TCP-IP網(wǎng)絡(luò)路由診斷技術(shù)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上TCP/IP網(wǎng)絡(luò)路由診斷技術(shù) 摘要：本文論述了在TCP/IP網(wǎng)絡(luò)不通的情況下的故障診斷，著重討論了由于路由設(shè)置上問題造成的軟故障診斷以及一些常見故障現(xiàn)象和對策。一. 網(wǎng)絡(luò)故障定性當遇到計算機網(wǎng)絡(luò)無法連通、網(wǎng)絡(luò)應用程序無法工作時，我們就需要找出問題之所在。一般來講，所出現(xiàn)的問題不外乎兩種情形：網(wǎng)絡(luò)本身無法連通或是計算機軟件的故障（包括應用軟件和網(wǎng)絡(luò)驅(qū)動程序等故障）。當然也存在同時牽涉到兩個方面的可能性，但這是罕見的，并且一般只是與性能問題有關(guān)而不會導致無法連通，所以通常不予考慮。要區(qū)分問題究竟出在那個方面，最基本的方法也就是我們最常用的ping命令：如果能夠p

2、ing通，那么問題就肯定出在軟件方面，如果ping不通，問題則出在網(wǎng)絡(luò)上。在這點上只有兩點例外需要注意：一. 是路由中如有經(jīng)過象64K或56K這樣低速連接的情形，當其它計算機有很大的流量通過時，數(shù)據(jù)包往返傳輸?shù)臅r延有可能要超過4、5秒鐘以上、并且出現(xiàn)丟包，由于一般ping的接收等待時間只有1到1.5秒，這時候就會出現(xiàn)ping不通的假象（應用程序也可能會出現(xiàn)無法連接的情況），辦法是ping時加一個時延參數(shù)再試：        ping <目的地址> -w 6000 （Windows格式） 

3、60;      ping <目的地址> -i 6 （Compaq Tru64、Digital UNIX和 Linux）        ping <目的地址> 6 （3Com路由器格式）        對于cisco路由器，需進入enable模式后ping回車再輸入?yún)?shù)。這樣在程序認為超時之前允許有6秒的時延。根據(jù)經(jīng)驗，在這種情況下如果發(fā)出了十個包還沒有

4、響應，就可以基本認定是網(wǎng)絡(luò)不通了。二. 是在Internet上有極少數(shù)主機被設(shè)置成對ping數(shù)據(jù)包不作響應，這時候就不能用ping命令來診斷了，但在內(nèi)部網(wǎng)上是不大可能有人這樣做的。另一種可能是在網(wǎng)絡(luò)路由中設(shè)有對特定TCP/UDP端口過濾的防火墻，這時候雖然ping也能ping通，某些應用程序卻不能連通，這種情況對于這一端來說，就和對方的服務(wù)器程序沒有運行完全一樣，無法區(qū)分。但是如果對方也參與診斷的話，和對方本地局域網(wǎng)的應用檢查結(jié)果相比較就可以知道問題之所在。最近由于病毒的因素，內(nèi)部網(wǎng)上也開始封ICMP包（ping和trace route），這給網(wǎng)絡(luò)故障診斷帶來了很大的麻煩。這時候可以通過嘗試應

5、用能否連接測試連通性（如web、ftp、telnet、特定應用程序或掃描對方端口），但只有能連說明是好的，連不通則相對缺乏診斷意義。如果通過ping確診了是網(wǎng)絡(luò)不通，下一步就是要查出問題出在網(wǎng)絡(luò)的那個地方，本文只論述網(wǎng)絡(luò)方面故障的診斷和修復，不討論軟件方面的問題。不過在進行這一步工作之前，我們還是要先明確一些TCP/IP網(wǎng)絡(luò)的基本概念。 二. TCP/IP網(wǎng)絡(luò)傳輸基本概念1. 首先TCP/IP網(wǎng)絡(luò)的傳輸基礎(chǔ)是基于IP數(shù)據(jù)包轉(zhuǎn)發(fā)的無連接傳輸，也就是說在TCP/IP網(wǎng)絡(luò)中傳輸?shù)闹皇荌P數(shù)據(jù)包，不事先建立點到點的連接，而且IP包的傳送是一跳一跳從路由器到路由器接力傳送的，每一跳也只管轉(zhuǎn)發(fā)到下一節(jié)點，

