令用来显示交换机的内置风扇的工作状态信息。可以通过此命令来显示风扇的工作状态是否正常。#显示风扇的工作状态。display fanFan 1 State:Normaldisplay memory命令用来显示交换机的内存使用状态。#显示交换机0槽位的内存使用状态。display memory slot 0System Total Memory(bytes):197932416Total Used Memory(bytes):65234704Used Rate:32%n 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 ACL原理及基本配置原理及基本配置n 第三章第三章 设备管理基本配置设备管理基本配置n 第四章第四章 案例分析案例分析目录目录谢谢大家！