最常見的網終故障案例分析，肯定遇到過這些問題

我們在管理維護網路的過程中經常會遇到資料包丟失的現象。使用Ping命令進行連通性測試，則會發現Ping包延時遠遠超過正常值，甚至無法到達，同時還伴隨著網路服務應用障礙，如開啟網站速度很慢，嚴重時甚至打不開網頁，線上瀏覽影片或者召開影片會議時話音斷斷續續、影象馬塞克、斷線等。

所謂網路丟包是我們在使用ping命令（檢測某個系統能否正常執行）對目的站進行詢問時，資料包由於各種原因在通道中丟失的現象。Ping命令使用了ICMP回送請求與回送回答報文。ICMP回送請求報文是主機或路由器向一個特定的目的主機發出的詢問，收到此報文的機器必須給源主機發送ICMP回送回答報文。這種詢問報文用來測試目的站是否可到達以及瞭解其狀態。需要指出的是，ping命令是直接使用網路層ICMP協議的一個例子，它沒有透過運輸層的UDP或TCP協議。

網路丟包是網路中常見的故障之一，它會引起網速降低甚至造成網路中斷，本文就在日常的網路管理工作中常見的幾種丟包故障現象進行了分析和探討並提出了處理方法。

發生網路故障在所難免，但是如何快速隔離和排除故障是網路管理人員應該具備的基本素質。以下列舉幾種常見的網路丟包故障現象及處理方法。

故障一：網路資料包傳送時通時斷，丟包嚴重

故障現象：

通常故障發生時，該方向網路出現震盪性中斷。使用Ping命令測試，發現在一段時間內資料包傳送延時比正常值略高，間隔一小段時間資料包又全部丟失，丟包率超過60%，丟包曲線成規則狀，網路服務基本不可用。

故障分析：

在區域網中引起網路發生振盪性時斷時通，一般可能是由於互連的交換機中的某兩個交換機間出現了環路，或者某個交換機的兩個埠直接相連。這樣就會造成區域網的生成樹協議構建失敗，不斷重複檢查並試圖構建新的生成樹網路，從而導致網路振盪性通斷，同時伴隨著交換機間不斷重複地傳送廣播包，就會形成“廣播風暴”，使交換機負擔過重，網路傳輸通道嚴重被堵塞，無法正常的處理通訊資料。環路雖然可能出現在某個接入交換機上，但會影響整個以三層交換機為核心的區域網的穩定執行。

故障處理：

當發現網路資料包傳送時通時斷，丟包嚴重，特別是整個單位或整個樓層出現振盪性中斷現象時，則可以判定應該是該單位的某個交換機上出現了環路所致。作為網路管理人員應首先檢視各接入交換機的指示燈閃爍狀態，通常出現環路狀況會指示燈會急速閃爍，次數每秒4次以上，所環交換機更為突出。逐個撥出交換機級聯接入網線，同時實時監控交換機狀態，在撥下某埠網線後，交換機指示燈恢復正常狀態，再進一步查詢，會發現該連線線的末端有線路形成環路，清理該網線後，網路恢復暢通。

故障二：網路資料包傳送超時現象嚴重，時有不規則丟包

故障現象：

網路突然出現嚴重堵塞，日常辦公程式不能正常執行，開啟網頁速度緩慢，有時會因超時而中斷。未發現網路裝置有任何問題，該網路中有幾臺計算機在入網後速度明顯變慢，在禁用網絡卡或者中斷網路後恢復正常。

故障分析：

首先，在一臺使用者終端上ping閘道器測試，結果可以ping通閘道器，但是資料包傳送超時現象嚴重，丟包率30%左右，丟包不規律。

其次，登陸使用者交換機，執行arp -a命令，發現閘道器IP和閘道器MAC地址指向正確。透過上面的測試基本排除網路設定錯誤以及ARP欺騙，丟包表現了一定的隨機性而沒有連續性和振盪性的通斷，基本排除網路環路問題，初步判斷這種現象可能是病毒攻擊等引起的。為此，需要進一步獲取ARP資訊、網路中傳輸的原始資料包等資訊。

再次，部署抓包分析。在該交換機上配置映象埠，並將維護終端接到此埠上，啟動網路協議分析工具（sniffer）捕獲分析網路的資料通訊，約10分鐘後停止。在網路分析系統主介面左邊的節點瀏覽器中發現，網路中可能存在偽造IP地址攻擊或自動掃描攻擊。選擇連線檢視，發現在10分鐘內，網路中共發起了12000多個連線，且狀態大多都是客戶端請求同步。據此，斷定網路中存在自動掃描攻擊。