6、跳與跳之間在傳輸上是沒有關(guān)聯(lián)的。在每個IP數(shù)據(jù)包頭中都有一個目的IP地址，路由器只根據(jù)這個目的地址就可以決定應該把IP包轉(zhuǎn)發(fā)到哪個相鄰的路由器或主機，在每個路由器和主機中都有一個路由表，根據(jù)目的IP地址對照這個表就可以決定IP包的轉(zhuǎn)發(fā)方向，該路由表只記錄轉(zhuǎn)發(fā)的下一跳地址而不是全部路徑。一般只有象防火墻這樣的設(shè)備才檢查IP包的源IP地址和端口等其它內(nèi)容決定是否讓IP包通過。 2. 其次是IP地址。在一個正常連通的TCP/IP網(wǎng)絡(luò)中，每一個節(jié)點（主機和路由器）都至少有一個IP地址，這一IP地址雖然通常是手工設(shè)定的但在該網(wǎng)絡(luò)中卻是唯一的。在目前使用的IPv4版本中，每個IP地址都是一個32比特的整數(shù)

7、或為了方便起見用4個0255的整數(shù)表示，如的形式。 3. 然后是網(wǎng)段。雖然每個節(jié)點都有其唯一的IP地址，但是如果讓路由表記錄到達全網(wǎng)絡(luò)中每一個IP地址的路由還是過于困難了，這樣的路由表會由于過于龐大而無法維護和更新，所以每個節(jié)點的地址都不是隨意分配的，位于同一個網(wǎng)段上的節(jié)點其IP地址中的某些比特都被設(shè)定成是相同的，這樣在路由表只要用一項就可以代表到達這一網(wǎng)段所有點的路由了。那么什么是網(wǎng)段呢，這又牽涉到兩個概念：物理網(wǎng)段和邏輯網(wǎng)段。 4. 對于物理網(wǎng)段來說，只要一個節(jié)點所發(fā)出的IP包可以不通過IP級別的中轉(zhuǎn)（路由器）直接到達另一個節(jié)點（即能否到達與IP地址設(shè)置無關(guān)），這兩個

8、節(jié)點就算在同一個物理網(wǎng)段，具體來說又分為兩種情形：點對點直接連接（如專線或撥號串行線路），這時候一點上發(fā)出的數(shù)據(jù)包總是直接到達另一點；廣播網(wǎng)絡(luò)（如以太網(wǎng)），這時候某一點發(fā)出的數(shù)據(jù)包可以直接到達到相連網(wǎng)絡(luò)中的每一點。對于以太網(wǎng)來說，通過交換機和集線器所串聯(lián)起來的每一點都在同一個廣播域內(nèi)，所以都算在同一個物理網(wǎng)段，這其間雖然也有設(shè)備的中轉(zhuǎn)，但這是在低層的以太網(wǎng)幀格式基礎(chǔ)上的，不是在IP數(shù)據(jù)包級別上的。 5. 邏輯網(wǎng)段則是由IP地址的設(shè)置所決定的，在同一個邏輯網(wǎng)段中各節(jié)點IP地址的某些特定位置（一般是前若干個）的比特被設(shè)定成一個共同的值，而其余部分則各不相同以示區(qū)分。為了定義一個節(jié)點所在的邏輯網(wǎng)段，

9、實際上每個節(jié)點的IP設(shè)置都需要有兩個參數(shù)：IP地址和子網(wǎng)掩碼。子網(wǎng)掩碼定義了在一個邏輯網(wǎng)段中IP地址的那些比特是相同的，但沒有定義這相同部分的內(nèi)容，所以要了解這相同部分的具體值，還要結(jié)合IP地址一起來看。子網(wǎng)掩碼本身雖然不在網(wǎng)絡(luò)中傳播，但卻是IP設(shè)置中一個必不可少的組成部分，在一個邏輯網(wǎng)段中的所有節(jié)點的子網(wǎng)掩碼都應該相同。子網(wǎng)掩碼的格式和IP地址相同，當作為32比特整數(shù)看時，為1的比特表示在該邏輯網(wǎng)段內(nèi)所有IP地址中這些位置的比特必須相同，為0則不必。將IP地址和子網(wǎng)掩碼比特相與，得到的地址稱為該邏輯網(wǎng)段的網(wǎng)絡(luò)號，如網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為，則網(wǎng)絡(luò)

