一、常见测试命令
一. 常见windows 系统自带测试命令的测试范围
1. Ipconfig 命令
查看主机上的TCP/IP配置,包括IP 地址、子网掩码和默认网关等信息时使用ipconfig 命令。
命令格式如下:
ipconfig [-all] [-renew [Adapter]] [-release [Adapter]] [-flushdns] [-displaydns]
[-registerdns] [-showclassid Adapter] [-setclassid Adapter [ClassID]]
参数:
(1)-all
显示所有适配器的完整TCP/IP配置信息。在没有该参数的情况下,ipconfig 只显示各个适配器的IPv6地址或IPv4地址、子网掩码和默认网关值。适配器可以代表物理接口(例如安装的网络适配器)或逻辑接口(例如拨号连接)。
(2)-renew [Adapter]
更新所有适配器(如果未指定适配器),或特定适配器(如果包含了Adapter 参数)的DHCP 配置。该参数仅在具有配置为自动获取IP 地址的适配器的计算机上可用。要指定适配器名称,请键入使用不带参数的ipconfig 命令显示的适配器名称。
(3)-release [Adapter]
发送DHCPRELEASE 消息到DHCP 服务器,以释放所有适配器(如果未指定适配器)或特定适配器(如果包含了Adapter 参数)的当前DHCP 配置并丢弃IP 地址配置。该参数可以禁用配置为自动获取IP 地址的适配器的TCP/IP。要指定适配器名称,请键入使用不带参数的ipconfig 命令显示的适配器名称。
(4)-flushdns
刷新并重设DNS 客户解析缓存的内容。在DNS 故障排除期间,可以使用本过程从缓存中丢弃否定缓存项和任何其他动态添加项。
(5)-displaydns
显示DNS 客户解析缓存的内容,包括从local Hosts文件预装载的记录以及由计算机解析的名称查询而最近获得的任何资源记录。DNS 客户服务在查询配置的DNS 服务器之前使用这些信息快速解析被频繁查询的名称。
(6)-registerdns
初始化计算机上配置的DNS 名称和IP 地址的手工动态注册。可以使用该参数对失败的DNS 名称注册进行故障排除或解决客户和DNS 服务器之间的动态更新问题,而不必重新启动客户端计算机。TCP/IP协议高级属性中的DNS 设置可以确定DNS 中注册了哪些名称。
(7)-showclassid Adapter
显示指定适配器的DHCP 类别ID 。要查看所有适配器的DHCP 类别ID ,请在Adapter 位置使用星号(*)通配符。该参数仅在具有配置为自动获取IP 地址的适配器的计算机上可用。
(8)-setclassid Adapter [ClassID]
配置特定适配器的DHCP 类别ID 。要设置所有适配器的DHCP 类别ID ,请在Adapter 位置使用星号(*)通配符。该参数仅在具有配置为自动获取IP 地址的适配器的计算机上可用。如果未指定DHCP 类别ID ,则会删除当前类别ID 。
(9)-?
在命令提示符下显示帮助。
2. Ping 命令
检测网络连通性、可到达性或网络连接速度使用ping 命令。
命令格式如下:
ping [-t] [-a] [-n Count] [-l Size] [-f] [-i TTL] [-v TOS] [-r Count] [-s Count] [{-j HostList | -k HostList}] [-w Timeout] [-R] [-S SrcAddr] [-4] [-6] TargetName
参数:
(1)-t
指定在中断前ping 以向目的地持续发送回响请求信息。要中断并显示统计信息,请按Ctrl+Break。要中断并退出ping ,请按Ctrl+C。
(2)-a
指定对目的地IP 地址进行反向名称解析。如果解析成功,ping 将显示相应的主机名。
(3)-n Count
指定发送回响请求消息的次数。默认值是4。
(4)-l Size
指定发送的回响请求消息中“数据”字段的长度(以字节为单位)。默认值为32。Size 的最大值是65500。
(5)-f
指定发送的“回显请求”中其IP 标头中的“不分段”标记被设置为1(只适用于IPv4)。“回显请求”消息不能在到目标的途中被路由器分段。该参数可用于解决“路径最大传输单位(PMTU )”的疑难。
(6)-i TTL
指定回响请求消息的IP 数据头中的TTL 字段值。其默认值是主机的默认TTL 值。TTL 的最大值为255。
(7)-v TOS
指定发送的“回显请求”消息的IP 标头中的“服务类型(TOS )”字段值(只适用于IPv4可用)。默认值是0。TOS 的值是0到255之间的十进制数。
(8)-r Count
指定IP 标头中的“记录路由”选项用于记录由“回显请求”消息和相应的“回显回复”消息使用的路径(只适用于IPv4)。路径中的每个跃点都使用“记录路由”选项中的一项。如果可能,可以指定一个等于或大于来源和目的地之间跃点数的Count 。Count 的最小值必须为1,最大值为9。
(9)-s Count
指定IP 数据头中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count 的最小值是1,最大值是4。这对于链接本地目标地址是必需的。
(10)-j HostList
指定“回显请求”消息对于HostList 中指定的中间目标集在IP 标头中使用“稀疏来源路由”选项(只适用于IPv4)。使用稀疏来源路由时,相邻的中间目标可以由一个或多个路由器分隔开。HostList 中的地址或名称的最大数为9。HostList 是一系列由空格分开的IP 地址(带点的十进制符号)。
(11)-k HostList
指定“回显请求”消息对于HostList 中指定的中间目标集在IP 标头中使用“严格来源路由”选项(只适用于IPv4)。使用严格来源路由,下一个中间目的地必须是直接可
达的(必须是路由器接口上的邻居)。HostList 中的地址或名称的最大数为9,HostList 是一系列由空格分开的IP 地址(带点的十进制符号)。
(12)-w Timeout
指定等待回响应答消息响应的时间(以微秒计),该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息,将会显示“请求超时”的错误消息。默认的超时时间为4000(4秒)。
(13)-R
指定应跟踪往返路径(只适用于IPv6)。
(14)-S SrcAddr
指定要使用的源地址(只适用于IPv6)。
(15)-4
指定将IPv4用于ping 。不需要用该参数识别带有IPv4地址的目标主机。仅需要它按名称识别主机。
(16)-6
指定将IPv6用于ping 。不需要用该参数识别带有IPv6地址的目标主机。仅需要它按名称识别主机。
(17)TargetName
指定目标主机的名称或IP 地址。
(18)-?
在命令提示符下显示帮助。
3. Tracert 命令
跟踪网络连接,确定IP 数据报访问目标时所经由的路径使用tracert 命令。
命令格式如下:
tracert [-d] [-h MaximumHops] [-j HostList] [-w Timeout] [-R] [-S SrcAddr] [-4][-6] TargetName
参数:
(1)-d
防止tracert 试图将中间路由器的IP 地址解析为它们的名称。这样可加速显示tracert 的结果。
(2)-h MaximumHops
指定搜索目标(目的)的路径中存在的跃点的最大数。默认值为30个跃点。
(3)-j HostList
指定“回显请求”消息使用IP 报头中的“松散源路由”选项(该选项具有在HostList 中指定的中间目标集)。使用松散源路由时,连续的中间目标可以由一个或多个路由器分隔开。HostList 中的地址或名称的最大数为9。HostList 是一系列由空格分隔的IP 地址(用带点的十进制符号表示)。仅当跟踪IPv4地址时才使用该参数。
(4)-w Timeout
指定等待“ICMP 已超时”或“回显答复”消息(对应于要接收的给定“回现请求”消息)的时间(以毫秒为单位)。如果超时时间内未收到消息,则显示一个星号(*)。默认的超时时间为4000(4秒)。
(5)-R
指定IPv6路由扩展标头应用来将“回显请求”消息发送到本地主机,使用目标作为中间目标并测试反向路由。
(6)-S SrcAddr
指定在“回显请求”消息中使用的源地址。仅当跟踪IPv6地址时才使用该参数。
(7)-4
指定tracert.exe 只能将IPv4用于本跟踪。
(8)-6
指定tracert.exe 只能将IPv6用于本跟踪。
(9)targetName
指定目标,可以是IP 地址或主机名。
(10)-?
在命令提示符下显示帮助。
4. Netstat 命令
显示协议统计信息和当前的TCP/IP连接使用netstat 命令。
命令格式如下:
netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]
参数:
(1)-a
显示所有活动的TCP 连接以及计算机侦听的TCP 和UDP 端口。
(2)-e
显示以太网统计信息,如发送和接收的字节数、数据包数。该参数可以与-s 结合使用。
(3)-n
显示活动的TCP 连接,不过,只以数字形式表现地址和端口号,却不尝试确定名称。
(4)-o
显示活动的TCP 连接并包括每个连接的进程ID (PID )。可以在Windows 任务管理器中的“进程”选项卡上找到基于PID 的应用程序。该参数可以与-a 、-n 和-p 结合使用。
(5)-p Protocol
显示Protocol 所指定的协议的连接。在这种情况下,Protocol 可以是tcp 、udp 、tcpv6或udpv6。如果该参数与-s 一起使用按协议显示统计信息,则Protocol 可以是tcp 、udp 、icmp 、ip 、tcpv6、udpv6、icmpv6或ipv6。
(6)-s
按协议显示统计信息。默认情况下,显示TCP 、UDP 、ICMP 和IP 协议的统计信息。如果安装了IPv6协议,就会显示IPv6上的TCP 、IPv6上的UDP 、ICMPv6和IPv6协议的统计信息。可以使用-p 参数指定协议集。
(7)-r
显示IP 路由表的内容。该参数与route print命令等价。
(8)-Interval
每隔Interval 秒重新显示一次选定的信息。按Ctrl+C停止重新显示统计信息。如果省略该参数,netstat 将只打印一次选定的信息。
(9)-?
在命令提示符下显示帮助。
5. Nslookup 命令
确认DNS 服务器动作的测试命令是nslookup 。
命令格式如下:
Nslookup [server] [主机名] [主机名+server]
参数:
(1)server
显示DNS 服务器的是工作正常还是停止工作。
(2)主机名
显示目标服务器的主机名和对应的IP 地址。
(3)主机名+server
显示目标服务器的主机名和对应的IP 地址。
(4) -?
在命令提示符下显示帮助。
二、网卡故障与排除
一. 网卡的概述
网卡是工作在数据链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。
1. 网卡的主要作用
在计算机网络中,网卡一方面负责接收网络上的数据包,通过和自己本身的物理地址相比较决定是否为本机应接信息,解包后,将数据通过主板上的总线传输给本地计算机;另一方面将本地计算机上的数据打包后送出网络。所以网卡的主要作用可以分为:固定网络地址、数据转换并发送到网线上和接收数据并转换数据格式。
(1)固定网络地址
在计算机网络通信过程中,一台计算机中的数据传输到另一台计算机,必须确定计算机的标识。例如,一封邮件发送时,必须填写发信人和收信人的地址。而计算机就是靠网卡的物理地址来标识的。
数据从一台计算机传输到另外一台计算机时,也就是通过一块网卡中的数据传输到另一块网卡,即从源地址传输到目的地址。
网卡的物理地址标识(Ethernet Address,物理地址)是由十六进制表示的,每个网卡在出厂时都被赋予一个全世界范围内唯一的地址。
(2)数据转换并发送到网线上
网络上传输数据的方式必须遵守一定的数据格式(通信协议)。所以计算机将数据传输到网卡时,网卡会自动将数据转换成网络可以识别的数据格式,然后再将数据传送到网线,发送到目的计算机的网卡上。
(3)接收数据并转换数据格式
在网络通信时,网卡具有双重功能:一方面宏观世界将本计算机上的数据进行格式转换送入网络;另一方面接收网络上传输过来的数据包,对数据进行解包及反向转换。
2. 网卡的分类
网卡可以按照不同方式进行分类,如按工作方式分、按对象方式分和按总线方式分。
(1)按工作方式分
一般网卡可以分为半双工和全双工方式。半双工只能在同一时间做一件事,例如上传或者下载,而全双工就可以同时上传和下载。如果只是局域网间机器之间的互传文件,且文件较大,那100Mb/s半双工就比较快。如果用来上网,网络带宽比较有限,那肯定是10Mb/s全双工比较快。
(2)按对象方式分
网卡可分为工作站普通网卡和服务器专用网卡。服务器专用网卡是为了适应网络服务器的工作特点而设计的。工作站普通网卡是一般计算机上使用的网卡。
(3)按总线类型分
网卡可分为ISA 网卡、EISA 网卡和PCI 网卡。ISA 网卡是较原始的计算机上使用的总线结构网卡,现已经被淘汰。EISA 网卡是在386型主板和486型主板上使用的扩展工业标准结构网卡。而现在使用的一般是PCI 网卡(即插即用总线结构),支持32位/64位本地总线。
(4)按接口类型分
按网卡的接口类型可分为BNC 接口、AUI 接口、RJ-45接口以及光纤接口。BNC 接口(即细缆接口)是用于总线结构的细同轴电缆中;AUI 接口是连接粗同轴电缆,或者是连接收发器时才会使用;RJ-45接口是最常用的双绞线接口,也就是市场上的主要接口方式;光纤接口是光纤电缆所使用的接口,也是发展的趋势,但价格比较昂贵。另外,还有笔记本所使用的PCMCIA 网卡,即插即用,并支持热插拔。以及USB 外置接口网卡。
(5)按传输速率分
按网卡的传输速率可分为10Mbit/s网卡、100Mbit/s网卡、10/100Mbit/s自适应网卡和1000Mbit/s网卡。
以前的EISA 网卡,或者带有BNC 接口和RJ-45接口的网卡上常用的速率为10Mbit/s。而10/100Mbit/s自适应网卡是通过集线器或交换机自动协商,来确定当前的速率10Mbit/s还是100Mbit/s。1000Mbit/s网卡,一般都是服务器采用的以太网网卡,该网卡多用于服务器与交换面之间的连接,以提高整体系统的响应速率。
二. 网卡常见故障
1. 网卡指示灯时亮时灭,网络连接不稳定。
网卡工作正常时的指示灯是长亮的,在传输数据时会快速闪烁。如果指示灯时亮时灭,网络连接总是显示不通,最常见的故障是网卡和PCI 插槽接触不良,如果是集成网卡就是接口部分接触不良或网卡的固定部分发生了松动。一般是由频繁插拔网卡、机箱内灰尘多、网卡“金手指”严重氧化、网线接头损坏或者搬动电脑等原因造成的,上述原因逐一检查、处理即可。
2. IRQ 中断引起的故障
常见的PCI 网卡支持即插即用,在安装驱动时会自动分配IRQ 资源。如果预定的IRQ 资源被显卡、声卡等板卡占用,而系统又不能给网卡重新指定另外的IRQ 资源的话,就会发生设备冲突,设备则不能正常工作。如MVP4芯片组的杂牌主板,第一个PCI 插槽会引起一些不可预知的故障,网卡安在第一个PCI 插槽上,往往会产生冲突。出现此类故障现象后,可以查找一下主板说明书对PCI 插槽优先级部分的说明,将冲突的设备更换到优先级更高的PCI 插槽上,直到设备不再产生冲突为止;另一个方法是在网卡的设备属性里为网卡重新分配IRQ 值。
3. 网卡参数设置不正确
要想使网卡在网络中正常工作,网络协议的安装以及有关网络系统参数的设置一定要正确,如需要安装TCP/IP协议、配置本机的IP 地址、DNS 服务器、网关地址等参数。网络系统的参数可向网络管理员索取,配置方法是:打开“控制面板/网络连接/本地连接”,右击“本地连接”选择“属性—常规”,根据网络管理员给的参数对网卡进行相应的设置。
4. 网卡质量不好,无法自适应网速
如果上网发现数据丢包现象严重,网速缓慢,很可能是由于网卡质量不好,无法自适应10M/100M线路造成的,把网卡速率默认设定自适应,改为10M 状态,就可以了。
5. 磁场引起的故障
网卡与其他电子产品一样,容易受到周围电磁场的干扰而发生故障。因此,在安装
网卡和进行网络布线时,要选用屏蔽性能良好的网线和网卡,尽可能避开电台、电视机等强磁场设备。
三. MAC地址概述
1. MAC 地址作用
MAC 地址在网卡中是固定的,每张网卡的MAC 地址都不一样。网卡在制作过程中,厂家会在它的EPROM 里面烧录上一组数字,这组数字,每张网卡都各不相同,这就是网卡的MAC (物理)地址。
由于MAC 地址的唯一性,因此它主要用来识别网络中用户的身份。例如ADSL 上网时,电信用它来记费,确认是你上的网; 在校园网中,MAC 地址也可以用来识别用户。对于校园网的正式用户,其MAC 地址会登记在服务器端,假如你是非法用户,服务器中就没有你的网卡MAC 地址,这样当你试图连上网时,服务器就会立刻认出你、阻止你连上网络。
2. 修改MAC 地址的方法
(1)修改注册表
