1、计算机网络技术及应用第二版第12章网络管理与维护技术12.1网络管理技术n花费大量时间和资金建立起来的计算机网络,需要不断地进行维护。网络管理包括5个功能:配置管理、故障管理、性能管理、安全管理、计费管理。n网络管理是控制一个复杂的计算机网络,使它具有最高的效率和生产力的过程。根据进行网络管理的系统的能力,这一过程通常包括数据收集、数据处理、数据分析和产生用于管理网络的报告。n第一个使用的网络管理(简称网管)协议称为简单网络管理协议(SNMP,又称SNMP第一版或SNMPv1),当时这个协议被认为是临时的、简单的、解决当时急需解决的问题的协议,而复杂的、功能强大的网络管理协议需要进一步设计。n
2、到20世纪80年代,在SNMP的基础上设计了两个网络管理协议:一个称为SNMP第二版(简称SNMPv2),它包含了原有的特性,这些特性目前被广泛使用,同时增加了很多新特性以克服原先SNMP的缺陷;第二个网络管理协议称为公共管理信息协议(简称CMIP),它是一个组织地更好,并且比SNMPv1和SNMPv2有更多特性的网络管理协议。对用户而言,要求网络管理协议具有好的安全性、简单的用户界面、价格相对低廉而且对网络管理是有效的。由于Internet的大规模发展以及用户的要求,使得SNMPv1和SNMPv2成为业界事实上的标准而被广泛使用。12.1.2 ISO网络管理模式n目前国际标准化组织ISO在网
3、络管理的标准化上作了许多工作,它特别定义了网络管理的五个功能域:n 配置管理管理所有的网络设备,包括各设备参数的配置与设备账目的管理。n 故障管理找出故障的位置并进行恢复。n 性能管理统计网络的使用状况,根据网络的使用情况进行扩充,确定设置的规划。n安全管理限制非法用户窃取或修改网络中的重要数据等。n计费管理记录用户使用网络资源的数据,调整用户使用网络资源的配额和记账收费。1配置管理n配置管理的目的在于随时了解系统网络的拓扑结构以及所交换的信息,包括连接前静态设定的和连接后动态更新的。配置管理调用客体管理功能、状态管理功能和关系管理功能。2.故障管理 n故障管理的目标是自动监测、记录网络故障并
4、通知用户,以便网络有效的运行。n故障管理包含以下几个步骤:(1)判断故障症状;(2)隔离该故障;(3)修复该故障;(4)对所有重要子系统的故障进行修复;(5)记录故障的监测及其结果。3.性能管理n性能管理的目标是衡量和呈现网络性能的各个方面,使人们可在一个可接受的水平上维护网络的性能,性能变量的例子有网络吞吐量、用户响应时间和线路利用率。n性能管理包含以下几个步骤:n(1)收集网络管理者感兴趣的那些变量的性能参数。n(2)分析这些数据,以判断是否处于正常水平。n(3)为每个重要的变量决定一个适合的性能门限值,超过该限值就意味着网络的故障。4.安全管理n安全管理的目标是按照本地的指导来控制对网络
5、资源的访问,以保证网络不被侵害,并保证重要的信息不被未授权的用户访问。n安全管理子系统将网络资源分为授权和未授权两大类。5.计费管理n计费管理的目标是衡量网络的利用率,以便一个或一组用户可以按规则利用网络资源,这样的规则使网络故障减低到最小,也可以使所有用户对网络的访问更加公平。n为了达到合理的计费管理目的,首先必须通过性能管理测量出所有重要网络资源的利用率,对其结果的分析使得对当前的应用模式具有更深入的了解,并可以在该点设置定额。对资源利用率的测量可以产生计费信息,并产生可用来估价费率的信息,以及可用于资源利用率优化的信息。12.1.3 公共管理信息协议CMIPn在网络管理模型中,网络管理者
6、和代理之间需要交换大量的管理信息。这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议,它建立在个体物理网络及其基础通信协议基础之上,为网络管理平台服务。n网络管理协议提供了访问任何生产厂商生产的任何网络设备,并获得一系列标准值的一致性方式。对网络设备的查询包括:设备的名字;设备中软件的版本;设备中的接口数;设备中一个接口的每秒包数等。用于设置网络设备的参数包括:设备的名字;网络接口的地址;网络接口的运行状态;设备的运行状态等。n目前使用的标准网络管理协议包括:简单网络管理协议(SNMP)、公共管理信息服务/协议(CMIS/CMIP)和局域网个人管
