步步排查故障 让你的网络安全畅通起来

　　很多时候，当广域网网络出现连接不通故障时，网络管理员往往很难快速找出连接不通故障的产生原因，这些都需要网络管理员依次进行步步排查，才能让广域网畅通起来。最近，笔者就曾遭遇过一则广域网连接不畅的故障现象，现在笔者就将该故障的详细排查步骤还原出来，希望大家能从中收到启发。

　　判断故障范围

　　当网络管理员发现广域网网络无法连通现象时，首先应该做的工作就是想办法判断故障发生的大概范围，主要就是弄清楚故障究竟是发生在ISP通信线路上，还是本地用户自身身上，以便及早明确故障解决责任，加快故障解决速度，以避免ISP运营服务商与本地用户之间发生互相扯皮推诿现象。在判断故障发生范围时，我们还需要根据广域网网络的连接类型不同而采取不同的判断方法；例如，要是广域网网络是利用路由器设备进行连接的，那么我们可以登录进路由器设备的后台管理界面，在该界面的命令行状态下执行Ping命令，来测试对端路由器设备的广域网连接端口地址是否能够被正常Ping通。

　　要是广域网网络是利用三层路由交换机设备进行连接的，我们只要在广域网通信线路的两头依次接上一台普通工作站，并将每台工作站的IP地址设置为对应各地三层路由交换机设备的广域网通信端口地址，之后打开本地工作站系统的MS-DOS工作窗口，在该窗口的命令行提示符下执行Ping命令，来测试对端三层路由交换机设备的广域网通信端口地址。

　　在进行上述测试操作时，如果发现Ping命令响应延迟或者发生了比较明显的丢包现象时，那就说明ISP提供的通信线路工作状态可能不正常，此时我们不妨联系ISP服务商，请求派技术人员检查、解决通信线路的故障问题；要是Ping命令测试正常（如下图所示）。

　　并没有看到数据丢包现象时，那就说明广域网网络无法连通现象与ISP服务商提供的通信线路无关，造成这种故障现象的原因很可能就在于本地或对端局域网自身，此时我们需要对本地或对端局域网网络进行进一步查找。

　　当我们确认了造成广域网网络无法连通现象的原因来自本地或对端局域网网络时，还需要想办法判断故障节点究竟是出现在本地局域网网络中还是对端局域网网络中。在进行这种判断操作时，我们可以先从任意一端局域网网络中找一台普通计算机，打开对应系统的MS-DOS工作窗口，在该窗口的命令行提示符下执行Ping命令，来测试对应本地网关设备的IP地址，看看本端局域网中的普通工作站能否Ping通对应的网关设备。

　　如果发现Ping命令测试不正常，也就是说出现明显的数据丢包现象或Ping命令响应延迟现象，那就说明广域网无法连通故障是由本端局域网造成的，此时只要将故障检查重点“锁定”在本端局域网中就可以了；相反，要是本端局域网中的普通工作站能正常Ping通对应的网关设备时，那就说明广域网无法连通故障很可能是由对端局域网引起的，此时我们需要及时通知对端局域网管理员进行检查测试。

　　定位故障节点

　　在发现广域网无法连通故障是由某一端局域网网络引起之后，我们可以巧妙地使用下面的方法来快速、准确地定位具体的故障节点位置。

　　第一种方法就是替换网络设备；在使用这种方法定位故障节点位置时，我们可以先找来一台工作状态正常的交换机或路由器等网络设备，来替换掉现有的交换机或路由器设备，如果我们发现在替换掉重要的网络设备之后，广域网通信线路的工作状态能够立即恢复正常时，那就意味着广域网无法连通故障是由交换机或路由器之类的网络设备引起的。如果在替换掉现有的交换机或路由器设备后，广域网无法连通故障依然存在的话，那么我们就能认定该故障与局域网的交换机或路由器无关，此时需要进行继续排查。