10、號為。 檢查兩個IP地址是否在同一個邏輯網(wǎng)段，只要檢查其網(wǎng)絡(luò)號是否相同就可以了。將IP地址與子網(wǎng)掩碼的反相或，得到的地址為該邏輯網(wǎng)段的廣播地址，用于在邏輯網(wǎng)段中廣播用，如上例中廣播地址為55。需要注意的是在分配IP地址時，網(wǎng)絡(luò)號和廣播地址都是保留的，不能用作實際設(shè)備的IP地址。 6. 轉(zhuǎn)發(fā)規(guī)則。當某個節(jié)點（主機或路由器）有一IP包需要發(fā)出或轉(zhuǎn)發(fā)時，先檢查該包的目的地址，如果和自身子網(wǎng)掩碼計算出的網(wǎng)絡(luò)號與本節(jié)點的網(wǎng)絡(luò)號相同，即和本節(jié)點在同一邏輯網(wǎng)段，則認為其也在同一物理網(wǎng)段，可以直接送達，不需再通過路由器轉(zhuǎn)發(fā)，因而直接將其發(fā)出。由此可見，在一個網(wǎng)絡(luò)中，

11、如果若干節(jié)點的IP地址被設(shè)置成在一個邏輯網(wǎng)段中，那么就應該將其置于同一個物理網(wǎng)段，否則互相之間就無法通訊。反過來說，在同一個物理網(wǎng)段中，如果有很多節(jié)點，或某些節(jié)點上有多個IP地址，這些IP地址沒有必要非設(shè)定在同一個邏輯網(wǎng)段中，但是如果配置成不同的邏輯網(wǎng)段，兩點之間即使是直接相通的，也只有借助路由器（某些計算機也可配置成路由器）中轉(zhuǎn)才能通訊。當發(fā)現(xiàn)IP包的目的地址不在本邏輯網(wǎng)段，這時候就需要檢查路由表來決定將其送到何處（其實前述操作也是通過查路由表實現(xiàn)的）。雖然不同的路由協(xié)議有不同的路由表格式，但最基本的內(nèi)容有四項：網(wǎng)絡(luò)號，子網(wǎng)掩碼，網(wǎng)關(guān)，距離。前兩項定義了位于遠端的一個邏輯網(wǎng)段，如果目的地址被

12、檢查后認為是在該網(wǎng)段，則將IP包送到對應的下一跳（網(wǎng)關(guān)），由該網(wǎng)關(guān)負責下一步的轉(zhuǎn)發(fā)。至于距離，則是一種度量，當目的地址與多個路由表條目相符合時，則將IP包送到距離值最小的網(wǎng)關(guān)。 7. 路由器（正式名字是網(wǎng)關(guān)）是一種連接至少兩個邏輯網(wǎng)段的數(shù)據(jù)包轉(zhuǎn)發(fā)設(shè)備，某些計算機可能裝有兩塊網(wǎng)絡(luò)適配器，工作在兩個以上邏輯或物理網(wǎng)段，但只要沒有轉(zhuǎn)發(fā)功能，仍然不是路由器。IP包的轉(zhuǎn)發(fā)過程總是通過從一個邏輯網(wǎng)段再到另一個邏輯網(wǎng)段的接力方式完成的，與實際傳輸?shù)慕橘|(zhì)無關(guān)。路由器之間通過特有的路由協(xié)議互相交換動態(tài)的路由信息，更新路由表，最常用的路由協(xié)議有OSPF，EIGRP，RIP等等，當用計算機充當路由器時，一般只能接收

