《网络故障诊断常用工具详解_464712.docx》由会员分享,可在线阅读,更多相关《网络故障诊断常用工具详解_464712.docx(53页珍藏版)》请在三一办公上搜索。
1、RTUB_103_C1网络故障诊断常用工具详解课程目标:l 了解网络故障诊断时常用的命令l 掌握常用故障排除命令的使用方法参考资料:目 录第1章 网络检测工具介绍11.1 Ping命令11.1.1 Ping命令介绍11.1.1ping 是如何工作的41.1.2Ping命令参数及使用技巧51.1.3用Ping命令检测网络111.1.4Ping命令的高级使用技巧(参考)191.1.5Ping有关故障案例231.2Netstat 命令的使用技巧271.2.1netstat 的一些常用选项271.2.2netstat的妙用311.3IPConfig命令的使用技巧和winipcfg311.3.1IPCo
2、nfig最常用的选项321.3.2举例:321.4ARP(地址解析协议)的使用技巧331.4.1ARP常用命令选项:341.4.2举例:341.5Tracert、Route 与 NBTStat的使用技巧351.5.1Tracert351.5.2Route 的使用技巧401.5.3NBTStat的使用技巧411.6其他网络命令441.6.1Finger441.6.2Ftp441.6.3Tftp451.6.4Telnet451.6.5Net461.6.6巧设开机密码等-批处理命令48第1章 网络检测工具介绍& 知识点l 了解网络诊断时常用的命令l 熟悉网络排除时常用命令1.1 Ping命令1.1.
3、1 Ping命令介绍“p i n g”这个名字源于声纳定位操作,是潜水艇人员的专用术语,表示回应的声纳脉冲,在网络中Ping 是一个十分好用的TCP/IP工具。P i n g程序由Mike Muuss编写,ping 是 Packet Internet Groper的缩写。它主要的功能是用来检测网络的连通情况和分析网络速度。该程序发送一份 I C M P回显请求报文给主机,并等待返回 I C M P(internet Control Message Protocol)回显应答。可根据返回的信息来决定:1. 远程设备是否可用 2. 与远程主机通信的来回旅程(round-trip)的延迟(delay
4、) 3. 包(packet)的丢失情况类型代码描述查询差错00回显应答l3目的不可达:0网络不可达l1主机不可达l2协议不可达 *l3端口不可达l4需要进行分片但设置了不分片比特l5源站选路失败l6目的网络不认识l7目的主机不认识l8源主机被隔离(作废不用)l9目的网络被强制禁止l10目的主机被强制禁止l11由于服务类型TOS,网络不可达l12由于服务类型TOS,主机不可达l13由于过滤,通信被强制禁止l14主机越权l15优先权中止生效l40源端被关闭(基本流控制)l5重定向:l0对网络重定向l1对主机重定向l2对服务类型和网络重定向l3对服务类型和主机重定向l80请求回显l90路由器通告l1
5、00路由器请求l11超时:01传输期间生存时间为0(Traceroute,)在数据报组装期间生存时间为0ll12参数问题:01坏的I P首部(包括各种差错)缺少必需的选项ll1 31 400时间戳请求时间戳应答ll151600信息请求(作废不用)信息应答(作废不用)ll171800地址掩码请求地址掩码应答ll(上图列出了所有的I C M P报文类型)。一般来说,如果不能 P i n g到某台主机,那么就不能 Te l n e t或者F T P到那台主机。反过来,如果不能Te l n e t到某台主机,那么通常可以用 P i n g程序来确定问题出在哪里。P i n g程序还能测出到这台主机的往
6、返时间,以表明该主机离我们有“多远”。在本文中,我们将使用P i n g程序作为诊断工具来深入剖析 I C M P。P i n g还给我们提供了检测I P记录路由和时间戳选项的机会。几年前我们还可以作出这样没有限定的断言,如果不能 P i n g到某台主机,那么就不能Te l n e t或F T P到那台主机。随着I n t e r n e t安全意识的增强,出现了提供访问控制列表的路由器和防火墙,那么像这样没有限定的断言就不再成立了。一台主机的可达性可能不只取决于I P层是否可达,还取决于使用何种协议以及端口号。P i n g程序的运行结果可能显示某台主机不可达,但我们可以用Te l n e
7、 t远程登录到该台主机的2 5号端口(邮件服务器)。1.1.1 ping 是如何工作的首先,ping发送echo request packet到某个地址,然后等待应答(reply),当echo request到达目标地址以后,在一个有效的时间内(timeout之前)返回echo reply packet给源地址.这样即说明能够ping通 (中兴的 router的 timeout值默认为 2秒)。我们称发送回显请求的p i n g程序为客户,而称被p i n g的主机为服务器。大多数的T C P / I P实现都在内核中直接支持P i n g服务器这种服务器不是一个用户进程。I C M P回显请
8、求和回显应答报文如下图所示:0 7 8 15 16 31类型(0或8)代码(0)检验和标识符序号选项数据对于其他类型的I C M P查询报文,服务器必须响应标识符和序列号字段。另外,客户发送的选项数据必须回显,假设客户对这些信息都会感兴趣。示例:用来测试物理网络,最常用在所测试IP后加-t是等待用户去中断测试结果,C:WINDOWSping 172.16.2.65Pinging 172.16.2.65 with 32 bytes of data:Reply from 172.16.2.65: bytes=32 time10ms TTL=128Reply from 172.16.2.65: by
