TCP-IP網(wǎng)絡(luò)路由診斷技術(shù)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上TCP/IP網(wǎng)絡(luò)路由診斷技術(shù) 摘要：本文論述了在TCP/IP網(wǎng)絡(luò)不通的情況下的故障診斷，著重討論了由于路由設(shè)置上問(wèn)題造成的軟故障診斷以及一些常見(jiàn)故障現(xiàn)象和對(duì)策。一. 網(wǎng)絡(luò)故障定性當(dāng)遇到計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法連通、網(wǎng)絡(luò)應(yīng)用程序無(wú)法工作時(shí)，我們就需要找出問(wèn)題之所在。一般來(lái)講，所出現(xiàn)的問(wèn)題不外乎兩種情形：網(wǎng)絡(luò)本身無(wú)法連通或是計(jì)算機(jī)軟件的故障（包括應(yīng)用軟件和網(wǎng)絡(luò)驅(qū)動(dòng)程序等故障）。當(dāng)然也存在同時(shí)牽涉到兩個(gè)方面的可能性，但這是罕見(jiàn)的，并且一般只是與性能問(wèn)題有關(guān)而不會(huì)導(dǎo)致無(wú)法連通，所以通常不予考慮。要區(qū)分問(wèn)題究竟出在那個(gè)方面，最基本的方法也就是我們最常用的ping命令：如果能夠p

2、ing通，那么問(wèn)題就肯定出在軟件方面，如果ping不通，問(wèn)題則出在網(wǎng)絡(luò)上。在這點(diǎn)上只有兩點(diǎn)例外需要注意：一. 是路由中如有經(jīng)過(guò)象64K或56K這樣低速連接的情形，當(dāng)其它計(jì)算機(jī)有很大的流量通過(guò)時(shí)，數(shù)據(jù)包往返傳輸?shù)臅r(shí)延有可能要超過(guò)4、5秒鐘以上、并且出現(xiàn)丟包，由于一般ping的接收等待時(shí)間只有1到1.5秒，這時(shí)候就會(huì)出現(xiàn)ping不通的假象（應(yīng)用程序也可能會(huì)出現(xiàn)無(wú)法連接的情況），辦法是ping時(shí)加一個(gè)時(shí)延參數(shù)再試：        ping <目的地址> -w 6000 （Windows格式） 

3、60;      ping <目的地址> -i 6 （Compaq Tru64、Digital UNIX和 Linux）        ping <目的地址> 6 （3Com路由器格式）        對(duì)于cisco路由器，需進(jìn)入enable模式后ping回車再輸入?yún)?shù)。這樣在程序認(rèn)為超時(shí)之前允許有6秒的時(shí)延。根據(jù)經(jīng)驗(yàn)，在這種情況下如果發(fā)出了十個(gè)包還沒(méi)有

4、響應(yīng)，就可以基本認(rèn)定是網(wǎng)絡(luò)不通了。二. 是在Internet上有極少數(shù)主機(jī)被設(shè)置成對(duì)ping數(shù)據(jù)包不作響應(yīng)，這時(shí)候就不能用ping命令來(lái)診斷了，但在內(nèi)部網(wǎng)上是不大可能有人這樣做的。另一種可能是在網(wǎng)絡(luò)路由中設(shè)有對(duì)特定TCP/UDP端口過(guò)濾的防火墻，這時(shí)候雖然ping也能ping通，某些應(yīng)用程序卻不能連通，這種情況對(duì)于這一端來(lái)說(shuō)，就和對(duì)方的服務(wù)器程序沒(méi)有運(yùn)行完全一樣，無(wú)法區(qū)分。但是如果對(duì)方也參與診斷的話，和對(duì)方本地局域網(wǎng)的應(yīng)用檢查結(jié)果相比較就可以知道問(wèn)題之所在。最近由于病毒的因素，內(nèi)部網(wǎng)上也開(kāi)始封ICMP包（ping和trace route），這給網(wǎng)絡(luò)故障診斷帶來(lái)了很大的麻煩。這時(shí)候可以通過(guò)嘗試應(yīng)

5、用能否連接測(cè)試連通性（如web、ftp、telnet、特定應(yīng)用程序或掃描對(duì)方端口），但只有能連說(shuō)明是好的，連不通則相對(duì)缺乏診斷意義。如果通過(guò)ping確診了是網(wǎng)絡(luò)不通，下一步就是要查出問(wèn)題出在網(wǎng)絡(luò)的那個(gè)地方，本文只論述網(wǎng)絡(luò)方面故障的診斷和修復(fù)，不討論軟件方面的問(wèn)題。不過(guò)在進(jìn)行這一步工作之前，我們還是要先明確一些TCP/IP網(wǎng)絡(luò)的基本概念。 二. TCP/IP網(wǎng)絡(luò)傳輸基本概念1. 首先TCP/IP網(wǎng)絡(luò)的傳輸基礎(chǔ)是基于IP數(shù)據(jù)包轉(zhuǎn)發(fā)的無(wú)連接傳輸，也就是說(shuō)在TCP/IP網(wǎng)絡(luò)中傳輸?shù)闹皇荌P數(shù)據(jù)包，不事先建立點(diǎn)到點(diǎn)的連接，而且IP包的傳送是一跳一跳從路由器到路由器接力傳送的，每一跳也只管轉(zhuǎn)發(fā)到下一節(jié)點(diǎn)，

