第5讲：计算机网络故障诊断与排除--以太网络故障诊断与排除2016-12.ppt

,黎连业,中科院计算所计算机职业技能培训中心,*,黎连业,计算机网络故障诊断与排除,中科院计算所计算机职业技能培训中心,计算机网络故障诊断与排除,讲座教材,计算机网络故障诊断与排除,第,3,版,清华大学,出版社,(2016.12),第,5,讲：,以太网络故障诊断与排除,当今以太网络互连环境是复杂的，主要原因是：现代的互连网络要求支持更广泛的应用，包括数据、语音、视频及它们的集成传输；网络带宽的需求不断增长；从十兆、百兆向千兆、万兆推进；以太网络故障的重点是：碰撞、以太网络帧、网络性能等。,本章重点介绍以下内容：,以太网络基础知识；,以太网络故障诊断概述；,以太网络信息帧碰撞；,以太网络帧校验序列故障诊断与排除；,网络性能降低时的诊断与排除；,节点失去网络连接时的诊断与排除；,以太网中常见的故障诊断与排除,5.1,以太网络基础知识,5.1.1 IEEE 802.3,标准,IEEE(Institute of Electrical and Electronic Engineers),遵循,ISO/OSI,参考模型的原则，解决最低两层,物理层和数据链路层的功能及与网络层的接口服务、网际互联有关的高层功能，但把数据链路层分为逻辑链路控制,(LLC),子层、介质访问控制,(MAC),子层，使数据链路功能中与硬件有关的部分和与硬件无关的部分分开，降低研制互联不同类型物理传输接口数据设备的费用。,IEEE 802,标准内容如表,5-1,所示。,在,IEEE 802,众多标准中，最具有代表性的局域网络标准为,802.3,、,802.4,和,802.5,。其中,802.3,为以太网，,802.4,为令牌总线网，,802.5,为,IBM,令牌环网。,IEEE 802,标准与,OSI,协议的对应关系如图,5-1,所示。,5.1.2 IEEE 802.3,与以太网的关系,1.,以太网的类型,以太网是局域网家族的一员，它包括以下,3,种主要类型：,以太网和,IEEE 802.3,标准局域网，速率为,10Mbps,，传输介质为同轴电缆；,100Mbps,以太网 快速以太网，速率为,100Mbps,，传输介质为双绞线；,1000-Mbps,以太网 千兆级的以太网，速率为,1000Mbps,，传输介质为光纤和双绞线。,（,4,）,10000Mbps,以太网。,10000Mbps,（万兆）以太网，速率为,10000Mbps,，传输介质为为光纤和双绞线。万兆以太网标准可分为的三类规范：,基于光纤的局域网万兆以太网规范；,基于双绞线（或铜线）的局域网万兆以太网规范；,基于光纤的广域网万兆以太网规范。,（,5,）,100000Mbps,以太网。,100000Mbps,（十万兆）以太网，速率为,100000Mbps,，十万兆以太网是为超高速接入网，十万兆以太网是为了核心交换，同时为服务器连接所做的优化。十万兆以太网包括,40 GBit/s,和,100 GBit/s,。,1,）,40 GBit/s,：,仅支持双工工操作,保存使用,802.3 MAC,的框架格式；,保存,802.3,信息帧格式；,支持,40 Gbit/s,的,MAC,数据传输率；,提供支持,40 Gbit/s,操作的物理层規格。,2,）,100 GBit/s,：,仅支持双工工操作,保存使用,802.3 MAC,的框架格式；,保存,802.3,信息帧格式；,支持,40 Gbit/s,的,MAC,数据传输率；,提供支持,40 Gbit/s,操作的物理层規格。,2.,以太网和,IEEE 802.3,以太网是,Xerox,公司发明的基带,LAN,标准，它采用带冲突检测的载波监听多路访问协议,(CSMA/CD),，速率为,10Mbps,，传输介质为同轴电缆。以太网是在,20,世纪,70,年代为解决网络中零散的和偶然的堵塞开发的，而,IEEE 802.3,标准是在最初的以太网技术基础上于,1980,年开发成功的。现在，以太网一词泛指所有采用,CSMA/CD,协议的局域网。以太网,2.0,版由数字设备公司,(Digital Equipment Corp),、,Intel,公司和,Xerox,公司联合开发，它与,IEEE 802.3,兼容。,以太网和,IEEE 802.3,通常由接口卡,(,网卡,),或主电路板上的电路实现。以太网电缆协议规定用收发器电缆连到网络物理设备上。收发器执行物理层的大部分功能，其中包括冲突检测。