最後，詳細檢視連線資訊，發現這些連線大多都是由同一主機發起，選中任意一個連線，選擇資料包檢視，檢視傳輸資料的原始解碼資訊，發現這臺計算機正在主動對網路中其它主機的TCP 445埠進行掃描攻擊，可能是主機感染病毒程式，或者有人正使用掃描軟體。透過分析圖表檢視，進一步確定主機肯定存在自動掃描攻擊。

故障處理：找到問題根源後，對主機進行隔離，經過一段時間的測試，網路丟包現象有所緩解，但沒有從根本上解決問題。於是再次啟動網路協議分析系統捕獲並分析，又發現了1臺相似情況的主機。據此基本可以斷定兩臺主機都是感染了病毒，且該病毒會主動掃描網路中其他主機是否開啟TCP 445埠，如果某主機開啟該埠，就攻擊並感染這臺主機。如此迴圈，即引發了上述的網路故障。立即對新發現感染病毒的兩臺主機進行物理隔離，網路通訊立刻恢復正常，再對該終端進行防毒處理。

故障三：網路資料包發生嚴重延時現象，下載、瀏覽等服務不能正常使用

故障現象：區域網內部日常資料共享正常，但是出局瀏覽外網和下載資料時速度明顯降低，使用Ping命令發現到某個方向網路時延特別大，甚至有少量丟包現象。

故障分析：一般透過telnet遠端登陸到該方向的交換機，以華為系列交換機為例，輸入下列命令：

#Display cpu 檢視交換機CPU利用率，

#Display memory 檢視記憶體利用率，

發現兩者都非常高，再透過輸入命令

#Display interface埠號，檢查各埠下的資料流。

對其資料流進行抓包分析，發現多執行緒指向某網站電影欄目，為避免影響整個網路的暢通，對所接入交換機進行處理。

量，發現其中的兩個埠資料流量特別大，遠高於

正常使用的網路流量。對其資料流進行抓包分析，發現多執行緒指向某網站電影欄目，為避免影響整個網路的暢通，對所接入交換機進行處理。

故障處理：進入該埠配置介面下，輸入Shutdown命令，強制關閉該埠使其斷網，聯絡該終端使用人員，令其終止下載程序後，再恢復其網路。

故障四、 埠無法連線網路

現象：將電腦、電話、無線接入點或印表機插入牆壁上的網路插孔，而網路連線不正常。交換機埠的連線指示燈和網絡卡的連線指示燈都不亮。

原因：若沒有修復牆壁插孔上的網路連線，則時常會發生掉線或無法連線的問題。在許多企業中，只有那些經常使用的連線才被修復。當移動了辦公室或會議室後，有時會發現那些不常使用的網路插孔並沒有被測試過，或是那些無法連線的插孔可能是由於登記錯誤導致的。此外，交換機埠可能被強制關閉。

解決辦法：檢查和確認交換機埠是否已被啟用，且網路連線已被修復過。當任何裝置被移動到辦公室時，請務必對新的網路連線進行測試，確保他們能夠正常工作。就IP電話而言，也有可能是電話的電源供應不足。

故障五、無法獲取到 IP地址

現象：網路癱瘓或出現故障而不能正常執行。作業系統可能會提示客戶端當前無法從DHCP伺服器獲取到IP地址。檢查網絡卡的狀態後，發現沒有分配IP地址。

原因：沒有收到來自DHCP伺服器分配的IP地址。DHCP伺服器的IP地址耗盡、伺服器的服務癱瘓了、終端裝置可能被配置為使用靜態IP地址而不是透過DHCP分配、終端裝置的DHCP請求從來沒有到達伺服器端，這些都可能導致客戶端無法獲取到IP地址。

尤其是如果一個新的裝置配置一個虛擬區域網（VLAN），沒有建立與伺服器的服務請求連線時，裝置肯定不能獲取到IP地址。即將一個新裝置配置到一個VLAN時，若沒有將DHCP請求中繼到DHCP伺服器，就會導致請求不能傳送到DHCP伺服器端。

解決辦法：關鍵問題是多少使用者出現了同樣的問題，一個使用者還是多個使用者？如果只有一個使用者受到影響，那麼請確認該客戶端的網路設定是否配置為使用動態主機配置協議（DHCP）。

下一步，檢查交換機的埠被劃分到哪個VLAN，檢查屬於該VLAN的其他裝置能否獲取到IP地址。如果他們也不能獲取到IP地址，問題原因可能是路由器沒有將DHCP請求轉發到DHCP伺服器。如果多個子網內的許多裝置都出現了這個問題，那麼可能是DHCP伺服器出現了問題，即伺服器的DHCP服務可能沒有執行，或者它的IP地址已經耗盡。問題 3 – 無法連線到應用伺服器

現象：當用戶試圖開啟一個應用程式時，系統可能會提示無法連線到該應用程式伺服器。當使用電子郵件應用或客戶關係管理（CRM）應用時可能會出現這種問題。反映到服務檯的常見投訴是網路癱瘓了，而這可能並不是真正的原因。

