Lesson 1:Troubleshooting IPv4
network Connectivity
排除IPv4網絡連接故障
頁 2-5
Components of troubleshooting end-to-end connectivity
故障排除終端到端到端連接的組件
When
there is no end-to-end connectivity, these are some items that you should
investigate:
當沒有端到端連接時,這些是您應該調查的一些項目:
Check the cables, because
there might be a faulty cable or interface.
檢查電纜,因為可能有電纜或接口故障。
Make
sure that devices are determining the correct path from the source to the
destination. Manipulate the routing information, if needed.
確保設備正在確定從源到目標的正確路徑。 如果需要,操作路由信息。
Verify that the default
gateway is correct.
驗證默認網關是否正確。
Verify that name resolution
settings are correct.
驗證名稱解析設置是否正確。
Verify that there are no ACLs
that are blocking traffic.
驗證沒有ACL阻止流量。
頁 2-6 – 2-8 Verification of end-to-end
終端到端到端連接的驗證
PC1 : verify connectivity and
path selection to the Server.
驗證到伺服器的連接和路徑選擇。
第一站
C:> ping 172.16.1.100C:> tracert 172.16.1.100
SW1# ping 172.16.1.100
SW1# traceroute 172.16.1.100
Traceroute可以讓你知道所經過的每一站,他的原理是發UDP,回的時候是回ICMP,利用回ICMP的訊息帶來IP地址
頁 2-9
測TCP的某一個port number(埠號),後面不帶port number預設值是23
SW1# telnet 172.16.1.100telnet到TCP port
SW1# telnet 172.16.1.100 80
使用telnet連接到TCP HTTP服務Port80測試可用性
SW1# telnet 172.16.1.100 25
使用telnet連接到TCP SMTP服務Port25測試可用性
出現:Percent connection refused by remote host
百分比通過連接遠程主機拒絕
Refused的意思目的地並不接受這個port number,目的地是沒打開的。
頁 2-10
C:> arp -a
Arp的目的是解析mac address,有動態的有靜態的SW1# show mac address-table
Switch看mac address的方法
頁2-12 Verification of Physical Connectivity issue
物理連接問題的驗證
第二站 is
there a physical connectivity issue
有沒有實際連接問題
除了看燈號有沒有問題,也可以show指令檢查
頁 2-13
Branch : verify drops and
errors on physical interface.
驗證物理介面 滴和錯誤。
Branch# show interfaces
GigabitEthernet 0/1
Displays drops and errors on
physical interface
顯示在物理介面 滴和錯誤。
另外一個檢查重點是看封包有沒有被丟掉,一般大企業使用者多大量上網下載,然後會出現一個現象,當你show
interfaces GigabitEthernet 0/1你會看到大量的drops,這個欄位不是0而是天文數字,後面還會講是input的時候變drops還是output的時候變drops。drops意思是使用者有這麼多的封包被丟掉。
Input queue:
0/75/0/0 (size/max/drops/flushes);Total
output drops:0
|
上面的意思是預設值只能裝75個封包,預設值沒改會造成大量的使用者上網的時候,好不容易連到internet的網站,回來的封包因為75太小了全部都滿出來,第76個封包都進不去而被丟掉,造成使用者會重新連線。好不容易連上又變成重新連線。
預設值太小如果一直提升頻寬反而沒有用,頻寬越大反而越糟,回來的封包都被丟掉。所以介面的input drops和output drops都把他調大。
interfaces GigabitEthernet
0/1
hdd-queue 多少in
hdd-queue 多少out
drops的值設2000最大也可以調到3萬
要清interface的指令,上面的調完一定要清空在才新的數據。
SW1# clear interface 某介面counter
沒加某介面的話全部interface的counter都清掉。
清掉後在看流量的統計。
0 input errors
重點是errors(錯誤),是不是有錯誤的封包,封包有錯誤的話先被丟掉在重送。
頁 2-14
什麼原因為造成錯誤封包
Verification of Physical
Connectivity Issue
實物連接問題驗證
1. A common
cause for performance problems in Ethernet-based networks is a duplex or speed
mismatch between two ends of a link.
在基於以太網的網路性能問題的常見原因是鏈路兩端的雙工或速度不匹配。
雙工不一致封包像吊點滴一樣慢但不會斷線,如果速度不一致就斷線
2. Duplex
configuration guidelines:
雙工配置準則:
-
Point-to-point Ethernet links
should always run in full-duplex mode.