收发器电缆将收发器连接到工作站上。,(1),以太网和,IEEE 802.3,的工作原理,在基于广播的以太网中，所有的工作站都可以收到发送到网上的信息帧。每个工作站都确认该信息帧是否是发送给自己的。一旦确认是发给自己的，就将它发送到高一级的协议层。,在采用,CSMA/CD,传输介质访问的以太网中，任何一个,CSMA/CD LAN,工作站在任何一时刻都可以访问网络。发送数据前，工作站要侦听网络是否堵塞，只有检测到网络空闲时，工作站才能发送数据。,在基于竞争的以太网中，只要网络空闲，任一工作站均可发送数据。当两个工作站发现网络空闲而同时发出数据时，就发生冲突。这时，两个传送操作都遭到破坏，工作站必须在一定时间后重发。何时重发由延时算法决定。,(2),以太网和,IEEE 802.3,服务的差别,尽管以太网与,IEEE 802.3,标准有很多相似之处，但也存在一定的差别。以太网提供的服务对应于,OSI,参考模型的第,1,层和第,2,层，而,IEEE 802.3,提供的服务对应于,OSI,参考模型的第,1,层和第,2,层的信道访问部分,(,即第,2,层的一部分,),。,IEEE 802.3,没有定义逻辑链路控制协议，但定义了几个不同的物理层，而以太网只定义了一个。以太网和,IEEE 802.3,与,OSI,参考模型的对应关系如图,5-2,所示。,下面对以太网和,IEEE 802.3,的帧域做几点说明。,帧头：由,0,和,1,组成，告诉接收站一个帧到了。在以太网帧中，还包含一个与,IEEE 802.3,帧开始分隔符,(SOF),等价的字节。,帧开始分隔符：用以同步局域网中所有工作站对帧的接收，它以两个连续的,1,结尾。以太网中明确定义了帧开始分隔符。,源地址和目标地址：它们的前,3,个字节由,IEEE,指定，后,3,个字节则由以太网和,IEEE 802.3,的开发者指定。源地址总是单节点地址，目标地址可以只指向一个节点，也可以指向多个或所有节点。,类型,(,以太网,),：指定了以太网处理完毕后用以接收数据的上层协议类型。,长度,(IEEE 802.3),：指定了数据帧的字节数。,数据,(,以太网,),：在物理层和数据链路层处理完毕后，帧中的数据被发送到由类型域指定的上一协议层。尽管以太网标准,2.0,版没有定义任何填充的方法,(,与,IEEE 802.3,相反,),，但仍希望数据长度至少达到,46,字节。,数据,(IEEE 802.3),：物理层和数据链路层处理完毕后，帧中的数据被发送到由其自身指定的上一协议层。如果帧中数据不足,64,字节，则要插入填充字节，以保证,64,字节的帧长度。,帧校验序列,(FCS),：该校验串由发送设备生成，其中含有一个,4,字节的循环冗余校验值，接收设备通过对它的重新计算，检测帧是否被破坏。,5.1.3 802.3,以太网帧和地址格式,1.,规范地址格式,以太网,/802.3(,以及,802.4,，令牌总线,),设备以最低位在前的顺序发送字节，而,802.5(,令牌环,),和,FDDI,采用的是最高位在前的顺序。这个差别相对而言不是那么重要，但是根据规定，目的地址域中是单目地址还是多目地址将由线路上的第一位指明，而不是由地址的最高位或最低位指明。因此，以太网中的多目地址在,802.5,或,FDDI,中就有可能不是一个多目地址。这将导致相当程度上的混淆，以及在互操作性方面的问题，此外在网桥、路由器和交换机设备中也将导致更大的复杂性，因为它们将不得不在两种规范之间进行转换。,为了降低这种混淆性，人们使用了一种规范地址格式，这种格式使用十六进制表示法，并且采用最低位在前的顺序。例如，地址,c4-34-56-88-9a-bc,就不是一个多目地址，因为第,1,个字节的最低位,(c4,的二进制为,1100 0100),是,0,。其存储方式如图,5-5,和图,5-6,所示。,2.2.0,版以太网帧格式,2.0,版以太网帧格式保留大多数网络中广为使用的形式。从以太网最初出现直到,1998,年，以太网类型域是由,Xerox,负责维护的，它起到了协议复用域的作用。在,1998,年，,IEEE 802,接替,Xerox,对以太网类型域进行维护。,该两字节域携带的协议标识信息使得发送设备可以指明它使用的协议，接收设备也可以用它来判断自己是否理解这样一个协议。由于该域长度为,16,位，所以有足够空间来支持大量的协议。,为了防止以太网类型值与有效的,802.3,长度值,(,两者由同一域携带,),相互冲突，有效以太网类型值由,0600h,开始。