点击“开始”/运行,输入regedit 打开注册表,定位到HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \0000、0001、0002等主键下,查找DriverDesc 的内容,了解网卡使用了哪个主键(例如0001),如果主键下有params 项,则该主键也是网卡所使用的;
例如网卡使用了0001主键,因此我们就选中它,在其右边建一个字符串项(名为NetworkAddress ),双击该串,输入你指定的MAC 地址值(注意应该是12位的连续数字或字母,其间没有-号); 在0001下的NDI\ params 中添加一项子键(名为NetworkAddress ),选择该子键,在其右边添加名为default 的字符串,键值为修改后的MAC 地址,与上面的数值相同; 修改后重启生效。
(2)修改网卡属性
(3)使用软件修改
三、链路故障
一. 物理层常见故障
1. 开箱时无法使用
接口卡或主板上的器件,脱落或被压变形。以及BOOTROM 或内存条的插座有无插针无法弹起;
检查PCI 侧的插针、物理接口(包括电缆)的插针是否有弯针;
更换或升级BOOTROM 、内存条或主机驱动程序的版本。
2. 安装后无法正常使用
线路连接问题,如线路阻抗不匹配、线序连接错误、中间传输设备故障;
与其它设备有兼容性问题;
接口配置问题;
电源或接地不符合要求;
在安装过程也要考虑模块接口电缆所支持的最大传输长度、最大速率等因素。
3. 使用过程中发生故障
电源、接地和防护方面不符合要求,在有电压漂移或雷击时造成器件损坏;
传输线受到干扰;
中间传输设备故障;
环境的温湿度、洁净度、静电等指标超出使用范围。
二. 物理层故障隔离的方法
检查坏的线缆或连接;
检验源接口的线缆是正确连接并且状况良好。当怀疑线缆的完整性时,用一根能工作的线缆替换;
检验是否使用了正确的线缆,并正确连接,是否连接到正确的端口上,确认任何双绞线适当使用在正确的位置上;
检查所有交换机或集线器端口设置在正确VLAN 或冲突域中,正确配置成生成树、速度和双工配置。确认所有活动窗口没有关闭;
检查运行统计和数据错误率;
三. 链路故障常见现象
统计表明,链路故障在网络故障总量中约占有80%的比重,因此,链路故障是网络中最常发生的故障之一。通常情况下,虽然链路故障的表现形式比较多,但由于便于观察和测试,因此,解决起来却往往并不困难。
1. 链路故障的表现
链路故障通常表现为以下几种情况:
计算机无法登录至服务器。
计算机在网上邻居中只有看到自己,而看不到其他计算机,从而无法使用其他计算机上的共享资源和共享打印机。
计算机无法通过局域网接入Internet 。
计算机无法在局域网络浏览Web 服务器,或进行E-mail 收发。
网络中的部分计算机运行速度十分缓慢。
2. 链路故障的分析
以下原因可能导致链路故障:
网卡未安装,或未正确安装,或与其他设备有冲突。
网卡硬件故障。
网络协议未安装,或设置不正确。
网线、跳线或信息插座故障。
UPS 故障。
交换机电源未打开,交换机硬件故障,或交换机端口硬件故障。
VLAN 设置问题。
双绞线测试
一. 双绞线概述
1. 双绞线简介
双绞线(Twisted Pair,TP )是综合布线工程中最常用的传输介质,双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度相互绞在一起,可降低信号干扰的程度,因为每一根导线在传输中辐射的电波会被另一根导线上发出的电波抵消。
双绞线主要是用来传输模拟声音信息的,但同样适用于数字信号的传输,而且特别适用于较
短距离的信息传输。采用双绞线的局域网的带宽取决于所用导线的质量、长度及传输技术。当距离很短,并且采用特殊的电子传输技术时,传输率可达100~150Mbps 。由于利用双绞线传输信息时要向周围辐射,信息很容易被窃听,因此要花费额外的代价加以屏蔽。
2. 双绞线分类
局域网产品中使用的双绞线可以分为两类:屏蔽双绞线(STP ,Shielded Twisted Pair )与非屏蔽双绞线(UTP ,Unshiekede Twisted Pair)。
(1)屏蔽双绞线
根据屏蔽方式的不同,屏蔽双绞线又分为两类,即STP (Shielded Twicted-Pair)和FTP (Foil Twisted-Pair )。
STP 是指每条线都有各自屏蔽层的屏蔽双绞线,而FTP 则是采用整体屏蔽的屏蔽双绞线。需要注意的是,屏蔽只在整个电缆均有屏蔽装置,并且两端正确接地的情况下才起作用。所以,要求整个系统全部是屏蔽器件,包括电缆、插座、水晶头和配线架等,同时建筑物需要有良好的地线系统。
屏蔽双绞线电缆的外层由铝泊包裹,以减小幅射,但并不能完全消除辐射。屏蔽双绞线价格相对较高,安装时要比非屏蔽双绞线电缆困难。类似于同轴电缆,它必须配有支持屏蔽功能的特殊连结器和相应的安装技术。但它有较高的传输速率,100米内可达到155mbps 。
(2)非屏蔽双绞线
常用的非屏蔽双绞线根据其通信质量一般分为五类。局域网中一般使用第三类、第四类和第五类非屏蔽双绞线,常简称为三类线、四类线、五类线和超五类线。
①一类线:主要用于传输语音(一类标准主要用于八十年代初之前的电话线缆),不同于数据传输。
②二类线:传输频率为1MHZ ,用于语音传输和最高传输速率4Mbps 的数据传输,常见于使用4MBPS 规范令牌传递协议的旧的令牌网。
③三类线:指目前在ANSI 和EIA/TIA568标准中指定的电缆,该电缆的传输频率16MHz ,用于语音传输及最高传输速率为10Mbps 的数据传输主要用于10BASE--T 。
④四类线:该类电缆的传输频率为20MHz ,用于语音传输和最高传输速率16Mbps 的数据传输主要用于基于令牌的局域网和 10BASE-T/100BASE-T。
⑤五类线:该类电缆增加了绕线密度,外套一种高质量的绝缘材料,传输率为100MHz ,用于语音传输和最高传输速率为10Mbps 的数据传输,主要用于100BASE-T 和10BASE-T 网络。这是最常用的以太网电缆。
⑥超五类线:超5类具有衰减小,串扰少,并且具有更高的衰减与串扰的比值(ACR )和信噪比(Structural Return Loss)、更小的时延误差,性能得到很大提高。超5类线主要用于千兆位以太网(1000Mbps )。
⑦六类线:该类电缆的传输频率为1MHz ~250MHz ,六类布线系统在200MHz 时综合衰减串扰比(PS-ACR )应该有较大的余量,它提供2倍于超五类的带宽。六类布线的传输性能远远高于超五类标准,最适用于传输速率高于1Gbps 的应用。六类与超五类的一个重要的不同点在于:改善了在串扰以及回波损耗方面的性能,对于新一代全双工的高速网络应用而言,优良的回波损耗性能是极重要的。六类标准中取消了基本链路模型,布线标准采用星形的拓扑结构,要求的布线距离为:永久链路的长度不能超过90m ,信道长度不能超过100m 。 三类线带宽为16 MHz,适用于语音及10 Mbps以下的数据传输;四类线带宽为20 MHz,适用于语音及16 Mbps以下的数据传输;五类线带宽为100 MHz,适用于语音及100 Mbps的高速数据传输。
(3)屏蔽与非屏蔽双绞线的区别
UTP (非屏蔽双绞线)价格低,数据传输速度能够满足要求,适用于办公大楼、学校,
居民楼等干扰较小的场所使用,但不适于噪声大、电磁干扰强的恶劣环境中使用。而STP (屏蔽双绞线)的抗干扰性能优于非屏蔽双绞线,两者的区别在于屏蔽双绞线STP 与非屏蔽双绞线在结构的不同,屏蔽双绞线在绞线和外皮间夹有一层铜网或金属屏蔽层,因而价格相对也较昂贵。屏蔽双绞线的传输质量比非屏蔽双绞线要高,如果安装合适,STP 具有很强的抗电磁、抗干扰的能力。当然,如果安装不合适(例如STP 电缆接地不好),就有可能引入很多外界干扰(因为它可以使屏蔽线作为天线,从其他导体中吸入电信号、电噪声等),造成网络不能正常工作。并且屏蔽双绞线需要使用连接器与网络硬件设备相连接。因此在综合布线中我们经常选择非屏蔽双绞线,因为它具有以下优点:
①无屏蔽外套,直径小,节省所占用的空间;
②重量轻,易弯曲,易安装;
③将串扰减至最小或加以消除;
④具有阻燃性;
⑤具有独立性和灵活性,适用于结构化综合布线。
二. EIA/TIA配线标准
双绞线由4对8芯铜线按照一定的规则绞织而成,每对芯线的颜色各不相同。目前,国际通用的双绞线制作标准有两种,即EIA/TIA568A和EIA/TIA568B。
T568A 的排线顺序为:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;
T568B 的排线顺序为:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕,这些芯线分别对应RJ-45插头的1~8脚。
根据双绞线两端所遵循的制作标准,可以把双绞线分为直通线和交叉线。
直连线:根据EIA/TIA 568-B 标准,两端线序排列一致,一一对应,即不改变线的排列,称为直连线。用于连接不同的网络设备,两端是T568B 和T568B 或者T568A 和T568A 。
交叉线:根据EIA/TIA 568-B 标准,改变线的排列顺序,采用“1-3,2-6”的交叉原则排列,称为交叉网线。用于连接相同的网络设备,也就是T568B 和T568A 。
这样,双绞线的线序就会出现三种类型的排列组合,如表2-2-1所示。
表2-2-1 双绞线排列组合
直连线是应用最广泛的双绞线类型,除了进行双机直连的双绞线需要使用交叉线以外,其他用途的双绞线基本上都是直连线。直连线与交叉线的连接方式:
图2-2-1 直连线
图2-2-2 交叉线
「注」如果不按标准连接,虽然线路也能接通,但是线路内部各线对之间的干扰不能有效消除,从而导致信号传送出错率升高,最终影响网络整体性能。
三. 常见网线测试仪
1. 专用网线测试仪
专用网线测试仪不仅能测试网络的连通性、接线的正误,验证网线是否符合标准,而且对网线传输质量也有一定的测试能力,如识别墙中网线,监测网络流量,自动识别网络设备,识别外部噪音干扰及测试绝缘等(测试参数及测试的频率范围由所选择的测试标准所决定)。
图2-2-3 Fluck DTX系列中文数字式线缆认证分析仪
2. 普通网线测试仪
普通网线测试仪使用非常简单,只要将已制作完成的双绞线或同轴电缆的两端分别插入水晶头插座或BNC 接头,然后打开电源开关,观察对应的指示灯是否为绿灯,如果依次闪亮绿灯,表明各线对已连通,否则可以判断没有接通。
图2-2-4 普通网线测试仪
四. 双绞线常见故障引起的原因
双绞线布线过程中比较容易出现网络“通”而“不通”的线序问题。这两种问题往往是由多方面的原因引起,下面我们就简单介绍下引起不通或出现时通时断的常见原因。
1. 近端串扰故障
原因可能有:
(1)近端连接点有问题;
(2)远端连接点短路;
(3)串对;
(4)外部噪声;
(5)链路线缆和接插件性能问题或不是同一类产品;
(6)线缆的端接质量问题。
2. 衰减故障
原因可能是:
(1)线缆过长;
(2)温度过高;
(3)连接点问题;
(4)链路电缆和连接硬件的性能问题,或二者不是同一类产品;
(5)电缆的端接质量问题等。
3. 接线图故障
原因可能有:
(1)两端的接头有断路、短路、交叉或破裂;
(2)跨接错误(某些网络需要发送和接受端跨接,当为这些网络构筑测试链路时,由于设备线路的跨接,测试接线图会出现交叉)。
4. 长度故障
原因可能有:
(1)实际长度超过100米;
(2)开路或短路;
(3)设备连线及跨接线的总长度过长等。
四、交换机故障
一. 交换机简介
1. 交换机简介
交换机是工作在OSI 参考模型第二层(数据链路层)的网络连接设备,它的基本功能是在多个计算机或网段之间交换数据。
从物理上来看,交换机类似于集线器:具有多个端口,每个端口可以连接一台计算机。交换机和集线器的区别在于它们的工作方式:集线器共享传输介质,同时有多个端口需要传输数据时就会发生冲突(如图(a )所示),而交换机内部一般采用背板总线交换结构,为每个端口提供一个独立的共享介质,即每个冲突域只有一个端口(如图(b )所示)。
图3-2-1 集线器与交换机冲突域范围
2. 交换机的作用
(1)地址学习(Address Learning):交换机可以记住在一个接口上所收到的每个数据帧的源MAC 地址,并存储到MAC 地址表中。
(2)转发/过滤(Forward/Filter):当交换机某个接口上收到数据帧,就会查看目的MAC 地址,并在交换机的MAC 地址表中查找该目的MAC 地址,如果找到则从指定的端口转发数据帧,如果未找到或该数据帧为广播帧,则向交换机的所有端口转发该数据帧。
3. 交换机的特点
(1)以太网交换机的端口一般都工作在全双工模式下。
(2)交换机能同时连通多组(每组两个)端口,使每一组相互通信的主机都能像独占通信媒体那样,进行无碰撞的数据传输。
(3)以太网交换机使用了专用的交换芯片,其交换速率较高。
(4)独占传输媒体的带宽。
举例来说,对于普通10Mb/s的共享式以太网,若共有N 个用户,则每个用户占有的平均带宽只有总带宽(10Mb/s)的N 分之一。而使用以太网交换机时,虽然在每个端口到主机的带宽还是10Mb/s,但由于一个用户在通信时是独占而不是和其它网络用户共享传输媒体的带宽,因此对于拥有N 个端口的交换机的总容量为N 倍的10Mb/s。
4. 交换机的分类
(1)从广义上来看,交换机可分为广域网交换机与局域网交换机,广域网交换机主要用于电信领域,提供通信用的基础平台。局域网交换机主要用于局域网络,用来连接终端设备,如PC 、打印机等。
(2)从传输介质与传输速率来看,交换机又分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI 交换机、ATM 交换机和令牌环网交换机等。
(3)从应用规模与应用层次上来划分,可分为企业级交换机、部门级交换机和工作组交换机等。一般来说,企业级交换机常用于大型的企业网中,常作为骨干网设备,部门级交换机常用于中小型企业网,而工作组交换机则常用于一般的办公室等网络,如上的划分方法各设备厂商并不尽相同,只是进行粗略的划分。
(4)从交换机工作在OSI 参考模型的层次来划分,交换机可分为二层交换机、三层交换机。二层交换机主要工作在数据链路层,其功能通常包括物理编址、拓扑网络、错误校验、帧序列检测与流控制等。三层交换机是二层交换技术与三层路由技术结合的产物,通常是在二层交换机的基础上提供了路由转发的功能。可以在局域网内代替路由器的出现,从而较路由器提高了性能、简化了配置工作。同时三层交换机还提供安全特性、服务质量等功能。
二. 交换机的端口配置
(1)禁用/启用端口
在某些情况下可能会对交换机某一端口上的主机或网络进行调试,需暂时禁用该端口,以防止不可确定因素对调试的影响。当调试完毕后,便可重新启用该端口了。
(2)端口描述
交换机端口下连接的子网络常具有不同的职能,为了便于区分,可使用含义明确或特征鲜明的关键字进行描述,以便为日后的维护工作带来方便。
(3)端口双工模式
如果希望端口在发送数据包的同时可以接收数据包,可以将端口设置为全双工属性;如果希望端口同一时刻只能发送数据或接收数据,可以将端口设置为半双工属性;当端口被设置为自协商状态时,端口的双工模式由本端端口和对端端口双方自动协商而定。对于大多数交换机来说,缺省状态下,端口的双工状态为Auto (自协商)状态。
(4)端口速率
可以使用相关命令对交换机端口的速率进行设置,当端口速率被设置为自协商状态时,端口的速率由本端端口和对端端口双方自动协商而定,常用的端口速率有10M 、10/100M、1000M 、10/100/1000M等选项。对于大多数交换机来说,缺省状态下,端口的速率处于Auto (自协商)状态。
(5)端口网线类型
用来连接交换机端口的网线可分为直连线与交叉线两种,可以手工指定交换机端口的网线连接类型。对于大多数交换机来说,缺省状态下,端口连接的网线类型为Auto (自识别)型,即系统可以自动识别端口所连接的网线类型。
(6)端口流量控制
当本端和对端交换机都开启了流量控制功能后,如果本端交换机发生拥塞,它将向对端交换机发送消息,通知对端交换机暂时停止发送报文;而对端交换机在接收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。对于大多数交换机来说,缺省状态下,端口的流量控制功能为关闭状态。
(7)端口的链路类型
交换机端口有三种链路类型:Access 、Hybrid 和Trunk 。Access 类型的端口只能属于一个VLAN ,一般用于连接计算机的端口;Trunk 类型的端口可以属于多个VLAN ,可以接收和发送多个VLAN 的报文,一般用于交换机之间的连接;Hybrid 类型的端口可以属于多个VLAN ,可以接收和发送多个VLAN 的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid 端口和Trunk 端口的不同之处在于Hybrid 端口可以允许多个VLAN 的报文发送时不打标签,而Trunk 端口允许缺省VLAN 的报文发送时不打标签。对于大多数交换机来说,缺省状态下,端口为Access 端口。
(8)其它
可能会对交换机端口配置其它一些特殊的功能,如端口汇聚等。
三. 交换机广播风暴的产生与排查
随着网络的发展,出现了一些规模比较大的企业网。目前在一般企业网内,百台以上主机规模的网络已经随处可见了。由于企业网在进行网络建设时,缺乏专业的网络技术支持,使得企业网的网络故障频繁出现。在企业网的网络故障中,网络广播风暴引起的网络故障,占企业网络故障的九成以上。为了阻止网络广播风暴的形成,则必须利用生成树协议。
1. 什么是广播风暴
网络广播风暴是指某一时刻网络内充斥广播数据包,从而导致网络性能急剧下降,最终导致网络瘫痪。