9、tes=32 time10ms TTL=128Reply from 172.16.2.65: bytes=32 time10ms TTL=128Reply from 172.16.2.65: bytes=32 timeping -a 192.168.1.21 Pinging 192.168.1.21 with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21:
10、 bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 timeping -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reques
11、t timed out. Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms, Maximum = 51ms, Average = 46m
12、s 从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中,返回了48个,其中有两个由于未知原因丢失,这48个数据包当中返回速度最快为40ms,最慢为51ms,平均速度为46ms。 4. l: size Send buffer size. 定义echo数据包大小。 在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt,也许有人会问为什么要限制到65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其他系统)就是当向对方一次发送的数据包大于或等于65532时,对
13、方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制,但这个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令 :(以下介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自负) C:ping -l 65500 -t 192.168.1.21 Pinging 192.168.1.21 with 65500 bytes of data: Reply from 192.168.1.21: bytes=65500 time10ms TTL=254 Reply from 192.168.1.21
14、: bytes=65500 time10ms TTL=254 这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包,如果你只有一台计算机也许没有什么效果,但如果有很多计算机那么就可以使对方完全瘫痪,我曾经就做过这样的试验,当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时,不到5分钟对方的网络就已经完全瘫痪,网络严重堵塞,HTTP和FTP服务完全停止,由此可见威力非同小可。 5. -f:Set Dont Fragment flag in packet. 在数据包中发送“不要分段”标志。 在一般你所发送的数据包都会通过路由分段再发送给对方,加
15、上此参数以后路由就不会再分段处理。 6. i: TTL Time To Live. 指定TTL值在对方的系统里停留的时间。 此参数同样是帮助你检查网络运转情况的。 7. v: TOS Type Of Service. 将“服务类型”字段设置为 tos 指定的值。 8. r: count Record route for count hops. 在“记录路由”字段中记录传出和返回数据包的路由。 在一般情况下你发送的数据包是通过一个个路由才到达对方的,但到底是经过了哪些路由呢?通过此参数就可以设定你想探测经过的路由的个数,不过限制在了9个,也就是说你只能跟踪到9个路由,9. s: count Ti
16、mestamp for count hops. 指定 count 指定的跃点数的时间戳。 此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个。 10. j: host-list Loose source route along host-list. 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。 11. k:host-list Strict source route along host-list. 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间
17、网关分隔(路由严格源)IP 允许的最大数量为 9。12. w: timeout Timeout in milliseconds to wait for each reply. 指定超时间隔,单位为毫秒。 此参数没有什么其他技巧。 13. target-name: 指定要 ping 的远程计算机。1.1.2.2 ping命令的其他技巧:在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在24
18、0-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL=dword:000000ff255-FF 128-8064-40 32-20。 它的作用可以从下面的示例中看出来:1. 判断对方主机操作系统ping一个主机地址后,从TTL值就可看出对方操作系统TTL=64或255 为linuxTTL=128 为windows2000/NT/XPTTL=32 为windows98TTL=255 为
