常见故障以及排查思路课件

部门/姓名文档类型:文档密级:主送对象:抄送对象:文档编号:审 核 人:常见故障以及排查思路修订记录修订日期修订版本修订描述作者xxxx-xx-xxV1.0初稿完成。学习目标了解网吧常见故障掌握排障思路课程内容第一章第一章 网吧常见故障网吧常见故障第二章 排查思路第一章第一章网吧常见故障网吧常见故障网吧的网络是影响网吧发展的命脉，没有一个好的网络，网吧就不会有长久的客户群，但网吧网络的复杂性也使得网络经常出现各种故障，网线的状况、网线的接头、交换机、集线器、网卡，以及驱动程序等等都是影响网吧网络的元素。又断网了！又断网了！第一章第一章网吧常见故障网吧常见故障网吧常见故障网吧常见故障(一一)ARP攻击攻击现象：现象：突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断线。内网诊断：内网诊断：1、断线时（arp攻击木马程序运行时）在内网的PC上执行arp a命令，看见网关地址的mac地址信息不是路由器的真实mac地址；2、内网如果安装sniffer软件的话，可以看到arp攻击木马程序运行时发出海量的arp查询信息。原因：原因：arp攻击木马程序运行时，将自己伪装成路由器，所有内网用户上网从由路由器上网转为从中毒电脑上网，切换过程中用户会断一次线。过程用户感觉上网非常慢。当arp攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑上网转为从路由器上网，切换过程中用户会再断一次线。第一章第一章网吧常见故障网吧常见故障ARP欺骗攻击分类-主机型7u主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗7网关欺骗者嗨，我是网关PC 第一章第一章网吧常见故障网吧常见故障ARP欺骗攻击分类-网关型8 8网关欺骗者嗨，我是PC1PC 1u网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗第一章第一章网吧常见故障网吧常见故障9 9ARP欺骗攻击目的PC1网关主机型网关型欺骗者u为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据第一章第一章网吧常见故障网吧常见故障1010ARP欺骗攻击缘何泛滥u屡禁不止的ARP欺骗ARP欺骗的目的是截获数据，例如银行卡、游戏帐户等，巨大的经济利益驱动了ARP欺骗的发展ARP欺骗实现原理简单，变种极多，通过病毒网页或木马程序即可传播，杀毒软件的更新不能及时跟上病毒的变种 ARP欺骗是由于协议缺陷造成的，业界鲜有良好的解决方案 第一章第一章网吧常见故障网吧常见故障1111判断ARP欺骗攻击-主机u怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp d”命令就能好上一会在命令行提示符下执行“arp a”命令查看网关对应的MAC地址发生了改变第一章第一章网吧常见故障网吧常见故障1212判断ARP欺骗攻击-网关设备网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址第一章第一章网吧常见故障网吧常见故障1313解决办法：解决办法：1、将感染病毒的PC从内网断开，查杀病毒。2、在PC和路由器上双向绑定对方的IP和MAC地址。第一章第一章网吧常见故障网吧常见故障1414常见ARP欺骗“应付”手段-双向绑定u手工设置静态ARP表项静态ARP优先级高于动态ARP表项分别在网关设备与用户主机上配置静态ARP表项工作维护量大，网关设备、用户都需要进行操作可有效解决ARP欺骗第一章第一章网吧常见故障网吧常见故障1515常见ARP欺骗“应付”手段-ARP防火墙ARP防火墙软件定期向网关发送Gratuitous ARP，以通告自己正确的ARP信息发送频率过高严重占用网络带宽发送频率过低则达不到防范目的惹祸的ARP防火墙对于异常多arp请求，请禁用xx防火墙的arp攻击防御功能当打开xx防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断不能解决ARP欺骗第一章第一章网吧常见故障网吧常见故障1616网吧常见故障（二）游戏卡网吧常见故障（二）游戏卡现象现象：魔兽或者某一个游戏卡内网诊断内网诊断：1、单线路固定限速时，首先检查是否有ACL阻断了相应的端口和流量,其次查看流量是否被占满,如果条件允许，不经过路由器单机测试游戏；2、单线路游戏优先时,在1的基础查看特征库是否是最新版本，确保是最新的特征库，查看流量是否被识别成P2P流量；3、双线路固定限速时，在单线路排查的基础上，查看路由是否走错，网通的流量是否走到了电信.4、双线路游戏优先时,按123的思路来排查.