13、RIP協(xié)議。 8. 缺省路由是網(wǎng)絡(luò)號為，子網(wǎng)掩碼為形式的路由，在某些計算機中也顯示為default，所有IP地址都符合這一路由，也就是說這是路由轉(zhuǎn)發(fā)的最后選擇，所有不符合其他路由的IP包都將被送到該路由指定的路徑。有一點與其它路由不同，即使一個普通路由的距離大于缺省路由，IP包還是會優(yōu)先轉(zhuǎn)發(fā)到該普通路由而不是缺省路由。 現(xiàn)有常規(guī)的TCP/IP程序都是基于雙向握手原理的，也就是兩臺計算機必須有有包來回傳遞才能工作，即使是UDP程序不需要建立連接，基本上也只有在兩個方向的IP包都可以到達的情況下才能工作。因此，當一個點和另一個點能夠連通時，我們指的實際上是雙向暢通，必要

14、條件是源節(jié)點要有指向目標節(jié)點的路由，中間節(jié)點既要有指向目標節(jié)點也要有指向源節(jié)點的路由，而目標節(jié)點則需要指向源節(jié)點的路由，缺一不可（雖然少數(shù)情況下由于路由設(shè)置的問題會出現(xiàn)路由不對稱，即數(shù)據(jù)包來回走兩個不同的路徑，但原理是一致的）。三. 診斷基本步驟當我們確診是網(wǎng)絡(luò)不通后，基本的可能性有三個：網(wǎng)絡(luò)中某段物理連接不通；網(wǎng)絡(luò)上的某個節(jié)點缺少路由，某個節(jié)點不轉(zhuǎn)發(fā)數(shù)據(jù)包（如設(shè)置了防火墻限制或計算機沒有打開IP包轉(zhuǎn)發(fā)功能）。先讓我們看一下僅從源節(jié)點開始診斷，能知道些什么？ 1. 首先，我們會從源節(jié)點ping目標節(jié)點，如果返回的是Request timed out信息，我們只知道是不通，除此之外別的什么也不知

15、道；但是如果返回的是Host unreachable，則意味著本地路由表中沒有指向目標節(jié)點的路由，如果有中間節(jié)點返回該信息，則表明該中間節(jié)點缺少指向目標節(jié)點的路由（不過沒有路由并不一定會返回該信息）。 如果返回其它信息，還需要區(qū)別對待。 2. 下一步是另一個最常用的命令traceroute跟蹤路由，格式為：tracert -d <目的地址> (Windows格式，-d不反向DNS解析以免浪費時間)traceroute <目的地址> (UNIX格式)  tr <目的地址> (Cisco和3Com路由器格式)  這一命令顯示IP包所經(jīng)過中間點

16、的IP地址。如果到了某處后沒有結(jié)果，就可以認為在該處與下一點之間出了問題。但是具體性質(zhì)仍無法知曉。 3. 還有一個命令就是顯示路由命令，格式如下：route print  (Windows格式)netstat -r 或 netstat -rv (UNIX格式，-v參數(shù)顯示子網(wǎng)掩碼) sh ip route  (Cisco路由器格式) sh -ip allr  (3Com路由器格式)  這一命令顯示本節(jié)點的路由表，雖然各種路由協(xié)議顯示格式各不相同，但前面所敘的四個要素總是有的。 有些路由器會以類似/24的形式顯示路由，這表示網(wǎng)絡(luò)號為1

17、而子網(wǎng)掩碼為24個比特1加32-24=8比特個0即。 從源節(jié)點診斷，最多能知道本節(jié)點缺少路由或從網(wǎng)絡(luò)中某一點之后不通。當源節(jié)點是計算機時，缺少路由的問題通常是沒有設(shè)置指向路由器的缺省路由，有些操作系統(tǒng)（或其中某些版本）可以接收路由器的自我宣告廣播（ Router Discovery Protocol）而把缺省路由自動指向該路由器，而另外一些則不行。當源節(jié)點是路由器時，缺少路由的問題通常是對方?jīng)]有廣播所需要的路由，或由于路由協(xié)議不匹配而接收不到對方的路由廣播，以及在某些情況下沒有設(shè)置缺省路由。假如我們熟知網(wǎng)絡(luò)拓撲結(jié)構(gòu)，知道是在最后一個路由器和目標節(jié)點