　　第二种方法就是替换连接端口；在使用这种方法定位故障节点位置时，我们可以先找来一台工作状态正常的计算机，打开该计算机系统的MS-DOS工作窗口，在该窗口的命令行提示符下执行字符串命令“pingaaa.aaa.aaa.aaa-t”（其中aaa.aaa.aaa.aaa为本地网关设备的IP地址），之后将连接该计算机网络线缆的另一头依次插入到交换机设备的不同连接端口中，如果看到网络线缆的另一头插入到交换机的其他交换机端口中时，本地网关设备的IP地址能够被Ping通，那就说明先前发生的无法访问广域网故障现象与交换机的连接端口有关系，相反要是在替换了所有交换机端口后，本地网关设备的IP地址仍然不能够被Ping通时，那很有可能是连接该计算机网络线缆有问题，此时我们可以采用其他办法进行继续查找。

　　消除故障现象

　　当怀疑交换机设备的某个连接端口有问题时，我们应该仔细检查与该交换机连接端口保持连接的普通计算机工作状态是否正常，特别是该计算机的网络连接状态是否正常。在进行这种检查时，我们可以先打开目标普通计算机的设备管理器窗口，从中找到与交换机故障端口直接相连的目标网卡设备，用鼠标双击该设备的图标，打开目标网卡设备的属性设置界面，从中我们就能一目了然地看到网卡设备的工作状态是否正常了。

　　在确认网卡设备的工作状态正常后，我们还需要双击系统托盘区域处的网络连接图标，打开目标网络连接的状态属性窗口，看看目标网卡设备的发送数据包和接收数据包的数量是否正常，要是看到目标网络连接的发送数据包数量在快速增长时，那多半是目标普通计算机意外感染了网络病毒，此时我们应该毫不犹豫地将该普通计算机从局域网网络中隔离开来，并立即对其进行病毒查杀操作。当然，要是发现网卡设备工作状态不正常时，我们可以先尝试重新安装一遍网卡设备的驱动程序，如果网卡驱动重装成功后，网络故障还不能消失时，那可能是网卡设备发生了硬件损坏，此时只有更换网卡设备才能解决问题。

　　当怀疑网络线缆有问题时，我们可以使用网线测试仪，来对连接计算机与交换机的网络线缆进行连通性测试，一旦发现网络线缆确实存在问题时，可以重新制作一根网络线缆，或者使用连通性好的网络线缆进行替代，相信这样就能快速消除故障现象了。

　　小提示：

　　有的时候，网络管理员为了有效保护局域网计算机的上网安全，常常会在局域网的计算机系统中安装启用一些防火墙程序，那样的话广域网访问通道就很容易被防火墙程序“堵”住，例如虽然无法Ping通对方的计算机，但可以通过访问通道查看到对方计算机中的共享资源，虽然普通计算机无法上网访问内容，却能够正常使用QQ等聊天应用程序等。

　　在确认上网访问通道受阻故障究竟是否是由计算机系统中的防火墙程序引起的，其实很简单，我们只需暂时将系统中的防火墙程序关闭一段时间，然后仔细检查上网通道受阻故障是否还存在。而造成上网访问通道受阻故障的原因也比较简单，比方说我们使用IE浏览器初次访问某个目标网站时，防火墙程序在默认状态可能会询问是否允许IE浏览器程序访问网络，要是我们不小心选择了不允许，那么日后防火墙程序就会自动延用这样的设置，如此一来我们自然无法打开目标网站页面了。

　　比较有效的解决办法，就是检查防火墙设置，授予那些频繁访问网络的应用程序允许访问网络的权限，那样一来防火墙就不会成为上网通道的“绊脚石”了。在授予那些频繁访问网络的应用程序允许访问网络权限时，我们可以单击本地工作站系统桌面中的“开始”按钮，从“开始”菜单中依次选择“设置”/“控制面板”命令，在弹出的系统控制面板窗口中，用鼠标双击“Windows防火墙”图标，在其后的防火墙配置界面中单击“例外”标签，打开如下图所示的标签设置页面。

　　单击该页面中的“添加程序”按钮，从其后弹出的窗口中将那些需要访问网络的应用程序添加进来，并单击“确定”按钮就可以了。