十七、構建小型網絡

• 十七、構建小型網絡
• 1、小型網絡中的設備
• • 1.1、小型網絡拓撲
  • 1.2、小型網絡的設備選擇
  • • 成本
    • 端口/接口的速度和類型
    • 可擴展性
    • 操作系統的功能和服務
  • 1.3、小型網絡的IP編址
  • 1.4、小型網絡中的冗余
  • 1.5、流量管理
• 2、小型網絡應用程序和協議
• • 2.1、常見應用程序
  • 2.2、常見協議
  • • Web設備安全
    • 郵件服務器
    • FTP服務器
    • DHCP服務器
    • DNS服務器
  • 2.3、語音和視頻應用程序
  • • 基礎設施
    • VoIP
    • IP電話
    • 實時應用
• 3、擴展為大型網絡
• • 3.1、小型網絡的增長
  • 3.2、協議分析
  • 3.3、員工網絡使用率
• 4、驗證連接
• • 4.1、通過Ping驗證連接性
  • • IOS Ping 指示符
  • 4.2、擴展Ping
  • 4.3、通過Traceroute驗證連接性
  • 4.4、擴展 Traceroute
  • 4.5、網絡基線
  • 4.6、實驗 - 使用 Ping 命令和 Traceroute 命令測試網絡延時
• 5、主機和IOS命令
• • 5.1、Windows主機的 IP 配置
  • 5.2、Linux主機的 IP 配置
  • 5.3、macOS主機的 IP 配置
  • 5.4、arp 命令
  • 5.5、常用show 命令回顧
  • 5.6、show cdp neighbors 命令
  • 5.7、show ip interface brief 命令
  • 5.8、視頻- Show Version 命令
  • 5.9、Packet Tracer-解釋show命令輸出
• 6、故障排除方法
• • 6.1、故障排除基本方法
  • 6.2、解決還是上報？
  • 6.3、debug命令
  • 6.4、terminal monitor 命令
• 7、故障排除場景
• • 7.1、雙工操作和不匹配問題
  • 7.2、IOS 設備的 IP 尋址問題
  • 7.3、終端設備的 IP編址問題
  • 7.4、默認網關問題
  • 7.5、排除 DNS 故障
  • 7.6、Packet Tracer - 排除連接故障
  • 7.7、實驗 - 排除連接故障

十七、構建小型網絡

您已經來到了網絡簡介 v7.0 課程的最后一個模塊。您已經掌握了建立自己的網絡所需的大部分基礎知識。從現在開始怎么做？當然，你要構建一個網絡。而且您不僅要構建它，還要驗證它是否正常工作，甚至還要解決一些常見的網絡問題。

模塊目標: 對小型網絡實施網絡設計，加入 1 臺路由器、1 臺交換機和多部終端設備。

主題標題主題目標

小型網絡中的設備	明確小型網絡中使用的設備。
小型網絡應用程序和協議	明確小型網絡中使用的協議和應用程序。
擴展到大型網絡	說明小型網絡如何作為構建大型網絡的基礎。
驗證連接	使用 ping 和 tracert 命令的輸出驗證連接， 并確定相關網絡的性能。
主機和 IOS 命令	使用主機和 IOS 命令獲取網絡中設備的 相關信息。
故障排除方法	描述常用的網絡故障排除方法。
故障排除場景	對網絡中的設備進行故障排除。

1、小型網絡中的設備

1.1、小型網絡拓撲

大多數企業規模都很小，因此，大多數的商業網絡也很小就不足為奇了。

小型網絡的設計通常很簡單。與較大型網絡相比，小型網絡中設備的數量和類型都顯著減少了。

例如，請參考圖中所示的小型企業網絡示例。

這個小型網絡需要一臺路由器、一臺交換機和一個無線接入點來連接有線和無線用戶、IP 電話、打印機和服務器。通常小型網絡有一個由 DSL、電纜或以太網連接提供的 WAN 連接。

大型網絡需要一個IT部門來維護設備運行、保護設備安全、排除網絡設備的故障以及保護組織的數據。管理小型網絡所要求的許多技能與管理較大網絡所需技能相同。小型網絡由當地的IT技術人員或簽約的專業人員管理。

1.2、小型網絡的設備選擇

為了滿足用戶需求，大型網絡和小型網絡都要求規劃和設計。規劃可以確保所有要求、成本因素和部署選項得到適當考慮。

最初設計的注意事項之一就是用于支持網絡的中間設備類型。

成本

交換機或路由器的購買成本取決于其性能和功能。這包括可用的端口數量和類型以及背板速率。影響成本的其他因素包括網絡管理功能、內嵌的安全技術、可選的高級交換技術。還需要考慮連接網絡中每臺設備所需的電纜布線費用。影響成本考量的另一個關鍵因素是網絡整合的冗余量。

端口/接口的速度和類型

路由器或交換機上端口數量和類型的選擇是至關重要的。較新版本的計算機有內置的 1Gbps 網卡。有些服務器甚至可能有 10Gbps 端口。雖然比較昂貴，但是選用能夠適應速度增長的第 2 層設備使網絡能夠進行擴展，而無需更換中心設備。

可擴展性

網絡設備的物理配置有固定式和模塊化兩種。固定式配置設備具有固定的端口或接口數量和類型。模塊化設備具有擴展槽，可以隨著需求的提高而新增模塊。交換機上有附加端口，供高速上行鏈路使用。路由器可用于連接不同類型的網絡。必須慎重選擇每種介質適用的相應模塊和接口。

操作系統的功能和服務

網絡設備必須具有可以支持組織需求的操作系統，如下：

• 第 3 層交換
• 網絡地址轉換 (NAT)
• 動態主機配置協議 (DHCP)
• 安全性
• 服務質量 (QoS)
• 網絡電話 (VoIP)

1.3、小型網絡的IP編址

在實施網絡時，創建一個 IP編址方案并使用它。互聯網絡中的所有主機和設備都必須有一個唯一地址。

將納入IP編址方案的設備包括以下內容：

• 終端用戶設備-連接的數量和類型（即有線、無線、遠程訪問）
• 服務器和外部設備（如打印機和安全攝像頭）
• 路由器、交換機和接入點都屬于中間設備。

建議您根據設備類型規劃、記錄和維護 IP編址方案。使用計劃好的IP編址方案可以更容易地識別設備類型并對排除故障，例如，在使用協議分析器排除網絡流量問題時。

例如，請參考圖中中小型組織的拓撲結構。

該組織需要三個用戶局域網(即192.168.1.0/24、192.168.2.0/24和192.168.3.0/24）。該組織已決定為每個192.168.x.0/24局域網實現一致的IP編址方案。計劃如下表:

設備類型可分配的IP地址范圍概括為…

默認網關（路由器）	192.168.x.1 - 192.168.x.2	192.168.x.0/30
交換機(最多 2 個)	192.168.x.5 - 192.168.x.6	192.168.x.4/30
接入點（最多 6 個）	192.168.x.9 - 192.168.x.14	192.168.x.8/29
服務器 (最多 6 臺)	192.168.x.17 - 192.168.x.22	192.168.x.16/29
打印機 (最多 6 臺)	192.168.x.25 - 192.168.x.30	192.168.x.24/29
IP 電話 (最多 6 臺)	192.168.x.33 - 192.168.x.38	192.168.x.32/29
有線設備（最多62個）	192.168.x.65 - 192.168.x.126	192.168.x.64/26
無線設備 (最多 62 個)	192.168.x.193 - 192.168.x.254	192.168.x.192/26