18、之間不通，那么我們還可以猜測是目標節(jié)點沒有指向源節(jié)點地址的反向路由，最常見的就是沒有設(shè)置指向路由器的缺省路由，但是也可能就是這最后一段不通（這可以通過ping該網(wǎng)段其它已知的IP地址來減小這種可能性），或目標沒有開機。如果能從源節(jié)點（或同網(wǎng)段）直接登錄到最后一個路由器上且ping通目標節(jié)點，而從源節(jié)點卻直接ping不通，則可以斷定是沒有設(shè)置反向路由，這是最常見的。假如能從目標節(jié)點反向診斷，方法是完全相同，因為IP的路由是雙向的。但是結(jié)合兩端的診斷結(jié)果，就可以得出要明確許多的結(jié)論，將故障點直接定位在網(wǎng)絡(luò)中某一段，并首先查出兩端的故障。當然如果目標節(jié)點是計算機，通常只有UNIX/Linux操作系統(tǒng)

19、才提供通過telnet連接進行遠程反向診斷的功能。如果故障定位在網(wǎng)絡(luò)中間的一段，要得出更明確的結(jié)果只有通過訪問路由器了，當然這需要有路由器的口令。我們可以逐段檢查，也可以從traceroute指出的可通達的最遠點開始，這要看你所具有的訪問權(quán)限了。路由器是敏感的網(wǎng)絡(luò)部件，并且可能有日志記錄，所以要盡量避免訪問你沒有權(quán)限的路由器。檢查的基本點有兩個：路由和端口狀態(tài)，這里的端口狀態(tài)是指路由器上的各網(wǎng)絡(luò)適配器是否工作。顯示路由的命令前面已經(jīng)提過，如果你是從源節(jié)點或與其同網(wǎng)段的機器直接登錄到路由器上，那么就不需要檢查路由器到源節(jié)點的路由，否則兩個方向的路由都要檢查是否有?？焖贆z查端口的命令格式如下：&#

20、160;       sh ip int bri （Cisco路由器格式）        sh int （Cisco路由器格式-檢查端口）        sh -ip net（3Com路由器格式）        sh -pa conf （3Com路由器格式-檢查邏輯端口） 

21、60;      sh -po conf （3Com路由器格式-檢查物理端口） 檢查的重點是Up和Down字樣，如果某一行出現(xiàn)Down字樣，毫無疑問該端口已經(jīng)斷開，無法通過此端口通訊，只有檢修物理線路；而標有Up字樣只能表示直接連接的物理設(shè)備是工作的（如以太網(wǎng)集線器），并不能肯定到對端暢通（點對點線路一般較肯定），要確定線路是否通暢的方法還是直接ping相鄰端的IP地址，問題是在這種情況下你常常會不知道對端路由器的相鄰IP地址（所以平時記錄下各種地址的配置是很有用的），如果是運行PPP協(xié)議的串行線路，該網(wǎng)段常常會只分配成僅容納兩個IP

22、地址（子網(wǎng)掩碼52）以節(jié)省地址占用，這時候根據(jù)本地地址就可以推斷出對方地址；另外也可以檢查路由表和路由協(xié)議狀態(tài)（如Cisco中sh ip ospf neig），看是否有從對端傳來的路由，從中獲取地址；對于Cisco路由器上的以太網(wǎng)端口，還可以用sh arp命令試圖找出對端IP地址。如果上述辦法都不奏效，那就只有仔細檢查端口狀態(tài)，試圖從中找出蛛絲馬跡，還不行就不能依靠遠程手段只能到現(xiàn)場檢查了。對于端口為Up卻不能和對方ping通的情況，也有三種可能：線路中斷，對端路由器關(guān)機，對端路由器配置錯誤（如IP地址和本地不在同一個邏輯網(wǎng)段）。第一種情況只有檢查物理設(shè)備才能查出，第

23、二種只有對端配合檢查，第三種情況有可能通過檢查路由協(xié)議狀態(tài)等方法查出，但這是很不確定的。對于串行線路，如果外圍設(shè)備顯示鏈路正常但路由器PPP協(xié)議沒有起來(Up)，說明對方設(shè)備故障或該線路通過多段鏈路的情況下非直接相連的鏈路中斷。當然在開始上述兩項檢查之前，你還可以在中間路由器上分別ping目標節(jié)點和源節(jié)點的IP地址。如果這兩個方向都是通的，那么是否意味著從源節(jié)點到目標節(jié)點就是通的呢？答案是否定的！這樣的結(jié)果只能表明物理線路是沒有問題的，但由于路由或防火墻的設(shè)置，從源節(jié)點發(fā)出的IP包仍有可能無法到達目標節(jié)點，反之亦然。無論是路由器還是計算機，如有多個IP地址，當從自身發(fā)出IP包時，總是使用最靠近