7、理协议(LMMP)等。12.1.4简单网络管理协议SNMPnSNMP是由因特网工程任务组IETF(the Internet Engineering Task Force)提出的面向Internet的管理协议,其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。nSNMP采用轮询监控的方式,管理者隔一定时间间隔向代理请求管理信息,管理者根据返回的管理信息判断是否有异常事件发生。轮询监控的主要优点是对代理资源的要求不高,缺点是管理通信的开销大。SNMP由于其简单性得到了业界广泛的支持,成为目前最流行的网络管理协议。SNMP位于ISO/OSI参考模型的应用层,它遵循ISO的网络管理
8、模型。SNMP模型由管理节点和代理节点构成,采用的是代理/管理站模型,如图12-1所示。图 12-2 SNMP传输层映射12.2 网络维护工具nPing、Ipconfig、Tracert、Netstat、Arp是Windows自带的许多网络维护工具,下面以Windows 2000为例作简要介绍。1Pingn用法:nPing-t a-n count-I size-f-I TTL-v TOS-r count-s count-j host-list|-k host-list-w timeout n参数:n-t 用当前主机不断向目的主机发送数据包;n-n count 指定ping 的次数;n-I si
9、ze 指定发送数据包的大小;n-w timeout 指定超时时间的间隔(单位:ms,缺省为1000)。例1nE:ping nPinging 211.100.31.131with32 bytes of data:nReply from 211.100.31.131:bytes=32 time=50ms TTL=243nReply from 211.100.31.131:bytes=32 time=60ms TTL=243nRequest timed out.nReply from 211.100.31.131:bytes=32 time=50ms TTL=243nPing statistics
10、for 211.100.31.131:nPackets:Sent=4,Received=3,Lost:1(25%loss),nApproximate round trip times in mili-seconds:nMinimum=50ms,Maximum=60ms,Average=53msn从上面的返回结果可以知道,我们向(其IP为211.100.31.131)发送的4个大小为32Bytes的测试数据包中,有3个得到了服务器的正常响应(Reply from),另一个响应超时(Request timed out)。平均每个数据包自发送到收到服务器响应的时间间隔为56ms(最小为50ms,最大
11、为60ms)。n这一结果显示,本机到的网速较快(平均响应时间短),但是网络可能不大稳定(丢失了一个数据包)。例2nE:ping 202.11.89.118nPinging 202.112.89.118 with 32 bytes of data:nRequest timed out.nRequest timed out.nRequest timed out.nRequest timed out.nPing statistics for 202.112.89.118:nPackets:Sent=4,Received=0,Lost=4(100%loss),nApproximate round tr
12、ip times in milli-seconds:nMinimum=0ms,Maximum=0ms,Average=0msn上例中4个测试数据包均超时,说明本机很可能无法与202.112.89.118通信。n但是也存在例外情况,即Ping“不通”但实际网络是连通的。这是因为Ping是用来检测最基本的网络连接情况的,Ping程序所使用的数据包为TCP/IP协议族最基本的ICMP包。不幸的是,某些操作系统(尤其是Windows)存在缺陷,面对对方发送过来的大的ICMP包,或者数量巨大的碎小的ICMP包,无法正常处理,可能导致网络堵塞、瘫痪,甚至整个系统崩溃、死机。目前的网络防火墙所采用的一种简便