該圖顯示了使用預定義 IP編址方案分配 IP地址的192.168.2.0/24 網絡設備的示例。

例如，默認的網關 IP 地址是 192.168.2.1/24，交換機地址是 192.168.2.5/24，服務器地址是 192.168.2.17/24，等等。

注意，可分配的IP地址范圍是有意分配到子網網絡邊界上的，以簡化組類型的匯總。例如，假設另一個IP地址為192.168.2.6 的交換機被添加到網絡中。要識別網絡策略中的所有交換機，管理員可以指定匯總網絡地址 192.168.x.4/30。

1.4、小型網絡中的冗余

網絡設計的另一個重要部分是可靠性。即使是小型企業，也常常非常依賴其網絡以進行企業運營。網絡故障的代價是非常大的。

為了保持高可靠度，網絡設計中要求冗余。冗余有助于避免單點故障。

在網絡中實現冗余有許多方法。可以通過安裝重復設備實現冗余，但也可以通過為關鍵區域提供重復的網絡鏈路來實現，如圖所示。

1.5、流量管理

小型網絡中良好網絡設計的目標也是為了提高員工工作效率和最大限度地減少網絡中斷。網絡管理員應當考慮網絡設計中的各種流量類型及其處理。

應當對小型網絡中的路由器和交換機進行配置，以相對于其他數據流量的適當方式支持實時流量，如語音和視頻。事實上，一個好的網絡設計將實現服務質量（QoS），根據優先級對流量進行仔細分類，如圖所示。

優先級有四個隊列。高優先級隊列總是先為空。

2、小型網絡應用程序和協議

2.1、常見應用程序

上一個主題討論了小型網絡的組件以及一些設計需要考慮的因素。當您正在建立一個網絡時，這些考慮是必要的。建立完成后，您的網絡仍然需要某些類型的應用程序和協議才能工作。

網絡只有在網絡上存在應用程序時才有用。有兩種形式的軟件程序或進程可以提供網絡訪問：網絡應用程序和應用層服務。

網絡應用程序

應用程序是指用于網絡通信的軟件程序。有些終端用戶應用程序是網絡感知程序，即這些程序實現應用層協議，并可直接與協議棧的較低層通信。電子郵件客戶端和 Web 瀏覽器就屬于這種類型的應用程序。

應用層服務

其他程序可能需要通過應用層服務使用網絡資源，例如文件傳輸或網絡假脫機打印。雖然這些服務對員工而言是透明的，但它們正是負責與網絡交互和準備傳輸數據的程序。無論數據類型是文本、圖形還是視頻，只要類型不同，就需要與之對應的不同的網絡服務，從而確保 OSI 模型的下層能夠正確處理數據。

每個應用程序或網絡服務使用協議，定義要使用的標準和數據格式。如果沒有協議，數據網絡將不能使用通用的方式來格式化及引導數據。為了便于理解不同網絡服務的功能，我們有必要先熟悉管理這些服務的底層協議。

如圖所示，使用任務管理器來查看 Windows PC 上當前運行的應用程序、進程和服務。

2.2、常見協議

不管在小型還是大型網絡中，技術人員的大部分工作都是與網絡協議有關的。在小型網絡中，網絡協議將支持員工所使用的應用程序和服務。

網絡管理員通常需要訪問網絡設備和服務器。兩種最常見的遠程訪問解決方案是 Telnet 和安全外殼 (SSH)。SSH 服務是 Telnet 的安全替代方案。連接后，管理員可以像在本地登錄一樣訪問 SSH 服務器設備。

SSH 用于在 SSH 客戶端和其他支持 SSH 的設備之間建立安全的遠程訪問連接：

• 網絡設備 -網絡設備（如路由器、交換機、接入點等）必須支持 SSH，才能為客戶端提供遠程訪問 SSH 服務器的服務。
• 服務器 -服務器（例如 Web 服務器、電子郵件服務器等）必須支持到客戶端的遠程訪問 SSH 服務器的服務。

網絡管理員還必須支持公用網絡服務器及其所需的相關網絡協議，如圖所示。

Web設備安全

• Web 客戶端和 Web 服務器使用超文本傳輸協議 (HTTP) 交換 Web 流量。
• 超文本傳輸協議安全 (HTTPS) 用于安全的 Web 通信。

郵件服務器

• 郵件服務器和客戶端使用簡單郵件傳輸協議 (SMTP)發送郵件。
• 郵件客戶端使用郵局協議 (POP3) 和互聯網消息訪問協議 (IMAP)檢索郵件。
• 使用 user@xyz.xxx 格式指定收件人。

FTP服務器

• 文件傳輸協議 (FTP) 服務允許在客戶端和 FTP 服務器之間下載和上傳文件。
• FTP 安全（FPS）和安全 FTP（SFTP）用于保護 FTP 文件交換。

DHCP服務器

客戶端使用動態主機配置協議 (DHCP) 從 DHCP 服務器獲取 IP 配置（即 IP地址、子網掩碼、默認網關等）。

DNS服務器

• 域名服務（DNS）將域名解析為 IP 地址（例如，cisco.com = 72.163.4.185）
• DNS 向請求主機提供網站的 IP 地址（即域名）。

注意: 服務器可以提供多個網絡服務。例如，服務器可以是電子郵件、FTP 和 SSH 服務器。

這些網絡協議將構成網絡專家的基本工具集。每種網絡協議都會定義：

• 通信會話任意一端的流程
• 消息類型
• 消息語法
• 信息性字段的意義
• 消息發送方式和預期響應
• 與下一層的交互

許多公司都已制定政策，盡可能使用這些協議的安全版本（即SSH、SFTP和HTTPS）。

2.3、語音和視頻應用程序

如今，企業越來越多地使用 IP 電話和流媒體與客戶和業務合作伙伴溝通。許多組織正在使其員工能夠遠程工作。如圖所示，他們的許多用戶仍然需要訪問公司軟件和文件，以及對語音和視頻應用程序的支持。

網絡管理員必須確保在網絡中安裝合適的設備并且對網絡設備進行配置以確保優先傳輸。

基礎設施

• 網絡基礎設施必須支持實時應用程序。
• 必須對 現有設備和布線進行測試和驗證。
• 可能需要 更新的網絡產品。

VoIP

• VoIP 設備將模擬電話信號轉換為數字 IP 數據包。
• 通常，VoIP 比IP電話解決方案要低廉得多，但通信質量不能達到相同的標準。
• 小型網絡語音和 IP 視頻可以使用 Skype 和非企業版的思科 WebEx 解決。

IP電話

• IP電話使用專用的呼叫控制和信令服務器進行語音到IP的轉換。
• 許多供應商提供小型企業 IP 電話解決方案，如思科Business Edition 4000 系列產品。

實時應用

• 網絡必須支持服務質量 (QoS) 機制，以最大限度地減少實時流應用程序的延遲問題。
• 實時傳輸協議 (RTP) 和實時傳輸控制協議 (RTCP) 支持這一要求。

3、擴展為大型網絡

3.1、小型網絡的增長

如果您的網絡是為小型企業服務的，那么您可能希望該企業能夠增長，您的網絡也會隨之增長。這稱為擴展網絡，有一些最佳實踐可以做到這一點。

不斷擴展是許多小型企業必經的過程，而其網絡也必須相應地擴展。理想情況是網絡管理員有足夠的時間根據公司發展做出關于網絡發展的明智決策。

要擴展網絡，要求有以下幾個要素：

• 網絡文檔 - 物理和邏輯拓撲
• 設備清單 – 使用或組成網絡的設備列表
• 預算 – 逐項列出IT預算，包括財年設備采購預算
• 流量分析 - 應當記錄協議、應用程序和服務以及它們各自的流量要求