2. 广播风暴的形成原因
一般情况下,产生网络广播风暴的原因,主要有以下几种:
(1)网络设备原因
使用集线器等共享设备进行网络互连,引起广播风暴。
(2)网卡损坏
设备网卡损坏,向网络发送大量垃圾包,引起广播风暴。
(3)网络环路
错误连接使同一台交换机的两个端口直接相连或为了配置冗余链路,在网络中形成了环路,引起广播风暴。
(4)网络病毒
一些流行的网络病毒,在网络内传播的过程中,会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。
(5)黑客软件
利用某些黑客软件,如扫描网络、攻击网络,引起广播风暴。
3. 广播风暴解决方法
(1)划分VLAN 隔离广播域
通过在交换机上划分VLAN ,可以隔离广播域,从一定程度上减小广播风暴产生的机会。
(2)设备支持STP/RSTP协议
为交换机等设备启用生成树协议,可以阻止由于链路成环而造成的广播风暴。
(3)查找设备间环路
检查网络中的环路存在,并通过阻断环路的方法消除环路。
(4)查找故障设备
对于因为设备的故障而引起的环路问题,可以通过替换故障设备如网卡等的方式来排除。
(5)病毒与黑客软件
对于因病毒与黑客软件而造成的广播风暴而言,那就得依靠杀毒软件与防火墙的配置解决问题。
四. MAC地址、IP 地址与端口的绑定
1. 地址绑定技术
目前以太网技术已经普遍应用于运营网络,如园区接入、校园网等。但由于以太网本身的安全性、共享性和弱管理性,采用以太网接入在用户管理与安全管理上必然存在诸多隐患。业界和厂商都在寻找相应的解决方案以适应市场的要求。绑定是目前普遍宣传和采用的功能,其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理。
绑定(Binding )的含义是将两个或多个实体强制性的关联到一起。大家比较熟悉的例子就是配置网卡时将网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码也是一种绑定,只有用户名存在且密码匹配成功,才认为是合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。
2. 为什么要绑定MAC 与IP 地址
影响网络安全的因素很多,IP 地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于IP 的,比如流量统计、账号控制等都将IP 地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。
盗用外部网络的IP 地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP 地址范围,不属于该IP 地址范围的报文将无法通过这些互连设备。但如果盗用的是以太网内部合法用户的IP 地址,这种网络互连设备显然无能为力了。对于以太网内部的IP 地址被盗用,当然也有相应的解决办法。绑定MAC 地址与IP 地址就是防止内部IP 盗用的一个常用的、简单的、有效的措施。
3. MAC 与IP 地址绑定原理
虽然在以太网中,计算机往往要设置IP 地址后才能通信,而计算机间的通信不是通过IP 地址进行的,而是借助于网卡的MAC 地址。IP 地址只能用来查询通信目的主机的MAC 地址的。在交换式以太网中,交换机维护着一张MAC 地址表,并根据MAC 地址,将数据发送到目的计算机。
在计算机的ARP 缓存表中包含一个或多个MAC 地址与IP 地址的映射,用来存储IP 地址及其经过解析的以太网MAC 地址。两台不同的IP 地址的主机进行通信后,在ARP 缓存表中会存储相应的MAC 地址。下次再同同一个IP 地址的主机进行通信的时候,将不再查询MAC 地址,是直接引用缓存中的MAC 地址。
显然,IP 地址的修改非常容易,而MAC 地址存储在网卡的EEPROM 中,同时网卡的MAC 地址是唯一确定的。因而为了防止内部人员进行非法的IP 地址盗用(例如盗用权限更高人员的IP 地址以获得额外的信息),可以将内部网络的IP 地址与MAC 地址进行绑定,盗用者即使修改了IP 地址,也会因MAC 地址的不匹配而盗用失败。而且由于网卡MAC 地址的唯一确定性,可以根据MAC 地址查出使用该MAC 地址的网卡,进而查出非法盗用者。同时为了更加严格的实现用户的接入控制,还可以将交换机端口引入,实现IP 、MAC 与端口的三元绑定。
目前,很多企业的内部网络以及校园网都采用了MAC 地址与IP 地址的绑定技术。许多防火墙为了防止网络内部的IP 地址被盗用,也都内置了MAC 地址与IP 地址的绑定功能。这样可以有效的避免非法用户盗用合法的IP 地址进行网络访问。
通过地址绑定特性,网络管理员可以将合法用户的MAC 地址和IP 地址绑定到指定的端口上。进行绑定操作后,只有指定MAC 地址与IP 地址的用户发出的报文才能通过该端口转发,其它的计算机不允许使用该端口。这样就提高了系统的安全性,增强了对网络安全的监控。但是该计算机可以在没有设备绑定的其它端口上使用。
4. 地址绑定方案
对于常用的一些地址绑定方案可以简单的分为以下几种:
(1)MAC 地址与交换机端口绑定:设置交换机上某个端口绑定一个或多个MAC 地址,这样只有特定的主机可以使用网络,但是如果对其中的某一主机的网卡进行了更换或其它PC 机想通过这个端口使用网络都将使网络处于接入禁止状态,除非删除或修改该端口上绑定的MAC 地址,才能正常使用。
(2)IP 地址与交换机端口绑定:此功能与基于端口的MAC 地址绑定大体相同,只是它是基于IP 地址的绑定方案。
(3)IP 地址与MAC 地址与交换机端口绑定:该方案是将如上两种方案的融合,从而提高了用户接入的安全性,防止因合法IP 地址的盗用而造成的接入安全缺陷。
(4)其它端口安全方案
结合访问控制列表进行端口安全的绑定:在如上的解决方案中可以引入访问控制列表的使用,
结合访问控制列表可以实现更加细致的绑定规则,如对合法用户接入数量的限制。
结合802.1x 与AAA 认证的安全方案:使用802.1x 与AAA 认证方案是最为合理的用户接入认证机制。AAA 认证可以从根本上实现对用户的授权访问、身份认证与计费操作,从根本上解决了用户的安全接入问题。
5. MAC 与IP 地址绑定缺陷
从表面上看来,绑定MAC 地址和IP 地址可以防止内部IP 地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC 地址与IP 地址的绑定存在很大的缺陷,并不能真正防止内部IP 地址被盗用。
现行的TCP/IP网络是一个四层协议结构,从下往上依次为链路层、网络层、传输层和应用层。
Ethernet 协议是链路层协议,使用的地址是MAC 地址。MAC 地址是以太网网卡在以太网中的硬件标志,网卡生产时将其存于网卡的EEPROM 中。网卡的MAC 地址各不相同,MAC 地址可以唯一标志一块网卡。在以太网上传输的每个报文都含有发送该报文的网卡的MAC 地址。
Ethernet 协议根据Ethernet 报文头中的源MAC 地址和目的MAC 来识别报文的发送端和接收端。IP 协议应用于网络层,使用的地址为IP 地址。使用IP 协议进行通讯,每个IP 报文头中必须含有源IP 和目的IP 地址,用以标志该IP 报文的发送端和接收端。在以太网上使用IP 协议传输报文时,IP 报文作为Ethernet 报文的数据。IP 地址对于以太网交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP 地址。MAC 地址和IP 地址之间并不存在一一对应的关系。
MAC 地址存储在网卡的EEPROM 中并且唯一确定,但网卡驱动在发送Ethernet 报文时,并不从EEPROM 中读取MAC 地址,而是在内存中来建立一块缓存区,Ethernet 报文从中读取源MAC 地址。而且,用户可以通过操作系统修改实际发送的Ethernet 报文中的源MAC 地址。既然MAC 地址可以修改,那么MAC 地址与IP 地址的绑定也就失去了它原有的意义。 所以即使在交换机上绑定了合法用户的IP 地址与MAC 地址后也不能很好的解决安全问题,非法用户仍然可以通过盗用合法用户的IP 地址并盗用合法用户的MAC 地址来实现非法的资源访问。
一个更好的解决接入安全与用户控制的方法就是采用AAA 认证方式。
五. 交换机端口镜像技术
1. 交换机镜像的产生
在网络维护和故障排除的过程中,首先会根据已有的网络现象进行故障分析和判断,但是如果掌握的故障信息不够,或是网络需要进行一定的监控优化时,该怎么办呢?为了进一步获取网络运行情况,经常采用的一种手段就是监控数据包。但是有时候又苦于没有办法处理四面八方的数据。以太网交换机提供一个有力的数据监控功能——镜像。
2. 交换机镜像简介
交换机镜像技术实现了网络管理员在不中断某个端口计算机连接的情况下,用连接在其它端口上的计算机监视网络流量的目的。
具体实现正如它的名字一样,在交换机内将被监控端口流入流出的数据完全或部分复制到监控端口,就像照镜子一样,故称为交换机镜像。交换机镜像给网络管理员监控整个网络的流
量、对优化网络和查找网络故障带来了极大的方便。
3. 交换机镜像相关概念
镜像源端口:指交换机上某个被监控的端口,在该端口上传输的数据将被完整或部分的复制一份。
镜像目的端口(监控端口):指交换机上某个用来进行监控的端口,被监控端口(镜像源端口)的数据将被完整或部分的复制一份到该端口上。
4. 交换机镜像的分类
镜像分为两类:一是端口镜像,二是流镜像。
端口镜像是指将某些指定端口(出或入方向)的数据流量完全映射到监控端口,以便集中使用数据捕获软件进行数据分析。
流镜像是指按照一定的数据流分类规则对数据进行镜像,然后将属于指定流的所有数据映射到监控端口,以便进行数据分析,这个过程通常都会结合ACL (访问控制列表)来实现,可以实现更细粒度的数据流镜像。
5. 交换机镜像方式
根据交换机镜像源端口与镜像目的端口的对应方式可分类如下:
(1)一对一的镜像:一个镜像源端口映射到一个镜像目的端口上;
(2)一对多的镜像:一个镜像源端口映射到多个镜像目的端口上;
(3)多对一的镜像:多个镜像源端口映射到一个镜像目的端口上;
(4)多对多的镜像:多个镜像源端口映射到多个镜像目的端口上。
6. 交换机镜像注意事项
交换机配置镜像时需要注意如下若干注意事项,其中的后3项需要视具体设备而定,不同厂家的设备会有不同的约束条件。
(1)镜像中的镜像源端口和镜像目的端口的速率必须匹配,否则可能会丢弃数据。
(2)镜像源端口和镜像目的端口必须位于同一VLAN 内。
(3)只能有一个镜像目的端口,但可以有多个镜像源端口。
(4)可能有专用的镜像目的端口。
六. 中软吉大交换机基本命令简介
输入“Tab ”键可将命令补全,输入“?”可将本命令级别下的所有命令显示出来。 Switch>用户模式
1. 进入特权模式
Switch>enable
Switch#
2. 进入全局配置模式
Switch>enable
Switch#configure terminal
Switch_config#
3. 交换机命名
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#
4. 设置虚拟局域网vlan 1
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#interface vlan 1
S0_config_v1#ip address 192.168.0.4 255.255.255.0
5. 进入交换机某一端口
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#interface fastEthernet 0/1
可以在interface 后输入问号,交换机会将所有类型的端口显示出来,选择并输入所要进入的端口类型。
6. 开启、关闭端口
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#interface fastEthernet 0/1
S0_config_f0/1#no shutdown启用该端口
S0_config_f0/1#shutdown关闭该端口
S0_config_f0/1#description Manager添加交换机端口的描述信息
7. 查看命令
Switch>enable
Switch#show ?显示交换机所有查看命令
Switch#show version 查看系统中的所有版本信息
Switch#show interface vlan 1 查看交换机有关ip 协议的配置信息
Switch#show running-configure 查看交换机当前起作用的配置信息
Switch#show interface fastEthernet 0/1 查看交换机接口1具体配置和统计信息
8. 保存当前配置
Switch>enable
Switch#write
9. 清除当前配置信息
Switch>enable
Switch#delete
10. 重启交换机
Switch>enable
Switch#reboot
11. 查看调试信息
Switch>enable
Switch#debug ?显示交换机所有调试信息
12. 撤销命令
输入no+“要撤销命令”可将生效命令清除掉
Switch_config#interface vlan 1
Switch_config_v1#no ip address 192.168.0.4 255.255.255.0
五、arp 故障
一. ARP协议概述
Internet 是由各种各样的物理网络通过使用诸如路由器之类的设备连接在一起组成的。主机发送一个数据包到另一台主机时可能要经过多种不同的物理网络。主机和路由器都是在网络层通过逻辑地址来识别的,这个地址是在全世界范围内是惟一的。然而,数据包是通过物理网络传递的。在物理网络中,主机和路由器通过其物理地址来识别的,其范围限于本地网络中。物理地址和逻辑地址是两种不同的标识符。这就意味着将一个数据包传递到一个主机或路由器需要进行两级寻址:逻辑地址和物理地址。需要能将一个逻辑地址映射到相应的物理地址。
ARP (Address Resolution Protocol,地址解析协议)协议是处理将目的逻辑地址转换成目的物理地址的协议。在使用TCP/IP协议的以太网中,ARP 协议完成将IP 地址映射到MAC 地址的过程。
二. ARP欺骗与防范
1. 什么是ARP 欺骗
ARP (Address Resolution Protocol)是地址解析协议,是一种将IP 地址转化成物理地址的协议。从IP 地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP 具体说来就是将网络层(IP 层,也就是相当于OSI 的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI 的第二层)的MAC 地址。
ARP 协议并不只在发送了ARP 请求才接收ARP 应答。当计算机接收到ARP 应答数据包的时候,就会对本地的ARP 缓存进行更新,将应答中的IP 和MAC 地址存储在ARP 缓存中。因此,当局域网中的某台机器B 向A 发送一个自己伪造的ARP 应答,而如果这个应答是B 冒充C 伪造来的,即IP 地址为C 的IP ,而MAC 地址是伪造的,则当A 接收到B 伪造的ARP 应答后,就会更新本地的ARP 缓存,这样在A 看来C 的IP 地址没有变,而它的MAC 地址已经不是原来那个了。由于局域网的网络流通不是根据IP 地址进行,而是按照MAC 地址进行传输。所以,那个伪造出来的MAC 地址在A 上被改变成一个不存在的MAC 地址,这样就会造成网络不通,导致A 不能Ping 通C 。这就是一个简单的ARP 欺骗。
2. ARP 欺骗的种类
ARP 欺骗是黑客常用的攻击手段之一,ARP 欺骗分为二种,一种是对路由器ARP 表的欺骗;另一种是对内网PC 的网关欺骗。
第一种ARP 欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC 地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC 地址,造成正常PC 无法收到信息。
第二种ARP 欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC 向假网关发数据,而不是通过正常的路由器途径上网。在PC 看来,就是上不了网了,“网络掉线了”。 一般来说,ARP 欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
3. 如何防范ARP 欺骗
(1)查看本机的“ARP 欺骗”木马进程
同时按住键盘上的“CTRL ”和“ALT ”键再按“DEL ”键,选择“任务管理器”,点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
(2)网内感染“ARP 欺骗”木马的计算机
在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行“ipconfig ”命令。 记录网关IP 地址,即“Default Gateway”对应的值,例如“59.66.36.1”。再输入并执行“arp -a ”命令。