13、方法是,对方发来的ICMP包不做任何处理,直接抛弃。在Ping装有这样的防火墙的主机时,将被告知“Request time out”,其实这并不是网络不通。例3nE:ping nUnknown host .n这一结果显示域名不存在。2Ipconfign顾名思义,Ipconfig用于显示和修改IP协议的配置信息。它适用于Win9x、WinNT和Win2000,但命令格式稍有不同。下面以Win2000为例做简要介绍。n用法:nipconfig/all|/release adapter|/renew adapter n参数:n/all显示所有的配置信息;n/release释放指定适配器的IPn/re
14、new更新指定适配器的IPn例4n用“ipconfig/renew 0”命令可以更新0号适配器的IP。n例5n用“ipconfig/all”命令可以显示有关本地IP配置的详细信息。显示结果如下:nE:ipconfig/all3Tracertn用法:ntracert-d-h maximum hops-j hostlist-w timeoutn参数:n-d不解析主机名;n-w timeout设置超时时间(单位:ms)nTracert 用于跟踪“路径”,即可纪录从本地至目的主机所经过的路径,以及到达时间。利用它,可以确切地知道究竟在本地到目的地之间的哪一环节上发生了故障。例6nE:tracert w
15、ww.YnTracing route to 216.115.102.75nOver a maximum of 30 hops:n110ms 10ms 10ms 166.111.174.1n210ms 10ms n由上面的返回可以知道,本地路由器为166.111.174.1,转发给路由器为166.111.1.73,166.111.1.73拦截了本地到的国际流量。4Netstatn用法:nnestat-a-e-n-s-p proto-r intervaln参数:n-a显示主机的所有连接和监听端口信息;n-e显示以太网统计信息;n-n以数据表格显示地址端口;n-p proto显示特定的协议的具体使用
16、信息;n-r显示本机路由表的内容;n-s显示每个协议的使用状态(包括TCP,DP,IP);ninterval刷新显示的时间间隔(单位:ms)。nNetstat程序可以帮助我们了解网络的整体使用情况。例7nnetstatp TCP表示查看TCP连接。nnetstata表示查看所有信息。12.3局域网常见的故障排除n12.3.1网络常见故障n故障概述:网络中可能出现各种各样的故障,故障现象也可能是千奇百怪。但从宏观上看,问题只有一种,那就是网络不能提供服务。例如网络中的某个用户无法访问服务器,其原因可能是网线有问题,可能是该用户使用的计算机的网卡有问题,还可能是用户的TCP/IP属性配置不正确,也
17、有可能是服务器本身的问题,因此查找故障发生的原因要有适当的步骤和方法。1故障检测第一步pingnping命令在网络故障排除中是非常有用的一个工具,往往作为网络管理员探测故障原因的首选。当我们ping一台主机时实际上是向那台主机发出了一个ICMP数据包,而ICMP协议又是在TCP/IP协议中的第二层Internet层。当一台客户端无法享受服务器提供的服务时,我们可以首先试着ping一下服务器的IP地址,如果能够ping通,而且没有丢包现象,那么我们就可以确定Internet层,以及它以下的各层都是没有问题的,这样我们就可以将检测问题的主要精力放在应用层,试着去找出其中的问题所在。n如果ping
18、不通或ping通了但有丢包现象,那么我们就可以先将问题锁定在Internet层和网络接口层,首先解决这两层的问题,再看上层是否有问题。2网络接口层故障排除n当出现网络故障时,我们可以在客户端上首先使用ping命令,ping服务器的IP地址,如果ping通,证明故障肯定不在网络接口层,如果ping 不通或ping通了但有丢包现象,问题可能出现在网络接口层或Internet层,但根据层次结构,我们首先应该检查的还是网络接口层,首先排除了网络接口层的问题后,再进行后续的检查,网络接口层最有可能出现问题的地方是网线,集线器,网卡,交换机,检测时按照此顺序进行。3网线问题n网络中的计算机互相连接都需要网
