企业网管：：如何处理企业网络故障

　　如果你在小型企业工作的话，就需要象多面手一样具备各个领域的操作技能。你不仅仅是系统管理员，而且对路由器和交换机进行管理也属于工作范畴之内的事情。它们当中的任何部分出现了问题，都需要你承担责任。因此，在早上走进办公室的时间，你就会听到响个不停的电话铃声。位于话机另一端的用户愤怒地告诉你，“网络崩溃了”。对于听到这些没有任何技术背景和专业分析工具的用户信誓旦旦地宣称网络已经崩溃的时候，总是让管理员摸不着头脑。在从事了多年网络方面的工作后，你可能就会知道，如果网络真的崩溃了，那你接到的就不会仅仅是一个用户每天早上打来的电话了，而是整个部门所有的人都在找你。

　　本文就将为网络管理员们提供一些在这种情况下知道或者应当知道的常见故障的解决方法。

　　1.处理网络故障：做好心理准备

　　处理故障的时候，首先和最需要注意的问题就是不要惊慌。这听起来象是非常简单的事情，但对于刚刚加入网络管理员队伍中的部分新人们来说，却是经常犯的错误。由于恐慌，他们将更多的精力放在寻找自己存在的问题上。保持心态平静，才能利用系统工具找出问题出在哪里以及该怎样解决。如果你已经长时间关注一个问题，就应该休息一会儿，这样并不会影响问题的解决。你将会发现在开始的时候被忽略掉非常明显的迹象。人和人看问题的角度是不一样的，从不同的角度看待问题，可以解决起来更加的方便快速。

　　我们都知道，在现实生活中，管理员是不能将问题丢在那里不进行处理的;管理层是不会容许发生这种事情的。一旦网络崩溃，可能导致难以估量的损失。如果是在医院网络出现问题，是否能拯救某人的生命很可能就取决于，医院的网络管理员能否尽快地修复出现故障的设备。

　　2.处理网络故障：进行系统分析

　　因此，就让我们从事件报告者开始第一步的工作。我们先假使这位用户使用的是最常见的操作系统，举例来说，微软Windows操作系统的某一版本。新网络管理员常常犯的一个错误就是，他们相信用户的反应，认为网络是真的崩溃了，强烈建议你不要这么做，也不建议你与用户进行争论。我认为首先应该做的是亲自查找操作系统问题的真正所在。

　　3.处理网络故障：对物理层的设备进行检查

　　如果系统没有问题，此时应该做的第一件事情就是检查网络线路。计算机后面的网卡绿色指示灯是否亮?很多情况下，你会发现这仅仅是线路存在问题。你可能也遇到过比较罕见的情况，由于线路接口比较松，加上用户的经验不足，所以看上去是插着的，但实际上并没有接触。

　　4.处理网络故障：对网络层进行检查

　　如果发现线路连接没有问题的话，下一步就需要检查系统网络IP地址的分配情况。在Windows操作系统中，你可以进入命令提示符界面，利用“ipconfig”命令检查网络IP地址的使用情况。在这个过程中，你需要确保看到的网络IP地址/子网掩码分配过程是正常的。请务必注意，用来检查网络IP地址/子网掩码的时候，不同命令在不同类型的网络设备平台上，效果是不一样的。在Windows操作系统中， ipconfig或者ipconfig /all命令将显示更详细的信息。而在思科路由器中，show interface命令将显示网络IP地址和子网掩码。因此，在检查前，请确认系统的实际类型。

　　5.处理网络故障：询问设备使用者

　　你可能遇到过很多次这样的情况，在做完所有该做的工作后，结果发现是有人把别的办公室、楼层或者部门的计算机拿到当前的位置，而系统里的网络IP地址和子网掩码设置还是原来网络里的。或许该系统同时安装了无线和有线网卡，网络IP地址配置错误的是无线部分，而不是有线连接。因此，询问使用者系统的使用环境是否有所变化是非常明智的。

　　6.处理网络故障：查看并进行分析日志

　　如果企业使用了日志管理工具，将会把发生的所有事件都记录下来。这样的话，在询问使用者之前，你可以先查阅日志，了解发生的情况。此外，在企业更改日志工具的时间，希望你也可以选择使用系统日志工具，收集来自企业网络中各种系统发出的警告。在互联网上，你可以找到很多可以下载的免费系统日志工具。