与之相对应的长度值为,1536,字节，该值在作为,802.3,帧长度值时是非法的。这样，,802.3,和以太网设备就可以共存。,在,802.3,采纳以太网协议之前，有一些早期的协议被赋予了低于,0600h,范围的以太网类型值，但是随后这些协议要么废弃了，要么就被重新分配了值。,3.IEEE 802.3,帧格式,(LLC),802.2,定义了逻辑链路控制,(LLC),包头，其目的是使协议信息的交换能够不依赖于底层的,MAC,技术。虽然这是一个好主意，但结果却不那么完美。服务访问点,(SAP),被定义成用来指明目的和源协议类型，同时提供了为不同机器上的同一协议赋予不同编号的灵活性。由于目的,SAP(DSAP),和源,SAP(SSAP),都只有一个字节，所以这种灵活性是以可以支持的协议数目为代价的。由于保留了单个,/,组和局部,/,全局位而将,SAP,域减少到了,6,位，所以可支持的协议数目又进一步减少。这些少量的全局,SAP,的分配由,IEEE 802,负责维护。,LLC,包头内还包括了控制域，用于传递,LLC,类型和其他信息。,LLC,类型,1,几乎专门用于以太网,LAN,，表示一种“数据报”服务。,LLC,类型,2,用于面向连接的服务。,LLC,类型,3,用于半可靠服务。,4.802.3 SNAP,封装帧格式,对全局维护,SAP,地址模式的,SNAP(,子网访问协议,),扩展是用于支持大量协议需求的。通过使用一个全局维护的,SAP,值,(AAh),，那些没有分配全局,SAP,值,(,从,IEEE 802,那里,),的协议可以用跟在,LLC,包头域后面的,5,个字节来扩展协议类型域。,这样就要求将,DSAP,和,SSAP,置成全局分配值,AAh,，用以表明使用了,SNAP SAP,扩展，此外还要将控制域置,03h(,指明“无编号信息”，即只是一个数据报,),。,SNAP,扩展的头,3,个字节被置为分配给以太网制造商的唯一共,4,位,OUI,值，余下的,2,字节用于携带以太网类型信息。,5.2,以太网络故障诊断概述,5.2.1,以太网络故障查找的步骤,以太网络故障查找应以确定以太网络的故障点，恢复网络的正常运行为目的。以太网络的故障查找可分为,5,个步骤：,1,收集所有可以收集到的有价值的信息，分析故障的现象,;,2,将故障定位到某一特定的网段，或者是单一独立功能组（模块），也可以是某一用户,;,3,确认是特定的硬件故障还是软件故障,;,4,定位与修复故障,;,5,验证故障的排除,恢复网络的正常运行。,以太网络故障查找应分网段查找,先把故障细分或隔离在一个网段上,从靠近问题的站点入手，分析用户的情况描述，确认故障的现象,排除与修复故障。,以太网络故障查找应注意的事项,由于以太网络的拓扑结构是抛开网络电缆的物理连接来讨论网络系统连接形式的，其形式主要有总线结构、星形结构、环形结构、树形结构、网状结构和分布式结构等。所以某个特定的故障会以不同的方式显示出来，故障查找应注意：,1,沿拓扑结构和网段做测试,故障是否只影响该工作站（本地故障）还是会影响其它站点（全局故障）,?,故障发生在电缆,?,网卡,?,驱动软件,?,噪声环境,?,接地循环,?,工作站设置不正确,?,2,要提高测试质量,检查电缆连接,(RJ45,头、,BNC,头、工作站,);,检查链路层,(,碰撞问题、帧级错误、负荷过重,);,利用专业监测工具。,5.3,以太网络信息帧碰撞,以太网络网络发生故障主要表现在碰撞上。,所谓碰撞就是两个站点同时发送信息帧。因为在发送站和接收站之间有不同的连接电缆类型以及各种互连设备，每个网络的构成也未必全部符合所规定的技术指标，也并非所有设备工作都不正常，所以在各种碰撞之间是有微细差别的。我们对这些区别进行以下的详细分析。,如果碰撞很早就被发送站所发现，那么在非正常的帧中就不可能出现,SFD,（帧起始标志符）。很多网络的监测工具观测不到发生在前同步信号（,SFD,发送之前）的碰撞。因为这些仪器依赖于以太网的蕊片将信息送至协议层。,在以太网正常工作时，网卡的物理层在没有收到,SFD,之前并不将任何数据送入数据链路层。特殊的硬件设计（例如,Fluke,的网络测试仪,LAN Meter,）才能观察到,SFD,之前的信号。,一旦发送站发现了碰撞后就会发出一个,32,比特长的“,Jam”,（阻塞）信号，在标准中并没有规定阻塞信号是什么样子（只要它不产生一个与它发送信号中的,FCS,相应的信号即可）。