19、线,而网线也处在整个层次结构中的最底层,也是最容易出问题的地方。我们必须首先了解网线的种类以及连接设备使用网线的情况后,才可以排除网线的故障。4网线种类n直通缆(标准568B):两端线序一样,线序是:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕。n交叉缆(568A)标准:一端为直通缆的线序,另一端为:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕。5设备连接使用网线情况nPC-PC:交叉缆;nPC-Hub:直通缆;nHub-Hub普通口:交叉缆;nHub-Hub 级连口-级连口:交叉缆;nHub-Hub普通口-级连口:直通缆;nHub-SWITCH:交叉缆;nHub-级联口SWITCH:直通缆;nSWITC
20、H-SWITCH:交叉缆;nSWITCH-ROUTER:直通缆;nROUTER-ROUTER:交叉缆。n100BaseT连接双绞线,以100Mb/S的EIA/TIA568B作为标准规格。12.3.2网络故障的排除n1网线用错n故障原因:通过上面的讲解我们已经知道了直通缆和交叉缆在不同设备之间的应用,如果安装线缆或布线的时候用错网线就会导致网络不通。n查找方法:如果网线裸露在外只要把网线的两头对在一起就很容易能够发现此网线是直通缆还是交叉缆。如果网线已经布好就需要测线仪来进行测量了。n解决方法:发现网线用错了就换一根对的网线,如果布好的网线用错了,就需要将某一头接一根转接线或转接头,将错误的网线
21、转换成正确的线序。2网线折断n故障原因:当网络不通时,有可能是网线折断或接触不良。n查找方法:电缆/光缆测试仪:用于测量电缆或光缆的连通状况和属性的其他信息;n数字万用表:测量经过电缆的电脉冲,确定电缆是否有短路或断路;n时域反射器(TDR):可利用声脉冲找出电缆的断点位置。n解决方案:找到折断的网线,将此网线替换。3集线器问题n如果通过上面的检测,证明连接客户端和服务器的网线没有问题,那么我们的下一个检测目标就会锁定在集线器上。集线器的作用是把网线集中连接在一起,所以如果集线器有问题网络自然也就不会通畅。4集线器损坏n故障原因:当集线器损坏时,连接在集线器上的所有计算机都无法进行通讯。n查找
22、方法:确保网线没有问题后,如果客户端还ping不通服务器,首先测试其它客户端是否能够ping通服务器,如果其它客户端能够ping通服务器,证明集线器没有问题,如果ping不通证明问题也许出在集线器。再测试连接在此集线器上的其它客户端是否能够互相ping通,如果能够ping通,证明此集线器没有问题,问题可能出在其它方面。如果其他客户端都彼此ping不通,那么证明问题就出现在本地集线器。n解决方案:如果确定是集线器的问题,解决方案就是更换一个好的集线器。5网卡问题n如果通过上面的测试,证明网线和集线器都没有问题,那么我们下一个需要测试的对象就是网卡。网卡是网络接口层的另外一个核心组件,不论是服务器
23、还是客户端的网卡损坏,损坏一端的计算机都无法发送和接受任何信息。6网卡端口接触不良n故障原因:客户端或服务器的网卡端口接触不好,所以有一方无法进行通讯。n查找方法:确定网线,集线器都没有问题后,如果客户端还ping不通服务器,首先测试本地客户端的网卡,再测试服务器的网卡。首先在客户端上确定其IP地址设置没有问题,然后,重新插一下连接的网线,查看其它计算机能否ping通本地客户端,如果可以,再用本地客户端ping服务器,如果成功证明客户端的网卡有问题。n如果通过前面的实验发现本地客户端能够与其它计算机通讯,问题就有可能出现在服务器。首先确定服务器的IP地址配置正确,然后,重新插一下连接的网线,查
24、看其它计算机能否ping通服务器,如果通讯成功,证明服务器的网卡有问题。n解决方案:重新插拨一下连接的网线。7网卡损坏n故障原因:如果网卡的芯片损坏,网络中的计算机自然就无法通讯。n查找方法:如果通过上面的方法,重新插拨网卡后问题依旧存在,我们首先在客户端上确定其IP地址配置没问题,然后,更换一块网卡,查看其他计算机能否ping通本地客户端,如果可以,再用本地客户端ping服务器,如果成功证明客户端的网卡芯片有问题。n如果通过前面的实验发现本地客户端能够与其他计算机通讯,问题就有可能出现在服务器。首先确定服务器的IP地址配置正确,然后,更换一块网卡,查看其他计算机能否ping通服务器,如果通讯