6、跳與跳之間在傳輸上是沒(méi)有關(guān)聯(lián)的。在每個(gè)IP數(shù)據(jù)包頭中都有一個(gè)目的IP地址，路由器只根據(jù)這個(gè)目的地址就可以決定應(yīng)該把IP包轉(zhuǎn)發(fā)到哪個(gè)相鄰的路由器或主機(jī)，在每個(gè)路由器和主機(jī)中都有一個(gè)路由表，根據(jù)目的IP地址對(duì)照這個(gè)表就可以決定IP包的轉(zhuǎn)發(fā)方向，該路由表只記錄轉(zhuǎn)發(fā)的下一跳地址而不是全部路徑。一般只有象防火墻這樣的設(shè)備才檢查IP包的源IP地址和端口等其它內(nèi)容決定是否讓IP包通過(guò)。 2. 其次是IP地址。在一個(gè)正常連通的TCP/IP網(wǎng)絡(luò)中，每一個(gè)節(jié)點(diǎn)（主機(jī)和路由器）都至少有一個(gè)IP地址，這一IP地址雖然通常是手工設(shè)定的但在該網(wǎng)絡(luò)中卻是唯一的。在目前使用的IPv4版本中，每個(gè)IP地址都是一個(gè)32比特的整數(shù)

7、或?yàn)榱朔奖闫鹨?jiàn)用4個(gè)0255的整數(shù)表示，如的形式。 3. 然后是網(wǎng)段。雖然每個(gè)節(jié)點(diǎn)都有其唯一的IP地址，但是如果讓路由表記錄到達(dá)全網(wǎng)絡(luò)中每一個(gè)IP地址的路由還是過(guò)于困難了，這樣的路由表會(huì)由于過(guò)于龐大而無(wú)法維護(hù)和更新，所以每個(gè)節(jié)點(diǎn)的地址都不是隨意分配的，位于同一個(gè)網(wǎng)段上的節(jié)點(diǎn)其IP地址中的某些比特都被設(shè)定成是相同的，這樣在路由表只要用一項(xiàng)就可以代表到達(dá)這一網(wǎng)段所有點(diǎn)的路由了。那么什么是網(wǎng)段呢，這又牽涉到兩個(gè)概念：物理網(wǎng)段和邏輯網(wǎng)段。 4. 對(duì)于物理網(wǎng)段來(lái)說(shuō)，只要一個(gè)節(jié)點(diǎn)所發(fā)出的IP包可以不通過(guò)IP級(jí)別的中轉(zhuǎn)（路由器）直接到達(dá)另一個(gè)節(jié)點(diǎn)（即能否到達(dá)與IP地址設(shè)置無(wú)關(guān)），這兩個(gè)

8、節(jié)點(diǎn)就算在同一個(gè)物理網(wǎng)段，具體來(lái)說(shuō)又分為兩種情形：點(diǎn)對(duì)點(diǎn)直接連接（如專線或撥號(hào)串行線路），這時(shí)候一點(diǎn)上發(fā)出的數(shù)據(jù)包總是直接到達(dá)另一點(diǎn)；廣播網(wǎng)絡(luò)（如以太網(wǎng)），這時(shí)候某一點(diǎn)發(fā)出的數(shù)據(jù)包可以直接到達(dá)到相連網(wǎng)絡(luò)中的每一點(diǎn)。對(duì)于以太網(wǎng)來(lái)說(shuō)，通過(guò)交換機(jī)和集線器所串聯(lián)起來(lái)的每一點(diǎn)都在同一個(gè)廣播域內(nèi)，所以都算在同一個(gè)物理網(wǎng)段，這其間雖然也有設(shè)備的中轉(zhuǎn)，但這是在低層的以太網(wǎng)幀格式基礎(chǔ)上的，不是在IP數(shù)據(jù)包級(jí)別上的。 5. 邏輯網(wǎng)段則是由IP地址的設(shè)置所決定的，在同一個(gè)邏輯網(wǎng)段中各節(jié)點(diǎn)IP地址的某些特定位置（一般是前若干個(gè)）的比特被設(shè)定成一個(gè)共同的值，而其余部分則各不相同以示區(qū)分。為了定義一個(gè)節(jié)點(diǎn)所在的邏輯網(wǎng)段，

9、實(shí)際上每個(gè)節(jié)點(diǎn)的IP設(shè)置都需要有兩個(gè)參數(shù)：IP地址和子網(wǎng)掩碼。子網(wǎng)掩碼定義了在一個(gè)邏輯網(wǎng)段中IP地址的那些比特是相同的，但沒(méi)有定義這相同部分的內(nèi)容，所以要了解這相同部分的具體值，還要結(jié)合IP地址一起來(lái)看。子網(wǎng)掩碼本身雖然不在網(wǎng)絡(luò)中傳播，但卻是IP設(shè)置中一個(gè)必不可少的組成部分，在一個(gè)邏輯網(wǎng)段中的所有節(jié)點(diǎn)的子網(wǎng)掩碼都應(yīng)該相同。子網(wǎng)掩碼的格式和IP地址相同，當(dāng)作為32比特整數(shù)看時(shí)，為1的比特表示在該邏輯網(wǎng)段內(nèi)所有IP地址中這些位置的比特必須相同，為0則不必。將IP地址和子網(wǎng)掩碼比特相與，得到的地址稱為該邏輯網(wǎng)段的網(wǎng)絡(luò)號(hào)，如網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為，則網(wǎng)絡(luò)