原因：許多原因都可能導致客戶端無法連線到應用伺服器。關鍵是需要詢問使用者這個問題是經常發生，還是斷斷續續發生？如果使用者終端已獲取了一個正確的IP地址，那麼可能是使用者和伺服器間的路由有問題。這種情況下，可以透過一個簡單的ping測試來驗證。如果連線時斷時續，則可能是由於伺服器太繁忙，而不能及時響應客戶端的請求所導致的。

解決辦法：如果使用ping測試後發現路由沒有問題，那麼請檢查伺服器的負載和資源。檢查伺服器是否正忙於執行一個諸如備份的任務？如果不是這樣的話，請檢查客戶端和伺服器之間的網路負荷，且側重關注廣域網連線（如果有的話）。

通常，客戶端和伺服器之間的網路利用率過高也可能導致客戶端能連線到應用伺服器。最好的辦法是使用一個SNMP工具來監測這些鏈路上的網路使用率。另外，尋找所有交換機和路由器上的乙太網錯誤，這些錯誤可能導致客戶端與伺服器間的資料包丟失。

故障六、客戶端不能連線無線網路

症狀： 客戶端能夠檢測到無線接入點，但是不能接入無線網路。

原因：安全認證、無線通道干擾和訊號盲區可能會導致這個問題。由於無線訊號是不可見的，如果沒有專業無線工具的幫助，就很難追蹤到這些問題。

解決辦法：使用一個無線監測工具測量受影響地區的訊號強度，如果可能的話，進行實地勘察，找出該地區的惡意接入點或不明接入點。可能是由於無線通道重疊而產生干擾訊號，從而影響了接入無線網路的使用者感知。

檢查周圍其他接入點產生的干擾訊號，或者其他干擾裝置（如微波爐、無繩電話）產 生的噪聲。監控客戶端試圖進行關聯連線的接入點，密切關注連線失敗出在哪個步驟——關聯、認證還是授權。

故障七、雙工方式不匹配

現象：網路能夠連線，而雙工方式不匹配，會導致網路效能很差。這種情況下，交換機和網絡卡的鏈路指示燈都是亮著的。而網路效能卻受到很大的影響，吞吐量會下降到100Kbps或者更低水平。

原因：網路連線的一側裝置工作在全雙工（能夠同時傳送和接收資料）模式下，而另一側的裝置工作在半雙工（在同一時刻只能執行傳送或接收）模式。全雙工側的裝置不需要等待即可不斷髮送資料，不論對方能否收到資料它都會發送。

半雙工側裝置在傳送前必須等待，直到它不接收資料才能開始傳送。這意味著全雙工側裝置有可能會中斷半雙工方的資料傳輸，造成半雙工側中止傳輸。如果傳輸被中止，將需要重傳這個資料幀。這將大大減少半雙工側裝置所能使用的頻寬。

解決辦法：一般情況下，若網路兩側裝置的雙工方式不相互匹配，採取的常用辦法就是把網路連線的一側裝置（通常是交換機）強制配置為全雙工，而讓另一側裝置（例如個人電腦）配置為自適應網路鏈路狀態。

理想的情況是：自適應功能能夠確認對方的全雙工設定，並與這個鏈路設定相匹配。然而事實卻未必如此。被強制設定為全雙工模式的裝置不再發送正確的訊號。而網路另一側的裝置恰恰需要這些訊號來確定鏈路的速度和雙工方式，以及自適應對方鏈路設定。

因此，在這種情況下，需要自適應鏈路的裝置不得不去猜測鏈路的雙工方式。在不能確認雙工方式的情況下，自適應功能將預設鏈路狀態為半雙工方式。這就是大多情況下，網路發生雙工方式不匹配的主要原因。為了解決這個問題，需要將網路上所有的連線都設定為自適應——除非你確實有別的原因。在這些事件中，如交換機間的連線，一定要將兩側裝置設定為全雙工。

故障八、電纜故障

現象：客戶的電腦終端能夠連線到網路，網路效能卻很差。電腦終端可能根本無法連線網路。

原因：在當今網路，千兆鏈路連線到桌面系統是常見的。千兆鏈路需要四對電纜，所以任何效能低於5類線的電纜都不能支撐千兆連線。對於比較老舊的建築物，必須考慮到這個問題。另外，任何數量的電纜如果退捻（通常靠近RJ- 45埠或接線板）可能會導致訊號的損失。這將導致交換機埠或網絡卡出現幀檢測序列錯誤（FCS）。

解決辦法：當出現由於電纜問題造成的網路故障時，大多數情況下，都需要更換電纜。如果是由於電纜無捻導致的，那麼重新加捻電纜一般能夠解決這個問題。當需要承載如千兆鏈路或乙太網供電的新技術時，必須使用5類電纜或者更好的電纜。