25、成功,证明服务器的网卡有问题。n解决方案:更换网卡。8交换机问题n在现在的网络中,集线器往往被交换机替代,这样虽然增加成本,但是网络的整体性能会有很大提升。出于节省成本的目的,集线器之间也可以通过交换机来连接,这样通讯速度有所提高,而且也不会增加太多成本。所以一旦交换机出现问题,往往查找和处理起来要比集线器复杂的多。9交换机MAC地址列表有问题n故障原因:交换机是通过内置的MAC地址列表来帮助计算机之间通讯的,所以一旦MAC地址列表出现问题,很有可能该收到数据的计算机收不到,不该收到信息的计算机可能会收到,而且也会产生丢包现象。n查找方法:通过Windows2000内置的Network Mon
26、itor来检测是否能够收到不该收到的信息。首先选择3台计算机,一台作为FTP服务器,另一台作为FTP客户端,第三台作为监视客户端。步骤如下:n(1)首先配置好FTP服务器和客户端,然后在监视客户端上打开“添加删除程序”,在“添加删除Windows组件”中选择“管理和监视程序”来安装网络监视器,在监视客户端上启动网络监视器。n(2)转到FTP客户端,以用户“administrator”连接FTP服务器。n(3)回到监视客户端,停止并显示捕获的数据。n(4)选中“显示”,“筛选程序”对捕获到的数据进行筛选。n(5)只显示FTP和Telnet协议数据,单击“确定”。n(6)捕获结果,通过查找FTP协
27、议,可以发现“pass”后面就是,刚才访问FTP服务器用户administrator的密码“123456”。n交换机应该通过其MAC地址列表,将通讯传输限制在FTP客户端和服务器之间。通过此实验我们看到,交换机将信息发送给了不该发送的计算机监视客户端,所以证明交换机MAC地址列表已经失败。n解决方案:重新启动交换机,如果还解决不了,就更换交换机。10交换机损坏n故障原因:交换机整个损坏。n查找方法:跟集线器的查找方法一样。n解决方案:更换交换机。11Internet层和传输层故障排除n如果我们通过上述方法测试,发现网线、集线器、网卡、交换机都没有问题,我们就可以将问题检测提到解决方案Inter
28、net层和传输层。12IP地址冲突n故障原因:如果在网络中发生两台计算机使用一个IP地址的情况,那么这两台计算机启动后,有一台计算机是可以进行正常通讯的,而另外一台不行。n查找方法:如果一台计算机不能跟其它计算机通讯,如图所示,IP地址已经配置。n那么我们就需要利用IPCONFIG工具查看其IP地址的真实运行状况。如图所示,其真正的IP地址为0.0.0.0,说明这台计算机上配置的IP地址正与其它计算机的地址冲突。n如果此计算机的IP地址是合法的,那么证明其它计算机在制作恶意冲突。我们可以在其他的计算机上用nbtstat查找计算机。如图所示,在其它正常运行的计算机上敲入nbtstat-a冲突的I
29、P地址,就可以找到恶意冲突的计算机。n解决方案:将其中一台计算机另外配置一个合法的IP地址。13IP地址配置问题n故障原因:IP地址配置不符合网段的配置要求,也会造成不能够跟其他计算机通信的故障。n查找方法:如果通过IPCONFIG发现本机的IP地址并没有出现0.0.0.0冲突现象,那我们就可以检查是否是IP地址配置问题。首先确定本网段的IP地址范围,如192.168.1.0。然后在客户机上再次运行IPCONFIG工具,查看其IP地址是否是本网段的IP地址,如果不是则修改本地计算机的IP地址。n解决方案:如果计算机使用静态的IP地址,就由网络管理员来为此计算机重新配置合法的本网段的IP地址。如
30、果计算机是DHCP客户端,就在此计算机上运行IPCONFIG/RELEASE来释放原有的地址,再运行IPCONFIG/RENEW重新获得合法的IP地址。14路由器问题n故障原因:本地的IP地址配置正确,服务器的IP地址配置也正确,但因为它们不在同一个网段所以需要路由器来传递信息,如果路由器出现问题,客户端与服务器一样不能通信。n查找方法:在确定服务器和客户端双方的IP地址配置都没有问题后,首先使用ping命令查找主机,如图所示,主机没有回应。n解决方案:联系路由器管理员,重新配置路由器的路由信息。15应用层故障排除n应用层的故障可谓千奇百怪,因为应用层的软件与服务器有成千上万种,所以可能出现的