這些要素用于為有關小型網絡擴展的決策提供信息。

3.2、協議分析

隨著網絡的增長，確定如何管理網絡流量變得非常重要。了解網絡上傳輸的流量類型以及當前的流量流很重要。有幾個網絡管理工具可用于此目的。但是，也可以使用 Wireshark 等簡單的協議分析器。

例如，在多個關鍵主機上運行 Wireshark 可以顯示流經網絡的網絡流量類型。下圖顯示了小型網絡上 Windows 主機的 Wireshark 協議分布統計信息。

屏幕截圖顯示主機正在使用 IPv6 和 IPv4 協議。IPv4 特定輸出還顯示主機已使用 DNS、SSL、HTTP、ICMP 和其他協議。

要確定流量模式，應做好以下幾點：

• 通過捕獲網絡使用高峰期的流量準確了解各種不同的流量類型。
• 針對不同的網段和設備捕獲流量，因為某些流量僅在特定的網段內傳輸。

協議分析器收集的信息根據流量的源和目標以及發送的流量類型進行分析。這種分析有助于決定提高流量管理效率的方法，例如減少不必要的流量，或通過移動某臺服務器的邏輯位置來改變流量的總體模式。

有時，只要簡單地將服務器或服務移到另一個網段就能提高網絡性能并滿足不斷增長的流量需求。有時則需要大刀闊斧地進行網絡的重新設計并投入巨大的人力才可以優化網絡的性能。

3.3、員工網絡使用率

除了要了解流量的變化趨勢，網絡管理員必須知道網絡的使用是如何變化的。許多操作系統都提供內置工具來顯示此類信息。例如，Windows 主機提供任務管理器、事件查看器和數據使用情況工具等工具。

這些工具可用于捕獲以下信息的 “快照”：

• 操作系統和操作系統版本
• CPU 使用率
• 內存利用率
• 驅動程序利用率
• 非網絡應用程序
• 網絡應用程序

在一段時間內記錄小型網絡中的員工快照對于識別不斷發展的協議需求和相關的流量流非常有用。這種資源利用率的轉變就可能要求網絡管理員相應地調整網絡資源分配。

Windows 10 數據使用量工具對于確定哪些應用程序正在使用主機上的網絡服務特別有用。數據使用量工具可以使用 Settings > Network & Internet > Data usage > network interface （從最近 30 天開始）訪問。

圖中的示例顯示了使用本地 Wi-Fi 網絡連接在遠程用戶 Windows 10 主機上運行的應用程序。

4、驗證連接

4.1、通過Ping驗證連接性

無論您的網絡是新的還是小的，或者您正在擴展現有的網絡，您總是希望能夠驗證您的組件彼此之間以及與互聯網的連接是否正確。本主題討論了一些可用于確保網絡連接的實用程序。

ping命令是快速測試源和目的 IP 地址之間第 3 層連接的最有效方法。該命令還顯示各種往返時間統計信息。

具體而言，該 ping 命令使用 Internet 控制消息協議 (ICMP) 來Echo請求（ICMP 類型 8）和Echo應答（ICMP 類型 0）消息。該 ping 命令可用于大多數操作系統，包括 Windows、Linux、macOS 和思科 IOS。

在 Windows 10 主機上，該 ping 命令發送四個連續的 ICMP Echo消息，并期望從目標收到四個連續的 ICMP Echo應答。

例如，假設 PC A Ping PC B. 如圖所示，PC A Windows 主機將四個連續的 ICMP Echo消息發送到 PC B（即 10.1.1.10）。

目的主機接收并處理 ICMP Echos。如圖所示，PC B 通過向 PC A 發送四條 ICMP Echo應答消息進行響應。

如命令輸出中所示，PC A 已收到來自 PC-B 的Echo應答，驗證了第 3 層網絡連接。

C:\Users\PC-A> ping 10.1.1.10 Pinging 10.1.1.10 with 32 bytes of data: Reply from 10.1.1.10: bytes=32 time=47ms TTL=51 Reply from 10.1.1.10: bytes=32 time=60ms TTL=51 Reply from 10.1.1.10: bytes=32 time=53ms TTL=51 Reply from 10.1.1.10: bytes=32 time=50ms TTL=51 Ping statistics for 10.1.1.10:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 47ms, Maximum = 60ms, Average = 52ms C:\Users\PC-A>

輸出驗證了 PC A 和 PC B 之間的第 3 層連接。

思科 IOS ping 命令的輸出不同于 Windows 主機。例如，IOS ping 會發送五條 ICMP Echo消息，如輸出所示。

R1# ping 10.1.1.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms R1#

請注意 !!! 輸出字符。IOS ping 命令為收到的每個 ICMP Echo應答顯示一個指示符。下表列出 ping 命令可能輸出的字符：

IOS Ping 指示符

元素說明

!	感嘆號表示成功收到Echo應答 消息。它驗證了源和目標之間的第 3 層連接。
.	句點意味著等待Echo應答消息的時間已過期。這表示路徑中某處可能存在連接 問題。
U	大寫 U 表示沿路徑的路由器 回應了 ICMP 類型 3 “目的地 不可達” 的錯誤消息。可能的原因包括路由器不知道目標網絡的方向， 或者在目標網絡上 找不到主機。

注意: 其他可能的 ping 回復包括 Q、M、? 或 &。但是，這些含義超出了本模塊的范圍。

4.2、擴展Ping

標準 ping 使用最接近目標網絡的接口的 IP 地址作為ping的源地址 。R1 上 ping 10.1.1.10 命令的源 IP 地址將是 G0/0/0 接口的地址（即 209.165.200.225），如示例所示。

思科IOS 提供ping命令的“擴展”模式。此模式允許用戶通過調整與命令操作相關的參數來創建特殊類型的 ping。

在特權 EXEC 模式鍵入ping ，可進入擴展模式，無需目的 IP 地址。然后，您將得到多個提示來自定義擴展 ping。

注意: Pressing Enter 可接受所指出的默認值。

例如，假設您想要測試從 R1 局域網（即 192.168.10.0/24）到 10.1.1.0 局域網的連接性。這可以從 PC A 進行驗證。但是，擴展 ping 可以在 R1 上配置以指定不同的源地址。

如示例所示，R1 上擴展 ping 命令的源 IP 地址可以配置為使用 G0/0/1 接口的 IP 地址（即 192.168.10.1）。

下面在R1上的命令輸出配置一個擴展ping，并指定源IP地址為G0/0/1接口的IP地址(即192.168.10.1)。

R1# ping Protocol [ip]: Target IP address: 10.1.1.10 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Ingress ping [n]: Source address or interface: 192.168.10.1 DSCP Value [0]: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0x0000ABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms R1#

注意: ping ipv6命令用于 IPv6 擴展 ping。

4.3、通過Traceroute驗證連接性

該 ping 命令可用于快速確定是否存在第 3 層連接問題。但是，它不能確定問題位于路徑的什么位置。

Traceroute可以幫助定位網絡中的第3層問題區域。追蹤可用于返回數據包在網絡中傳輸時沿途經過的跳躍列表。它可以用來識別路徑上發現問題的點。

追蹤命令的語法因操作系統而異，如圖所示。

Windows 和思科 IOS 追蹤命令

以下是 Windows 10 主機上的 tracert 命令輸出示例。

C:\Users\PC-A> tracert 10.1.1.10 Tracing route to 10.1.10 over a maximum of 30 hops:1 2 ms 2 ms 2 ms 192.168.10.12 * * * Request timed out.3 * * * Request timed out.4 * * * Request timed out. ^C C:\Users\PC-A>

注意: Use Ctrl-C to interrupt a 跟蹤器 在窗口.