在“Internet Address”下找到上步记录的网关IP 地址,记录其对应的物理地址,即“Physical Address ”值,例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网
络受“ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部IP 地址,然后再查ARP 表。如果有一个IP 对应的物理地址与网关的相同,那么这个IP 地址和物理地址就是中毒计算机的IP 地址和网卡物理地址。
(3)设置ARP 表避免“ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP 地址和网关物理地址,然后在“命令提示符”窗口中输入并执行“ arp -s 网关IP 网关物理地址”命令。
(4)ARP 绑定网关
步骤一:
在能正常上网时,进入MS-DOS 窗口,输入命令“arp -a ”,查看网关的IP 对应的正确MAC 地址,并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp 缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC 地址,在不能上网只需手工将网关IP 和正确的MAC 地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS 窗口下运行下输入并执行“ arp -s 网关IP 网关MAC ”命令: 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行“arp -a”后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC 地址,类型是动态(dynamic )的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC 已经被替换成攻击机器的MAC 。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC 记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp 缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static ),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
(5)作批处理文件
在客户端做对网关的arp 绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd →确定”,输入:arp -a,点回车,查看网关对应的Physical Address。比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat ,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat 。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows →开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
(6)使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。 如果已有病毒计算机的MAC 地址,可使用NBTSCAN 等软件找出网段内与该MAC 地址对应的IP ,即感染病毒的计算机的IP 地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
六、vlan 故障
一. VLAN简介
1. 什么是VLAN
VLAN (Virtual Local Area Network)的中文名为“虚拟局域网”, VLAN 是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN 协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
2. VLAN 技术简介
VLAN 技术是在传统的以太网数据帧上增加了4个字节的特殊标注域,用于区别不同虚拟局域网用户发送出来的数据帧。在该标志域中最让我们关心的就是其中12个bit 位的VLAN ID 域,它是区别数据帧来自于哪一虚拟局域网的关键。所有的数据帧在交换机内部和交换机之间传递时,都被表明该数据帧属于哪一VLAN 。而不同VLAN 之间不能相互传递数据帧。这样使得即使连接在同一个局域网而在不同的虚拟局域网上的用户不能直接传递任何数据帧。这就是VLAN 技术。
在VLAN 技术当中还涉及到如下几种端口类型:
Access 端口:这种端口只能属于一个VLAN ,并且从该端口进来的数据包都不包含TAG 标记,数据包进入之后,会被加上该端口的VLAN ID (加上TAG 标记)。如果有数据需要从这种接口发送出去,数据帧中的TAG 标记将被删除。这种端口一般用于连接用户主机或路由器。
Trunk 端口:这种端口可以属于多个VLAN ,或者说这种端口可以传送多个VLAN 的数据帧。从这种端口发送出去的数据帧都包含有TAG 标记(缺省VLAN ID 的数据帧除外);从这种端口接收到的报文,如果已经有TAG 标记,则直接转发;如果没有TAG 标记,则加上带有缺省VLAN ID的TAG 标记。这种端口一般用于连接交换机或路由器。
Hybrid 端口:这种端口可以属于多个VLAN 。但是与Trunk 端口不同的是它所传送的数据帧,可以包含TAG 标记也可以不包含TAG 标记;而Trunk 端口则必须包含TAG 标记(缺省VLAN ID 的数据帧除外)。其发送数据帧时根据配置信息进行判断是否加上TAG 标记;接
收数据帧时和Trunk 端口相同。这种端口一般用于连接交换机或路由器。
二. VLAN设置的原则
1. 不要使用太多的secondary 地址段
路由设备比较忌讳在一个接口上捆绑太多的secondary 地址段,因为这样会极大地降低路由设备运行的效率。
2. VLAN 号和端口号相对应
将VLAN 号和端口号相对应,例如3/8端口对应的VLAN 号设为138,在维护时就比较容易,不用查配置表就可以处理了。
3. VLAN 和端口号需要配置描述信息
在VLAN 和端口上配置相应的用户信息,这样无论是谁都可以方便地处理。
三. VLAN故障常见解决方法
对于VLAN 故障的判断定位,一般的思路是分析数据帧的转发过程,特别是数据包携带的VLAN ID 的变化。看看在整个数据帧转发的过程中何时删除TAG 标签,何时增加TAG 标签,在删除和增加的过程中是否变化过VLAN ID 。这就是我们在分析VLAN 用户故障时最需要关注的几点。其次才是分析是否VLAN 路由存在问题,关于VLAN 路由存在的问题这和运行的动态路由协议相关,请参考路由故障排除部分。下面我们简要阐述几类故障的解决方法:
1. VLAN 用户隔离不成功
对于这种情况,我们首先要分析VLAN 用户数据在转发过程中的变化,特别是Isolate-user-vlan 技术存在的时候,因为有一对多的映射关系,往往容易使得VLAN ID值发生变化。当然我们在此之前最好能够检查配置信息,确保没有将用户划分在同一个VLAN 下,特别是目前都是基于端口的VLAN 用户,端口连接错误都可能致使VLAN 隔离失败。如果上述过程没有问题,再检查VLAN 路由是否存在问题,例如在同一三层交换机上启动多个VLAN 接口,这样该交换机将为每一个VLAN 接口生成一条直连路由,从而使得两个直连接口下的VLAN 间用户可以进行数据通信。对于不能进行二层转发而可以进行三层转发的用户,如果需要进行隔离,我们只能借助于交换机的包过滤技术来完成。
2. VLAN 隔离后不能进行任何通信
对于这种情况,我们在此之前最好能够检查配置信息,确保没有做端口的关闭操作或者数据过滤等设置。如果上述过程没有问题,我们需要检查对应的VLAN 虚接口是否存在,状态是否正常,其相关信息可以使用命令display interface vlan-interface 来显示。如果仍然没有问题,请检查相关的路由信息是否正确?相关故障排除手段参见路由故障排除部分。
3. 采用VLAN 技术后,无法进行设备管理
对于这种情况,一般也是由于数据帧在转发过程中,由于TAG 标记的变化而引起故障,所以其解决方法和前两种的前一部分的分析类似。在解决方案中,一般是通过配置运行端口通过某一特定VLAN 的数据包通过。根据情况确定是否加上TAG 标记。在某些场合不能彻底将管理VLAN 和用户VLAN 进行分离的时候,我们只有采用管理和业务共用VLAN 的办法。
七、网络故障诊断工具概述
一. 网络故障诊断工具概述
1. 硬件工具
(1)数字电压表
数字电压表(电压欧姆表)是多用途的电子测量工具。它被认为是任何一个计算机或电子专业人员的标准设备,它所能揭示的信息远远超出电阻两端的电压。使用电压表可以确定: ①电缆是否连接(是否有断路);
②电缆是否可以运载网络通信量;
③同一电缆的两部分是否暴露和接触(因而造成短路);
④电缆的暴露部分是否触及了另一个导体,如金属表面。
网络管理员要检查网络设备的电源。大多数电子设备是用120V 的交流电工作。但并不是所有的电源输出都满足这个要求。在较早的安装中,尤其是在大型的工业环境中,系统负荷会导致电压的降低,有时电压会降到102V 。长时间的低电压工作可能会导致电子设备出现问题。低电压通常会导致间断性的错误。可能出现的另一个极端是,过高的电压导致设备立即遭受到破坏。在新的建筑物中,不正确的电路走线有可能造成实际的电压输出高达220V 。 因此,在新的地点和新的建筑物中,必须在连接任何电子设备之前对输出电压进行检查,以确保它们在可以接受的范围内。
(2)网络测试仪
网络测试仪具有以下优点:
①测量速度快;
②测量精度高;
③工作定位准;
④节省了用户查找故障的时间。
(3)时域反射计(TDR )
TDR 沿着电缆发送类似于声纳的脉冲,仪确定电缆中是否存在断点、短路或者缺陷。当电缆出现问题时,将影响到网络的性能。如果TDR 发现了问题,就会读问题进行分析,并显示出分析的结果。TDR 沿着电缆的长度方向的有效作用距离通常有数英尺。TDR 在安装网络时使用的比较频繁,在对现在网络进行检查和维护时它也是非常有帮助的。
使用TDR 需要经过专门的训练,并且,并不是每个维护部门都有这种设备。但是。网络管理员应该知道TDR 的功能,在网络出现介质问题时,可以用它来发现缺陷。
(4)高级电缆检测器
高级电缆检测器在数据链路层、网络层、甚至在物理层工作,这已经超越了OSIvan 考模型的网络层次。它也可以显示有关网络电缆的状态信息。
(5)其他硬件工具
①交叉电缆:绕过网络,直接对计算机的通行能力进行隔离和测试。
②硬件会送设备:这是一个串口连接器,利用它,您不必将一台计算机的串口连接到另一台计算机或外设,就可以对计算机的通行能力进行测试。在利益会送的情况下,数据被传送到一条线路,然后再作为接受数据被送回。如果传送的数据没有返回,那么硬件会送就检测出硬件中存在问题。
③音调发生器和音调定位器:音调发生器是所有领域中技术人员使用的标准设备,它用来将直流的或者连续的音调信号加到电缆导体上。音调发生器被加到有疑问的电缆一端,一个匹配的音调定位器放置在电缆的另一端来测试电缆是否正常。
这些工具可以用来测试导线的连续性和线的极性,页可以用来跟踪双绞线、单个导体和同轴电缆。
④示波器:示波器是一种以单位测量信号电压值的电子装置,它在一个显示器上显示结果。当与TDR 一起使用的时候,示波器可以显示:
●短路;
●电缆中突然的弯曲和卷曲;
●开路(电缆中的断路);
●衰减(信号电源的损失)等。
2. 软件工具
(1)网络监视器
网络监视器是一种软件工具,其作用是对部分或者整个网络的通信量进行跟踪。它检查数据包并收集有关数据包类型、错误和每台计算机传入和传出的数据包通信量等信息。
网络监视器对于建立部分网络基准非常有用。在建立了基准之后,您将可以排除通信量跟踪和监视网络的使用情况,来确定是否需要对其进行升级。例如,鉴定在安装新网络之后,您了解到网络通信量使用了其全部能力的40%,在一年后在此检查数据通信量时,您注意到现在使用了全部能力的80%。如果能一直监视,就可以对通信量的增加情况进行预测,并估计应该在何时进行升级,以避免出现跟踪。
(2)协议分析器
常用的分析器有以下几种:
① Sniffer
Sniffer 是Network General 分析器家族产品的一部分,它可以对来自14种协议的帧进行解码和截取,这些协议包括AppleTalk 、WINDOWS NT、Netware 、SNA 、TCP/IP、VINES 和 X.25。Sniffer 可以用3种方式测量网络的通信量,相应的单位分别是:每秒千字节、每秒帧和可用带宽的百分比。Sniffer 可以收集LAN 通信量的统计数字,测试一些诸如新标的错误,并将这些信息在LAN 的配置文件中给出,还可以通过捕获计算机间的帧来确定是否存在瓶颈,并将结果显出来。
② Novell 的LANalyzer
LANalyzer 软件的功能和Sniffer 的功能十分类似,但它只能在Netware LAN上使用。
二. 协议分析器概述
1. 什么是协议分析器
协议分析器也称网络分析器,它通过采用数据包捕获、解码和传输数据的方法实时地分析网络通信量。管理大型网络的管理员在很大程度上依赖于协议分析器。
协议分析器通过查看数据包的内部来确定问题。它也可以根据网络通信量生成数据统计,从而帮助了解网络的总体情况。
协议分析器可以识别方位广泛的网络行为,如:
(1)确定活动频繁的计算机。
(2)确定发送错误数据包的计算机。如果某台计算机的大量通信量使得网络的速率降低,那么,该计算机应该能被移动到网络中的其他网段;如果计算机正在产生错误的数据包,则应该将该计算机从网络中除去,并对它进行修复。
(3)查看和筛选某些数据包类型。这对于通信量的路由非常有帮助。协议分析器可以确定何种类型的通信量可以通过网络中的一个给定的网络分段。
(4)跟踪网络性能以及了解其趋势。了解这些趋势将帮助管理员更好地规划和配置网络。
(5)通过生成数据测试包并对其结果进行跟踪来检查部件、连线和线缆。
(6)通过设置产生警告的参数来确定问题发生的条件。
2. 协议分析器组成
协议分析器可提供IPv4和IPv6常用协议捕获分析,并通过会话交互图、详细解析树视图和十六进制数据等形式显示分析结果。协议分析器支持同时捕获两个以上网卡数据并进行综合分析。
一、常见测试命令
一. 常见windows 系统自带测试命令的测试范围
1. Ipconfig 命令
查看主机上的TCP/IP配置,包括IP 地址、子网掩码和默认网关等信息时使用ipconfig 命令。
命令格式如下:
ipconfig [-all] [-renew [Adapter]] [-release [Adapter]] [-flushdns] [-displaydns]
[-registerdns] [-showclassid Adapter] [-setclassid Adapter [ClassID]]
参数:
(1)-all
显示所有适配器的完整TCP/IP配置信息。在没有该参数的情况下,ipconfig 只显示各个适配器的IPv6地址或IPv4地址、子网掩码和默认网关值。适配器可以代表物理接口(例如安装的网络适配器)或逻辑接口(例如拨号连接)。
(2)-renew [Adapter]
更新所有适配器(如果未指定适配器),或特定适配器(如果包含了Adapter 参数)的DHCP 配置。该参数仅在具有配置为自动获取IP 地址的适配器的计算机上可用。要指定适配器名称,请键入使用不带参数的ipconfig 命令显示的适配器名称。
(3)-release [Adapter]
发送DHCPRELEASE 消息到DHCP 服务器,以释放所有适配器(如果未指定适配器)或特定适配器(如果包含了Adapter 参数)的当前DHCP 配置并丢弃IP 地址配置。该参数可以禁用配置为自动获取IP 地址的适配器的TCP/IP。要指定适配器名称,请键入使用不带参数的ipconfig 命令显示的适配器名称。
(4)-flushdns
刷新并重设DNS 客户解析缓存的内容。在DNS 故障排除期间,可以使用本过程从缓存中丢弃否定缓存项和任何其他动态添加项。
(5)-displaydns
显示DNS 客户解析缓存的内容,包括从local Hosts文件预装载的记录以及由计算机解析的名称查询而最近获得的任何资源记录。DNS 客户服务在查询配置的DNS 服务器之前使用这些信息快速解析被频繁查询的名称。
(6)-registerdns
初始化计算机上配置的DNS 名称和IP 地址的手工动态注册。可以使用该参数对失败的DNS 名称注册进行故障排除或解决客户和DNS 服务器之间的动态更新问题,而不必重新启动客户端计算机。TCP/IP协议高级属性中的DNS 设置可以确定DNS 中注册了哪些名称。
(7)-showclassid Adapter
显示指定适配器的DHCP 类别ID 。要查看所有适配器的DHCP 类别ID ,请在Adapter 位置使用星号(*)通配符。该参数仅在具有配置为自动获取IP 地址的适配器的计算机上可用。
(8)-setclassid Adapter [ClassID]
配置特定适配器的DHCP 类别ID 。要设置所有适配器的DHCP 类别ID ,请在Adapter 位置使用星号(*)通配符。该参数仅在具有配置为自动获取IP 地址的适配器的计算机上可用。如果未指定DHCP 类别ID ,则会删除当前类别ID 。
(9)-?