24、目標節(jié)點的IP地址做為源地址，對于從路由器到目標節(jié)點方向，路由器發(fā)出的IP包可能能通過防火墻檢查而源節(jié)點發(fā)出的IP包由于源地址在另一個網(wǎng)段而可能被過濾；當信息包返回時，源地址變成目的地址，在網(wǎng)絡(luò)中可能只有到中間路由器的路由，而根本就沒有指向源節(jié)點地址的路由。所以一旦確定物理線路是連通的，在路由器上進行的任何檢查都不能取代從源節(jié)點或目標節(jié)點上的ping檢查。ping檢查一般是雙向等價的，也就是如果從某一點ping另一點是通的，那么反向ping也可以認為是通的（注意當源節(jié)點有多個IP地址時，反向ping等價是指到目標節(jié)點最近的一個IP地址），因為ping操作需要數(shù)據(jù)包雙向的傳輸，從不同方向ping

25、只有通過路徑先后的區(qū)別，IP包的傳輸過程是一模一樣的。但筆者也遇到過ping虛（standby）IP地址不通而反向ping是通的不對稱情形，（standby ip address 是指幾臺路由器或計算機共用一個IP地址，其中一臺失效后另一臺頂上），估計與ARP地址解析有關(guān)；另一個例子是目標節(jié)點是路由器，可以ping通而從該路由器上反向ping卻不通，最后發(fā)現(xiàn)ping該路由器離源節(jié)點最近的地址不通（路由器總是有多個IP地址的），因此從目標節(jié)點的反向ping檢查才會不通。這些就更說明了在疑難情況下，需從原理上分析的重要性。歸納一下：只要ping的源節(jié)點或目標節(jié)點中有一個配有多IP地址，檢查就需要雙

26、向進行。而如果ping檢查通過沒問題，則說明網(wǎng)絡(luò)是好的，需要考慮的只有IP層以上的問題：即應用程序問題，或中間有路由器（訪問列表）或防火墻封鎖了TCP/UDP的特定端口，如果用掃描程序查出對方應用程序所用的TCP端口是開著的，則只能是應用上的問題了（還有例外如特殊的防火墻，但內(nèi)網(wǎng)是不大可能遇到的）。四. 常見故障現(xiàn)象及對策以上簡單描述了在路由器上進行網(wǎng)絡(luò)診斷的步驟。相對來講，線路不通等硬件故障雖然單從路由器狀態(tài)絕對定性比較困難，相對判斷卻是比較容易的，可以通過觀察其它設(shè)備狀態(tài)和替換等方法定性。非硬件的的軟故障則較難判斷。路由方面的故障存在著各種因素，一般都是對方?jīng)]有將所需的路由廣播過來或自己沒

27、有將己方的路由廣播過去，診斷的關(guān)鍵點是一定要對雙向路由的每一跳都做檢查。防火墻設(shè)置造成的問題則更難診斷，一般來說，如果不能登錄到有防火墻設(shè)置的路由器上就難以確診，但是也可以從兩端逐步排除路由問題的可能性（即防火墻兩側(cè)的點雙向路由都存在并可通）來確定不能連通的原因是出在防火墻設(shè)置上。如果在同一個邏輯網(wǎng)段中出現(xiàn)某些點可通而另一些點不可通，可能是防火墻造成的，也可能是靜態(tài)路由（默認網(wǎng)關(guān)）設(shè)置造成的。對于路由問題，一個常見的因素是用靜態(tài)路由取代動態(tài)路由交換引起的，有許多管理員喜歡禁止路由廣播而通過手工設(shè)置靜態(tài)路由來管理網(wǎng)絡(luò)的連通性，如果一個網(wǎng)絡(luò)只有兩、三個路由器，這通常不會有什么問題，如果有十個以上，