唯一成功的響應來自 R1 上的網關。對下一跳的追蹤請求超時，由星號(*)表示，這意味著下一跳的路由器沒有響應。超時的請求表明，局域網以外的互聯網絡中有錯誤，或者這些路由已經配置為不響應追蹤中使用的Echo請求。在這個例子中，R1 和 R2 之間似乎存在問題。

思科 IOS traceroute 命令輸出與 Windows tracert命令不同。例如，請參考以下拓撲結構。

以下是來自 R1 的Traceroute命令的示例輸出。

R1# traceroute 10.1.1.10 Type escape sequence to abort. Tracing the route to 10.1.1.10 VRF info: (vrf in name/id, vrf out name/id) 1 209.165.200.226 1 msec 0 msec 1 msec 2 209.165.200.230 1 msec 0 msec 1 msec 3 10.1.1.10 1 msec 0 msec R1#

在此示例中，追蹤驗證了它可以成功到達 PC B。

超時表示存在潛在的問題。例如，如果 10.1.1.10 主機不可用，則該 traceroute 命令將顯示以下輸出。

R1# traceroute 10.1.1.10 Type escape sequence to abort. Tracing the route to 10.1.1.10 VRF info: (vrf in name/id, vrf out name/id) 1 209.165.200.226 1 msec 0 msec 1 msec 2 209.165.200.230 1 msec 0 msec 1 msec 3 * * * 4 * * * 5 *

使用 Ctrl-Shift-6 來中斷思科IOS上的 traceroute命令。

注意: traceroute (tracert) 的 Windows 實現用于發送 ICMP Echo請求。思科 IOS 和 Linux 使用具有無效端口號的 UDP。最終目的地將返回一個ICMP 端口不可達的消息。

4.4、擴展 Traceroute

就像擴展 ping命令一樣，同樣也有一個擴展 traceroute 命令。它允許管理員調整與命令操作相關的參數。這有助于在排除路由環路故障以及準確確定下一跳路由器時定位問題，或者可以幫助確定路由器或防火墻在何處丟棄或拒絕了數據包。

Windows tracert命令允許通過命令行中的選項輸入多個參數。但是，它不像擴展追蹤 IOS 命令那樣提供引導。以下輸出顯示了 Windows tracert 命令的可用選項。

C:\Users\PC-A> tracert /? Usage: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout][-R] [-S srcaddr] [-4] [-6] target_name Options:-d Do not resolve addresses to hostnames.-h maximum_hops Maximum number of hops to search for target.-j host-list Loose source route along host-list (IPv4-only).-w timeout Wait timeout milliseconds for each reply.-R Trace round-trip path (IPv6-only).-S srcaddr Source address to use (IPv6-only).-4 Force using IPv4.-6 Force using IPv6. C:\Users\PC-A>

思科IOS擴展traceroute選項允許用戶通過調整與命令操作相關的參數來創建特殊類型的 trace。在特權 EXEC 模式鍵入traceroute ，可進入擴展traceroute模式，無需目的 IP 地址。IOS 將會顯示一些與各個參數的設置相關的提示，引導您使用命令選項。

注意:按Enter可接受所指出的默認值。

例如，假設您要測試從 R1 局域網到 PC B 的連接。雖然這可以從 PC A 進行驗證。但是，擴展 traceroute 可以在 R1 上配置以指定不同的源地址。

如示例所示，R1 上擴展 traceroute 命令的源 IP 地址可以配置為使用 R1局域網接口的 IP 地址（即 192.168.10.1）。

R1# traceroute Protocol [ip]: Target IP address: 10.1.1.10 Ingress traceroute [n]: Source address: 192.168.10.1 DSCP Value [0]: Numeric display [n]: Timeout in seconds [3]: Probe count [3]: Minimum Time to Live [1]: Maximum Time to Live [30]: Port Number [33434]: Loose, Strict, Record, Timestamp, Verbose[none]: Type escape sequence to abort. Tracing the route to 192.168.10.10 VRF info: (vrf in name/id, vrf out name/id)1 209.165.200.226 1 msec 1 msec 1 msec2 209.165.200.230 0 msec 1 msec 0 msec3 *10.1.1.10 2 msec 2 msec R1#

4.5、網絡基線

監控網絡和排除網絡故障的最有效的工具之一就是建立網絡基線。創建一條有效的網絡性能基線需要一段較長的時間才能完成。在不同時間以及各種負載下測量網絡性能有助于建立更準確的網絡整體性能概貌。

網絡命令的輸出可為網絡基線提供數據。開始基線的方法之一就是將ping、trace或其他相關命令的執行結果復制并粘貼到文本文件中。然后為這些文本文件加上時間戳并保存到檔案中以備將來檢索和比較。

需考慮的項目包括錯誤消息以及主機之間的響應時間。如果響應時間增加較大，則表示可能有延時問題需要解決。

例如，以下 ping 輸出已捕獲并粘貼到文本文件中。

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10 Pinging 10.1.1.10 with 32 bytes of data: Reply from 10.1.1.10: bytes=32 time<1ms TTL=64 Reply from 10.1.1.10: bytes=32 time<1ms TTL=64 Reply from 10.1.1.10: bytes=32 time<1ms TTL=64 Reply from 10.1.1.10: bytes=32 time<1ms TTL=64 Ping statistics for 10.1.1.10:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\Users\PC-A>

請注意 ping 往返時間小于 1 毫秒。

一個月后，再次進行了ping測試并捕獲記錄。

**September 19, 2019 at 10:1,821

C:\Users\PC-A> ping 10.1.1.10 Pinging 10.1.1.10 with 32 bytes of data: Reply from 10.1.1.10: bytes=32 time=50ms TTL=64 Reply from 10.1.1.10: bytes=32 time=49ms TTL=64 Reply from 10.1.1.10: bytes=32 time=46ms TTL=64 Reply from 10.1.1.10: bytes=32 time=47ms TTL=64 Ping statistics for 10.1.1.10:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 46ms, Maximum = 50ms, Average = 48ms C:\Users\PC-A>

請注意，這次 ping 往返時間要長得多，表明存在潛在的問題。

企業網絡應該制備詳盡的基線，覆蓋內容要遠比我們在本課中所述全面得多。可選用專業的軟件工具來存儲和維護基線信息。在本課程中，我們介紹幾個基本技巧并討論基線的用途。

通過在互聯網上搜索 “基準流程最佳實踐”，可以找到思科的基準流程最佳實踐。

4.6、實驗 - 使用 Ping 命令和 Traceroute 命令測試網絡延時

略

5、主機和IOS命令

5.1、Windows主機的 IP 配置

如果您使用上一主題中的任何工具來驗證連接性，并發現網絡的某些部分不能正常工作，那么現在是使用一些命令來對設備進行故障排除的時候了。主機和 IOS 命令可以幫助您確定問題是否與設備的 IP編址有關，這是一個常見的網絡問題。