　　7.处理网络故障：了解公司规定

　　事前询问使用者，以前是否利用过这台机器成功地连接上网络，也是非常明智的。曾经遇到过这样的情况，一位使用者坚持说企业的网络崩溃了，导致他不能浏览和工作相关的页面。经过进一步的调查后，结果发现，这位使用者访问的网站是企业明令禁止的，因此才会出现无法访问的情况。所以说，了解企业的网络使用规定是一个非常好的主意。建议相关的规定应该由企业高级管理人员以书面形式发布。

　　8.处理网络故障：使用工具将问题隔离出来

　　使用基本的ping命令对网络内外的连接情况进行检查也是非常有效的。如果内部可以访问，但无法连接远程系统的话，可能是默认网关当机或配置错误。也有可能是默认网关(路由器)对陌生目的地有关联的数据包进行了处理，或者是公司禁止了网络控制协议的使用，而这是运行ping命令所必须的。

　　有时候，可以通过远程系统的网络IP地址而不是它们的域名解析获得回复。域名解析出现了问题，不能对网络IP地址进行解析。也可能是域名解析出现错误，将域名解析到错误的网络IP地址上。

　　在Windows操作系统中，你也可以检查传输控制协议/互联网协议栈的加载是不是正确。可以在命令提示符界面下Ping本地主机地址(127.0.0.1)。域名系统会将系统名称转换为网络IP地址。在命令提示符界面下使用ipconfig/all命令，就可以看到域名系统的配置情况。

　　也可以使用路由跟踪命令(在Windows操作系统中，这个命令是tracert)查看数据包的传输状况，是在什么地方出现错误的。利用tracert命令可以看到数据包在逐跳路由下的传输情况。

　　这里就提供了一个使用了tracert命令后输出部分显示信息情况的实例。

　　Microsoft Windows [Version 6.0.6001]

　　Copyright (c) 2006 Microsoft Corporation. All rights reserved.

　　C:Usersdt>tracert 10.0.0.1

　　Tracing route to test [10.0.0.1]

　　over a maximum of 30 hops:

　　1 <1 ms <1 ms <1 ms . [192.168.2.1]

　　2 6 ms 7 ms 5 ms 10.58.160.1

　　3 6 ms 7 ms 7 ms gig-2-0-nycmnyu-rtr2.nyc.rr.com

　　[24.29.98.189]

　　…….

…….

　　9.处理网络故障：使用最新网络拓扑

　　现在已经进行了所有类型的检查，并且确认配置是正确的，也没有违反公司相关规定的情况。下一步应该怎么做呢?对于系统分析来说网络拓扑图总是非常有价值的。如果个人计算机不存在问题，下一步我们就理所当然需要对使用者所在交换机的工作情况进行检查。这里以思科路由器和交换机为例。

　　10.处理网络故障：检查交换机

　　现在就开始关注使用者所在交换机，首先要做的是查看端口的配置情况，找到使用者所在的端口。运行show run int gi 0/2命令，就可以查看特定端口的运行情况(在这个例子中是千兆的0/2端口)。

　　下面就是show run int命令运行后显示的输出信息。

　　Switch#show running-config int gi0/2

　　Building configuration...

　　Current configuration : 85 bytes

　　!

　　interface Gigabit0/2

　　no ip address

　　switchport

　　switchport mode access

　　…

　　Switch#

　　在对端口进行检查的同时，还应该注意的问题是看它是否位于正确的虚拟局域网中。虚拟局域网对端口进行分组是理所当然的事情。

　　虚拟局域网的配置情况可以在思科交换机中利用Show vlan命令查看相关的输出信息。

　　例子中显示的就是一台交换机将其端口分配上两张不同的虚拟局域网上(即一号虚拟局域网和二号虚拟局域网)。0/2到0/5号千兆端口被分配到一号虚拟局域网上，0/5到0/6号千兆端口被分配到二号虚拟局域网上。

　　Switch# show vlan

　　VLAN Name Status Ports

　　--------- ----------- ---------- --------------------------------

　　1 default active Gi0/2, Gi0/3, Gi0/4, Gi0/5

　　2 VLAN0002 active Gi0/6, Gi0/7, Gi0/8, Gi0/9

　　Gi0/10, Gi0/11, Gi0/12

　　……..