所以大多数网卡只用一个简单的,10MHz,的时钟信号。如果这个时钟信号比信息发送的早并正好将帧首部分替换，则发送站地址和接收站的地址可能被转换成一样的值。例如全是,5,。中继器在一个口发现有碰撞后会向其它口发送阻塞信号从而保持所有站都能查到碰撞。对于发生碰撞的原因如表,5-1,所示，并对表,5-1,作出叙述。,表,5-1,发生碰撞的原因,1.,帧检测序列,(FCS),一个帧中的,FCS,错误也称为,CRC,错误。一般帧首的信息是正确的（如地址等），但接收站累加和与帧尾的,FCS,不相符。单一站的,FCS,数目过大,常常表明网卡有问题或软件驱动有问题，如果,FCS,的错误与多个站点相关则可能是电缆故障，网卡驱动故障，集线器接口故障或噪声的影响。,2.,短帧,(Short Frame),一个帧比有效的最短帧（,72,字节）还小而,FCS,是正常的则为短帧。某些网络协议分析仪和网络监测仪称之为帧不全（,Runts,），但这不准确。一般来说你看不见短帧。虽然他们的出现不一定会造成网络故障。短帧的最可能原因就是网卡故障，表现为设置错误或网卡驱动文件损坏。,3.,帧不全,(Runts),很多网络协议分析仪和网络监测仪都记录,Runts,。不幸的是,Runt,一词不是标准的词，即不同产品有不同的含意。“不全”可以是任何长度短于法定帧长的帧，它包括了局部，远端或前端碰撞，也可以是,FCS,是好的或坏的短帧。,4.,帧过长,(Jabber),帧过长在,802.3,标准中定义为比标准的最大长度（,1518 Bytes,）还要长的帧，但没有说明其,FCS,是好还是坏。所以一般很难发现帧过长。造成帧过长的可能原因有坏的网卡，网卡中的驱动文件损坏，电缆故障或接地问题等。,5.,长帧,(Long Frame),比标准最长（,1518 Bytes,）还长的帧，但,FCS,是有效的帧称为长帧。其可能的原因是软件设置有问题或网卡驱动文件损坏。,6.,定位错误,(Alignment Error),该错误是指传送的信息没能以,8,位字节结尾。换言之，它可以正常地对二进制文件形成完整的字节组，但又多于了几个比特（,Bit,）（或小于,8,）。这种错误的通常原因是由于碰撞并且是坏的,FCS,。,7.,幻象（,Ghosts,）,这是由,Fluke,公司所定义的一类错误。它表示足够大的能量（噪声）出现在电缆中但看起来就好象一个帧，但它没有正常的,SFD,。而且其长度应大于,72Bytes,长，否则就属于碰撞。因为其特殊性，所以特别重要的是要注意到测试是在哪一网段中进行的。,某些类型的噪声使某网段上的节点（站点）受骗，使它们认为好象是收到了帧。然而，所感觉的帧从未来到，所以没有数据进入网卡进行处理。过了一会，这种感觉停止，网卡可以发送自己的数据。不同网络接口对此反应不同，没有标准来定义网卡如何以及何时对噪声做出反应。中继器有时会将这种信号送入另一段网络。,幻象造成的现象是网络变慢而又没有明显的原因。文件服务器几乎是空闲，网络监测设备也会报告网络的使用率很低而用户确报怨网络特别慢或完全不工作。这处现象可能是局部的，即很大部分的网络工作正常而某部分却很慢或完全停止工作。,大地环路和其他连线问题是该故障的最常见原因。幻象会使中继器相信这是一个有效信号并将其传送至下一个网段。这再次转发的幻象好象是一个压缩的信号模戒一个非常长的前同步信号。,8.,碰撞,大多数网络监测设备不能发现这种问题，其原因是一个，因为它们不能识别前同步的碰撞，这些设备依赖于网卡中的蕊片来发现各种问题。根据事件发生的长度，,Fluke,公司的网（,LAN Meter,）会分析出是幻象噪声还是远端碰撞。,在碰撞以后剩余的信息帧的部分称为碎帧（,Fragment,）这是因为原来的帧已经被损坏而且不完整。根据碎帧的情况我们可以定义三种类型的碰撞。,（,1,）本地碰撞（,Local Collision,）,本地碰撞如图,5-7,所示。,图,5-7,本地碰撞,图,5-8,远端碰撞,在同轴线的网中（,10Base2,和,10Base5,），信号沿电缆传输直至碰到来自另一个节点的信号。这时波形会叠盖在一起。部分信号会相互抵消（减弱），而部分信号会相互迭加（加强）。而加强的信号部分的电压值会超过所允许的最高电平。这种过压的现象会被本段网的所有节点所观测到，称之为局部碰撞。在双绞线（,UTP,，,10BaseT,）网络中，一个站点仅当它在发送端（,Tx,）发出信号的同时在接收端（,Rx,）就收到信号时则发现有碰撞。