10、號(hào)為。 檢查兩個(gè)IP地址是否在同一個(gè)邏輯網(wǎng)段，只要檢查其網(wǎng)絡(luò)號(hào)是否相同就可以了。將IP地址與子網(wǎng)掩碼的反相或，得到的地址為該邏輯網(wǎng)段的廣播地址，用于在邏輯網(wǎng)段中廣播用，如上例中廣播地址為55。需要注意的是在分配IP地址時(shí)，網(wǎng)絡(luò)號(hào)和廣播地址都是保留的，不能用作實(shí)際設(shè)備的IP地址。 6. 轉(zhuǎn)發(fā)規(guī)則。當(dāng)某個(gè)節(jié)點(diǎn)（主機(jī)或路由器）有一IP包需要發(fā)出或轉(zhuǎn)發(fā)時(shí)，先檢查該包的目的地址，如果和自身子網(wǎng)掩碼計(jì)算出的網(wǎng)絡(luò)號(hào)與本節(jié)點(diǎn)的網(wǎng)絡(luò)號(hào)相同，即和本節(jié)點(diǎn)在同一邏輯網(wǎng)段，則認(rèn)為其也在同一物理網(wǎng)段，可以直接送達(dá)，不需再通過(guò)路由器轉(zhuǎn)發(fā)，因而直接將其發(fā)出。由此可見(jiàn)，在一個(gè)網(wǎng)絡(luò)中，

11、如果若干節(jié)點(diǎn)的IP地址被設(shè)置成在一個(gè)邏輯網(wǎng)段中，那么就應(yīng)該將其置于同一個(gè)物理網(wǎng)段，否則互相之間就無(wú)法通訊。反過(guò)來(lái)說(shuō)，在同一個(gè)物理網(wǎng)段中，如果有很多節(jié)點(diǎn)，或某些節(jié)點(diǎn)上有多個(gè)IP地址，這些IP地址沒(méi)有必要非設(shè)定在同一個(gè)邏輯網(wǎng)段中，但是如果配置成不同的邏輯網(wǎng)段，兩點(diǎn)之間即使是直接相通的，也只有借助路由器（某些計(jì)算機(jī)也可配置成路由器）中轉(zhuǎn)才能通訊。當(dāng)發(fā)現(xiàn)IP包的目的地址不在本邏輯網(wǎng)段，這時(shí)候就需要檢查路由表來(lái)決定將其送到何處（其實(shí)前述操作也是通過(guò)查路由表實(shí)現(xiàn)的）。雖然不同的路由協(xié)議有不同的路由表格式，但最基本的內(nèi)容有四項(xiàng)：網(wǎng)絡(luò)號(hào)，子網(wǎng)掩碼，網(wǎng)關(guān)，距離。前兩項(xiàng)定義了位于遠(yuǎn)端的一個(gè)邏輯網(wǎng)段，如果目的地址被

12、檢查后認(rèn)為是在該網(wǎng)段，則將IP包送到對(duì)應(yīng)的下一跳（網(wǎng)關(guān)），由該網(wǎng)關(guān)負(fù)責(zé)下一步的轉(zhuǎn)發(fā)。至于距離，則是一種度量，當(dāng)目的地址與多個(gè)路由表?xiàng)l目相符合時(shí)，則將IP包送到距離值最小的網(wǎng)關(guān)。 7. 路由器（正式名字是網(wǎng)關(guān)）是一種連接至少兩個(gè)邏輯網(wǎng)段的數(shù)據(jù)包轉(zhuǎn)發(fā)設(shè)備，某些計(jì)算機(jī)可能裝有兩塊網(wǎng)絡(luò)適配器，工作在兩個(gè)以上邏輯或物理網(wǎng)段，但只要沒(méi)有轉(zhuǎn)發(fā)功能，仍然不是路由器。IP包的轉(zhuǎn)發(fā)過(guò)程總是通過(guò)從一個(gè)邏輯網(wǎng)段再到另一個(gè)邏輯網(wǎng)段的接力方式完成的，與實(shí)際傳輸?shù)慕橘|(zhì)無(wú)關(guān)。路由器之間通過(guò)特有的路由協(xié)議互相交換動(dòng)態(tài)的路由信息，更新路由表，最常用的路由協(xié)議有OSPF，EIGRP，RIP等等，當(dāng)用計(jì)算機(jī)充當(dāng)路由器時(shí)，一般只能接收

13、RIP協(xié)議。 8. 缺省路由是網(wǎng)絡(luò)號(hào)為，子網(wǎng)掩碼為形式的路由，在某些計(jì)算機(jī)中也顯示為default，所有IP地址都符合這一路由，也就是說(shuō)這是路由轉(zhuǎn)發(fā)的最后選擇，所有不符合其他路由的IP包都將被送到該路由指定的路徑。有一點(diǎn)與其它路由不同，即使一個(gè)普通路由的距離大于缺省路由，IP包還是會(huì)優(yōu)先轉(zhuǎn)發(fā)到該普通路由而不是缺省路由。 現(xiàn)有常規(guī)的TCP/IP程序都是基于雙向握手原理的，也就是兩臺(tái)計(jì)算機(jī)必須有有包來(lái)回傳遞才能工作，即使是UDP程序不需要建立連接，基本上也只有在兩個(gè)方向的IP包都可以到達(dá)的情況下才能工作。因此，當(dāng)一個(gè)點(diǎn)和另一個(gè)點(diǎn)能夠連通時(shí)，我們指的實(shí)際上是雙向暢通，必要