19、UNIX可能有人ping过后会问我的TTL值为什么只有47呢那么这也就是ping命令的下一个用途了2. 判断路由器数量当用ping命令向一个目标主机发送ICMP数据包时,每经过一个路由器或网络设备时就会把TTL值递减1,当值为0时路由装置会把这个ICMP数据包丢掉。如果ICMP顺利到达目标主机后所返回的TTL值就会相应减少,减少的值就是路由器的数量,剩余值和以上四个中那个最接近就是所对应的操作系统了。那么那个47与64最接近,所以可以判断对方主机是linux操作系统。这条网络上的路由器设备就有17个。1.1.2.3 Ping命令的返回信息一些返回的符号的含义如下:1. 叹号(!)代表成功收到响
20、应 2. 句号(.)代表在等待应答的时候超时间 。“Request Timed Out”这个信息表示对方主机可以到达到TIME OUT,这种情况通常是为对方拒绝接收你发给它的数据包造成数据包丢失。大多数的原因可能是对方装有防火墙或已下线。3. U代表目标不可达(destination unreachable)或接收到错误的 PDU 。“Destination Net Unreachable”这个信息表示对方主机不存在或者没有跟对方建立连接。这里要说明一下“Destination Net Unreachable”和“time out”的区别,如果所经过的路由器的路由表中具有到达目标的路由,而目标
21、因为其它原因不可到达,这时候会出现“time out”,如果路由表中连到达目标的路由都没有,那就会出现“Destination Net Unreachable”。4. Q代表 source quench,说明目标地址过于繁忙 。“Source quench received”信息比较特殊,它出现的机率很少。它表示对方或中途的服务器繁忙无法回应。5. M 代表不能分片(fragment) 6. 问号(?)代表未知的包的类型 7. 符号&代表包的生存期(lifetime)超出8. “Bad IP address” 这个信息表示你可能没有连接到DNS服务器所以无法解析这个IP地址,也可能是IP地址不
22、存在。1.1.3 用Ping命令检测网络1.1.3.1 通过Ping检测网络故障的典型次序 正常情况下,当你使用Ping命令来查找问题所在或检验网络运行情况时,你需要使用许多Ping命令,如果所有都运行正确,你就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障: 1. 使用ipconfig /all观察本地网络设置是否正确,这条命令要在命令行模式下才可以使用。2. ping 127.0.0.1这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有做到这一点,就表示TCP/I
23、P的安装或运行存在某些最基本的问题。 3. ping 本机IP这个命令被送到你计算机所配置的IP地址,你的计算机始终都应该对该Ping命令作出应答,如果没有,则表示本地配置或安装存在问题。出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址。 例如:本机IP地址为:172.168.200.2。则执行命令Ping 172.168.200.2。如果网卡安装配置没有问题,则应有类似下列显示: Replay from 172.168.200.2bytes=32 time1ms TTL=128Replay from 172.16
24、8.200.2bytes=32 time1ms TTL=128Replay from 172.168.200.2bytes=32 time1ms TTL=128Replay from 172.168.200.2bytes=32 time1ms TTL=128Ping statistics for 172.168.200.2PacketsSent=4 Received=4Lost=00% lossApproximate round trip times in milli-secondsMinimum=0msMaxiumu=1msAverage=0ms如果在MS-DOS方式下执行此命令显示内容为:
25、Request timed out,则表明网卡安装或配置有问题。将网线断开再次执行此命令,如果显示正常,则说明本机使用的IP地址可能与另一台正在使用的机器IP地址重复了。如果仍然不正常,则表明本机网卡安装或配置有问题,需继续检查相关网络配置。4. ping 局域网内其他IP这个命令应该离开你的计算机,经过网卡及网络电缆到达其他计算机,再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答,那么表示子网掩码(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题。 5. ping 网关IP这个命令如果应答正确,表示局域网中的网关路由
26、器正在运行并能够作出应答。 假定网关IP为:172.168.6.1,则执行命令Ping 172.168.6.1。在MS-DOS方式下执行此命令,如果显示类似以下信息: Reply from 172.168.6.1 bytes=32 time=9ms TTL=255Reply from 172.168.6.1 bytes=32 time=9ms TTL=255Reply from 172.168.6.1 bytes=32 time=9ms TTL=255Reply from 172.168.6.1 bytes=32 time=9ms TTL=255Ping statistics for 172.