原因原因：ACL做了限制,没有更新的特征库,流量识别错误,路由走错解决办法：解决办法：取消相应的端口阻断,升级特征库，添加游戏端口号,修改路由第一章第一章网吧常见故障网吧常见故障1717检查ACL是否有阻断查看流量是否占满单线固定取消阻断单机测试,抓包YNYN限速调整第一章第一章网吧常见故障网吧常见故障1818查看流量是否占满：查看流量是否占满：第一章第一章网吧常见故障网吧常见故障1919术语解释：术语解释：Inbound:真实的上传速度Outbound:真实的下载速度Receive_IN:需求的上传速度Receive_OUT:需求的下载速度第一章第一章网吧常见故障网吧常见故障2020单线游戏检查ACL是否有阻断取消阻断特征库是否最新 查看流量是否识别成P2PYNNY升级特征库第一章第一章网吧常见故障网吧常见故障2121特征库的作用：特征库的作用：P2P阻断及游戏优先功能都需要通过特征库文件来识别的。如何检查特征库是否是最新：如何检查特征库是否是最新：高级选项高级选项系统：系统：第一章第一章网吧常见故障网吧常见故障2222怎么查看内网应用：怎么查看内网应用：第一章第一章网吧常见故障网吧常见故障2323怎么查看应用是否被识别成了怎么查看应用是否被识别成了P2P：第一章第一章网吧常见故障网吧常见故障2424怎么查看应用是否被识别成了怎么查看应用是否被识别成了P2P：Router#sh flow allflow count:200000pro inside ip port outside ip port flow_app flow_group flow_class UDP 10.10.11.71 800 30.32.241.230 6000 28 17 3 UDP 10.10.13.119 800 30.32.240.46 6000 28 17 3 根据显示的信息，可以查看每条流的分类。以上字段说明如下：pro：流的协议类型。inside ip：内网pc ip。port：内网端口。outside ip：外网目的ip。port：外网目的端口。flow_app：流的具体应用编号。flow_group：流的应用分组。flow_class：流的应用分类。第一章第一章网吧常见故障网吧常见故障2525解决办法：解决办法：添加游戏端口号：添加游戏端口号：带宽状态带宽状态游戏优先游戏优先第一章第一章网吧常见故障网吧常见故障2626双线固定检查ACL是否有阻断取消阻断查看带宽是否被占满 调整限速YNNY查看路由是否走错第一章第一章网吧常见故障网吧常见故障2727如何查看路由选路错误：如何查看路由选路错误：通过telnet 或者 配置线 的方式登录到路由器中通过show ip nat translations src-ip 进行验证查看图中蓝色框体中表示您登陆该网站使用的是哪条线路（哪个公网IP地址），即您电信或网通的IP地址。图中红色框体中表示该网站的ip地址，冒号后面为登录该网站使用的端口号。如果出现了选路错误，即电信的网站从网通线路出去或网通的网站从电信线路出去，这时就需要手工添加静态路由来控制路由选路问题。命令行添加方式：ip route 59.151.24.100 255.255.255.255 192.168.33.1-指向电信或网通网关第一章第一章网吧常见故障网吧常见故障28282 确认该IP地址是属于电信还是网通的 您可以登陆ip138查询第一章第一章网吧常见故障网吧常见故障2929双线游戏检查ACL是否有阻断取消阻断特征库是否最新 查看路由是否走错YNNY升级特征库第一章第一章网吧常见故障网吧常见故障3030双线游戏优先时：双线游戏优先时：参见前三步排查思路综合排查参见前三步排查思路综合排查第一章第一章网吧常见故障网吧常见故障3131网吧常见故障（三）端口映射不成功网吧常见故障（三）端口映射不成功现象：现象：端口映射配置后，外网也无法正常访问内网诊断：内网诊断：1、内网映射的服务器是否可以上网2、内网主机访问服务器，是否能访问3、尝试映射其他端口，看是否能映射成功4、查看路由,如果是双线，排查是否是来回路径不一致造成5、抓包原因：原因：1、网络不通2、服务器端口没打开3、端口被屏蔽4、ACL阻断5、服务器自身问题第一章第一章网吧常见故障网吧常见故障3232解决办法：解决办法：1、确保网络畅通2、确保配置无误3、联系运营商确保端口不被屏蔽4、确保服务器本身无问题第一章第一章网吧常见故障网吧常见故障3333网吧常见故障（四）网吧常见故障（四）外网攻击外网攻击现象：现象：内网用户断线内网诊断：内网诊断：1、ping路由器LAN口IP地址丢包，ping外网网关地址时丢包。2、ping路由器LAN口IP地址不丢包，ping外网网关地址不丢包，ping公网DNS地址时丢包。原因：原因：运营商接入设备有问题（modem、光收发器）、接入线路质量问题、运营商Internet总出口故障，遭受外界恶意攻击.解决办法：解决办法：联系运营商解决,一般推荐在物理层没问题的情况下更换IP第一章第一章网吧常见故障网吧常见故障3434信息收集：show cpushow intshow logshow 第一章第一章网吧常见故障网吧常见故障3535网吧常见故障（五）网吧常见故障（五）cpu高高现象：现象：cpu经常达到经常达到99%,造成内网卡甚至断网造成内网卡甚至断网内网诊断：内网诊断：1、ping路由器LAN口IP地址丢包，ping外网网关地址时丢包。2、无法正常登陆路由器.