14、條件是源節(jié)點(diǎn)要有指向目標(biāo)節(jié)點(diǎn)的路由，中間節(jié)點(diǎn)既要有指向目標(biāo)節(jié)點(diǎn)也要有指向源節(jié)點(diǎn)的路由，而目標(biāo)節(jié)點(diǎn)則需要指向源節(jié)點(diǎn)的路由，缺一不可（雖然少數(shù)情況下由于路由設(shè)置的問(wèn)題會(huì)出現(xiàn)路由不對(duì)稱，即數(shù)據(jù)包來(lái)回走兩個(gè)不同的路徑，但原理是一致的）。三. 診斷基本步驟當(dāng)我們確診是網(wǎng)絡(luò)不通后，基本的可能性有三個(gè)：網(wǎng)絡(luò)中某段物理連接不通；網(wǎng)絡(luò)上的某個(gè)節(jié)點(diǎn)缺少路由，某個(gè)節(jié)點(diǎn)不轉(zhuǎn)發(fā)數(shù)據(jù)包（如設(shè)置了防火墻限制或計(jì)算機(jī)沒(méi)有打開(kāi)IP包轉(zhuǎn)發(fā)功能）。先讓我們看一下僅從源節(jié)點(diǎn)開(kāi)始診斷，能知道些什么？ 1. 首先，我們會(huì)從源節(jié)點(diǎn)ping目標(biāo)節(jié)點(diǎn)，如果返回的是Request timed out信息，我們只知道是不通，除此之外別的什么也不知

15、道；但是如果返回的是Host unreachable，則意味著本地路由表中沒(méi)有指向目標(biāo)節(jié)點(diǎn)的路由，如果有中間節(jié)點(diǎn)返回該信息，則表明該中間節(jié)點(diǎn)缺少指向目標(biāo)節(jié)點(diǎn)的路由（不過(guò)沒(méi)有路由并不一定會(huì)返回該信息）。 如果返回其它信息，還需要區(qū)別對(duì)待。 2. 下一步是另一個(gè)最常用的命令traceroute跟蹤路由，格式為：tracert -d <目的地址> (Windows格式，-d不反向DNS解析以免浪費(fèi)時(shí)間)traceroute <目的地址> (UNIX格式)  tr <目的地址> (Cisco和3Com路由器格式)  這一命令顯示IP包所經(jīng)過(guò)中間點(diǎn)

16、的IP地址。如果到了某處后沒(méi)有結(jié)果，就可以認(rèn)為在該處與下一點(diǎn)之間出了問(wèn)題。但是具體性質(zhì)仍無(wú)法知曉。 3. 還有一個(gè)命令就是顯示路由命令，格式如下：route print  (Windows格式)netstat -r 或 netstat -rv (UNIX格式，-v參數(shù)顯示子網(wǎng)掩碼) sh ip route  (Cisco路由器格式) sh -ip allr  (3Com路由器格式)  這一命令顯示本節(jié)點(diǎn)的路由表，雖然各種路由協(xié)議顯示格式各不相同，但前面所敘的四個(gè)要素總是有的。 有些路由器會(huì)以類似/24的形式顯示路由，這表示網(wǎng)絡(luò)號(hào)為1

17、而子網(wǎng)掩碼為24個(gè)比特1加32-24=8比特個(gè)0即。 從源節(jié)點(diǎn)診斷，最多能知道本節(jié)點(diǎn)缺少路由或從網(wǎng)絡(luò)中某一點(diǎn)之后不通。當(dāng)源節(jié)點(diǎn)是計(jì)算機(jī)時(shí)，缺少路由的問(wèn)題通常是沒(méi)有設(shè)置指向路由器的缺省路由，有些操作系統(tǒng)（或其中某些版本）可以接收路由器的自我宣告廣播（ Router Discovery Protocol）而把缺省路由自動(dòng)指向該路由器，而另外一些則不行。當(dāng)源節(jié)點(diǎn)是路由器時(shí)，缺少路由的問(wèn)題通常是對(duì)方?jīng)]有廣播所需要的路由，或由于路由協(xié)議不匹配而接收不到對(duì)方的路由廣播，以及在某些情況下沒(méi)有設(shè)置缺省路由。假如我們熟知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，知道是在最后一個(gè)路由器和目標(biāo)節(jié)點(diǎn)