28、這常常會是一場災難。只用靜態(tài)路由存在兩個方面的問題：一是靜態(tài)路由缺省是不廣播的，這樣的話只有對直接把缺省路由指向該路由器上的節(jié)點靜態(tài)路由才起作用，通過其它路由器轉(zhuǎn)接就無法訪問用靜態(tài)路由指向的網(wǎng)段（除非其它路由器的缺省路由都指向本路由器）；二是即使你廣播靜態(tài)路由，你仍然沒有把本地的路由廣播到靜態(tài)路由指向的對端，對于靜態(tài)路由指向的對端來說，它也需要設(shè)置一個靜態(tài)路由（也許還不止一個）指向你才能互通。如果路由器數(shù)量增長的話，需要設(shè)置的靜態(tài)路由數(shù)量就會呈指數(shù)增長，而管理員則會發(fā)覺自己在疲于奔命解決連通性問題。路由因素的另一個問題是路由協(xié)議的轉(zhuǎn)換，一個大型的網(wǎng)絡(luò)常常使用不止一種路由協(xié)議，在實行兩種協(xié)議的分

29、界處如果沒有一臺路由器設(shè)置轉(zhuǎn)換功能，就會出現(xiàn)路由廣播的中斷，造成無法連通。設(shè)置協(xié)議轉(zhuǎn)換常常比較復雜，但是這種做法還是相對于設(shè)置靜態(tài)路由有明顯的優(yōu)點：一個大的網(wǎng)絡(luò)常常是由不同部門管理的，要求對方為自己設(shè)置一個或多個靜態(tài)路由不僅很麻煩更主要的是以后難以改動，協(xié)議轉(zhuǎn)換就沒有這個問題；協(xié)議轉(zhuǎn)換的另一個優(yōu)點是當對方某個線路中斷，在路由表中能動態(tài)的反映出來，而靜態(tài)路由是不會變化的，這在網(wǎng)絡(luò)中存在多個路徑時特別有用，可以通過迂回路由繼續(xù)工作。如果你所在的子網(wǎng)和大的網(wǎng)絡(luò)只有一個連接，設(shè)置缺省路由也是一個辦法，靜態(tài)缺省路由將所有不屬于本子網(wǎng)的IP包轉(zhuǎn)發(fā)到大網(wǎng)中，從而簡化了路由結(jié)構(gòu)，這種方法雖然有一丁點副作用，但

30、還是切實可行的，不過在大網(wǎng)中仍然要設(shè)置指向你所在子網(wǎng)的靜態(tài)路由。還有些管理員喜歡通過設(shè)置防火墻（訪問列表）而不是限制路由廣播來限制某些網(wǎng)段的可連通性，當然這樣做在設(shè)置上要容易一些，但這在多個部門管理并有多條路徑的網(wǎng)絡(luò)中會產(chǎn)生嚴重的問題，如果防火墻廣播的路由是最近路由，IP包就會優(yōu)先轉(zhuǎn)發(fā)到該防火墻，而最后卻無法通過，其它部門的管理員常常要化很大力氣來屏蔽掉這些無用的路由。雖然這種情況倒也不常見，但是光進行防火墻設(shè)置而不屏蔽路由廣播，會暴露出網(wǎng)絡(luò)內(nèi)部的細節(jié)，增加被攻擊的危險，這和網(wǎng)絡(luò)安全性原則是相違背的。如果某些路由器的路由設(shè)置出現(xiàn)了問題，從遠端就難以直接登錄上去，但是只要物理線路連通和其IP地址

31、設(shè)置正確，從與其相鄰路由器總是可以登錄上去的（除非做了訪問限制）。因此可以先登錄到相鄰路由器，再用telnet協(xié)議登錄到該路由器，同理，假如目標節(jié)點是UNIX機器，也可以通過這種方法通過多跳登錄到目標主機上，進行反向診斷。其它問題：注意如果你正在單機上用撥號上Internet網(wǎng)，你將只能同時訪問自己所在的網(wǎng)段，而不能同時連接企業(yè)內(nèi)部網(wǎng)的其它網(wǎng)段，除非你手工添加指向你所要訪問網(wǎng)段的靜態(tài)路由。因為這時候撥號網(wǎng)絡(luò)自動成為缺省網(wǎng)關(guān)且優(yōu)先于其它缺省網(wǎng)關(guān)。 五. 路由設(shè)置診斷出路由問題后，如發(fā)現(xiàn)缺少路由則需要進行路由設(shè)置，對于計算機，一般不提倡設(shè)置局部的靜態(tài)路由，只設(shè)置指向路由器的缺省路由就可以了，路由尋