,上述碰撞现象，称为本地碰撞。,（,2,）远端碰撞,远端碰撞如图,5-8,所示。,如果碰撞发生在中继器的另一端，过压的现象在中继器的这一端就不会发现。在中继器这一侧所发现的是不完整的信息帧。这个缩短的信息帧的,FCS,将会报告有问题并且不会满足,64,个字节的帧最小要求。事实上，通常是帧短的几乎整个帧首都看不见（含目的和源地址）。而且还会有“阻塞”的字符出现在缩短了的帧的最后,4,个,8,位（一组,8,个二进制位，有时不严格的称为字节）。,这种帧首缩短的帧称为远端碰撞。其关键的特征是不存在过压现象，帧的长度小于,72,个字节并且,FCS,是无效的。,因为,10BaseT,的集线器基本上是一个多口的中继器而且每个站点就象一个局部网段，所以在,10BaseT,中的碰撞几乎全是远端碰撞。,（,3,）延迟碰撞,当碰撞发生在帧的前同步信号和前,64,个字节之后，而且是局部碰撞的现象时（有过压或同时发送和接收），也就是和局部碰撞一样只是发生的较晚一些，这种碰撞称延迟碰撞。一般它只在同轴线的网络（在,10BaseT,网中，监测站必须同时发送才能看见延迟碰撞）。延迟碰撞的通常原因是网卡故障或网络电缆太长。所谓电缆过长的网络是指信号从一端传送另一端的时间超过了最小的合法帧的大小，这实际是不可能的。通常的延迟碰撞原因是硬件故障或网络处于监界状态。,（,4,）延迟的远端碰撞,发生在中继器另外一侧的延迟碰撞就是延迟的远端碰撞。中继器将阻止过压传至另一侧，所以只是将本网段的局部碰撞报告给另一侧。延迟的远端碰撞也可以通过分析出现阻塞信号的破损帧的最后几个字节来推断出来。典型的这种类型的碰撞可以在本网段用检查坏的,FCS,来查出。图,5-9,是对近端碰撞和远端的碰撞的表现。,图,5-9,延迟碰撞和远端的延迟碰撞,5.4,以太网络帧校验序列故障诊断与排除,1.FCS,帧校验序列错误,接收方收到,MAC,帧后，也进行,FCS,计算，校验其中含有一个,4,字节的循环冗余校验值，接收设备通过对它的重新计算，并将与接收到的,FCS,进行比较，以确定该帧是否在传输中被损坏。,帧损坏的原因：,延迟碰撞；,发送方因硬件故障，使,MAC,层未能正确计算,FCS,值。,发此帧的网卡处于某种故障状态，不能正确地在链路上传送数据。,连接网络的电缆出故障,(,连接器损坏、电磁干扰,),。,PCB,线路的设计问题，尤其是千兆以太网的,PCB,设计，千兆信号的对信号质量要求很高，如果线路排列不合理，会造成线间串扰，影响信号质量。,FCS,错误主要发生在,PHY,与,RJ45,接口之间的链路上，链路出现错焊、漏焊、虚焊等问题。,使用的物理连接介质质量太差造成的（千兆以太网对网线的要求至少是超,5,类线缆）。,2.FCS,诊断标准,当发现,FCS,错误的管长超过总体带宽的,2%,3%,时，就应该开始检测故障并找出有问题的设备。使用局域网分析仪，通常可以定位故障设备的源地址并采取纠正措施。,为确定所怀疑设备是否是故障源，可先关闭其电源，并继续监视整个网络。如果观察到故障持续存在，但另一地址更像是故障源，则极有可能是网络布线问题。,3.FCS,错误排查,故障现象：网络性能降低的同时伴有,FCS,差错。,CSMA/CD,算法在冲突发生时会引起校验和无效,(,即,FCS,差错,),，在发生次数不多的情况下属于正常现象，因此,FCS,差错与冲突同时发生且发生次数在合理的范围内时就无须担忧。对于本故障现象，可以利用协议分析仪来检测某段时间内冲突发生的次数与,FCS,差错的次数并分析它们之间的特性曲线，如果在这两者之间找不到对应关系，则可能是如下原因之一：,网络中存在噪声和干扰。,在网络设备没有接地或接地不正确时就会产生噪声干扰，可以用电缆扫描仪或万用表检测网络中的噪声电平。一个,10Base2/10Base5,网络中只能有一个接地连线，如果还存在另一个连线接地,(,如网卡差错或电缆损坏,),，则由于两个地之间存在压降而引起电缆中的电流泄漏。,电缆路由上有电磁干扰。,复印机、电梯、手机和寻呼机带来的电磁干扰都可能会引起,FCS,差错，可以用万用表来检测干扰情况并使用电缆测试仪来检测噪声情况。在检测电磁干扰时，可以检查电缆路由上是否存在电梯、电机、变电器、灯带和带有高时钟频率或,X,射线仪器的计算机系统。,网卡有故障。