18、之間不通，那么我們還可以猜測(cè)是目標(biāo)節(jié)點(diǎn)沒(méi)有指向源節(jié)點(diǎn)地址的反向路由，最常見(jiàn)的就是沒(méi)有設(shè)置指向路由器的缺省路由，但是也可能就是這最后一段不通（這可以通過(guò)ping該網(wǎng)段其它已知的IP地址來(lái)減小這種可能性），或目標(biāo)沒(méi)有開(kāi)機(jī)。如果能從源節(jié)點(diǎn)（或同網(wǎng)段）直接登錄到最后一個(gè)路由器上且ping通目標(biāo)節(jié)點(diǎn)，而從源節(jié)點(diǎn)卻直接ping不通，則可以斷定是沒(méi)有設(shè)置反向路由，這是最常見(jiàn)的。假如能從目標(biāo)節(jié)點(diǎn)反向診斷，方法是完全相同，因?yàn)镮P的路由是雙向的。但是結(jié)合兩端的診斷結(jié)果，就可以得出要明確許多的結(jié)論，將故障點(diǎn)直接定位在網(wǎng)絡(luò)中某一段，并首先查出兩端的故障。當(dāng)然如果目標(biāo)節(jié)點(diǎn)是計(jì)算機(jī)，通常只有UNIX/Linux操作系統(tǒng)

19、才提供通過(guò)telnet連接進(jìn)行遠(yuǎn)程反向診斷的功能。如果故障定位在網(wǎng)絡(luò)中間的一段，要得出更明確的結(jié)果只有通過(guò)訪問(wèn)路由器了，當(dāng)然這需要有路由器的口令。我們可以逐段檢查，也可以從traceroute指出的可通達(dá)的最遠(yuǎn)點(diǎn)開(kāi)始，這要看你所具有的訪問(wèn)權(quán)限了。路由器是敏感的網(wǎng)絡(luò)部件，并且可能有日志記錄，所以要盡量避免訪問(wèn)你沒(méi)有權(quán)限的路由器。檢查的基本點(diǎn)有兩個(gè)：路由和端口狀態(tài)，這里的端口狀態(tài)是指路由器上的各網(wǎng)絡(luò)適配器是否工作。顯示路由的命令前面已經(jīng)提過(guò)，如果你是從源節(jié)點(diǎn)或與其同網(wǎng)段的機(jī)器直接登錄到路由器上，那么就不需要檢查路由器到源節(jié)點(diǎn)的路由，否則兩個(gè)方向的路由都要檢查是否有?？焖贆z查端口的命令格式如下：&#

20、160;       sh ip int bri （Cisco路由器格式）        sh int （Cisco路由器格式-檢查端口）        sh -ip net（3Com路由器格式）        sh -pa conf （3Com路由器格式-檢查邏輯端口） 

21、60;      sh -po conf （3Com路由器格式-檢查物理端口） 檢查的重點(diǎn)是Up和Down字樣，如果某一行出現(xiàn)Down字樣，毫無(wú)疑問(wèn)該端口已經(jīng)斷開(kāi)，無(wú)法通過(guò)此端口通訊，只有檢修物理線路；而標(biāo)有Up字樣只能表示直接連接的物理設(shè)備是工作的（如以太網(wǎng)集線器），并不能肯定到對(duì)端暢通（點(diǎn)對(duì)點(diǎn)線路一般較肯定），要確定線路是否通暢的方法還是直接ping相鄰端的IP地址，問(wèn)題是在這種情況下你常常會(huì)不知道對(duì)端路由器的相鄰IP地址（所以平時(shí)記錄下各種地址的配置是很有用的），如果是運(yùn)行PPP協(xié)議的串行線路，該網(wǎng)段常常會(huì)只分配成僅容納兩個(gè)IP

22、地址（子網(wǎng)掩碼52）以節(jié)省地址占用，這時(shí)候根據(jù)本地地址就可以推斷出對(duì)方地址；另外也可以檢查路由表和路由協(xié)議狀態(tài)（如Cisco中sh ip ospf neig），看是否有從對(duì)端傳來(lái)的路由，從中獲取地址；對(duì)于Cisco路由器上的以太網(wǎng)端口，還可以用sh arp命令試圖找出對(duì)端IP地址。如果上述辦法都不奏效，那就只有仔細(xì)檢查端口狀態(tài)，試圖從中找出蛛絲馬跡，還不行就不能依靠遠(yuǎn)程手段只能到現(xiàn)場(chǎng)檢查了。對(duì)于端口為Up卻不能和對(duì)方ping通的情況，也有三種可能：線路中斷，對(duì)端路由器關(guān)機(jī)，對(duì)端路由器配置錯(cuò)誤（如IP地址和本地不在同一個(gè)邏輯網(wǎng)段）。第一種情況只有檢查物理設(shè)備才能查出，第

23、二種只有對(duì)端配合檢查，第三種情況有可能通過(guò)檢查路由協(xié)議狀態(tài)等方法查出，但這是很不確定的。對(duì)于串行線路，如果外圍設(shè)備顯示鏈路正常但路由器PPP協(xié)議沒(méi)有起來(lái)(Up)，說(shuō)明對(duì)方設(shè)備故障或該線路通過(guò)多段鏈路的情況下非直接相連的鏈路中斷。當(dāng)然在開(kāi)始上述兩項(xiàng)檢查之前，你還可以在中間路由器上分別ping目標(biāo)節(jié)點(diǎn)和源節(jié)點(diǎn)的IP地址。如果這兩個(gè)方向都是通的，那么是否意味著從源節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)就是通的呢？答案是否定的！這樣的結(jié)果只能表明物理線路是沒(méi)有問(wèn)題的，但由于路由或防火墻的設(shè)置，從源節(jié)點(diǎn)發(fā)出的IP包仍有可能無(wú)法到達(dá)目標(biāo)節(jié)點(diǎn)，反之亦然。無(wú)論是路由器還是計(jì)算機(jī)，如有多個(gè)IP地址，當(dāng)從自身發(fā)出IP包時(shí)，總是使用最靠近