檢查主機設備上的 IP 地址是網絡中用于驗證端到端連接并排除故障的常見做法。在 Windows 10 中，您可以從Network and Sharing Center（如圖所示）訪問 IP 地址詳細信息，以快速查看四個重要的設置：地址、掩碼、路由器和 DNS。

但是，網絡管理員通常通過會在 Windows 計算機的命令行發出 ipconfig 命令來查看 Windows 主機上的 IP編址信息，如示例輸出中所示。

C:\Users\PC-A> ipconfig Windows IP Configuration (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16 IPv4 Address. . . . . . . . . . . : 192.168.10.10 Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.10.1 (Output omitted)

使用ipconfig /all命令可查看 MAC 地址和有關設備第 3 層編址的許多細節，如示例輸出中所示。

C:\Users\PC-A> ipconfig /all Windows IP ConfigurationHost Name . . . . . . . . . . . . : PC-A-00H20Primary Dns Suffix . . . . . . . : cisco.comNode Type . . . . . . . . . . . . : HybridIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoDNS Suffix Search List. . . . . . : cisco.com (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8265Physical Address. . . . . . . . . : F8-94-C2-E4-C5-0ADHCP Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesLink-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.10.10(Preferred)Subnet Mask . . . . . . . . . . . : 255.255.255.0Lease Obtained. . . . . . . . . . : August 17, 2019 1:20:17 PMLease Expires . . . . . . . . . . : August 18, 2019 1:20:18 PMDefault Gateway . . . . . . . . . : 192.168.10.1DHCP Server . . . . . . . . . . . : 192.168.10.1DHCPv6 IAID . . . . . . . . . . . : 100177090DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-F3-76-75-54-E1-AD-DE-DA-9ADNS Servers . . . . . . . . . . . : 192.168.10.1NetBIOS over Tcpip. . . . . . . . : Enabled

如果將主機配置為 DHCP 客戶端，則可以使用 ipconfig /release 和 ipconfig /renew 命令續訂 IP 地址配置，如示例輸出中所示。

C:\Users\PC-A> ipconfig /release (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16Default Gateway . . . . . . . . . : (Output omitted) C:\Users\PC-A> ipconfig /renew (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16IPv4 Address. . . . . . . . . . . : 192.168.1.124Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.1.1 (Output omitted) C:\Users\PC-A>

在安裝了 Windows 系統的 PC 上，DNS 客戶端服務可以預先在內存中存儲已解析的域名，從而優化 DNS 域名解析性能。在 Windows 計算機系統中，輸入ipconfig /displaydns命令可以顯示所有 DNS 緩存條目，如示例輸出中所示。

C:\Users\PC-A> ipconfig /displaydns Windows IP Configuration (Output omitted)netacad.com----------------------------------------Record Name . . . . . : netacad.comRecord Type . . . . . : 1Time To Live . . . . : 602Data Length . . . . . : 4Section . . . . . . . : AnswerA (Host) Record . . . : 54.165.95.219 (Output omitted)

5.2、Linux主機的 IP 配置

在 Linux 計算機上使用 GUI 驗證 IP 設置將根據 Linux 發行版和桌面界面而有所不同。下圖顯示了運行 Gnome 桌面的 Ubuntu 發行版上的 Connection Information 對話框。

在命令行中，網絡管理員使用 ifconfig 命令顯示當前活動接口的狀態及其 IP 配置，如輸出中所示。

[analyst@secOps ~]$ ifconfig enp0s3 Link encap:Ethernet HWaddr 08:00:27:b5:d6:cb inet addr: 10.0.2.15 Bcast:10.0.2.255 Mask: 255.255.255.0inet6 addr: fe80::57c6:ed95:b3c9:2951/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:1332239 errors:0 dropped:0 overruns:0 frame:0TX packets:105910 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000 RX bytes:1855455014 (1.8 GB) TX bytes:13140139 (13.1 MB) lo: flags=73 mtu 65536inet 127.0.0.1 netmask 255.0.0.0inet6 ::1 prefixlen 128 scopeid 0x10loop txqueuelen 1000 (Local Loopback)RX packets 0 bytes 0 (0.0 B)RX errors 0 dropped 0 overruns 0 frame 0TX packets 0 bytes 0 (0.0 B)TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Linux的ip address 命令用于顯示地址及其屬性。它也可以用于添加或刪除 IP 地址。

注意: 顯示的輸出可能會因 Linux 發行版不同和而有所區別。

5.3、macOS主機的 IP 配置

在 Mac 主機的 GUI 中，打開 Network Preferences > Advanced 以獲取 IP編址信息，如圖所示。

但是，該 ifconfig 命令也可用于驗證輸出中顯示的接口 IP 配置。

MacBook-Air:~ Admin$ ifconfig en0 en0: flags=8863 mtu 1500ether c4:b3:01:a0:64:98inet6 fe80::c0f:1bf4:60b1:3adb%en0 prefixlen 64 secured scopeid 0x5inet 10.10.10.113 netmask 0xffffff00 broadcast 10.10.10.255nd6 options=201media: autoselectstatus: active MacBook-Air:~ Admin$

用于驗證主機 IP 設置的其他有用的 macOS 命令包括 networksetup -listallnetworkservices 和 networksetup -getinfo <網絡服務>, 如下面的輸出所示。

MacBook-Air:~ Admin$ networksetup -listallnetworkservices An asterisk (*) denotes that a network service is disabled. iPhone USB Wi-Fi Bluetooth PAN Thunderbolt Bridge MacBook-Air:~ Admin$ MacBook-Air:~ Admin$ networksetup -getinfo Wi-Fi DHCP Configuration IP address: 10.10.10.113 Subnet mask: 255.255.255.0 Router: 10.10.10.1 Client ID: IPv6: Automatic IPv6 IP address: none IPv6 Router: none Wi-Fi ID: c4:b3:01:a0:64:98 MacBook-Air:~ Admin$

5.4、arp 命令

該 arp 命令是從 Windows、Linux 或 Mac 的命令提示符執行的。該命令列出了當前主機 ARP 緩存中的所有設備，所列出的信息包括每臺設備的 IPv4 地址、物理地址和編址類型（靜態/動態）。

例如，請參考圖中的拓撲結構。

在Windows PC-A主機上顯示了該arp -a命令的輸出。

C:\Users\PC-A> arp -a Interface: 192.168.93.175 --- 0xcInternet Address Physical Address Type10.0.0.2 d0-67-e5-b6-56-4b dynamic10.0.0.3 78-48-59-e3-b4-01 dynamic10.0.0.4 00-21-b6-00-16-97 dynamic10.0.0.254 00-15-99-cd-38-d9 dynamic

該 arp -a 命令顯示了已知 IP 地址及 MAC 地址綁定。請注意， IP 地址 10.0.0.5 不包含在列表中。這是因為ARP 緩存僅顯示最近訪問過的設備的信息。

要確保填充 ARP 緩存，請ping一臺設備以使該設備對應的條目出現在 ARP 表中。例如，如果 PC-A ping了 10.0.0.5，則 ARP 緩存將包含該 IP 地址的條目。