……….

　　进行逻辑分组操作后，位于同一虚拟局域网内的所有端口被称做广播域。在这里，信息能够被所有的端口广播分享。在我们上面给出的例子中，0/2到0/5号千兆端口形成了一个广播域，0/5到0/6号千兆端口形成了另一个广播域。连接在同一虚拟局域网内的所有系统应该拥有相同的子网IP地址。(对子网划分操作有详细的了解是非常重要的。在大多数环境中，这也是一个经常出现的典型问题。)

　　在确认交换机对于端口在虚拟局域网内的分配不存在问题后，接下来的一步需要进行检查的方面，就交换机端口上是否存在其它任何类型的限制，举例来说，端口安全限制措施将只容许包含特定硬件地址的系统连接该端口。通常情况下，在企业内部采用端口限制措施确保系统安全是比较普遍的情况。或许是端口只认可原来的机器，而不是这台新系统。在将新机器分配给老用户或者将老机器分配给新的使用者时，请务必注意这方面的问题。请记住，所有这些问题在进行前面提到的询问使用者或者分析日志文件等步骤前是不可能得到正确处理的。

　　如果使用者希望和广播域之外的系统进行连接，那么就必须有一台可以将你带出目前的的端口组(虚拟局域网)的设备。我们需要怎样做才能走出自己的房间呢?其实很简单，打开门就是了。这样来说的话，在网络世界中是什么设备呢?答案很明确，路由器就是离开本地网段时需要打开的门。

　　11.处理网络故障：检查路由器

　　现在就让我们登陆路由器。你的路由器打开了么?你看到工作指示灯是否亮着?再次，需要首先对基本问题进行检查，路由器是否已经开始工作了。特别需要注意的就是，作为个人计算机默认网关的路由器端口是否在同一张虚拟局域网里。

　　举例来说，在我们确认路由器是否插好的时候，需要连接到路由器上。怎样对路由器到系统的路径进行分析?路由器知道传输的路径么?可以使用show ip route命令查看是否存在到达目的地的相应路径。但在大型网络环境下，这样的操作可能会是非常烦琐的，因为可能存在数百甚至数千条路线。

　　下面例子显示的就是利用show ip route命令查找和10.0.0.1有关路径得到的输出结果。正如你在结果中看到的，存在一条通往该目的地的路径。在高级路由类别中，你可以找到其它有趣参数的含义。

　　Router# show ip route 10.0.0.1

　　Routing entry for 10.0.0.1/32

　　Known via “isis”, distance 115, metric 20, type level-1

　　Redistributing via isis

　　Last update from 10.191.255.251 on Fddi1/0, 00:00:13 ago

　　Routing Descriptor Blocks:

　　* 10.22.22.2, from 10.191.255.247, via Serial2/3

　　Route metric is 20, traffic share count is 1

　　……..

………

　　现在，你了解到存在一条通往目的地的路径，就可以尝试利用ping命令检测网络连通路径的实际效果。请记住有一条通往目的地的路径，并不等于可以与远程站点进行连接。你并不知道是否存在一条返回的路径?如果所有站点都位于办公室里的话，你可以在远程站点上运行ping命令，检查是否存在一条返回的路径。还记得我们在前面提到过，可能企业禁止了ping命令的使用(或者禁止使用网络控制信息协议)。在这种情况下，考虑过什么工具可以用来代替ping命令么?可以尝试使用Telnet或者FTP等方式连接到远程站点上?如果远程站点上安装了Telnet或者FTP，那么你就可以达到目的。但如果没有的话，你也许就需要一些其他类型的测试工具了。

　　大部分人会认为，如果利用Telnet或FTP方式无法登陆到远程站点上的话，就意味着测试失败。但实际情况不是这样的，只要你看到提示输入密码的登陆窗口，就相当于成功了。你甚至不必建立连接，获得提示输入密码的会话窗口就是成功。

　　12.处理网络故障：整理故障处理报告

　　通过运用上面提供的方法，希望你已经找到问题的所在，并成功得进行了处理。关于故障处理最重要的事情之一就是撰写故障处理报告。如果公司拥有一个报告存档或者包含了所有类型故障和处理方法的数据库的话，在将来出现同样问题的时候，就可以直接访问文档库，找到应该重点注意的事项，更快更方便的解决问题。