24、目標(biāo)節(jié)點(diǎn)的IP地址做為源地址，對(duì)于從路由器到目標(biāo)節(jié)點(diǎn)方向，路由器發(fā)出的IP包可能能通過(guò)防火墻檢查而源節(jié)點(diǎn)發(fā)出的IP包由于源地址在另一個(gè)網(wǎng)段而可能被過(guò)濾；當(dāng)信息包返回時(shí)，源地址變成目的地址，在網(wǎng)絡(luò)中可能只有到中間路由器的路由，而根本就沒(méi)有指向源節(jié)點(diǎn)地址的路由。所以一旦確定物理線路是連通的，在路由器上進(jìn)行的任何檢查都不能取代從源節(jié)點(diǎn)或目標(biāo)節(jié)點(diǎn)上的ping檢查。ping檢查一般是雙向等價(jià)的，也就是如果從某一點(diǎn)ping另一點(diǎn)是通的，那么反向ping也可以認(rèn)為是通的（注意當(dāng)源節(jié)點(diǎn)有多個(gè)IP地址時(shí)，反向ping等價(jià)是指到目標(biāo)節(jié)點(diǎn)最近的一個(gè)IP地址），因?yàn)閜ing操作需要數(shù)據(jù)包雙向的傳輸，從不同方向ping

25、只有通過(guò)路徑先后的區(qū)別，IP包的傳輸過(guò)程是一模一樣的。但筆者也遇到過(guò)ping虛（standby）IP地址不通而反向ping是通的不對(duì)稱情形，（standby ip address 是指幾臺(tái)路由器或計(jì)算機(jī)共用一個(gè)IP地址，其中一臺(tái)失效后另一臺(tái)頂上），估計(jì)與ARP地址解析有關(guān)；另一個(gè)例子是目標(biāo)節(jié)點(diǎn)是路由器，可以ping通而從該路由器上反向ping卻不通，最后發(fā)現(xiàn)ping該路由器離源節(jié)點(diǎn)最近的地址不通（路由器總是有多個(gè)IP地址的），因此從目標(biāo)節(jié)點(diǎn)的反向ping檢查才會(huì)不通。這些就更說(shuō)明了在疑難情況下，需從原理上分析的重要性。歸納一下：只要ping的源節(jié)點(diǎn)或目標(biāo)節(jié)點(diǎn)中有一個(gè)配有多IP地址，檢查就需要雙

26、向進(jìn)行。而如果ping檢查通過(guò)沒(méi)問(wèn)題，則說(shuō)明網(wǎng)絡(luò)是好的，需要考慮的只有IP層以上的問(wèn)題：即應(yīng)用程序問(wèn)題，或中間有路由器（訪問(wèn)列表）或防火墻封鎖了TCP/UDP的特定端口，如果用掃描程序查出對(duì)方應(yīng)用程序所用的TCP端口是開(kāi)著的，則只能是應(yīng)用上的問(wèn)題了（還有例外如特殊的防火墻，但內(nèi)網(wǎng)是不大可能遇到的）。四. 常見(jiàn)故障現(xiàn)象及對(duì)策以上簡(jiǎn)單描述了在路由器上進(jìn)行網(wǎng)絡(luò)診斷的步驟。相對(duì)來(lái)講，線路不通等硬件故障雖然單從路由器狀態(tài)絕對(duì)定性比較困難，相對(duì)判斷卻是比較容易的，可以通過(guò)觀察其它設(shè)備狀態(tài)和替換等方法定性。非硬件的的軟故障則較難判斷。路由方面的故障存在著各種因素，一般都是對(duì)方?jīng)]有將所需的路由廣播過(guò)來(lái)或自己沒(méi)

27、有將己方的路由廣播過(guò)去，診斷的關(guān)鍵點(diǎn)是一定要對(duì)雙向路由的每一跳都做檢查。防火墻設(shè)置造成的問(wèn)題則更難診斷，一般來(lái)說(shuō)，如果不能登錄到有防火墻設(shè)置的路由器上就難以確診，但是也可以從兩端逐步排除路由問(wèn)題的可能性（即防火墻兩側(cè)的點(diǎn)雙向路由都存在并可通）來(lái)確定不能連通的原因是出在防火墻設(shè)置上。如果在同一個(gè)邏輯網(wǎng)段中出現(xiàn)某些點(diǎn)可通而另一些點(diǎn)不可通，可能是防火墻造成的，也可能是靜態(tài)路由（默認(rèn)網(wǎng)關(guān)）設(shè)置造成的。對(duì)于路由問(wèn)題，一個(gè)常見(jiàn)的因素是用靜態(tài)路由取代動(dòng)態(tài)路由交換引起的，有許多管理員喜歡禁止路由廣播而通過(guò)手工設(shè)置靜態(tài)路由來(lái)管理網(wǎng)絡(luò)的連通性，如果一個(gè)網(wǎng)絡(luò)只有兩、三個(gè)路由器，這通常不會(huì)有什么問(wèn)題，如果有十個(gè)以上，