當網絡管理員要使用更新后的信息重新填充路由器緩存時，可通過使用netsh interface ip delete arpcache命令來清空緩存。

注意: 您可能需要主機的管理員訪問權限才能使用 netsh interface ip delete arpcache 命令。

5.5、常用show 命令回顧

命令和工具可用于驗證主機配置，同樣，命令也可用于驗證中間設備的接口。Cisco IOS 提供了用于驗證路由器接口和交換機接口工作情況的命令。

思科IOS CLI show命令顯示有關設備配置和運行的相關信息。網絡技術人員使用 show命令廣泛用于查看配置文件，檢查設備接口和進程的狀態并且驗證設備運行狀態。幾乎路由器的每個進程或功能的狀態都可使用show命令顯示出來。

表中列出了常用的 show 命令以及應該何時使用它們。

CommandUseful for …

show running-config	驗證當前的配置和設置
show interfaces	驗證接口狀態并顯示任何錯誤消息
show ip interface	驗證接口的第 3 層信息
show arp	驗證本地以太網局域網上的已知主機列表
show ip route	驗證第 3 層路由信息。
show protocols	驗證哪些協議是可操作的
show version	驗證設備的內存、接口和許可

注：對每個命令的詳情見之前的筆記

5.6、show cdp neighbors 命令

還有幾個很有用的 IOS 命令。思科發現協議 (CDP) 是思科專有協議，在數據鏈路層運行。由于 CDP 在數據鏈路層運行，即使第 3 層連接還未建立，兩臺或多臺思科網絡設備（例如支持不同網絡層協議的路由器）也可以互相獲取信息。

思科設備啟動時會默認啟動 CDP。CDP 會自動發現運行 CDP 的鄰近思科設備，無論這些設備運行哪種第 3 層協議或協議簇。CDP 還會與直連的 CDP 鄰居交換硬件和軟件設備信息。

CDP 提供每臺 CDP 鄰居設備的以下信息：

• 設備標識符 -交換機、路由器或其他設備的已配置主機名
• 地址列表 - 每種支持的協議最多對應一個網絡層地址
• 端口標識符 -本地和遠程端口的名稱 － ASCII 字符格式的字符串，例如 FastEthernet 0/0
• 功能列表 -例如，特定設備是第 2 層交換機還是第 3 層交換機
• 平臺 - 設備的硬件平臺-例如 Cisco 1841 系列路由器

請參考拓撲和show cdp neighbor命令的輸出。

R3# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route BridgeS - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,D - Remote, C - CVTA, M - Two-port Mac Relay Device ID Local Intrfce Holdtme Capability Platform Port ID S3 Gig 0/0/1 122 S I WS-C2960+ Fas 0/5 Total cdp entries displayed : 1 R3#

輸出顯示了 R3 G0/0/1 接口連接到 S3 的F0/5 接口，這是思科2960+交換機。請注意，R3 尚未收集有關 S4 的信息。這是因為思科發現協議(CDP)只能發現直接連接的思科設備。S4 沒有直接連接到 R3，所以沒有在輸出中列出。

該 show cdp neighbors detail 命令顯示相鄰設備的 IP 地址，如輸出中所示。無論是否能 ping 通鄰居，CDP 都會顯示鄰居的 IP 地址。當兩臺思科路由器無法通過共享的數據鏈路進行路由時，此命令非常有用。show cdp neighbors detail命令有助于確定某個 CDP 鄰居是否存在 IP 配置錯誤。

雖然它和 CDP 同樣有用，但它也會帶來安全風險，因為它可以為威脅行動者提供有用的網絡基礎設施信息。例如，許多 IOS 版本默認情況下會向所有已啟用的端口發送 CDP 通告。但是，最佳實踐建議僅在連接到其他基礎設施思科設備的接口上啟用 CDP。應在面向用戶的端口上禁用 CDP 通告。

由于某些 IOS 版本默認情況下會向外發送 CDP 通告，因此必須知道如何禁用 CDP。要全局禁用 CDP，可以使用全局配置命令no cdp run。要在某一接口上禁用 CDP，請使用接口命令no cdp enable。

5.7、show ip interface brief 命令

show ip interface brief是最常用的命令之一。它提供的輸出比show ip interface命令的輸出更簡略。它提供路由器上所有網絡接口的重要信息摘要。

例如，show ip interface brief輸出顯示路由器的所有接口、分配給每個接口的 IP 地址（如果有）和接口的運行狀態。

R1# show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0/0 209.165.200.225 YES manual up up GigabitEthernet0/0/1 192.168.10.1 YES manual up up Serial0/1/0 unassigned NO unset down down Serial0/1/1 unassigned NO unset down down GigabitEthernet0 unassigned YES unset administratively down down R1#

驗證交換機接口

show ip interface brief命令也可用于驗證交換機接口的狀態，如輸出所示。

S1# show ip interface brief Interface IP-Address OK? Method Status Protocol Vlanl 192.168.254.250 YES manual up up FastEthernet0/l unassigned YES unset down down FastEthernet0/2 unassigned YES unset up up FastEthernet0/3 unassigned YES unset up up

The VLAN1 interface is assigned an IPv4 address of 192.168.254.250, has been enabled, and is operational.

輸出還顯示 FastEthernet0/1 接口已關閉。這表示沒有設備連接到該接口或與該接口連接的設備中有一個網絡接口不能正常運行。

相反，輸出顯示 FastEthernet0/2 接口和 FastEthernet0/3 接口都運行正常。這通過 Status（狀態）列和 Protocol（協議）列中的 up（工作）來表明。

5.8、視頻- Show Version 命令

show version命令可用于檢驗和檢修啟動過程中使用的一些基本硬件和軟件組件。

視頻略

5.9、Packet Tracer-解釋show命令輸出

略

6、故障排除方法

6.1、故障排除基本方法

在前兩個主題中，您了解了一些可用于幫助識別網絡中的問題區域的實用程序和命令。這是故障排除的一個重要部分。有很多方法可以解決網絡問題。本主題詳細介紹了一個結構化的故障排除過程，該過程可幫助您成為更好的網絡管理員。它還提供了一些更多的命令來幫助您解決問題。網絡問題可能非常簡單，也可能很復雜，而且可能會因硬件、軟件和連接問題綜合導致。技術人員必須能夠分析問題并確定錯誤的原因才能解決網絡問題。此過程稱為故障排除。

常用且有效的故障排除方法以科學方法為基礎。

此表顯示故障排除流程的六個主要步驟。

步驟描述

第 1 步：確定問題	這是故障排除流程的第一步。雖然此步驟中可以使用工具，但是溝通 往往非常有用。
第 2 步：推測潛在原因	問題確定后，嘗試推測一個 潛在的原因。此步驟通常會得出問題的多種潛在 原因。
第 3 步：驗證推測以確定原因	推斷真正的原因 根據可能的原因，驗證自己的理論，推斷出 哪個才是導致問題的真正原因。技術人員通常會應用快速程序測試潛在原因，看 其是否能解決問題。流程沒有解決這個問題，可能需要進一步研究 這個問題并且判斷出準確的原因。
第 4 步：制定解決方案并實施方案	在您已經明確了導致問題的原因之后，設計一個 方案來解決問題并實施解決方案。
步驟 5. 檢驗解決方案并實施預防措施	在修復了問題之后，要驗證完整的功能。如果需要的話，還要實施一些防御措施。
第 6 步：記錄調查結果、采取措施和結果	在故障排除流程的最后一步，記錄 調查結果、采取措施和結果。這對于未來參考非常重要。

為了對問題進行評估，請先確定網絡中有多少臺設備存在問題。如果網絡中的一臺設備存在問題，則在該設備上開始進行故障排除。如果網絡中的所有設備都有問題，請在連接所有其他設備的設備上開始實施故障排除流程。您應該開發出一種合理且一致的方法，通過一次排除一個問題來診斷網絡問題。