點至點以太網鏈路應該總是在全雙工模式下運行。
-
Half-duplex(半雙工) is not
common anymore and mostly encountered if hubs are used.
大多遇到半雙工是不常見了,如果使用集線器。
-
Auto negotiation of speed and
duplex is recommended on ports connected to noncritical end points.
速度和雙工的自動協商,建議在連接到非關鍵端點port。
如果一邊全雙工一邊半雙工,會一直出現錯誤封包,只有少數一、二個過的去。
-
Manually set the speed(速度) and
duplex on links between networking devices and ports connected to critical end
points.
手動設置連接到關鍵端點的網路設備和port之間的連接速度和雙工。
要手動設置要非常的確認在用手動。一定要一致
-
Half-duplex on both ends
performs better than a duplex mismatch.
兩端半雙工的性能都比雙工不匹配還要好。
Switch和switch網路設備之間用靜態宣告,一般末端設備用negotiation(協商),用動態的方法讓他自動協商。
*預設值是動態協商。
Show interface FastEthernet 0/1就可以看他是全雙工還或半雙工和速度
頁 2-17 Identification of Current and
Desired Path
當前和期望路徑的識別
Is the current path
undesired?
是當前路徑不希望的?
預期的路線對不對
Branch : verify path
selection in the routing table.
驗證在路由表中的路徑選擇。
Branch# show ip route
Displays routing table
顯示路由表
就看路由表,路由表看我的出口介面和下站地址對不對
頁 2-18
認識各種不同的路由
1. Directly
connected:Router
attaches to this network
直接連接:路由器連接到此網路
C開頭為直接 - connected
2. Local
host routes:Local IP
address on the router interface
本地主機路由:路由器介面上的本地IP地址
L開頭為- Local,L開頭固定/32
3. Static
routing:Entered manually
by a system administrator
靜態路由:由系統管理員手動輸入
S開頭為靜態 - static
4. Dynamic
routing:Learned
by exchange of routing information
動態路由:通過路由信息交換據悉
動態路由是不同的路由協定所學來的,O - OSPF和D - EIGRP開頭的
5. Default
route:statically
or dynamically learned-used when no explicit route to network is known
預設路由:靜態或動態學習,使用時沒有網路顯式路由是已知
S* 0.0.0.0/0代表他是Default ,Default route可以是靜態宣告也可以是動態學來,比如透過OSPF學到或靜態宣告。
頁 2-20 Default Gateway issues
預設閘道問題
Is the default gateway
incorrect → 是default
gateway不正確
default gateway的檢查
Branch# show ip route
書本的範例是default gateway指錯地方
頁 2-21
如果是用末端設備PC來檢查
PC : verify default gateway
on the PC
檢驗PC上的預設閘道
C:> route print
Incorrectly set default
gateway on the host
正確設置預設閘道主機上的
頁 2-22 Name Resolution issues
名稱解析問題
名稱解析大部份都是以DMS為主(DMS為動態),還有另一種做法就是主機表,主機表就是在設備上打IP host 某某某然後配上一個IP地址,可以打多個。為名稱和地址的解析。小環境可以用這個來定死名稱和地址(靜態)。
頁 2-23
PC : enter static name
resolution mapping for the Server.
輸入該伺服器靜態域名解析的映射。
172.16.1.100 Server
PC :use name resolution
mapping with ping command.
使用名稱解析的映射用ping命令。
C:> ping Server
頁 2-25 ACL issues
最後是ACL
Investigate the ACLs applied
on the router.
調查採用的路由器的ACL。
Branch# show ip
access-lists
Extended IP access list
outbound
10 permit icmp any any (5 matches)
|
上面的例子:目前有一個規則10允許ICMP,重點是後面的括號,括號是到目前為止有多少個封包滿足了這個敘述,預設值是0就不會出現括號。
頁 2-26
PC is unable to use Telnet to
connect to the Server. Is there an ACL on the Gi 0/1?
PC無法使用Telnet連接到Server。是否有千兆以太網0/1的ACL?
Branch# show ip interface
GigabitEthernet 0/1 | include access list
Outgoing
access list is outbound
Inbound access list is not set
|
Displays placement of the ACL
on the interface
顯示介面上的ACL的位置
出口介面有套一個規則,名字叫outbound(出站)。
Correct the ACL so that the
router will permit telnet traffic.