,在检查是否由网卡故障引起,FCS,差错时，可以检查按网络节点排序的所有无效数据包,(,大多数协议分析仪都能自动生成这类标准的统计报告,),，如果发现某个节点比较可疑，则可以检测该节点的活动率,(,以数据包,/,秒为统计单位,),与该节点所处网段的,FCS,差错发生次数。如果发现两者之间存在某种对应关系，那就有机会找到故障源。需要记住的是，由于网卡故障经常是间歇性地出现,(,例如，网卡达到一定温度时才出现,),，因此需要经过较长时间的监测才有可能得到准确和重复出现的故障结果。,接头,(,如,NIC,、墙插、,MAU,、中继器、集线器等,),松动或损坏。,定位这类故障源的方法就是仔细检查网络路径上的所有连接情况。,5.5,网络性能降低时的诊断与排除,1.,网络拥塞,网络拥塞（,network congestion,）是指在分组交换网络中传送分组的数目太多时，由于存储转发节点的资源有限而造成网络传输性能下降的情况。当网络发生拥塞时，一般会出现数据丢失，时延增加，吞吐量下降，严重时甚至会导致“拥塞崩溃”（,congestion collapse,）的现象。通常情况下，当网络中负载过度增加致使网络性能下降时，就会发生网络拥塞。,网络拥塞是一种持续过载的网络状态，此时用户对网络资源（包括链路带宽、存储空间和处理器处理能力等）的需求超过了固有的处理能力和容量。,网络拥塞形成的原因：,1,）存储空间限制,在每个输出端口有一定的存储空间，若一个输出端口被几个输入数据流共同使用，输入流的数据包就会在该存储空间内排队等待输出。当端口转发数据的速率低于数据包的到达速率时，会造成存储空间被占满的情形，后到达的数据包将被丢弃，源端认为这些数据包在传输过程中被丢弃而要求重发，不仅降低网络效率，而且使得网络拥塞情况更加严重。,2,）带宽容量的限制,低速链路难以应对高速数据流的输入，当源端带宽远大于链路带宽形成带宽瓶颈时，导致数据包在网络节点排队等待，从而发生网络拥塞。,3,）处理器性能限制,路由器中的,CPU,主要执行缓存区排队、更新路由表、进行路由选择等功能，如果其工作效率不能满足高速链路的需求，就会造成网络拥塞。,4,）病毒攻击,arp,病毒、,ddos,病毒、,syn,攻击，存在内网的电脑中都会导致网络出现拥塞，路由器交换机性能下降。,5,）,Microsoft Windows XP,已于,2014,年,4,月,8,日退役，这项变化将会对软件更新和安全选项造成影响。,2.,网络性能降低的同时伴有滞后冲突,以太网中冲突次数的增加常常与线缆有问题,(,如线缆段过长,),、网卡损坏、级联的中继器数量过多、终端电阻损坏或缺少等原因有关，如果能确定冲突属于滞后冲突还是正常冲突，将有助于缩小故障源的范围。滞后冲突的可能原因如下：,线缆长度超过了特定网络拓扑所能允许的最大长度。,此时只需使用线缆测试仪测量一下线缆的长度即可。,网络中级联的中继器数量过多。,可以用网桥代替其中的一个中继器，或者改变网络的配置。,网卡或,MAU,损坏。,利用协议分析仪收集发送无效数据包最多的站点的运行统计数据，并收集冲突发生次数与活动站点的统计数据以检查两者之间是否存在对应关系。如果使用这些方法无法找到故障源，就必须使用网络分段法来排除网络故障了。,3.,网络性能降低同时伴有早期冲突,故障原因：,终端电阻损坏或缺失。,10Base2,和,10Base5,以太网必须带有,50,的终端电阻，检查网络中所有需要终端电阻的地方是否均安装了正确的终端电阻，其阻抗可以用万用表来测量,(,阻抗值应介于,48,52,之间,),。,T,型接头松动或损坏。,检查网络中的所有接头，以确定是否有松动或损坏现象。,网络中的节点数过多。,检查每个网段中的,MAU,数量，一个,10Base2,网段中最多不能超过,30,个,MAU,，而一个,10Base5,网段中最多有,100,个,MAU,。,线缆被扭折。,可以使用线缆扫描仪来定位并替换被扭折的线缆。,电缆与,IEEE 802.3,不兼容。,IEEE 802.3,的,10Base5,电缆每隔,2.5m,就以一种颜色加以标记，为了减少连接点处的反射干扰，接头的插入点应选择在这些颜色的标记处。此外要记住，并不是所有的,BNC,接头都使用,50,的电缆，尽管以太网能在,75,的电缆上传输几十米，但是长度的增加迟早会引发网络故障，因而在检测网络故障时要检查所用电缆的规范。,4.,网络速度慢、响应时间长,故障原因：,传输路径上的网桥或路由器的缓存溢出。,检查路由器或网桥的统计数据,(,如,CPU,使用率、端口使用率等,),，利用协议分析仪检测哪个站点产生的经由网桥或路由器转发的流量最大，是否有超时现象出现。