在命令提示符下显示帮助。
2. Ping 命令
检测网络连通性、可到达性或网络连接速度使用ping 命令。
命令格式如下:
ping [-t] [-a] [-n Count] [-l Size] [-f] [-i TTL] [-v TOS] [-r Count] [-s Count] [{-j HostList | -k HostList}] [-w Timeout] [-R] [-S SrcAddr] [-4] [-6] TargetName
参数:
(1)-t
指定在中断前ping 以向目的地持续发送回响请求信息。要中断并显示统计信息,请按Ctrl+Break。要中断并退出ping ,请按Ctrl+C。
(2)-a
指定对目的地IP 地址进行反向名称解析。如果解析成功,ping 将显示相应的主机名。
(3)-n Count
指定发送回响请求消息的次数。默认值是4。
(4)-l Size
指定发送的回响请求消息中“数据”字段的长度(以字节为单位)。默认值为32。Size 的最大值是65500。
(5)-f
指定发送的“回显请求”中其IP 标头中的“不分段”标记被设置为1(只适用于IPv4)。“回显请求”消息不能在到目标的途中被路由器分段。该参数可用于解决“路径最大传输单位(PMTU )”的疑难。
(6)-i TTL
指定回响请求消息的IP 数据头中的TTL 字段值。其默认值是主机的默认TTL 值。TTL 的最大值为255。
(7)-v TOS
指定发送的“回显请求”消息的IP 标头中的“服务类型(TOS )”字段值(只适用于IPv4可用)。默认值是0。TOS 的值是0到255之间的十进制数。
(8)-r Count
指定IP 标头中的“记录路由”选项用于记录由“回显请求”消息和相应的“回显回复”消息使用的路径(只适用于IPv4)。路径中的每个跃点都使用“记录路由”选项中的一项。如果可能,可以指定一个等于或大于来源和目的地之间跃点数的Count 。Count 的最小值必须为1,最大值为9。
(9)-s Count
指定IP 数据头中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count 的最小值是1,最大值是4。这对于链接本地目标地址是必需的。
(10)-j HostList
指定“回显请求”消息对于HostList 中指定的中间目标集在IP 标头中使用“稀疏来源路由”选项(只适用于IPv4)。使用稀疏来源路由时,相邻的中间目标可以由一个或多个路由器分隔开。HostList 中的地址或名称的最大数为9。HostList 是一系列由空格分开的IP 地址(带点的十进制符号)。
(11)-k HostList
指定“回显请求”消息对于HostList 中指定的中间目标集在IP 标头中使用“严格来源路由”选项(只适用于IPv4)。使用严格来源路由,下一个中间目的地必须是直接可
达的(必须是路由器接口上的邻居)。HostList 中的地址或名称的最大数为9,HostList 是一系列由空格分开的IP 地址(带点的十进制符号)。
(12)-w Timeout
指定等待回响应答消息响应的时间(以微秒计),该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息,将会显示“请求超时”的错误消息。默认的超时时间为4000(4秒)。
(13)-R
指定应跟踪往返路径(只适用于IPv6)。
(14)-S SrcAddr
指定要使用的源地址(只适用于IPv6)。
(15)-4
指定将IPv4用于ping 。不需要用该参数识别带有IPv4地址的目标主机。仅需要它按名称识别主机。
(16)-6
指定将IPv6用于ping 。不需要用该参数识别带有IPv6地址的目标主机。仅需要它按名称识别主机。
(17)TargetName
指定目标主机的名称或IP 地址。
(18)-?
在命令提示符下显示帮助。
3. Tracert 命令
跟踪网络连接,确定IP 数据报访问目标时所经由的路径使用tracert 命令。
命令格式如下:
tracert [-d] [-h MaximumHops] [-j HostList] [-w Timeout] [-R] [-S SrcAddr] [-4][-6] TargetName
参数:
(1)-d
防止tracert 试图将中间路由器的IP 地址解析为它们的名称。这样可加速显示tracert 的结果。
(2)-h MaximumHops
指定搜索目标(目的)的路径中存在的跃点的最大数。默认值为30个跃点。
(3)-j HostList
指定“回显请求”消息使用IP 报头中的“松散源路由”选项(该选项具有在HostList 中指定的中间目标集)。使用松散源路由时,连续的中间目标可以由一个或多个路由器分隔开。HostList 中的地址或名称的最大数为9。HostList 是一系列由空格分隔的IP 地址(用带点的十进制符号表示)。仅当跟踪IPv4地址时才使用该参数。
(4)-w Timeout
指定等待“ICMP 已超时”或“回显答复”消息(对应于要接收的给定“回现请求”消息)的时间(以毫秒为单位)。如果超时时间内未收到消息,则显示一个星号(*)。默认的超时时间为4000(4秒)。
(5)-R
指定IPv6路由扩展标头应用来将“回显请求”消息发送到本地主机,使用目标作为中间目标并测试反向路由。
(6)-S SrcAddr
指定在“回显请求”消息中使用的源地址。仅当跟踪IPv6地址时才使用该参数。
(7)-4
指定tracert.exe 只能将IPv4用于本跟踪。
(8)-6
指定tracert.exe 只能将IPv6用于本跟踪。
(9)targetName
指定目标,可以是IP 地址或主机名。
(10)-?
在命令提示符下显示帮助。
4. Netstat 命令
显示协议统计信息和当前的TCP/IP连接使用netstat 命令。
命令格式如下:
netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]
参数:
(1)-a
显示所有活动的TCP 连接以及计算机侦听的TCP 和UDP 端口。
(2)-e
显示以太网统计信息,如发送和接收的字节数、数据包数。该参数可以与-s 结合使用。
(3)-n
显示活动的TCP 连接,不过,只以数字形式表现地址和端口号,却不尝试确定名称。
(4)-o
显示活动的TCP 连接并包括每个连接的进程ID (PID )。可以在Windows 任务管理器中的“进程”选项卡上找到基于PID 的应用程序。该参数可以与-a 、-n 和-p 结合使用。
(5)-p Protocol
显示Protocol 所指定的协议的连接。在这种情况下,Protocol 可以是tcp 、udp 、tcpv6或udpv6。如果该参数与-s 一起使用按协议显示统计信息,则Protocol 可以是tcp 、udp 、icmp 、ip 、tcpv6、udpv6、icmpv6或ipv6。
(6)-s
按协议显示统计信息。默认情况下,显示TCP 、UDP 、ICMP 和IP 协议的统计信息。如果安装了IPv6协议,就会显示IPv6上的TCP 、IPv6上的UDP 、ICMPv6和IPv6协议的统计信息。可以使用-p 参数指定协议集。
(7)-r
显示IP 路由表的内容。该参数与route print命令等价。
(8)-Interval
每隔Interval 秒重新显示一次选定的信息。按Ctrl+C停止重新显示统计信息。如果省略该参数,netstat 将只打印一次选定的信息。
(9)-?
在命令提示符下显示帮助。
5. Nslookup 命令
确认DNS 服务器动作的测试命令是nslookup 。
命令格式如下:
Nslookup [server] [主机名] [主机名+server]
参数:
(1)server
显示DNS 服务器的是工作正常还是停止工作。
(2)主机名
显示目标服务器的主机名和对应的IP 地址。
(3)主机名+server
显示目标服务器的主机名和对应的IP 地址。
(4) -?
在命令提示符下显示帮助。
二、网卡故障与排除
一. 网卡的概述
网卡是工作在数据链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。
1. 网卡的主要作用
在计算机网络中,网卡一方面负责接收网络上的数据包,通过和自己本身的物理地址相比较决定是否为本机应接信息,解包后,将数据通过主板上的总线传输给本地计算机;另一方面将本地计算机上的数据打包后送出网络。所以网卡的主要作用可以分为:固定网络地址、数据转换并发送到网线上和接收数据并转换数据格式。
(1)固定网络地址
在计算机网络通信过程中,一台计算机中的数据传输到另一台计算机,必须确定计算机的标识。例如,一封邮件发送时,必须填写发信人和收信人的地址。而计算机就是靠网卡的物理地址来标识的。
数据从一台计算机传输到另外一台计算机时,也就是通过一块网卡中的数据传输到另一块网卡,即从源地址传输到目的地址。
网卡的物理地址标识(Ethernet Address,物理地址)是由十六进制表示的,每个网卡在出厂时都被赋予一个全世界范围内唯一的地址。
(2)数据转换并发送到网线上
网络上传输数据的方式必须遵守一定的数据格式(通信协议)。所以计算机将数据传输到网卡时,网卡会自动将数据转换成网络可以识别的数据格式,然后再将数据传送到网线,发送到目的计算机的网卡上。
(3)接收数据并转换数据格式
在网络通信时,网卡具有双重功能:一方面宏观世界将本计算机上的数据进行格式转换送入网络;另一方面接收网络上传输过来的数据包,对数据进行解包及反向转换。
2. 网卡的分类
网卡可以按照不同方式进行分类,如按工作方式分、按对象方式分和按总线方式分。
(1)按工作方式分
一般网卡可以分为半双工和全双工方式。半双工只能在同一时间做一件事,例如上传或者下载,而全双工就可以同时上传和下载。如果只是局域网间机器之间的互传文件,且文件较大,那100Mb/s半双工就比较快。如果用来上网,网络带宽比较有限,那肯定是10Mb/s全双工比较快。
(2)按对象方式分
网卡可分为工作站普通网卡和服务器专用网卡。服务器专用网卡是为了适应网络服务器的工作特点而设计的。工作站普通网卡是一般计算机上使用的网卡。
(3)按总线类型分
网卡可分为ISA 网卡、EISA 网卡和PCI 网卡。ISA 网卡是较原始的计算机上使用的总线结构网卡,现已经被淘汰。EISA 网卡是在386型主板和486型主板上使用的扩展工业标准结构网卡。而现在使用的一般是PCI 网卡(即插即用总线结构),支持32位/64位本地总线。
(4)按接口类型分
按网卡的接口类型可分为BNC 接口、AUI 接口、RJ-45接口以及光纤接口。BNC 接口(即细缆接口)是用于总线结构的细同轴电缆中;AUI 接口是连接粗同轴电缆,或者是连接收发器时才会使用;RJ-45接口是最常用的双绞线接口,也就是市场上的主要接口方式;光纤接口是光纤电缆所使用的接口,也是发展的趋势,但价格比较昂贵。另外,还有笔记本所使用的PCMCIA 网卡,即插即用,并支持热插拔。以及USB 外置接口网卡。
(5)按传输速率分
按网卡的传输速率可分为10Mbit/s网卡、100Mbit/s网卡、10/100Mbit/s自适应网卡和1000Mbit/s网卡。
以前的EISA 网卡,或者带有BNC 接口和RJ-45接口的网卡上常用的速率为10Mbit/s。而10/100Mbit/s自适应网卡是通过集线器或交换机自动协商,来确定当前的速率10Mbit/s还是100Mbit/s。1000Mbit/s网卡,一般都是服务器采用的以太网网卡,该网卡多用于服务器与交换面之间的连接,以提高整体系统的响应速率。
二. 网卡常见故障
1. 网卡指示灯时亮时灭,网络连接不稳定。
网卡工作正常时的指示灯是长亮的,在传输数据时会快速闪烁。如果指示灯时亮时灭,网络连接总是显示不通,最常见的故障是网卡和PCI 插槽接触不良,如果是集成网卡就是接口部分接触不良或网卡的固定部分发生了松动。一般是由频繁插拔网卡、机箱内灰尘多、网卡“金手指”严重氧化、网线接头损坏或者搬动电脑等原因造成的,上述原因逐一检查、处理即可。
2. IRQ 中断引起的故障
常见的PCI 网卡支持即插即用,在安装驱动时会自动分配IRQ 资源。如果预定的IRQ 资源被显卡、声卡等板卡占用,而系统又不能给网卡重新指定另外的IRQ 资源的话,就会发生设备冲突,设备则不能正常工作。如MVP4芯片组的杂牌主板,第一个PCI 插槽会引起一些不可预知的故障,网卡安在第一个PCI 插槽上,往往会产生冲突。出现此类故障现象后,可以查找一下主板说明书对PCI 插槽优先级部分的说明,将冲突的设备更换到优先级更高的PCI 插槽上,直到设备不再产生冲突为止;另一个方法是在网卡的设备属性里为网卡重新分配IRQ 值。
3. 网卡参数设置不正确
要想使网卡在网络中正常工作,网络协议的安装以及有关网络系统参数的设置一定要正确,如需要安装TCP/IP协议、配置本机的IP 地址、DNS 服务器、网关地址等参数。网络系统的参数可向网络管理员索取,配置方法是:打开“控制面板/网络连接/本地连接”,右击“本地连接”选择“属性—常规”,根据网络管理员给的参数对网卡进行相应的设置。
4. 网卡质量不好,无法自适应网速
如果上网发现数据丢包现象严重,网速缓慢,很可能是由于网卡质量不好,无法自适应10M/100M线路造成的,把网卡速率默认设定自适应,改为10M 状态,就可以了。
5. 磁场引起的故障
网卡与其他电子产品一样,容易受到周围电磁场的干扰而发生故障。因此,在安装
网卡和进行网络布线时,要选用屏蔽性能良好的网线和网卡,尽可能避开电台、电视机等强磁场设备。
三. MAC地址概述
1. MAC 地址作用
MAC 地址在网卡中是固定的,每张网卡的MAC 地址都不一样。网卡在制作过程中,厂家会在它的EPROM 里面烧录上一组数字,这组数字,每张网卡都各不相同,这就是网卡的MAC (物理)地址。
由于MAC 地址的唯一性,因此它主要用来识别网络中用户的身份。例如ADSL 上网时,电信用它来记费,确认是你上的网; 在校园网中,MAC 地址也可以用来识别用户。对于校园网的正式用户,其MAC 地址会登记在服务器端,假如你是非法用户,服务器中就没有你的网卡MAC 地址,这样当你试图连上网时,服务器就会立刻认出你、阻止你连上网络。
2. 修改MAC 地址的方法
(1)修改注册表
点击“开始”/运行,输入regedit 打开注册表,定位到HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \0000、0001、0002等主键下,查找DriverDesc 的内容,了解网卡使用了哪个主键(例如0001),如果主键下有params 项,则该主键也是网卡所使用的;
例如网卡使用了0001主键,因此我们就选中它,在其右边建一个字符串项(名为NetworkAddress ),双击该串,输入你指定的MAC 地址值(注意应该是12位的连续数字或字母,其间没有-号); 在0001下的NDI\ params 中添加一项子键(名为NetworkAddress ),选择该子键,在其右边添加名为default 的字符串,键值为修改后的MAC 地址,与上面的数值相同; 修改后重启生效。
(2)修改网卡属性
(3)使用软件修改
三、链路故障
一. 物理层常见故障
1. 开箱时无法使用
接口卡或主板上的器件,脱落或被压变形。以及BOOTROM 或内存条的插座有无插针无法弹起;
检查PCI 侧的插针、物理接口(包括电缆)的插针是否有弯针;
更换或升级BOOTROM 、内存条或主机驱动程序的版本。
2. 安装后无法正常使用
线路连接问题,如线路阻抗不匹配、线序连接错误、中间传输设备故障;
与其它设备有兼容性问题;
接口配置问题;
电源或接地不符合要求;
在安装过程也要考虑模块接口电缆所支持的最大传输长度、最大速率等因素。
3. 使用过程中发生故障
电源、接地和防护方面不符合要求,在有电压漂移或雷击时造成器件损坏;
传输线受到干扰;
中间传输设备故障;
环境的温湿度、洁净度、静电等指标超出使用范围。
二. 物理层故障隔离的方法