27、168.6.1PacketsSent=4Received=4Lost=00% lossApproximate round trip times in milli-secondsMinimum=1msMaximum=9msAverage=5ms则表明局域网中的网关路由器正在正常运行。反之,则说明网关有问题。6. ping 远程IP如果收到4个应答,表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)。 这一命令可以检测本机能否正常访问Internet。比如本地电信运营商的IP地址为:202.102.48.141。在MS-DOS方式下执行
28、命令:Ping 202.102.48.141,如果屏幕显示:Reply from 202.102.48.141 bytes=32 time=33ms TTL=252Reply from 202.102.48.141 bytes=32 time=21ms TTL=252Reply from 202.102.48.141 bytes=32 time=5ms TTL=252Reply from 202.102.48.141 bytes=32 time=6ms TTL=252Ping statistics for 202.102.48.141PacketsSent=4Received=4Lost=00
29、% lossApproximate round trip times in milli-secondsMinimum=5msMaximum=33msAverage=16ms则表明运行正常,能够正常接入互联网。反之,则表明主机文件(windows/host)存在问题7. ping localhostlocalhost是个作系统的网络保留名,它是127.0.0.1的别名,每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内,则表示主机文件(/Windows/host)中存在问题。 8. ping 对这个域名执行Ping命.是通过DNS服务器如果这里出现故障,则表示DNS服务器的IP地址配
30、置不正确或DNS服务器有故障(对于拨号上网用户,某些ISP已经不需要设置DNS服务器了)。顺便说一句:你也可以利用该命令实现域名对IP地址的转换功能。 如果上面所列出的所有Ping命令都能正常运行,那么你对你的计算机进行本地和远程通信的功能基本上就可以放心了。但是,这些命令的成功并不表示你所有的网络配置都没有问题,例如,某些子网掩码错误就可能无法用这些方法检测到。1.1.3.2 通过Ping检测网络连通时的常见错误当网络出现连接故障时,很多网管人员都会首先使用Ping来查找问题的根源。但是很多人只要发现Ping不通,那么就判断是网络出现了故障。这样只通过表面现象进行判断,很可能掩盖真相。那么我
31、们在使用Ping命令过程中,到底注意哪些问题呢?还是请大家跟我来吧。1. Request Timed OutPing指定的对象时,出现“Request Timed Out”提示信息的频率非常高,这说明对方无法接受发送过来的数据。当然这种情况下,很可能就是网络出现了故障,但并不能就因此而确定网络一定不通。因为它还有可能是其它原因造成的。l 主机不在线:对方关机、禁用网卡或者拨掉网线,那么无论你怎么操作,都不会有连通的信息返回的。要知道最简单的却往往是最容易被忽视的。l 防火墙拦截:当安装了防火墙之后,当防火墙工作时,一般都能自动拦截来自网络的Ping命令,从而让其失去响应。同时安装防火墙后,还会
32、造成共享文件无法访问的故障。因此在检查时应该先让对方关闭防火墙,然后再使用Ping命令来检测。l IP安全策略限制对于很多有经验的网管人员来说,他们都在服务器上添加了IP安全策略,对ICMP报文进行过滤,使Ping命令无法回应,从而返回“Request Timed Out”的错误提示。l IP不正确:IP不正确主要是IP地址设置错误或IP地址冲突,这可以利用ipconfig /all这命令来检查。在WIN2000下IP冲突的情况很少发生,因为系统会自动检测在网络中是否有相同的IP地址并提醒你是否设置正确。在NT中不但会出现“request time out”这提示而且会出现Hardware e