一般可以用,ping,命令来测试通过网桥或路由器的响应时间，以查明网络互联设备是否是引起故障的部分原因，如果是的话，就需要重新配置网络,(,如将部分服务器或客户机移到其他网段,),以减轻重载互联设备的流量。,光纤链路的传输问题。,在光纤链路衰耗过大或发射光功率过低的情况下，如果光纤链路的传输距离过长，则可能会引起性能劣化,(,即使没有出现任何,FCS,校验差错,),。此时可以用,ping,命令来检测有问题的光纤链路的响应时间，并检查光纤耦合器和线路衰耗的设置情况。,存在本地网段路由。,本地路由是网络速度减慢的常见原因，常常发生于子网地址不同、但连接在同一个,LAN,交换机下的两个节点之间的连接上，且,LAN,交换机连接在一个路由器下。这种本地路由有时也称为,one-armed,路由。此时，尽管这两个节点均连接在同一个交换机下，但它们之间的数据包必须经过路由器的路由之后才能到达对方。,5.,间隙性地出现网络故障、性能降低和帧对齐差错,故障原因：,网卡在每个,FCS,之后还发送了一些额外的比特。,可以使用协议分析仪捕获在,FCS,之后有额外比特的数据帧,(,称为,dribble,数据帧或帧对齐差错的数据帧,),，从数据帧的源地址中就可以找到有故障的网卡。,最大传输距离超出了以太网的规范。,数据包能否到达最终目的地取决于发送站点和接收站点，在两个站点相距较近时一般没有什么问题，但是在两个站点相距较远且处在同一个网段中时就有可能会出现连接问题。此时就需要尽力找出这类连接问题是否只与某些特定的节点有关，可以使用线缆测试仪来检测传输路径上的线缆长度和质量，必要时可以在传输路径上插入一个网桥或路由器。,如果在传输路径上级联了过多的网桥或路由器，将会导致信号的传输延时增加和协议超时,(,如,TCP,超时,),，可以使用,ping,命令或响应时间代理来检测响应时间。,6.,网络间隙性故障,(1),故障现象：网络连接出现间歇性故障的同时伴有短包,故障原因：,网卡有故障。,可以使用协议分析仪捕获短包并从短包的源地址中找到发送节点，如果源地址字段损坏，则可采用前面讲述的相关测试方法来找到有故障的网卡。,由于在,10Base2,和,10Base5,以太网中存在两个接地连接，因而在网线中产生直流电流。可以使用电缆测试仪来检测网线中的直流电流。,网卡损坏。,网卡损坏有时会产生,jabber,数据帧,(,即超长数据帧,),，导致所处网段出现连接故障。可从协议分析仪捕获的,jabber,数据帧的源地址字段中找到失效网卡的位置。,(2),故障现象：网络连接出现间歇性故障的同时伴有帧间距过短现象,故障原因：,帧间距过短引起数据包丢失。,若以太网中的站点不能维持正常的最小帧间距,(10Mbps,以太网中为,9.6s,，,100Mbps,以太网中为,0.96s),，某些集线器设备就无法正确处理接收到的数据包。此时，数据包有可能会转变为,jabber,数据包。在进行故障检测时，可以用协议分析仪来测量帧间距,(,可由数据包的时间戳得到帧间距,),，之后，再从协议分析仪捕获的数据帧的源地址字段中找到失效网卡的位置。经由网桥互联的传输路径上出现间歇性的网络连接故障。,由于网桥使用了负载均衡功能而打乱了数据包的到达次序。,检查网桥的在必要时关闭网桥的负载均衡功能。经由路由器互联的传输路径上出现间歇性的网络连接故障。,路由器连接在重载,WAN,链路或所连接的,WAN,链路质量较差。,排除这类故障可以使用协议分析仪检测所连接的,WAN,链路的使用率、,FCS,差错率和误码率。此外，分析路由器端口的日志也有助于找到故障原因。,5.6,节点失去网络连接时的诊断与排除,1.,单个节点失去网络连接,故障原因如下。,(1)MAU,的网线或网卡与网络的连接松动或连接失效。,单个节点突然与网络完全失去连接的主要原因如下：,MAU,连接松动；,连接电缆断开、短路或有噪声干扰；,网卡失效。,此时需检查电缆、接头、网卡是否有问题，在必要时应予以替换。为了确定故障是否是节点本身，可以用一个工作正常的节点,(,如笔记本电脑,),完全替换有故障的节点，如果网络连接恢复正常，则表示故障源在节点内部，否则表示故障源在网络侧。,(2),网卡配置有误，如接头激活有误,(,如应激活,AUI,接头的却激活了双绞线接头,),或选择的中断资源已被占用。