更正ACL使路由器將允許Telnet流量。
Branch(config)# ip
access-list extended outbound
Branch(config-ext-nacl)#
permit tcp any any eq 23
現在增加一行就是允許Telnet的意思。eq 23就是Telnet的port。
剛剛只有ICMP現在增加了這一行,所以可以Telnet出去。
頁 2-27
Router permits Telnet
traffic.
路由器允許Telnet流量。
PC1 is able to use Telnet to
connect to the Server.
PC1能夠使用Telnet連接到伺服器。
Branch# show ip
access-lists
Extended IP access list
Outbound
10 permit icmp any any (5 matches)
20 permit tcp any any eq telnet (17 matches)
|
剛剛是telnet過不去,只有ICMP才過的去。但是其他的TCP port還是過不去
頁 2-28 summary
First test end-to-end
connectivity by using the ping, traceroute, or telnet commands.
首先使用ping,traceroute或telnet命令測試端到端連接。
Isolate physical connectivity
issues by examining the output of the show interface command.
通過檢查show
interface命令的輸出來隔離物理連接問題。
Make sure devices are
determining the correct path from source to the destination.
確保設備正在確定從來源到目標的正確路徑。
If there is no exact route to
the destination, verify the default gateway on the devices.
如果沒有到目的地的確切路由,請驗證設備上的預設閘道。
Adjust the name resolution
entry to represent the current scenario.
調整名稱解析條目以表示當前方案。
Adjust ACL entries to allow
end-to-end connectivity.
調整ACL條目以允許端到端連接。
Lesson 2 Troubleshooting IPv6
Network Connectivity
故障排除IPv6網路連接
頁 2-30 IPv6 Unicast Addresses
IPv6單播地址
Registry = 各地區 /23
ISP Prefix = 各國家的電信業者
/32
Site Prefix = 各企業
/48
Subnet Prefix = interface ID 64
頁 2-31
幾個特殊地址Link-Local是固定FE80開始,interface ID他會利用MAC
address自動形成。
Link-Local很重要,在V6裡面建鄰居全部都用這個地址,包括所有動態協定。
Link-Local建鄰居的好處:既然建鄰居都是直連,用彼此的Link-Local就好,
所以不同的網段的設備不知道我的地址比較安全。
Loopback : (::1)
Unspecified : (::) 為空地址比如說DHCP的廣播,一開始沒地址就放個空地址
頁 2-32
EUI-64 interface ID assignment → EUI-64
interface ID分配
自動形成的interface
ID叫EUI-64。
interface ID的做法是MAC地址6個Bits,這6個Bits分成前3個Bits後3個Bits,中間插入FF FE 、2個Bits固定是長這個樣子,共8個Bits、64Bit。然後在把第7個Bit設為1,整個過程是自動化,這整個過程稱為EUI-64。
要讓他自動形成interface
ID就下EUI-64這個指令
每個介面都有Link-Local都是透過EUI-64 interface ID分配
頁 2-33
IPv6的Troubleshooting跟IPv4是一樣的
頁 2-35 Verification of end-to-end
IPv6 Connectivity
驗證端到端IPv6連接
PC1 : Verify connectivity and
path selection to the Server.
驗證連接和路徑選擇的伺服器。
Branch : Verify connectivity
and path selection to the Server.
驗證到伺服器的連接和路徑選擇。
C:> ping
2001:DB8:172:16::100
The ping utility on the PC
can be used to test IPv6 connectivity.
在PC上的ping實用程序可以用來測試IPv6連接。
C:> tracert
2001:DB8:172:16::100
The traceroute utility on a
PC allows observation of the IPv6 path.
在PC上的traceroute工具允許IPv6的路徑的觀察。
當你ping不通可以traceroute,traceroute可以知道他走到哪裡才不通,通常ping都會搭配traceroute。
頁 2-36
Branch# ping
2001:DB8:172:16::100
Branch# traceroute
2001:DB8:172:16::100
頁 2-37
The telnet command can be
used to test transport layer connectivity for any TCP port over IPv6
telnet命令可用於測試傳輸層連接的通過IPv6的TCP port。
C:> telnet
2001:DB8:172:16::100
Use Telnet to connect to the
standard Telnet TCP port from a PC
使用Telnet從PC連接到標準Telnet
TCPPort
C:> telnet
2001:DB8:172:16::100 80
Use Telnet to connect to TCP
port 80. Which tests availability of the HTTP service.