6.2、解決還是上報？

在某些情況下，立即解決該問題是不可能的。如果問題需要經理決策，要求一些特定專業知識，或者實施故障排除的技術人員不具備所需網絡訪問級別，則應上報此問題。

例如，在完成故障排查后，技術人員推斷應該更換路由器模塊。此問題應上報經理批準。經理可能需要再次上報此問題，因為需要財務部門批準后才能購買新的模塊。

公司政策應清楚地說明技術人員應何時以及如何上報問題。

6.3、debug命令

OS 進程、協議、機制和事件生成消息以告知它們的狀態。在排除故障或驗證系統操作時，這些消息可以提供有價值的信息。IOSdebug命令允許管理員實時顯示這些消息，以便進行分析。它是思科IOS 設備中用于監控事件的一個非常重要的工具。

所有debug命令都在特權 EXEC 模式下輸入。思科IOS 允許縮小debug的輸出，以便僅包含相關功能或子功能。這一點很重要，因為調試輸出在 CPU 進程中享有高優先級，可能會導致系統不可用。因此，只在排查特定問題時才使用debug命令。

如示例所示，要監控思科路由器中 ICMP 消息的狀態，請使用debug ip icmp命令。

R1# debug ip icmp ICMP packet debugging is on R1# R1# ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms R1# *Aug 20 14:18:59.605: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 *Aug 20 14:18:59.606: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 *Aug 20 14:18:59.608: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 *Aug 20 14:18:59.609: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 *Aug 20 14:18:59.611: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 R1#

要列出所有調試命令選項的簡短說明，請在特權 EXEC 模式下的命令行處使用**debug ?**命令。

要關閉特定調試功能，請在debug命令前添加關鍵字no：

Router# no debug ip icmp

或者，您可以在特權 EXEC 模式中輸入命令的undebug形式：

Router# undebug ip icmp

要同時關閉所有活動的 debug 命令，請使用undebug all命令：

Router# undebug all

使用某些 debug 命令時要小心。某些命令（例如debug all和debug ip packet ）會生成大量輸出，并會使用大量的系統資源。路由器可能會忙于顯示debug消息，以至于沒有足夠的處理能力來執行其網絡功能，或偵聽關閉調試的命令。因此，不建議使用這些命令選項，應盡量避免。

6.4、terminal monitor 命令

授權訪問IOS命令行界面的連接可以通過以下兩種方式建立:

• 本地 本地連接（即控制臺連接）需要使用反轉電纜對路由器或交換機的控制臺接口進行物理訪問。
• 遠程 -遠程連接需要使用 Telnet 或 SSH 來與配置了IP的設備建立連接。

某些 IOS 消息會自動顯示在控制臺連接上，但不會顯示在遠程連接上。例如，默認情況下，在控制臺連接上顯示 debug 輸出。但是， debug 輸出不會自動顯示在遠程連接上。這是因為debug消息是日志消息，它被禁止顯示在vty線路上。

例如，在以下輸出中，用戶使用 Telnet 建立了從 R2 到 R2 的遠程連接。然后用戶發出了 debug ip icmp 命令。但是，該命令無法顯示 debug 輸出。

R2# telnet 209.165.200.225 Trying 209.165.200.225 ... OpenAuthorized access only! User Access Verification Password: R1> enable Password: R1# debug ip icmp ICMP packet debugging is on R1# ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms R1# ! No debug output displayed>

要在終端（虛擬控制臺）上顯示日志消息，請使用terminal monitor特權 EXEC 命令。要停止終端上的日志記錄消息，請使用terminal no monitor特權 EXEC 命令。

例如，注意terminal monitor命令現在是如何輸入的，ping命令顯示了debug輸出。

R1# terminal monitor R1# ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms R1# *Aug 20 16:03:49.735: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 **Aug 20 16:03:49.737: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 **Aug 20 16:03:49.738: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 **Aug 20 16:03:49.740: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 **Aug 20 16:03:49.741: ICMP: echo reply rcvd, src 10.1.1.1, dst 209.165.200.225,topology BASE, dscp 0 topoid 0 R1# no debug ip icmp ICMP packet debugging is off R1#

注意: 該 debug 命令的目的是在短時間內捕獲實時輸出（即幾秒鐘到一分鐘左右）。不需要時總是禁用debug。

7、故障排除場景

7.1、雙工操作和不匹配問題

許多常見的網絡問題可以很容易地識別和解決。現在您已經掌握了用于網絡故障排除的工具和流程，本主題將回顧作為網絡管理員可能遇到的一些常見網絡問題。

在數據通信中，雙工是指兩臺設備之間數據傳輸的方向。

有兩種雙工通信模式：

• 半雙工 -通信限制為每次在一個方向進行數據交換。
• 全雙工 -允許同時發送和接收通信。

該圖說明了每種雙工方法的工作方式。

為了達到最佳通信性能，兩個互相連接的以太網接口必須在同一雙工模式下運行，以避免低效和鏈路延遲。

以太網自動協商功能簡化了配置，最大限度地減少了問題，最大限度地提高了兩個相互連接的以太網鏈路之間的鏈路性能。連接的設備首先通告其支持的功能，然后選擇兩端所支持的最高性能模式。例如，圖中的交換機和路由器已成功自動協商全雙工模式。

如果兩個連接的設備，一個在全雙工模式下運行，另一個在半雙工模式下運行，就會出現雙工不匹配。當數據通過雙工不匹配的鏈路通信時，鏈路性能就會很差。

雙工不匹配通常是由于接口配置錯誤導致的，或者在極少數情況下是由自動協商失敗引起的。當設備之間仍在通信時，可能很難對雙工不匹配的問題進行排查。

7.2、IOS 設備的 IP 尋址問題

與 IP 地址相關的問題可能會阻止遠程網絡設備進行通信。由于 IP 地址是分層的，分配給網絡設備的任何 IP 地址都必須符合該網絡地址范圍。錯誤分配的 IP 地址會導致很多問題，包括 IP 地址沖突和路由問題。

IPv4 分配不正確的兩個常見原因是手動分配錯誤或與 DHCP 相關的問題。

網絡管理員通常必須手動將 IP 地址分配到設備，比如服務器和路由器。如果在分配期間出現錯誤，則很可能引發設備的通信問題。

在 IOS 設備上，請使用show ip interface 或 show ip interface brief命令驗證哪些 IPv4 地址分配給了網絡接口。例如，如圖所示發出 show ip interface brief 命令將驗證 R1 上的接口狀態。

R1# show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0/0 209.165.200.225 YES manual up up GigabitEthernet0/0/1 192.168.10.1 YES manual up up Serial0/1/0 unassigned NO unset down down Serial0/1/1 unassigned NO unset down down GigabitEthernet0 unassigned YES unset administratively down down R1#

7.3、終端設備的 IP編址問題

在基于 Windows 的計算機中，當設備無法與 DHCP 服務器通信時，Windows 將自動分配一個屬于 169.254.0.0/16 范圍內的地址。此功能稱為自動專用IP編址 (APIPA)，旨在促進本地網絡內的通信。可以將其想象成 Windows 發聲說“我將使用 169.254.0.0/16 范圍內的這個地址，因為我無法獲得任何其他地址”。

通常，擁有APIPA地址的計算機無法與網絡中的其他設備通信，因為這些設備很可能不屬于 169.254.0.0/16 網絡。這種情況表示，應對 IPv4 地址自動分配問題進行修復。