,此时可利用,ping,命令,(ping 127.0.0.1),检查网卡的工作是否正常以及数据包能否被正确地发送和接收，此外，还应检查最近是否有人在网络中安装了软件或硬件。当然，也可以用一个工作正常的节点完全替换故障节点，以确定故障源在节点本身还是在网络侧。,(3),网卡损坏或保险丝被烧断。,使用外接,MAU,时需要检查其电系统是否完好。使用,ping,命令,(ping 127.0.0.1),来检查网卡的工作是否正常以及数据包能否被正确地发送和接收。,(4),不兼容的网卡把外接,MAU,发送的“心跳信号”当成是,SQE,信号，进而发生差错。,此时，应监视,MAU,上的,LED,，如果每欠发送数据时,SQE LED,都点亮，则应关闭,MAU,的心跳模式,(,也就是把,MAU,的工作模式从,Ethernet 2.0,切换到,IEEE 802.3),。,(5),由于网桥工作于保护模式下而没有激活学习模式，因而其老化功能将有故障的节点地址从地址表中删除了。,(6),网桥或路由器的过滤器设置不正确。,检查过滤器的设置情况并与故障节点的地址相比较，以确定是否因过滤器的设置不当而引起了节点的连接故障。特别是在网桥使用了备份路径或负载均衡机制之后，更应检查过滤器的设置是否与这些功能相冲突。,(7)MAC-IP,地址映射有问题，这主要是由于静态,IP,地址发生了变化或网络中同时配置静态,IP,地址和,DHCP,。,2.,网络中的某个网段与其余网段之间失去了网桥连接,故障原因如下。,网桥的端口配置不正确。例如端口没有被激活、端口的运行模式不正确,(,如应为,10Mbps,的却配成,100Mbps),、连接失效,(,如电缆、接头和插板松动,),或布线错误等。,检查网桥的安装和配置是否正确。,由于网桥工作于保护模式下而没有激活学习模式，因而其老化功能将有故障的节点地址从地址表中删除了。,检查网桥的地址表和工作模式,(,网桥的学习模式是否打开等,),。,网桥或路由器的过滤设置不正确。,检查网桥或路由器的过滤器设置情况，特别是要检查使用了通配符的过滤项。,3.,网络中的某个网段与其余网段之间失去了路由连接,故障原因：,路由器的端口配置不正确。例如端口没有被激活、端口的运行模式不正确,(,如,10Mbps,设成了,100Mbps),、连接失效,(,如电缆、接头和插板松动,),、协议没有被激活或布线错误等。,检查路由器的安装和配置是否正确。,路由器的地址表、映射表或路由表的配置有误。,检查路由器的配置。,路由器的过滤器设置有误。,检查路由器的过滤器设置情况，特别是要检查使用了通配符以及有可能阻塞备份路由或负载分担路由的过滤项。,与路由器,WAN,端口相连的,WAN,链路失效。,检查,WAN,链路的工作是否正常。,没有设置默认网关。,检查路由器中是否配置了默认网关。,子网掩码配置有误。,全面检查网络文档中有关子网掩码的所有配置情况。,定时器配置有误。,检查路由器中不同协议的定时器参数配置是否正确，并与这些定时器的默认值相比较，特别是在网络中使用了不同厂商的路由器设备时。,4.,客户机出现间歇性的网络连接故障,客户机出现周期性的网络连接故障，虽然能,ping,通，但数据包时有丢失。,故障原因：,NIC,或交换机,/,路由器的配置有误。,NIC,或交换机,/,路由器的配置有误，致使连接双方工作在不同的工作模式下，此时应检查,NIC,和交换机,/,路由器端口的配置是否正确。,NIC,或交换机,/,路由器的工作模式配置有误,(,一方被配置为手动工作模式，而另一方被配置为自动协商工作模式,),。,检查,NIC,和交换机,/,路由器的端口配置情况，避免使用自动协商工作模式。,主机忙或处于重载状态，服务器遇到问题。,检查服务器的运行统计数据及其响应时间。,5.10/100Base-T,自动协商进程太过频繁，吞吐量低,原因：通信双方未达成一致,(,一方为全双工方式，另一方为半双工方式,),。,5.7,以太网中常见的故障诊断与排除,5.7.1,以太网中最常见的故障原因,以太网中最常见的故障原因有：,AUI,电缆损坏；,网桥地址列表的配置不正确，网桥工作在保护模式下；,网桥过滤器设置不当；,网桥过载；,网桥的老化功能删除了某些地址表项；,级联的网桥或中继器太多，从而引发超时和响应时间过长；,电缆长度超标；,连接器松动或损坏，如接头、墙插、,MAU,、,Hub,、网桥、路由器；,电磁干扰；,外部,MAU,损坏；,路由器、网桥或,Hub,的物理连接故障,(,电缆、连接器和插入模块松动，背板上的电缆连接错误,),；,