使用Telnet連接到TCPPort80,它測試HTTP服務的可用性。
C:> netsh interface ipv6
show neighbor
*Neighbor
discovery table on a PC
發現在PC上的鄰居表
IPv6特有的就是可以看鄰居表,IPv6是沒有ARP協定,代替ARP的是Neighbor discovery。在同網段裡面鄰居的Link Local都會學到,用的就是Neighbor discovery。
Neighbor discovery table 和ARP table很像,所以IPv6不用ARP協定。
頁 2-38
Branch# show ipv6 neighbors
*Neighbor
discovery table on a router
發現在Branch上的鄰居表
頁 2-40 identification of Current and
Desired IPv6 Path
標識當前和期望的IPv6路徑
Branch : verify that the
current IPv6 path matches the desired path to the Server.
驗證當前的IPv6路徑Server所需的路徑相匹配。
Branch# show ipv6 route
Verifies path selection on
the Branch router
驗證Branch
router上的路徑選擇
直接的路由就是網段,Local路由就是固定 /128,IPv4的是 /32, : : / 0就是靜態的default router。
頁 2-41
PC1 : verify that IPv6
default gateway is set.
驗證IPv6的default
gateway設置。
C:> ipconfig
頁 2-42 Name Resolution issues in
IPv6
IPv6中的名稱解析問題
PC1 : enter IPv6 static name
resolution mapping for the Server.
輸入該伺服器的IPv6靜態域名解析的映射。
2001:DB8:AC10:100::64 Server6
Enter name to IPv6 mapping in
the host file on the
PC.
在PC上的主機文件名輸入到IPv6的映射。
頁 2-43
PC1 : use name resolution
mapping with ping command.
使用名稱解析的映射用ping命令
C:> ping Server6
設定好主機表之後就可以ping名字
頁 2-44 ACL issues in IPv6
IPv6中的ACL問題
telnet to Server is not
working-investigate ACLs applied on the router.
遠程登錄到伺服器不工作,調查採用的路由器上的ACL。
Branch# show ipv6 access-list
IPv6的ACL全部都是命名的,沒有號碼型的只有名稱型的,名稱型的可以隨時新增移除某個敘述
PC1 : PC is not able to
telnet to the Server. Is there an ACL on the Gi 0/1?
PC1:PC是不能夠遠程連接到伺服器。有沒有對GI0/1的ACL?
Branch# show ipv6 interface
GigabitEthernet0/1 | include access list
Outbound access list Outbound
|
頁 2-45
PC1 : correct the ACL so that
the router will permit Telnet traffic.
修正ACL使路由器將允許Telnet流量。
Branch(config)# ipv6
access-list extended Outbound
Branch(config-ext-nacl)#
permit tcp any any eq 23
Adds an ACL entry to allow
Telnet
添加ACL條目,允許遠程登錄
PC1 : PC1 is able to use
Telnet to connect to the Server.
PC1能夠使用Telnet連接到伺服器。
Branch : Rorter permits
Telnet traffic.
Rorter允許Telnet流量。
Branch# show ipv6
access-list
IPv6 access list outbound
Permit tcp any any eq telnet (7 matches)
sequence 20
|
Summary 概要
For troubleshooting
end-to-end IPv6 connectivity, you can use the same structured approach as for
IPv4
為了解決端到端IPv6連接問題,您可以使用與IPv4相同的結構化方法
Use the ping, traceroute, and
telnet utilities to verify end-to-end IPv6 connectivity.
使用ping,traceroute和telnet實用程序來驗證端到端IPv6連接。
Use the show IPv6 route
command to verify the current IPv6 path on a router.
使用show IPv6
route命令驗證路由器上的當前IPv6路徑。
The IPv6 gateway on a PC
should be set using stateless autoconfiguration or manually.
PC上的IPv6閘道應使用無狀態自動配置或手動設置。
Each host should have a DNS
server that is configured. The server can be accessed using either IPv4 or
IPv6.
每個主機都應配置一個DNS伺服器。 可以使用IPv4或IPv6訪問伺服器。
Use the show ipv6 access-list
and show ipv6 interfaces commands to verify whether there are any IPv6 ACLs
that are configured to deny traffic.
使用show ipv6 access-list和show ipv6 interfaces命令來驗證是否存在配置為拒絕流量的任何IPv6 ACL。