检查坏的线缆或连接;
检验源接口的线缆是正确连接并且状况良好。当怀疑线缆的完整性时,用一根能工作的线缆替换;
检验是否使用了正确的线缆,并正确连接,是否连接到正确的端口上,确认任何双绞线适当使用在正确的位置上;
检查所有交换机或集线器端口设置在正确VLAN 或冲突域中,正确配置成生成树、速度和双工配置。确认所有活动窗口没有关闭;
检查运行统计和数据错误率;
三. 链路故障常见现象
统计表明,链路故障在网络故障总量中约占有80%的比重,因此,链路故障是网络中最常发生的故障之一。通常情况下,虽然链路故障的表现形式比较多,但由于便于观察和测试,因此,解决起来却往往并不困难。
1. 链路故障的表现
链路故障通常表现为以下几种情况:
计算机无法登录至服务器。
计算机在网上邻居中只有看到自己,而看不到其他计算机,从而无法使用其他计算机上的共享资源和共享打印机。
计算机无法通过局域网接入Internet 。
计算机无法在局域网络浏览Web 服务器,或进行E-mail 收发。
网络中的部分计算机运行速度十分缓慢。
2. 链路故障的分析
以下原因可能导致链路故障:
网卡未安装,或未正确安装,或与其他设备有冲突。
网卡硬件故障。
网络协议未安装,或设置不正确。
网线、跳线或信息插座故障。
UPS 故障。
交换机电源未打开,交换机硬件故障,或交换机端口硬件故障。
VLAN 设置问题。
双绞线测试
一. 双绞线概述
1. 双绞线简介
双绞线(Twisted Pair,TP )是综合布线工程中最常用的传输介质,双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度相互绞在一起,可降低信号干扰的程度,因为每一根导线在传输中辐射的电波会被另一根导线上发出的电波抵消。
双绞线主要是用来传输模拟声音信息的,但同样适用于数字信号的传输,而且特别适用于较
短距离的信息传输。采用双绞线的局域网的带宽取决于所用导线的质量、长度及传输技术。当距离很短,并且采用特殊的电子传输技术时,传输率可达100~150Mbps 。由于利用双绞线传输信息时要向周围辐射,信息很容易被窃听,因此要花费额外的代价加以屏蔽。
2. 双绞线分类
局域网产品中使用的双绞线可以分为两类:屏蔽双绞线(STP ,Shielded Twisted Pair )与非屏蔽双绞线(UTP ,Unshiekede Twisted Pair)。
(1)屏蔽双绞线
根据屏蔽方式的不同,屏蔽双绞线又分为两类,即STP (Shielded Twicted-Pair)和FTP (Foil Twisted-Pair )。
STP 是指每条线都有各自屏蔽层的屏蔽双绞线,而FTP 则是采用整体屏蔽的屏蔽双绞线。需要注意的是,屏蔽只在整个电缆均有屏蔽装置,并且两端正确接地的情况下才起作用。所以,要求整个系统全部是屏蔽器件,包括电缆、插座、水晶头和配线架等,同时建筑物需要有良好的地线系统。
屏蔽双绞线电缆的外层由铝泊包裹,以减小幅射,但并不能完全消除辐射。屏蔽双绞线价格相对较高,安装时要比非屏蔽双绞线电缆困难。类似于同轴电缆,它必须配有支持屏蔽功能的特殊连结器和相应的安装技术。但它有较高的传输速率,100米内可达到155mbps 。
(2)非屏蔽双绞线
常用的非屏蔽双绞线根据其通信质量一般分为五类。局域网中一般使用第三类、第四类和第五类非屏蔽双绞线,常简称为三类线、四类线、五类线和超五类线。
①一类线:主要用于传输语音(一类标准主要用于八十年代初之前的电话线缆),不同于数据传输。
②二类线:传输频率为1MHZ ,用于语音传输和最高传输速率4Mbps 的数据传输,常见于使用4MBPS 规范令牌传递协议的旧的令牌网。
③三类线:指目前在ANSI 和EIA/TIA568标准中指定的电缆,该电缆的传输频率16MHz ,用于语音传输及最高传输速率为10Mbps 的数据传输主要用于10BASE--T 。
④四类线:该类电缆的传输频率为20MHz ,用于语音传输和最高传输速率16Mbps 的数据传输主要用于基于令牌的局域网和 10BASE-T/100BASE-T。
⑤五类线:该类电缆增加了绕线密度,外套一种高质量的绝缘材料,传输率为100MHz ,用于语音传输和最高传输速率为10Mbps 的数据传输,主要用于100BASE-T 和10BASE-T 网络。这是最常用的以太网电缆。
⑥超五类线:超5类具有衰减小,串扰少,并且具有更高的衰减与串扰的比值(ACR )和信噪比(Structural Return Loss)、更小的时延误差,性能得到很大提高。超5类线主要用于千兆位以太网(1000Mbps )。
⑦六类线:该类电缆的传输频率为1MHz ~250MHz ,六类布线系统在200MHz 时综合衰减串扰比(PS-ACR )应该有较大的余量,它提供2倍于超五类的带宽。六类布线的传输性能远远高于超五类标准,最适用于传输速率高于1Gbps 的应用。六类与超五类的一个重要的不同点在于:改善了在串扰以及回波损耗方面的性能,对于新一代全双工的高速网络应用而言,优良的回波损耗性能是极重要的。六类标准中取消了基本链路模型,布线标准采用星形的拓扑结构,要求的布线距离为:永久链路的长度不能超过90m ,信道长度不能超过100m 。 三类线带宽为16 MHz,适用于语音及10 Mbps以下的数据传输;四类线带宽为20 MHz,适用于语音及16 Mbps以下的数据传输;五类线带宽为100 MHz,适用于语音及100 Mbps的高速数据传输。
(3)屏蔽与非屏蔽双绞线的区别
UTP (非屏蔽双绞线)价格低,数据传输速度能够满足要求,适用于办公大楼、学校,
居民楼等干扰较小的场所使用,但不适于噪声大、电磁干扰强的恶劣环境中使用。而STP (屏蔽双绞线)的抗干扰性能优于非屏蔽双绞线,两者的区别在于屏蔽双绞线STP 与非屏蔽双绞线在结构的不同,屏蔽双绞线在绞线和外皮间夹有一层铜网或金属屏蔽层,因而价格相对也较昂贵。屏蔽双绞线的传输质量比非屏蔽双绞线要高,如果安装合适,STP 具有很强的抗电磁、抗干扰的能力。当然,如果安装不合适(例如STP 电缆接地不好),就有可能引入很多外界干扰(因为它可以使屏蔽线作为天线,从其他导体中吸入电信号、电噪声等),造成网络不能正常工作。并且屏蔽双绞线需要使用连接器与网络硬件设备相连接。因此在综合布线中我们经常选择非屏蔽双绞线,因为它具有以下优点:
①无屏蔽外套,直径小,节省所占用的空间;
②重量轻,易弯曲,易安装;
③将串扰减至最小或加以消除;
④具有阻燃性;
⑤具有独立性和灵活性,适用于结构化综合布线。
二. EIA/TIA配线标准
双绞线由4对8芯铜线按照一定的规则绞织而成,每对芯线的颜色各不相同。目前,国际通用的双绞线制作标准有两种,即EIA/TIA568A和EIA/TIA568B。
T568A 的排线顺序为:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;
T568B 的排线顺序为:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕,这些芯线分别对应RJ-45插头的1~8脚。
根据双绞线两端所遵循的制作标准,可以把双绞线分为直通线和交叉线。
直连线:根据EIA/TIA 568-B 标准,两端线序排列一致,一一对应,即不改变线的排列,称为直连线。用于连接不同的网络设备,两端是T568B 和T568B 或者T568A 和T568A 。
交叉线:根据EIA/TIA 568-B 标准,改变线的排列顺序,采用“1-3,2-6”的交叉原则排列,称为交叉网线。用于连接相同的网络设备,也就是T568B 和T568A 。
这样,双绞线的线序就会出现三种类型的排列组合,如表2-2-1所示。
表2-2-1 双绞线排列组合
直连线是应用最广泛的双绞线类型,除了进行双机直连的双绞线需要使用交叉线以外,其他用途的双绞线基本上都是直连线。直连线与交叉线的连接方式:
图2-2-1 直连线
图2-2-2 交叉线
「注」如果不按标准连接,虽然线路也能接通,但是线路内部各线对之间的干扰不能有效消除,从而导致信号传送出错率升高,最终影响网络整体性能。
三. 常见网线测试仪
1. 专用网线测试仪
专用网线测试仪不仅能测试网络的连通性、接线的正误,验证网线是否符合标准,而且对网线传输质量也有一定的测试能力,如识别墙中网线,监测网络流量,自动识别网络设备,识别外部噪音干扰及测试绝缘等(测试参数及测试的频率范围由所选择的测试标准所决定)。
图2-2-3 Fluck DTX系列中文数字式线缆认证分析仪
2. 普通网线测试仪
普通网线测试仪使用非常简单,只要将已制作完成的双绞线或同轴电缆的两端分别插入水晶头插座或BNC 接头,然后打开电源开关,观察对应的指示灯是否为绿灯,如果依次闪亮绿灯,表明各线对已连通,否则可以判断没有接通。
图2-2-4 普通网线测试仪
四. 双绞线常见故障引起的原因
双绞线布线过程中比较容易出现网络“通”而“不通”的线序问题。这两种问题往往是由多方面的原因引起,下面我们就简单介绍下引起不通或出现时通时断的常见原因。
1. 近端串扰故障
原因可能有:
(1)近端连接点有问题;
(2)远端连接点短路;
(3)串对;
(4)外部噪声;
(5)链路线缆和接插件性能问题或不是同一类产品;
(6)线缆的端接质量问题。
2. 衰减故障
原因可能是:
(1)线缆过长;
(2)温度过高;
(3)连接点问题;
(4)链路电缆和连接硬件的性能问题,或二者不是同一类产品;
(5)电缆的端接质量问题等。
3. 接线图故障
原因可能有:
(1)两端的接头有断路、短路、交叉或破裂;
(2)跨接错误(某些网络需要发送和接受端跨接,当为这些网络构筑测试链路时,由于设备线路的跨接,测试接线图会出现交叉)。
4. 长度故障
原因可能有:
(1)实际长度超过100米;
(2)开路或短路;
(3)设备连线及跨接线的总长度过长等。
四、交换机故障
一. 交换机简介
1. 交换机简介
交换机是工作在OSI 参考模型第二层(数据链路层)的网络连接设备,它的基本功能是在多个计算机或网段之间交换数据。
从物理上来看,交换机类似于集线器:具有多个端口,每个端口可以连接一台计算机。交换机和集线器的区别在于它们的工作方式:集线器共享传输介质,同时有多个端口需要传输数据时就会发生冲突(如图(a )所示),而交换机内部一般采用背板总线交换结构,为每个端口提供一个独立的共享介质,即每个冲突域只有一个端口(如图(b )所示)。
图3-2-1 集线器与交换机冲突域范围
2. 交换机的作用
(1)地址学习(Address Learning):交换机可以记住在一个接口上所收到的每个数据帧的源MAC 地址,并存储到MAC 地址表中。
(2)转发/过滤(Forward/Filter):当交换机某个接口上收到数据帧,就会查看目的MAC 地址,并在交换机的MAC 地址表中查找该目的MAC 地址,如果找到则从指定的端口转发数据帧,如果未找到或该数据帧为广播帧,则向交换机的所有端口转发该数据帧。
3. 交换机的特点
(1)以太网交换机的端口一般都工作在全双工模式下。
(2)交换机能同时连通多组(每组两个)端口,使每一组相互通信的主机都能像独占通信媒体那样,进行无碰撞的数据传输。
(3)以太网交换机使用了专用的交换芯片,其交换速率较高。
(4)独占传输媒体的带宽。
举例来说,对于普通10Mb/s的共享式以太网,若共有N 个用户,则每个用户占有的平均带宽只有总带宽(10Mb/s)的N 分之一。而使用以太网交换机时,虽然在每个端口到主机的带宽还是10Mb/s,但由于一个用户在通信时是独占而不是和其它网络用户共享传输媒体的带宽,因此对于拥有N 个端口的交换机的总容量为N 倍的10Mb/s。
4. 交换机的分类
(1)从广义上来看,交换机可分为广域网交换机与局域网交换机,广域网交换机主要用于电信领域,提供通信用的基础平台。局域网交换机主要用于局域网络,用来连接终端设备,如PC 、打印机等。
(2)从传输介质与传输速率来看,交换机又分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI 交换机、ATM 交换机和令牌环网交换机等。
(3)从应用规模与应用层次上来划分,可分为企业级交换机、部门级交换机和工作组交换机等。一般来说,企业级交换机常用于大型的企业网中,常作为骨干网设备,部门级交换机常用于中小型企业网,而工作组交换机则常用于一般的办公室等网络,如上的划分方法各设备厂商并不尽相同,只是进行粗略的划分。
(4)从交换机工作在OSI 参考模型的层次来划分,交换机可分为二层交换机、三层交换机。二层交换机主要工作在数据链路层,其功能通常包括物理编址、拓扑网络、错误校验、帧序列检测与流控制等。三层交换机是二层交换技术与三层路由技术结合的产物,通常是在二层交换机的基础上提供了路由转发的功能。可以在局域网内代替路由器的出现,从而较路由器提高了性能、简化了配置工作。同时三层交换机还提供安全特性、服务质量等功能。
二. 交换机的端口配置
(1)禁用/启用端口
在某些情况下可能会对交换机某一端口上的主机或网络进行调试,需暂时禁用该端口,以防止不可确定因素对调试的影响。当调试完毕后,便可重新启用该端口了。
(2)端口描述
交换机端口下连接的子网络常具有不同的职能,为了便于区分,可使用含义明确或特征鲜明的关键字进行描述,以便为日后的维护工作带来方便。
(3)端口双工模式
如果希望端口在发送数据包的同时可以接收数据包,可以将端口设置为全双工属性;如果希望端口同一时刻只能发送数据或接收数据,可以将端口设置为半双工属性;当端口被设置为自协商状态时,端口的双工模式由本端端口和对端端口双方自动协商而定。对于大多数交换机来说,缺省状态下,端口的双工状态为Auto (自协商)状态。
(4)端口速率
可以使用相关命令对交换机端口的速率进行设置,当端口速率被设置为自协商状态时,端口的速率由本端端口和对端端口双方自动协商而定,常用的端口速率有10M 、10/100M、1000M 、10/100/1000M等选项。对于大多数交换机来说,缺省状态下,端口的速率处于Auto (自协商)状态。
(5)端口网线类型
用来连接交换机端口的网线可分为直连线与交叉线两种,可以手工指定交换机端口的网线连接类型。对于大多数交换机来说,缺省状态下,端口连接的网线类型为Auto (自识别)型,即系统可以自动识别端口所连接的网线类型。
(6)端口流量控制
当本端和对端交换机都开启了流量控制功能后,如果本端交换机发生拥塞,它将向对端交换机发送消息,通知对端交换机暂时停止发送报文;而对端交换机在接收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。对于大多数交换机来说,缺省状态下,端口的流量控制功能为关闭状态。
(7)端口的链路类型
交换机端口有三种链路类型:Access 、Hybrid 和Trunk 。Access 类型的端口只能属于一个VLAN ,一般用于连接计算机的端口;Trunk 类型的端口可以属于多个VLAN ,可以接收和发送多个VLAN 的报文,一般用于交换机之间的连接;Hybrid 类型的端口可以属于多个VLAN ,可以接收和发送多个VLAN 的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid 端口和Trunk 端口的不同之处在于Hybrid 端口可以允许多个VLAN 的报文发送时不打标签,而Trunk 端口允许缺省VLAN 的报文发送时不打标签。对于大多数交换机来说,缺省状态下,端口为Access 端口。
(8)其它
可能会对交换机端口配置其它一些特殊的功能,如端口汇聚等。
三. 交换机广播风暴的产生与排查
随着网络的发展,出现了一些规模比较大的企业网。目前在一般企业网内,百台以上主机规模的网络已经随处可见了。由于企业网在进行网络建设时,缺乏专业的网络技术支持,使得企业网的网络故障频繁出现。在企业网的网络故障中,网络广播风暴引起的网络故障,占企业网络故障的九成以上。为了阻止网络广播风暴的形成,则必须利用生成树协议。
1. 什么是广播风暴
网络广播风暴是指某一时刻网络内充斥广播数据包,从而导致网络性能急剧下降,最终导致网络瘫痪。
2. 广播风暴的形成原因