32、址由路由器解決，但有時也可在計算機上設(shè)置靜態(tài)路由以作為驗證之用和應急措施。如果診斷結(jié)果為某計算機缺少缺省路由，也可以不加缺省路由而靠安裝設(shè)置RIP路由協(xié)議解決，但這樣做過于復雜而且路由器也要設(shè)置成廣播或轉(zhuǎn)換其它協(xié)議到RIP路由協(xié)議。（路由器的路由設(shè)置是很復雜的話題，這里不再繼續(xù)探討）。對于某些UNIX平臺或Win95版本低于OSR2(右鍵單擊我的電腦|屬性|常規(guī)，版本號小于4.00.95b)，計算機可能不能自動接收路由器的自我宣告廣播，必須手動設(shè)置缺省網(wǎng)關(guān)。對于其它計算機，如一個網(wǎng)段有多個路由器而要指定使用的路由器或某些路由器沒有設(shè)成自動宣告（RDP），也要設(shè)置缺省網(wǎng)關(guān)。在Windows平臺上

33、設(shè)置缺省網(wǎng)關(guān)的方法：右鍵單擊“網(wǎng)上鄰居”，選擇“屬性”，雙擊網(wǎng)卡的TCP/IP一項，選擇“網(wǎng)關(guān)”，添加缺省網(wǎng)關(guān)。注意不要試圖為多個IP地址添加多個缺省網(wǎng)關(guān)，這幾乎總是會帶來穩(wěn)定性問題，設(shè)置兩個缺省網(wǎng)關(guān)并不會讓計算機有足夠的智能根據(jù)目的地址的不同將你的IP包分別發(fā)到不同的缺省網(wǎng)關(guān)中去，結(jié)果只會是在兩個網(wǎng)關(guān)間來回切換，造成時通時不通的問題。如果需要同時訪問兩個網(wǎng)絡(luò)，可以只設(shè)一個缺省網(wǎng)關(guān)指向大網(wǎng)，再設(shè)靜態(tài)路由指向較小的網(wǎng)來解決。在Windows平臺添加靜態(tài)路由的方法：在命令行執(zhí)行 route add <網(wǎng)絡(luò)號> mask <子網(wǎng)掩碼> <網(wǎng)關(guān)>這樣添加的路由在系統(tǒng)

34、重新啟動后就會丟失，如果是Windows NT/2000/XP可以在route 之后加上 -p 命令行參數(shù)以使其能夠持久，重啟動也不會丟失。對于UNIX平臺，添加靜態(tài)路由的方法隨UNIX版本的不同各有不同：在Linux中：route add default gw <缺省網(wǎng)關(guān)>route add -net <網(wǎng)絡(luò)號> netmask <子網(wǎng)掩碼> gw <網(wǎng)關(guān)>在Compaq Tru64或Digital UNIX中：route add default <缺省網(wǎng)關(guān)>route add -net <網(wǎng)絡(luò)號> / <掩碼比特

35、數(shù)> <網(wǎng)關(guān)> 在HP-UX中：route add default <缺省網(wǎng)關(guān)>route add net <網(wǎng)絡(luò)號>  netmask <子網(wǎng)掩碼> <網(wǎng)關(guān)>  但是這些操作添加的路由在重啟動后都不能保存，需要持久的路由要通過操作系統(tǒng)中的實用工具配置或直接修改特定配置文件。刪除路由操作和添加命令類似，不過變成route delete或route del形式。 王大慶第一稿 發(fā)表于通訊技術(shù)與管理2000年第2期第二稿 最后修訂于2003.11.7附錄：數(shù)據(jù)鏈路故障診斷提示對于路由器的點對點線路故障，排查主要是在路由器外的設(shè)備上進行的，但是同時在路由器上檢查端口狀態(tài)和配合診斷，能有利于故障診斷，加快修復進程。為了檢測路由器之間串行通道的故障，我們可以使線路loop環(huán)回的辦法測試，但是在線路已經(jīng)打環(huán)后路由器端口狀態(tài)如何顯示因