33、rror这提示信息比较特殊不要给它的提示所迷惑。l 网关设置错误:这个错误可能会在第5个步骤出现。网关设置错误主要是网关地址设置不正确或网关没有帮你转发数据,还有就是可能远程网关失效。这里主要是在你Ping外部网络地址时出错。错误表现为无法Ping外部主机返回信息“Request timeout”。一般来说,只有在排除上述原因之外,才能够根据“Request Timed Out”初步判断网络连接可能有问题。2. Destination Host Unreachable出现“Destination Host Unreachable”错误信息时表示对方主机不存在或者没有跟对方建立连接。看起来好像与
34、“Request Timed Out”差不多,但两者却有关本质的区别。如果Ping命令所发出的数据包经过路由器,并经路由表到达目标的路由,但是因为其它原因(例如防火墙拦截等)导致不可达,那么就是“Request Timed Out”的提示了;相反如果路由表中没有到达目标的路由信息,那么就会出现“Destination Host Unreachable”。现这种情况主要有以下一些方面的原因:如果局域网中使用DHCP分配IP时,而碰巧DHCP失效,这时使用 PING命令就会产生此错误。因为在DHCP失效时客户机无法分配到IP系统只有自设IP,它往往会设为不同子网的IP。所以会出现“destinat
35、ion host unreachable”。另外子网掩码设置错误也会出现这错误。还有一个比较特殊就是路由返回错误信息,它一般都会在“destination host unreachable”前加上IP地址说明哪个路由不能到达目标主机。这说明你的机器与外部网络连接没有问题,但与某台主机连接存在问题。一般表明这台主机的网关上没有目的网段的信息。3. Unknown host该提示表示无法识别的主机,出现这个问题之后是不是就表示目标主机一定有问题呢?当然不能!因为我们使用Ping命令去连接目标主机名称时,主要使用DNS来负责将名称转换成IP地址。例如“Ping ”,我们看到的返回信息是“Reply
36、from 220.181.28.42: bytes=32 time=59ms TTL=54”,而不是“Reply from : bytes=32 time=59ms TTL=54”,这就说明我们IP设置中的DNS服务器将成功转换为220.181.28.42。因此当我们看到这样的提示时,就应该检查DNS设置是否正确、DNS工作是否正常。4. 举例:l 例一:我管理的网络有19台机,由一台100M集线器连接服务器,使用DHCP动态分配IP地址。有一次有位同事匆忙地告诉我“我的OUTLOOK打不开了”,我到他机器检查,首先我检查了本地网络设置,我用ipconfig /all看IP分配情况一切正常。接
37、着我就开始PING网络中的其中一台机器,第一次PING结果很正常,但OUTLOOK还是无法使用其它网络软件和Copy网络文件都可以使用但网络速度很慢,第二次PING我用了一个参数-t(-t可以不中断地PING对方,当时我想PING一次可能发现不了问题)发现有time=30ms和request time out,从服务器PING这台机就更有趣,request time out比正常数据还多,在局域中竟然有time=30ms和request time out太不正常了。开始我认为是网卡的问题但换网卡后故障依旧,重做网线还是不能解决问题,这故障真有趣!最后我没办法了把它插在集线器端口上的另一端的网线
38、换到另一个端口,哈!故障解决了。原来是集线器端口坏了。l 例二大家在用Ping时,主要是用来探测网络的连通性,还有一个比较好用的命令是nslookup,在命令行模式下使用,如果出现的是下面的结果:就表明从主机到DNS之间没有问题,上网应该是可以了。但如果出现的是下面这样的结果:既DNS解析超时,多半说明从主机到DNS之间有问题,再参考同一局域网内其它主机情况用Ping或查看配置来进一步判断问题所在。通过这样的分段排除故障的方法会节省排错时间。1.1.3.3 如何用Ping命令来判断一条链路的速度Ping这个命令除了可以检查网络的连通和检测故障以外,还有一个比较有趣的用途,那就是可以利用它的一些返回数据,来估算你跟某台主机之间的速度是多少字节每秒。我们先来看看它有那些返回数据。Pinging 202.105.136.105 with 32 bytes of data:Reply from 202.105.136.105: bytes=32 time=590ms TTL=114Reply from 202.105.136.105: bytes=32 time=590ms TTL=114Reply from 202.105.136.105: bytes=32 time=590ms TTL=114Reply from 202.105.136.105: bytes=3