一般情况下,产生网络广播风暴的原因,主要有以下几种:
(1)网络设备原因
使用集线器等共享设备进行网络互连,引起广播风暴。
(2)网卡损坏
设备网卡损坏,向网络发送大量垃圾包,引起广播风暴。
(3)网络环路
错误连接使同一台交换机的两个端口直接相连或为了配置冗余链路,在网络中形成了环路,引起广播风暴。
(4)网络病毒
一些流行的网络病毒,在网络内传播的过程中,会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。
(5)黑客软件
利用某些黑客软件,如扫描网络、攻击网络,引起广播风暴。
3. 广播风暴解决方法
(1)划分VLAN 隔离广播域
通过在交换机上划分VLAN ,可以隔离广播域,从一定程度上减小广播风暴产生的机会。
(2)设备支持STP/RSTP协议
为交换机等设备启用生成树协议,可以阻止由于链路成环而造成的广播风暴。
(3)查找设备间环路
检查网络中的环路存在,并通过阻断环路的方法消除环路。
(4)查找故障设备
对于因为设备的故障而引起的环路问题,可以通过替换故障设备如网卡等的方式来排除。
(5)病毒与黑客软件
对于因病毒与黑客软件而造成的广播风暴而言,那就得依靠杀毒软件与防火墙的配置解决问题。
四. MAC地址、IP 地址与端口的绑定
1. 地址绑定技术
目前以太网技术已经普遍应用于运营网络,如园区接入、校园网等。但由于以太网本身的安全性、共享性和弱管理性,采用以太网接入在用户管理与安全管理上必然存在诸多隐患。业界和厂商都在寻找相应的解决方案以适应市场的要求。绑定是目前普遍宣传和采用的功能,其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理。
绑定(Binding )的含义是将两个或多个实体强制性的关联到一起。大家比较熟悉的例子就是配置网卡时将网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码也是一种绑定,只有用户名存在且密码匹配成功,才认为是合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。
2. 为什么要绑定MAC 与IP 地址
影响网络安全的因素很多,IP 地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于IP 的,比如流量统计、账号控制等都将IP 地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。
盗用外部网络的IP 地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP 地址范围,不属于该IP 地址范围的报文将无法通过这些互连设备。但如果盗用的是以太网内部合法用户的IP 地址,这种网络互连设备显然无能为力了。对于以太网内部的IP 地址被盗用,当然也有相应的解决办法。绑定MAC 地址与IP 地址就是防止内部IP 盗用的一个常用的、简单的、有效的措施。
3. MAC 与IP 地址绑定原理
虽然在以太网中,计算机往往要设置IP 地址后才能通信,而计算机间的通信不是通过IP 地址进行的,而是借助于网卡的MAC 地址。IP 地址只能用来查询通信目的主机的MAC 地址的。在交换式以太网中,交换机维护着一张MAC 地址表,并根据MAC 地址,将数据发送到目的计算机。
在计算机的ARP 缓存表中包含一个或多个MAC 地址与IP 地址的映射,用来存储IP 地址及其经过解析的以太网MAC 地址。两台不同的IP 地址的主机进行通信后,在ARP 缓存表中会存储相应的MAC 地址。下次再同同一个IP 地址的主机进行通信的时候,将不再查询MAC 地址,是直接引用缓存中的MAC 地址。
显然,IP 地址的修改非常容易,而MAC 地址存储在网卡的EEPROM 中,同时网卡的MAC 地址是唯一确定的。因而为了防止内部人员进行非法的IP 地址盗用(例如盗用权限更高人员的IP 地址以获得额外的信息),可以将内部网络的IP 地址与MAC 地址进行绑定,盗用者即使修改了IP 地址,也会因MAC 地址的不匹配而盗用失败。而且由于网卡MAC 地址的唯一确定性,可以根据MAC 地址查出使用该MAC 地址的网卡,进而查出非法盗用者。同时为了更加严格的实现用户的接入控制,还可以将交换机端口引入,实现IP 、MAC 与端口的三元绑定。
目前,很多企业的内部网络以及校园网都采用了MAC 地址与IP 地址的绑定技术。许多防火墙为了防止网络内部的IP 地址被盗用,也都内置了MAC 地址与IP 地址的绑定功能。这样可以有效的避免非法用户盗用合法的IP 地址进行网络访问。
通过地址绑定特性,网络管理员可以将合法用户的MAC 地址和IP 地址绑定到指定的端口上。进行绑定操作后,只有指定MAC 地址与IP 地址的用户发出的报文才能通过该端口转发,其它的计算机不允许使用该端口。这样就提高了系统的安全性,增强了对网络安全的监控。但是该计算机可以在没有设备绑定的其它端口上使用。
4. 地址绑定方案
对于常用的一些地址绑定方案可以简单的分为以下几种:
(1)MAC 地址与交换机端口绑定:设置交换机上某个端口绑定一个或多个MAC 地址,这样只有特定的主机可以使用网络,但是如果对其中的某一主机的网卡进行了更换或其它PC 机想通过这个端口使用网络都将使网络处于接入禁止状态,除非删除或修改该端口上绑定的MAC 地址,才能正常使用。
(2)IP 地址与交换机端口绑定:此功能与基于端口的MAC 地址绑定大体相同,只是它是基于IP 地址的绑定方案。
(3)IP 地址与MAC 地址与交换机端口绑定:该方案是将如上两种方案的融合,从而提高了用户接入的安全性,防止因合法IP 地址的盗用而造成的接入安全缺陷。
(4)其它端口安全方案
结合访问控制列表进行端口安全的绑定:在如上的解决方案中可以引入访问控制列表的使用,
结合访问控制列表可以实现更加细致的绑定规则,如对合法用户接入数量的限制。
结合802.1x 与AAA 认证的安全方案:使用802.1x 与AAA 认证方案是最为合理的用户接入认证机制。AAA 认证可以从根本上实现对用户的授权访问、身份认证与计费操作,从根本上解决了用户的安全接入问题。
5. MAC 与IP 地址绑定缺陷
从表面上看来,绑定MAC 地址和IP 地址可以防止内部IP 地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC 地址与IP 地址的绑定存在很大的缺陷,并不能真正防止内部IP 地址被盗用。
现行的TCP/IP网络是一个四层协议结构,从下往上依次为链路层、网络层、传输层和应用层。
Ethernet 协议是链路层协议,使用的地址是MAC 地址。MAC 地址是以太网网卡在以太网中的硬件标志,网卡生产时将其存于网卡的EEPROM 中。网卡的MAC 地址各不相同,MAC 地址可以唯一标志一块网卡。在以太网上传输的每个报文都含有发送该报文的网卡的MAC 地址。
Ethernet 协议根据Ethernet 报文头中的源MAC 地址和目的MAC 来识别报文的发送端和接收端。IP 协议应用于网络层,使用的地址为IP 地址。使用IP 协议进行通讯,每个IP 报文头中必须含有源IP 和目的IP 地址,用以标志该IP 报文的发送端和接收端。在以太网上使用IP 协议传输报文时,IP 报文作为Ethernet 报文的数据。IP 地址对于以太网交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP 地址。MAC 地址和IP 地址之间并不存在一一对应的关系。
MAC 地址存储在网卡的EEPROM 中并且唯一确定,但网卡驱动在发送Ethernet 报文时,并不从EEPROM 中读取MAC 地址,而是在内存中来建立一块缓存区,Ethernet 报文从中读取源MAC 地址。而且,用户可以通过操作系统修改实际发送的Ethernet 报文中的源MAC 地址。既然MAC 地址可以修改,那么MAC 地址与IP 地址的绑定也就失去了它原有的意义。 所以即使在交换机上绑定了合法用户的IP 地址与MAC 地址后也不能很好的解决安全问题,非法用户仍然可以通过盗用合法用户的IP 地址并盗用合法用户的MAC 地址来实现非法的资源访问。
一个更好的解决接入安全与用户控制的方法就是采用AAA 认证方式。
五. 交换机端口镜像技术
1. 交换机镜像的产生
在网络维护和故障排除的过程中,首先会根据已有的网络现象进行故障分析和判断,但是如果掌握的故障信息不够,或是网络需要进行一定的监控优化时,该怎么办呢?为了进一步获取网络运行情况,经常采用的一种手段就是监控数据包。但是有时候又苦于没有办法处理四面八方的数据。以太网交换机提供一个有力的数据监控功能——镜像。
2. 交换机镜像简介
交换机镜像技术实现了网络管理员在不中断某个端口计算机连接的情况下,用连接在其它端口上的计算机监视网络流量的目的。
具体实现正如它的名字一样,在交换机内将被监控端口流入流出的数据完全或部分复制到监控端口,就像照镜子一样,故称为交换机镜像。交换机镜像给网络管理员监控整个网络的流
量、对优化网络和查找网络故障带来了极大的方便。
3. 交换机镜像相关概念
镜像源端口:指交换机上某个被监控的端口,在该端口上传输的数据将被完整或部分的复制一份。
镜像目的端口(监控端口):指交换机上某个用来进行监控的端口,被监控端口(镜像源端口)的数据将被完整或部分的复制一份到该端口上。
4. 交换机镜像的分类
镜像分为两类:一是端口镜像,二是流镜像。
端口镜像是指将某些指定端口(出或入方向)的数据流量完全映射到监控端口,以便集中使用数据捕获软件进行数据分析。
流镜像是指按照一定的数据流分类规则对数据进行镜像,然后将属于指定流的所有数据映射到监控端口,以便进行数据分析,这个过程通常都会结合ACL (访问控制列表)来实现,可以实现更细粒度的数据流镜像。
5. 交换机镜像方式
根据交换机镜像源端口与镜像目的端口的对应方式可分类如下:
(1)一对一的镜像:一个镜像源端口映射到一个镜像目的端口上;
(2)一对多的镜像:一个镜像源端口映射到多个镜像目的端口上;
(3)多对一的镜像:多个镜像源端口映射到一个镜像目的端口上;
(4)多对多的镜像:多个镜像源端口映射到多个镜像目的端口上。
6. 交换机镜像注意事项
交换机配置镜像时需要注意如下若干注意事项,其中的后3项需要视具体设备而定,不同厂家的设备会有不同的约束条件。
(1)镜像中的镜像源端口和镜像目的端口的速率必须匹配,否则可能会丢弃数据。
(2)镜像源端口和镜像目的端口必须位于同一VLAN 内。
(3)只能有一个镜像目的端口,但可以有多个镜像源端口。
(4)可能有专用的镜像目的端口。
六. 中软吉大交换机基本命令简介
输入“Tab ”键可将命令补全,输入“?”可将本命令级别下的所有命令显示出来。 Switch>用户模式
1. 进入特权模式
Switch>enable
Switch#
2. 进入全局配置模式
Switch>enable
Switch#configure terminal
Switch_config#
3. 交换机命名
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#
4. 设置虚拟局域网vlan 1
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#interface vlan 1
S0_config_v1#ip address 192.168.0.4 255.255.255.0
5. 进入交换机某一端口
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#interface fastEthernet 0/1
可以在interface 后输入问号,交换机会将所有类型的端口显示出来,选择并输入所要进入的端口类型。
6. 开启、关闭端口
Switch>enable
Switch#configure terminal
Switch_config#hostname S0
S0_config#interface fastEthernet 0/1
S0_config_f0/1#no shutdown启用该端口
S0_config_f0/1#shutdown关闭该端口
S0_config_f0/1#description Manager添加交换机端口的描述信息
7. 查看命令
Switch>enable
Switch#show ?显示交换机所有查看命令
Switch#show version 查看系统中的所有版本信息
Switch#show interface vlan 1 查看交换机有关ip 协议的配置信息
Switch#show running-configure 查看交换机当前起作用的配置信息
Switch#show interface fastEthernet 0/1 查看交换机接口1具体配置和统计信息
8. 保存当前配置
Switch>enable
Switch#write
9. 清除当前配置信息
Switch>enable
Switch#delete
10. 重启交换机
Switch>enable
Switch#reboot
11. 查看调试信息
Switch>enable
Switch#debug ?显示交换机所有调试信息
12. 撤销命令
输入no+“要撤销命令”可将生效命令清除掉
Switch_config#interface vlan 1
Switch_config_v1#no ip address 192.168.0.4 255.255.255.0
五、arp 故障
一. ARP协议概述
Internet 是由各种各样的物理网络通过使用诸如路由器之类的设备连接在一起组成的。主机发送一个数据包到另一台主机时可能要经过多种不同的物理网络。主机和路由器都是在网络层通过逻辑地址来识别的,这个地址是在全世界范围内是惟一的。然而,数据包是通过物理网络传递的。在物理网络中,主机和路由器通过其物理地址来识别的,其范围限于本地网络中。物理地址和逻辑地址是两种不同的标识符。这就意味着将一个数据包传递到一个主机或路由器需要进行两级寻址:逻辑地址和物理地址。需要能将一个逻辑地址映射到相应的物理地址。
ARP (Address Resolution Protocol,地址解析协议)协议是处理将目的逻辑地址转换成目的物理地址的协议。在使用TCP/IP协议的以太网中,ARP 协议完成将IP 地址映射到MAC 地址的过程。
二. ARP欺骗与防范
1. 什么是ARP 欺骗
ARP (Address Resolution Protocol)是地址解析协议,是一种将IP 地址转化成物理地址的协议。从IP 地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP 具体说来就是将网络层(IP 层,也就是相当于OSI 的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI 的第二层)的MAC 地址。
ARP 协议并不只在发送了ARP 请求才接收ARP 应答。当计算机接收到ARP 应答数据包的时候,就会对本地的ARP 缓存进行更新,将应答中的IP 和MAC 地址存储在ARP 缓存中。因此,当局域网中的某台机器B 向A 发送一个自己伪造的ARP 应答,而如果这个应答是B 冒充C 伪造来的,即IP 地址为C 的IP ,而MAC 地址是伪造的,则当A 接收到B 伪造的ARP 应答后,就会更新本地的ARP 缓存,这样在A 看来C 的IP 地址没有变,而它的MAC 地址已经不是原来那个了。由于局域网的网络流通不是根据IP 地址进行,而是按照MAC 地址进行传输。所以,那个伪造出来的MAC 地址在A 上被改变成一个不存在的MAC 地址,这样就会造成网络不通,导致A 不能Ping 通C 。这就是一个简单的ARP 欺骗。
2. ARP 欺骗的种类
ARP 欺骗是黑客常用的攻击手段之一,ARP 欺骗分为二种,一种是对路由器ARP 表的欺骗;另一种是对内网PC 的网关欺骗。