注意: 如果與 DHCP 服務器的通信失敗，其他操作系統（例如 Linux 和 OS X）不會將 IPv4 地址分配給網絡接口。

大多數終端設備配置為依賴于 DHCP 服務器來實現 IPv4 地址的自動分配。如果設備無法與 DHCP 服務器通信，則服務器不會為該特定網絡分配 IPv4 地址，而且設備將無法通信。

如輸出所示，要驗證 IP 地址是否分配到基于 Windows 的計算機，請使用ipconfig命令。

C:\Users\PC-A> ipconfig Windows IP Configuration (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16IPv4 Address. . . . . . . . . . . : 192.168.10.10Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.10.1 (Output omitted)

7.4、默認網關問題

終端設備的默認網關是可以將流量轉發到其他網絡的最近的網絡設備。如果設備的默認網關地址不正確或不存在，它將無法與遠程網絡中的設備通信。由于默認網關是通向遠程網絡的路徑，其地址必須與終端設備屬于同一網絡。

默認網關地址可以手動設置，也可以從 DHCP 服務器獲取。與 IPv4 尋址問題類似，默認網關問題可能與配置錯誤（在手動分配的情況下）或 DHCP 問題（如果使用自動分配）有關。

要解決默認網關配置錯誤問題，請確保為設備配置正確的默認網關。如果手動設置的默認地址不正確，只需將其替換為合適的地址即可。如果默認網關地址是自動設置的，請確保設備可以與 DHCP 服務器通信。還必須驗證路由器接口上的 IPv4 地址和子網掩碼是否配置適當，以及該接口是否處于活動狀態。

如顯示所示，要驗證基于 Windows 的計算機上的默認網關，請使用ipconfig命令。

C:\Users\PC-A> ipconfig Windows IP Configuration (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Link-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16IPv4 Address. . . . . . . . . . . : 192.168.10.10Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.10.1 (Output omitted)

在路由器上，使用show ip route命令列出路由表，并驗證稱為默認路由的默認網關是否已設置。當數據包的目的地址與路由表中任何其他路由不匹配時，使用此路由。

例如，輸出驗證 R1具有指向 IP 地址 209.168.200.226 的默認網關（即最后求助網關）。

R1# show ip route | begin Gateway Gateway of last resort is 209.165.200.226 to network 0.0.0.0 O*E2 0.0.0.0/0 [110/1] via 209.165.200.226, 02:19:50, GigabitEthernet0/0/010.0.0.0/24 is subnetted, 1 subnets O 10.1.1.0 [110/3] via 209.165.200.226, 02:05:42, GigabitEthernet0/0/0192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/1 L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/1209.165.200.0/24 is variably subnetted, 3 subnets, 2 masks C 209.165.200.224/30 is directly connected, GigabitEthernet0/0/0 L 209.165.200.225/32 is directly connected, GigabitEthernet0/0/0 O 209.165.200.228/30[110/2] via 209.165.200.226, 02:07:19, GigabitEthernet0/0/0 R1#

突出顯示的第一行基本上說明了網關通往任何地址（即 0.0.0.0）都應該發送到 IP 地址 209.165.200.226。第二行顯示了 R1 如何獲悉默認網關。在這種情況下，R1 從另一個啟用了OSPF的路由器接收信息。

7.5、排除 DNS 故障

域名服務 (DNS) 定義了一種將域名（例如 www.cisco.com）與-ob5f/) IP 地址相匹配的自動化服務。DNS 解析對于設備無關緊要，但對最終用戶而言非常重要。

用戶通常會錯誤地將互聯網鏈路的運行與 DNS的可用性相關聯。“網絡中斷”或“互聯網中斷”等用戶投訴通常就是由于 DNS 服務器無法訪問所導致的。當數據包路由以及其他網絡服務仍正常運行時，DNS 故障經常會導致用戶得出錯誤結論。如果用戶在 Web 瀏覽器中鍵入一個域名（例如 www.cisco.com），而%2C-w63n/) DNS 服務器無法訪問，則該域名將無法轉換為 IP 地址，網站將不會顯示。

DNS 服務器地址可以手動或自動分配。網絡管理員通常負責在服務器和其他設備上手動分配 DNS 服務器地址，而 DHCP 用于將 DNS 服務器地址自動分配到客戶端。

雖然公司和組織通常會管理他們自己的 DNS 服務器，但任何可訪問的 DNS 服務器都可以用于解析域名。小型辦公室和家庭辦公室 (SOHO) 用戶通常依賴其 ISP 所維護的 DNS 服務器來進行域名解析。ISP 維護的 DNS 服務器通過 DHCP 分配給 SOHO 客戶。另外，Google 維護了一個可供所有人使用的公共 DNS 服務器，它對于測試非常有用。Google 的公共 DNS 服務器的 IPv4 地址為 8.8.8.8，其 IPv6 DNS 地址為 2001:4860:4860::8888。

思科提供了OpenDNS，它通過過濾網絡釣魚和一些惡意網站來提供安全的 DNS 服務。您可以在首選 DNS 服務器和備用 DNS 服務器字段中將 DNS 地址更改為 208.67.222.222 和 208.67.220.220。家庭和企業可以使用web內容過濾和安全等高級功能。

如顯示所示，使用ipconfig /all驗證 Windows 計算機正在使用哪個 DNS 服務器。

C:\Users\PC-A> ipconfig /all (Output omitted) Wireless LAN adapter Wi-Fi:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8265Physical Address. . . . . . . . . : F8-94-C2-E4-C5-0ADHCP Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesLink-local IPv6 Address . . . . . : fe80::a4aa:2dd1:ae2d:a75e%16(Preferred)IPv4 Address. . . . . . . . . . . : 192.168.10.10(Preferred)Subnet Mask . . . . . . . . . . . : 255.255.255.0Lease Obtained. . . . . . . . . . : August 17, 2019 1:20:17 PMLease Expires . . . . . . . . . . : August 18, 2019 1:20:18 PMDefault Gateway . . . . . . . . . : 192.168.10.1DHCP Server . . . . . . . . . . . : 192.168.10.1DHCPv6 IAID . . . . . . . . . . . : 100177090DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-F3-76-75-54-E1-AD-DE-DA-9ADNS Servers . . . . . . . . . . . : 208.67.222.222NetBIOS over Tcpip. . . . . . . . : Enabled (Output omitted)

nslookup命令是 PC 的另一個有用的 DNS 故障排除工具。利用 nslookup，用戶可以手動進行 DNS 查詢并分析 DNS 響應。該 nslookup 命令顯示了對于www.cisco.com 查詢的輸出。請注意，您也可以簡單地輸入一個IP地址然后通過 nslookup 解析其域名。

C:\Users\PC-A> nslookup Default Server: Home-Net Address: 192.168.1.1 > cisco.com Server: Home-Net Address: 192.168.1.1 Non-authoritative answer: Name: cisco.com Addresses: 2001:420:1101:1::18572.163.4.185 > 8.8.8.8 Server: Home-Net Address: 192.168.1.1 Name: dns.google Address: 8.8.8.8 > > 208.67.222.222 Server: Home-Net Address: 192.168.1.1 Name: resolver1.opendns.com Address: 208.67.222.222 >

7.6、Packet Tracer - 排除連接故障

略

7.7、實驗 - 排除連接故障

略

總結

以上是生活随笔為你收集整理的ITN网络课程笔记（十七）（完）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。