原因：原因：1、内外网攻击2、路由器性能受限3、内网有恶意上传下载的流量解决办法：解决办法：1、尝试登陆路由器，或者尝试拔掉外网线，或内网线登陆2、排查内网，拒绝中病毒的主机接入网络3、对客户机进行限速4、若是外网攻击,更换IP地址第一章第一章网吧常见故障网吧常见故障3636信息收集：sh log:第一章第一章网吧常见故障网吧常见故障查看流量：若有某台PC上行/下行流量与实际需要的上行/下行差别很大时（例，192.168.1.130的流量有异常情况），可以查看下这台PC的NAT转换情况，查看方式：NBR1200#show ip nat tr sr 192.168.1.130 第一章第一章网吧常见故障网吧常见故障查看接口信息：第一章第一章网吧常见故障网吧常见故障注意对应关系：注意对应关系：内网口的内网口的input对应外网口的对应外网口的output，外网口的，外网口的input对应内网口的对应内网口的output,一一般情况这两个值相差很小，如果出现成倍的差别般情况这两个值相差很小，如果出现成倍的差别,很可能内网攻击造成，需要很可能内网攻击造成，需要检查网络环境检查网络环境第一章第一章网吧常见故障网吧常见故障PC上收集以下信息：在命令提示符下输入：C:Documents and Settingsssping 192.168.1.1 /ping 内网网关地址C:Documents and Settingsssping 222.22.12.1 /ping 外网网关地址C:Documents and Settingsssping 222.22.12.65 /ping 外网接口(wan口)地址C:Documents and Settingsssarp-第一章第一章网吧常见故障网吧常见故障网吧常见故障（六）路由器主程序丢失网吧常见故障（六）路由器主程序丢失现象：现象：路由器不停重启内网诊断：内网诊断：内网无法PING通路由器管理地址,无法登陆原因：原因：操作不当，环境原因造成主程序丢失解决方法：解决方法：重新升级路由器网吧常见故障（七）网吧常见故障（七）web升级失败升级失败现象：现象：nbr使用web进行升级时，升级失败，但是还可以正常上网。原因：原因：一般是由于升级文件名错误、flash空间不足、网络连通性，或者是flash读写错误导致。解决方法：解决方法：先命令行进行碎片整理再重新升级，如果还是不行，则将flash进行格式化再重新升级。格式化后需要使用命令行升级。操作方法详见升级文档。第一章第一章 网吧常见故障网吧常见故障 网吧常见故障（八）域名过滤不生效网吧常见故障（八）域名过滤不生效现象：现象：Nbr web上添加了要过滤的域名，但是还可以正常访问该域名原因：原因：一般是由于添加的域名有误，dns设置问题，解决方法：解决方法：PC配置的主dns需要和路由器配置的dns一致；添加的域名不能带http也不能带路径以下写法是错误的：ruijieruijie/service检查主机是否有添加host条目。在测试的时候为了保证结果的准确性，建议使用ipconfig/flushdns清除一下dns缓存第一章第一章 网吧常见故障网吧常见故障 网吧常见故障（九）网吧常见故障（九）nbr无法登陆管理界面无法登陆管理界面现象：现象：Nbr无法登陆web管理界面，上网一切正常原因：原因：修改了web访问的端口，添加了80端口的访问控制列表，使用了禁止内网web访问的功能，web文件被破坏，网络攻击解决方法：解决方法：如果是修改了web访问的端口，改用x.x.x.x:port 登陆，或者命令行查看web端口取消ACL在接口上的应用使用命令 no security deny lan-web允许内网web访问外网无法web访问，更换web端口并且打开wan-web功能测试网页打开不全，或者日志有关于网页的错误日志，可以重新升级upd文件。第一章第一章 网吧常见故障网吧常见故障网吧常见故障（十）网吧常见故障（十）DHCP无法获取到无法获取到ip地址地址现象：现象：NBR做dhcp服务器，客户机无法自动获取到ip地址原因：原因：物理链路不通畅；dhcp未启用；dhcp服务器没有配置地址池；dhcp服务器地址池配置错误；dhcp服务器没有可分配的地址解决方法：解决方法：检查线路；使用命令service dhcp开启dhcp 服务；配置包含或与接口ip地址在相同网段的地址池；扩大配置的地址池网段第一章第一章 网吧常见故障网吧常见故障课程内容第一章第一章 网吧常见故障网吧常见故障第二章第二章 排查思路排查思路第二章第二章排查思路排查思路小结：小结：网络的设计模型遵循层次化的设计理念,排障思路也是如此.1、首先排查物理层，确保网络是联通的2、查看配置,确保配置无误.3、清楚故障现象，应该详细了解故障的症状和潜在的原因.4、制定诊断方案，例举可能导致故障的原因。可能根据有关情况排除某些故障原因，例如，可先排除硬件故障，从而把注意力放在软件上.5、认真做好每一步测试和观察，每改变一个参数都要确认其结果，确定问题是否解决.星网锐捷网络有限公司地址：北京海淀区复兴路29号中意鹏奥大厦东楼11层 邮编：100036Office Tel:010-51718888 Mobile Tel:13888888888 Fax:010-51718888 E-Mail:xxxruijie谢谢！