28、這常常會(huì)是一場(chǎng)災(zāi)難。只用靜態(tài)路由存在兩個(gè)方面的問(wèn)題：一是靜態(tài)路由缺省是不廣播的，這樣的話只有對(duì)直接把缺省路由指向該路由器上的節(jié)點(diǎn)靜態(tài)路由才起作用，通過(guò)其它路由器轉(zhuǎn)接就無(wú)法訪問(wèn)用靜態(tài)路由指向的網(wǎng)段（除非其它路由器的缺省路由都指向本路由器）；二是即使你廣播靜態(tài)路由，你仍然沒(méi)有把本地的路由廣播到靜態(tài)路由指向的對(duì)端，對(duì)于靜態(tài)路由指向的對(duì)端來(lái)說(shuō)，它也需要設(shè)置一個(gè)靜態(tài)路由（也許還不止一個(gè)）指向你才能互通。如果路由器數(shù)量增長(zhǎng)的話，需要設(shè)置的靜態(tài)路由數(shù)量就會(huì)呈指數(shù)增長(zhǎng)，而管理員則會(huì)發(fā)覺(jué)自己在疲于奔命解決連通性問(wèn)題。路由因素的另一個(gè)問(wèn)題是路由協(xié)議的轉(zhuǎn)換，一個(gè)大型的網(wǎng)絡(luò)常常使用不止一種路由協(xié)議，在實(shí)行兩種協(xié)議的分

29、界處如果沒(méi)有一臺(tái)路由器設(shè)置轉(zhuǎn)換功能，就會(huì)出現(xiàn)路由廣播的中斷，造成無(wú)法連通。設(shè)置協(xié)議轉(zhuǎn)換常常比較復(fù)雜，但是這種做法還是相對(duì)于設(shè)置靜態(tài)路由有明顯的優(yōu)點(diǎn)：一個(gè)大的網(wǎng)絡(luò)常常是由不同部門管理的，要求對(duì)方為自己設(shè)置一個(gè)或多個(gè)靜態(tài)路由不僅很麻煩更主要的是以后難以改動(dòng)，協(xié)議轉(zhuǎn)換就沒(méi)有這個(gè)問(wèn)題；協(xié)議轉(zhuǎn)換的另一個(gè)優(yōu)點(diǎn)是當(dāng)對(duì)方某個(gè)線路中斷，在路由表中能動(dòng)態(tài)的反映出來(lái)，而靜態(tài)路由是不會(huì)變化的，這在網(wǎng)絡(luò)中存在多個(gè)路徑時(shí)特別有用，可以通過(guò)迂回路由繼續(xù)工作。如果你所在的子網(wǎng)和大的網(wǎng)絡(luò)只有一個(gè)連接，設(shè)置缺省路由也是一個(gè)辦法，靜態(tài)缺省路由將所有不屬于本子網(wǎng)的IP包轉(zhuǎn)發(fā)到大網(wǎng)中，從而簡(jiǎn)化了路由結(jié)構(gòu)，這種方法雖然有一丁點(diǎn)副作用，但

30、還是切實(shí)可行的，不過(guò)在大網(wǎng)中仍然要設(shè)置指向你所在子網(wǎng)的靜態(tài)路由。還有些管理員喜歡通過(guò)設(shè)置防火墻（訪問(wèn)列表）而不是限制路由廣播來(lái)限制某些網(wǎng)段的可連通性，當(dāng)然這樣做在設(shè)置上要容易一些，但這在多個(gè)部門管理并有多條路徑的網(wǎng)絡(luò)中會(huì)產(chǎn)生嚴(yán)重的問(wèn)題，如果防火墻廣播的路由是最近路由，IP包就會(huì)優(yōu)先轉(zhuǎn)發(fā)到該防火墻，而最后卻無(wú)法通過(guò)，其它部門的管理員常常要化很大力氣來(lái)屏蔽掉這些無(wú)用的路由。雖然這種情況倒也不常見(jiàn)，但是光進(jìn)行防火墻設(shè)置而不屏蔽路由廣播，會(huì)暴露出網(wǎng)絡(luò)內(nèi)部的細(xì)節(jié)，增加被攻擊的危險(xiǎn)，這和網(wǎng)絡(luò)安全性原則是相違背的。如果某些路由器的路由設(shè)置出現(xiàn)了問(wèn)題，從遠(yuǎn)端就難以直接登錄上去，但是只要物理線路連通和其IP地址

31、設(shè)置正確，從與其相鄰路由器總是可以登錄上去的（除非做了訪問(wèn)限制）。因此可以先登錄到相鄰路由器，再用telnet協(xié)議登錄到該路由器，同理，假如目標(biāo)節(jié)點(diǎn)是UNIX機(jī)器，也可以通過(guò)這種方法通過(guò)多跳登錄到目標(biāo)主機(jī)上，進(jìn)行反向診斷。其它問(wèn)題：注意如果你正在單機(jī)上用撥號(hào)上Internet網(wǎng)，你將只能同時(shí)訪問(wèn)自己所在的網(wǎng)段，而不能同時(shí)連接企業(yè)內(nèi)部網(wǎng)的其它網(wǎng)段，除非你手工添加指向你所要訪問(wèn)網(wǎng)段的靜態(tài)路由。因?yàn)檫@時(shí)候撥號(hào)網(wǎng)絡(luò)自動(dòng)成為缺省網(wǎng)關(guān)且優(yōu)先于其它缺省網(wǎng)關(guān)。 五. 路由設(shè)置診斷出路由問(wèn)題后，如發(fā)現(xiàn)缺少路由則需要進(jìn)行路由設(shè)置，對(duì)于計(jì)算機(jī)，一般不提倡設(shè)置局部的靜態(tài)路由，只設(shè)置指向路由器的缺省路由就可以了，路由尋