31、问题也就非常多。在这里,我们不可能将所有的问题一一列举出来,所以在这部分,我们就重点来解决Windows2000中各种服务容易出现的问题。16DHCP故障排除nDHCP故障虽然是在应用层的服务,但实质却是分配IP地址,所以错误往往影响的是Internet层,也就是IP地址故障。DHCP大多数的故障现象就是配置好客户端和服务器后却发现客户端不能获得IP地址。但引起故障现象的原因却可能有很多种。17授权问题n故障原因:DHCP服务器需要经过授权后才能启动服务,所以如果未经授权服务器是不能分配IP地址的。n解决方案:如图所示,如果发现DHCP服务器未经授权,我们就必须使用管理员身份打开DHCP服务器
32、控制台进行授权操作。18服务器端IP地址问题n故障原因:检查服务器已经经过了授权,而且作用域已经激活。这时我们应该检查作用域的地址范围是否与DHCP服务器的IP地址属于一个地址范围。我们知道,如果DHCP服务器的IP地址与作用域的地址不在同一个网段内,DHCP服务器也是不能够分配IP地址的。n解决方案:将DHCP服务器的IP地址改为与作用域在同一个网段。19客户端配置问题n故障原因:如图所示,DHCP分配出的地址与网络中的其它计算机有冲突,在客户端上显示IP地址为0.0.0.0。n解决方案:在DHCP服务器上增加冲突检测次数,避免分配在网络上已存在的IP地址。20DNS故障排除nDNS在Win
33、dows 2000中起着举足轻重的作用,所以一旦DNS服务出现问题可能影响的范围就会很广。DNS出现问题的现象大多是上不去网,也就是解析不到远程主机的IP地址。还有可能就是客户端不能登录域控制器,因为DNS无法提供服务。21服务器“.”问题n故障原因:很多网络管理员在安装或升级完Windows 2000后,经常会发现上不了网,其主要问题就是Windows 2000在安装完DNS服务后都会自动把代表根域的“.”加上,导致本地DNS服务器不能对不知道的名字到外网去作转寄查询,客户端也就不会收到希望解析域名的IP地址,也就无法访问远程主机。n解决方案:在服务器上删除“.”根域后故障解决。22服务器网
34、关问题n故障原因:当DNS服务器只能提供本地解析服务,而无法提供外部解析服务时,我们可以查看一下DNS服务器的网关是否已经设置,如果没有设置,DNS无法到外网去作转寄查询,也无法完成客户端提交的外部主机查询请求。n解决方案:在DNS服务器上设置正确的网关地址。23DNS的SRV记录n故障原因:当客户端启动后却无法找到域控制器,检查域控制器一切正常。故障往往都是由DNS服务器上的SRV记录引起的。n解决方案:确定域服务器已经指向相应的DNS服务器,然后在域服务器上找到“管理工具”中的“服务”,在服务中右键单击NETLOGON,选择重新启动NETLOGON服务,重新注册SRV记录。24客户端指向问
35、题n故障原因:当客户端无法解析域名时,而DNS服务器一切正常,故障通常出在客户端没有正确的配置DNS指向。n解决方案:配置合法的DNS服务器地址。25客户端缓存问题n故障原因:当某台计算机的IP地址与主机域名对应关系发生更改时,DNS服务器已经为其作了更新,而其计算机通过自己的DNS名字解析得到的还是以前的IP地址,所以无法通讯。n解决方案:由于客户端将以前解析过的DNS名字放在自己的缓存中,所以我们需要在客户端上运行IPCONFIG/FLUSHDNS清除DNS缓存,这样才能通过DNS服务器重新解析新的IP地址。26IIS故障排除n当我们访问不到网站时,如果检查DNS记录没有问题,那故障有可能
36、是在IIS服务器上,也有可能是客户端IE浏览器的问题。27服务器站点不稳定问题n故障原因:如果DNS和客户端配置没有问题,那么故障很有可能就是由IIS本身的不稳定性造成的。Windows 2000提供的IIS 5.0较以前的产品稳定性有了很大的提高,但是如果IIS服务器承载的网站过多,或访问量过大时,还是很容易引起不稳定的情况发生。n解决方案:重新启动IIS,再重新启动访问不到的Web站点。28客户端缓存问题n故障原因:网站内容已经更新了,但是客户端访问的还是旧的内容,那么故障很有可能就是客户端的缓存问题。n解决方案:在客户端的“Internet选项”中,“常规”选项卡下单击“删除文件”。再选择“删除所有脱机内容”,单击“确定”清除客户端的缓存。