第一种ARP 欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC 地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC 地址,造成正常PC 无法收到信息。
第二种ARP 欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC 向假网关发数据,而不是通过正常的路由器途径上网。在PC 看来,就是上不了网了,“网络掉线了”。 一般来说,ARP 欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
3. 如何防范ARP 欺骗
(1)查看本机的“ARP 欺骗”木马进程
同时按住键盘上的“CTRL ”和“ALT ”键再按“DEL ”键,选择“任务管理器”,点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
(2)网内感染“ARP 欺骗”木马的计算机
在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行“ipconfig ”命令。 记录网关IP 地址,即“Default Gateway”对应的值,例如“59.66.36.1”。再输入并执行“arp -a ”命令。
在“Internet Address”下找到上步记录的网关IP 地址,记录其对应的物理地址,即“Physical Address ”值,例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网
络受“ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部IP 地址,然后再查ARP 表。如果有一个IP 对应的物理地址与网关的相同,那么这个IP 地址和物理地址就是中毒计算机的IP 地址和网卡物理地址。
(3)设置ARP 表避免“ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP 地址和网关物理地址,然后在“命令提示符”窗口中输入并执行“ arp -s 网关IP 网关物理地址”命令。
(4)ARP 绑定网关
步骤一:
在能正常上网时,进入MS-DOS 窗口,输入命令“arp -a ”,查看网关的IP 对应的正确MAC 地址,并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp 缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC 地址,在不能上网只需手工将网关IP 和正确的MAC 地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS 窗口下运行下输入并执行“ arp -s 网关IP 网关MAC ”命令: 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行“arp -a”后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC 地址,类型是动态(dynamic )的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC 已经被替换成攻击机器的MAC 。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC 记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp 缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static ),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
(5)作批处理文件
在客户端做对网关的arp 绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd →确定”,输入:arp -a,点回车,查看网关对应的Physical Address。比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat ,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat 。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows →开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
(6)使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。 如果已有病毒计算机的MAC 地址,可使用NBTSCAN 等软件找出网段内与该MAC 地址对应的IP ,即感染病毒的计算机的IP 地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
六、vlan 故障
一. VLAN简介
1. 什么是VLAN
VLAN (Virtual Local Area Network)的中文名为“虚拟局域网”, VLAN 是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN 协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
2. VLAN 技术简介
VLAN 技术是在传统的以太网数据帧上增加了4个字节的特殊标注域,用于区别不同虚拟局域网用户发送出来的数据帧。在该标志域中最让我们关心的就是其中12个bit 位的VLAN ID 域,它是区别数据帧来自于哪一虚拟局域网的关键。所有的数据帧在交换机内部和交换机之间传递时,都被表明该数据帧属于哪一VLAN 。而不同VLAN 之间不能相互传递数据帧。这样使得即使连接在同一个局域网而在不同的虚拟局域网上的用户不能直接传递任何数据帧。这就是VLAN 技术。
在VLAN 技术当中还涉及到如下几种端口类型:
Access 端口:这种端口只能属于一个VLAN ,并且从该端口进来的数据包都不包含TAG 标记,数据包进入之后,会被加上该端口的VLAN ID (加上TAG 标记)。如果有数据需要从这种接口发送出去,数据帧中的TAG 标记将被删除。这种端口一般用于连接用户主机或路由器。
Trunk 端口:这种端口可以属于多个VLAN ,或者说这种端口可以传送多个VLAN 的数据帧。从这种端口发送出去的数据帧都包含有TAG 标记(缺省VLAN ID 的数据帧除外);从这种端口接收到的报文,如果已经有TAG 标记,则直接转发;如果没有TAG 标记,则加上带有缺省VLAN ID的TAG 标记。这种端口一般用于连接交换机或路由器。
Hybrid 端口:这种端口可以属于多个VLAN 。但是与Trunk 端口不同的是它所传送的数据帧,可以包含TAG 标记也可以不包含TAG 标记;而Trunk 端口则必须包含TAG 标记(缺省VLAN ID 的数据帧除外)。其发送数据帧时根据配置信息进行判断是否加上TAG 标记;接
收数据帧时和Trunk 端口相同。这种端口一般用于连接交换机或路由器。
二. VLAN设置的原则
1. 不要使用太多的secondary 地址段
路由设备比较忌讳在一个接口上捆绑太多的secondary 地址段,因为这样会极大地降低路由设备运行的效率。
2. VLAN 号和端口号相对应
将VLAN 号和端口号相对应,例如3/8端口对应的VLAN 号设为138,在维护时就比较容易,不用查配置表就可以处理了。
3. VLAN 和端口号需要配置描述信息
在VLAN 和端口上配置相应的用户信息,这样无论是谁都可以方便地处理。
三. VLAN故障常见解决方法
对于VLAN 故障的判断定位,一般的思路是分析数据帧的转发过程,特别是数据包携带的VLAN ID 的变化。看看在整个数据帧转发的过程中何时删除TAG 标签,何时增加TAG 标签,在删除和增加的过程中是否变化过VLAN ID 。这就是我们在分析VLAN 用户故障时最需要关注的几点。其次才是分析是否VLAN 路由存在问题,关于VLAN 路由存在的问题这和运行的动态路由协议相关,请参考路由故障排除部分。下面我们简要阐述几类故障的解决方法:
1. VLAN 用户隔离不成功
对于这种情况,我们首先要分析VLAN 用户数据在转发过程中的变化,特别是Isolate-user-vlan 技术存在的时候,因为有一对多的映射关系,往往容易使得VLAN ID值发生变化。当然我们在此之前最好能够检查配置信息,确保没有将用户划分在同一个VLAN 下,特别是目前都是基于端口的VLAN 用户,端口连接错误都可能致使VLAN 隔离失败。如果上述过程没有问题,再检查VLAN 路由是否存在问题,例如在同一三层交换机上启动多个VLAN 接口,这样该交换机将为每一个VLAN 接口生成一条直连路由,从而使得两个直连接口下的VLAN 间用户可以进行数据通信。对于不能进行二层转发而可以进行三层转发的用户,如果需要进行隔离,我们只能借助于交换机的包过滤技术来完成。
2. VLAN 隔离后不能进行任何通信
对于这种情况,我们在此之前最好能够检查配置信息,确保没有做端口的关闭操作或者数据过滤等设置。如果上述过程没有问题,我们需要检查对应的VLAN 虚接口是否存在,状态是否正常,其相关信息可以使用命令display interface vlan-interface 来显示。如果仍然没有问题,请检查相关的路由信息是否正确?相关故障排除手段参见路由故障排除部分。
3. 采用VLAN 技术后,无法进行设备管理
对于这种情况,一般也是由于数据帧在转发过程中,由于TAG 标记的变化而引起故障,所以其解决方法和前两种的前一部分的分析类似。在解决方案中,一般是通过配置运行端口通过某一特定VLAN 的数据包通过。根据情况确定是否加上TAG 标记。在某些场合不能彻底将管理VLAN 和用户VLAN 进行分离的时候,我们只有采用管理和业务共用VLAN 的办法。
七、网络故障诊断工具概述
一. 网络故障诊断工具概述
1. 硬件工具
(1)数字电压表
数字电压表(电压欧姆表)是多用途的电子测量工具。它被认为是任何一个计算机或电子专业人员的标准设备,它所能揭示的信息远远超出电阻两端的电压。使用电压表可以确定: ①电缆是否连接(是否有断路);
②电缆是否可以运载网络通信量;
③同一电缆的两部分是否暴露和接触(因而造成短路);
④电缆的暴露部分是否触及了另一个导体,如金属表面。
网络管理员要检查网络设备的电源。大多数电子设备是用120V 的交流电工作。但并不是所有的电源输出都满足这个要求。在较早的安装中,尤其是在大型的工业环境中,系统负荷会导致电压的降低,有时电压会降到102V 。长时间的低电压工作可能会导致电子设备出现问题。低电压通常会导致间断性的错误。可能出现的另一个极端是,过高的电压导致设备立即遭受到破坏。在新的建筑物中,不正确的电路走线有可能造成实际的电压输出高达220V 。 因此,在新的地点和新的建筑物中,必须在连接任何电子设备之前对输出电压进行检查,以确保它们在可以接受的范围内。
(2)网络测试仪
网络测试仪具有以下优点:
①测量速度快;
②测量精度高;
③工作定位准;
④节省了用户查找故障的时间。
(3)时域反射计(TDR )
TDR 沿着电缆发送类似于声纳的脉冲,仪确定电缆中是否存在断点、短路或者缺陷。当电缆出现问题时,将影响到网络的性能。如果TDR 发现了问题,就会读问题进行分析,并显示出分析的结果。TDR 沿着电缆的长度方向的有效作用距离通常有数英尺。TDR 在安装网络时使用的比较频繁,在对现在网络进行检查和维护时它也是非常有帮助的。
使用TDR 需要经过专门的训练,并且,并不是每个维护部门都有这种设备。但是。网络管理员应该知道TDR 的功能,在网络出现介质问题时,可以用它来发现缺陷。
(4)高级电缆检测器
高级电缆检测器在数据链路层、网络层、甚至在物理层工作,这已经超越了OSIvan 考模型的网络层次。它也可以显示有关网络电缆的状态信息。
(5)其他硬件工具
①交叉电缆:绕过网络,直接对计算机的通行能力进行隔离和测试。
②硬件会送设备:这是一个串口连接器,利用它,您不必将一台计算机的串口连接到另一台计算机或外设,就可以对计算机的通行能力进行测试。在利益会送的情况下,数据被传送到一条线路,然后再作为接受数据被送回。如果传送的数据没有返回,那么硬件会送就检测出硬件中存在问题。
③音调发生器和音调定位器:音调发生器是所有领域中技术人员使用的标准设备,它用来将直流的或者连续的音调信号加到电缆导体上。音调发生器被加到有疑问的电缆一端,一个匹配的音调定位器放置在电缆的另一端来测试电缆是否正常。
这些工具可以用来测试导线的连续性和线的极性,页可以用来跟踪双绞线、单个导体和同轴电缆。
④示波器:示波器是一种以单位测量信号电压值的电子装置,它在一个显示器上显示结果。当与TDR 一起使用的时候,示波器可以显示:
●短路;
●电缆中突然的弯曲和卷曲;
●开路(电缆中的断路);
●衰减(信号电源的损失)等。
2. 软件工具
(1)网络监视器
网络监视器是一种软件工具,其作用是对部分或者整个网络的通信量进行跟踪。它检查数据包并收集有关数据包类型、错误和每台计算机传入和传出的数据包通信量等信息。
网络监视器对于建立部分网络基准非常有用。在建立了基准之后,您将可以排除通信量跟踪和监视网络的使用情况,来确定是否需要对其进行升级。例如,鉴定在安装新网络之后,您了解到网络通信量使用了其全部能力的40%,在一年后在此检查数据通信量时,您注意到现在使用了全部能力的80%。如果能一直监视,就可以对通信量的增加情况进行预测,并估计应该在何时进行升级,以避免出现跟踪。
(2)协议分析器
常用的分析器有以下几种:
① Sniffer
Sniffer 是Network General 分析器家族产品的一部分,它可以对来自14种协议的帧进行解码和截取,这些协议包括AppleTalk 、WINDOWS NT、Netware 、SNA 、TCP/IP、VINES 和 X.25。Sniffer 可以用3种方式测量网络的通信量,相应的单位分别是:每秒千字节、每秒帧和可用带宽的百分比。Sniffer 可以收集LAN 通信量的统计数字,测试一些诸如新标的错误,并将这些信息在LAN 的配置文件中给出,还可以通过捕获计算机间的帧来确定是否存在瓶颈,并将结果显出来。
② Novell 的LANalyzer
LANalyzer 软件的功能和Sniffer 的功能十分类似,但它只能在Netware LAN上使用。
二. 协议分析器概述
1. 什么是协议分析器
协议分析器也称网络分析器,它通过采用数据包捕获、解码和传输数据的方法实时地分析网络通信量。管理大型网络的管理员在很大程度上依赖于协议分析器。
协议分析器通过查看数据包的内部来确定问题。它也可以根据网络通信量生成数据统计,从而帮助了解网络的总体情况。
协议分析器可以识别方位广泛的网络行为,如:
(1)确定活动频繁的计算机。
(2)确定发送错误数据包的计算机。如果某台计算机的大量通信量使得网络的速率降低,那么,该计算机应该能被移动到网络中的其他网段;如果计算机正在产生错误的数据包,则应该将该计算机从网络中除去,并对它进行修复。
(3)查看和筛选某些数据包类型。这对于通信量的路由非常有帮助。协议分析器可以确定何种类型的通信量可以通过网络中的一个给定的网络分段。
(4)跟踪网络性能以及了解其趋势。了解这些趋势将帮助管理员更好地规划和配置网络。
(5)通过生成数据测试包并对其结果进行跟踪来检查部件、连线和线缆。
(6)通过设置产生警告的参数来确定问题发生的条件。
2. 协议分析器组成
协议分析器可提供IPv4和IPv6常用协议捕获分析,并通过会话交互图、详细解析树视图和十六进制数据等形式显示分析结果。协议分析器支持同时捕获两个以上网卡数据并进行综合分析。