32、址由路由器解決，但有時(shí)也可在計(jì)算機(jī)上設(shè)置靜態(tài)路由以作為驗(yàn)證之用和應(yīng)急措施。如果診斷結(jié)果為某計(jì)算機(jī)缺少缺省路由，也可以不加缺省路由而靠安裝設(shè)置RIP路由協(xié)議解決，但這樣做過(guò)于復(fù)雜而且路由器也要設(shè)置成廣播或轉(zhuǎn)換其它協(xié)議到RIP路由協(xié)議。（路由器的路由設(shè)置是很復(fù)雜的話題，這里不再繼續(xù)探討）。對(duì)于某些UNIX平臺(tái)或Win95版本低于OSR2(右鍵單擊我的電腦|屬性|常規(guī)，版本號(hào)小于4.00.95b)，計(jì)算機(jī)可能不能自動(dòng)接收路由器的自我宣告廣播，必須手動(dòng)設(shè)置缺省網(wǎng)關(guān)。對(duì)于其它計(jì)算機(jī)，如一個(gè)網(wǎng)段有多個(gè)路由器而要指定使用的路由器或某些路由器沒(méi)有設(shè)成自動(dòng)宣告（RDP），也要設(shè)置缺省網(wǎng)關(guān)。在Windows平臺(tái)上

33、設(shè)置缺省網(wǎng)關(guān)的方法：右鍵單擊“網(wǎng)上鄰居”，選擇“屬性”，雙擊網(wǎng)卡的TCP/IP一項(xiàng)，選擇“網(wǎng)關(guān)”，添加缺省網(wǎng)關(guān)。注意不要試圖為多個(gè)IP地址添加多個(gè)缺省網(wǎng)關(guān)，這幾乎總是會(huì)帶來(lái)穩(wěn)定性問(wèn)題，設(shè)置兩個(gè)缺省網(wǎng)關(guān)并不會(huì)讓計(jì)算機(jī)有足夠的智能根據(jù)目的地址的不同將你的IP包分別發(fā)到不同的缺省網(wǎng)關(guān)中去，結(jié)果只會(huì)是在兩個(gè)網(wǎng)關(guān)間來(lái)回切換，造成時(shí)通時(shí)不通的問(wèn)題。如果需要同時(shí)訪問(wèn)兩個(gè)網(wǎng)絡(luò)，可以只設(shè)一個(gè)缺省網(wǎng)關(guān)指向大網(wǎng)，再設(shè)靜態(tài)路由指向較小的網(wǎng)來(lái)解決。在Windows平臺(tái)添加靜態(tài)路由的方法：在命令行執(zhí)行 route add <網(wǎng)絡(luò)號(hào)> mask <子網(wǎng)掩碼> <網(wǎng)關(guān)>這樣添加的路由在系統(tǒng)

34、重新啟動(dòng)后就會(huì)丟失，如果是Windows NT/2000/XP可以在route 之后加上 -p 命令行參數(shù)以使其能夠持久，重啟動(dòng)也不會(huì)丟失。對(duì)于UNIX平臺(tái)，添加靜態(tài)路由的方法隨UNIX版本的不同各有不同：在Linux中：route add default gw <缺省網(wǎng)關(guān)>route add -net <網(wǎng)絡(luò)號(hào)> netmask <子網(wǎng)掩碼> gw <網(wǎng)關(guān)>在Compaq Tru64或Digital UNIX中：route add default <缺省網(wǎng)關(guān)>route add -net <網(wǎng)絡(luò)號(hào)> / <掩碼比特

35、數(shù)> <網(wǎng)關(guān)> 在HP-UX中：route add default <缺省網(wǎng)關(guān)>route add net <網(wǎng)絡(luò)號(hào)>  netmask <子網(wǎng)掩碼> <網(wǎng)關(guān)>  但是這些操作添加的路由在重啟動(dòng)后都不能保存，需要持久的路由要通過(guò)操作系統(tǒng)中的實(shí)用工具配置或直接修改特定配置文件。刪除路由操作和添加命令類似，不過(guò)變成route delete或route del形式。 王大慶第一稿 發(fā)表于通訊技術(shù)與管理2000年第2期第二稿 最后修訂于2003.11.7附錄：數(shù)據(jù)鏈路故障診斷提示對(duì)于路由器的點(diǎn)對(duì)點(diǎn)線路故障，排查主要是在路由器外的設(shè)備上進(jìn)行的，但是同時(shí)在路由器上檢查端口狀態(tài)和配合診斷，能有利于故障診斷，加快修復(fù)進(jìn)程。為了檢測(cè)路由器之間串行通道的故障，我們可以使線路loop環(huán)回的辦法測(cè)試，但是在線路已經(jīng)打環(huán)后路由器端口狀態(tài)如何顯示因