宽带接入环境中问题排查的典型思路/步骤

lilf

要排查问题的前提有两个：

1、全面了解网络拓扑；

2、会使用常见的网络探测工具，ping、tracert，sniffer等抓包工具。

其中第一步是重中之重。

对于抓包，这里推荐免费的开源工具WireShark，有兴趣的，可以去这个链接下载：http://www.wireshark.org

拓扑结构：

实际上组网的结构非常复杂，几乎很难找到两个一模一样的网络拓扑结构，但它们都可以抽象为一个模型。如下：

说明：

1、由于重点考察的是宽带路由，所以局域网部分我们简化为一个（组）交换机，但实际情况下多数为多台交换机的级联或者堆叠；

2、每个交换机的端口上都会连接一个PC用户，即电脑。在排查问题时，我们一般以问题电脑为切入点来排查；如果没有明显的跟某PC有关，我们可随机选择一个，其地址为④；

3、路由器至少有两个端口跟网络相连，我们习惯上称为内网口和外网口。其内网口地址①就是局域网的网关地址；路由器的外网口地址②是由ISP分配的；③是电信的网关地址。

注意：

a、如果外网口是连接的ADSL线路，则地址②可能是动态的；

b、多数情况下，电信的宽带接入服务器BAS是属于internet的一部分，我们是不能直接看到的。

初步分析：

通常在网络出现问题的时候，我们不能断定问题点在哪里，或者说所有的设备都有出问题的可能性，包括PC、网络设备、乃至网线等，因为它们在逻辑上是一个串行结构。

我们在排查的时候，需要以Router/GW为分界，逐步缩小问题点的范围，如下：

1、PC④ping路由器内网口地址①

如果通，说明整个局域网部分基本没有问题，且路由器的内网口本身工作正常；但有些时候，需要排除ARP欺骗的可能性。

如果不通，说明局域网都是不通的，应当检查局域网交换机和网线。实际操作时，可以在PC与PC之间互ping，以协助判断问题点。

2、在前者（1、）通的情况下，可执行PC④ping路由器外网口地址②

如果通，说明路由器外网口工作正常，且路由器的路由表设置正常；

如果不通，有可能是PC的默认网关设置不正确，或者路由器的路由设置不正确，或者路由器的外网口工作有问题。

3、在前面（2、）不通的情况下，可登录到路由器上，然后ping BAS网关地址③

如果通，说明外网口和公网线路是正常的；或者ADSL拨号是正常（包括ADSL账号）的

反之则说明，公网线路不通，或者外网口有问题

4、在（1、）（2、）都通的情况下，如果还是不能访问网络，应当检查如下几个环节

路由器的NAT配置是否妥当；

路由器上是否存在ACL，限制了用户访问；

    PC的网卡设置中，DNS是否正确设置，且工作正常

lilf

对于ARP欺骗，原理可能比较复杂，但通常可以通过较简单的方法识别：

  1、PC上打开cmd窗口，执行arp /a，输出信息中如果网关IP对应的MAC地址跟路由器实际连接的端口MAC不同，则说明必然有ARP欺骗

2、网关的端口MAC可以登录到路由器上去查看，如下：

Switch#show inter vlan1
VLAN1 is up, line protocol is up
  Hardware is EtherSVI, Address is 00e0.0f8e.7025
BTW，如果是博达的路由器，其MAC地址的前三位一定是00-e0-0f。也就是说如果你使用了博达设备充当网关，但是你PC的ARP表中，网关对应的MAC前三位不是这个值，那么可以确定是ARP欺骗。同时，这个假的MAC地址就是欺骗者

处理的方法是，找到欺骗者，进行断网、杀毒、甚至重装系统处理。

注意，欺骗者有可能有多个。

上述（3、）这一步的操作，主要是为了确认外网线路是否有问题，但这一步的操作中，自己能做的比较少：

如检查一下网线连接、ADSL账号、更换一个端口等等，如果确认没有问题，只能电话联系电信/网通运营商来配合排查。

（2、）这一步的操作，主要是为了确认路由器的基本配置是否有问题，这个基本配置主要是分为两个部分，路由和NAT。

另外show ip route和show ip nat trans这两条指令可以给出当前的路由和nat详细状态，排查时也会经常用到，分别如下：

在宽带路由器的路由表中（以单线路为例），最关键的通常是那条类型为S的默认路由，只要指向的接口正确，即可

注意：

前面所讲的内容，是一个大致的排查思路，这个过程可以让你将问题缩小到某个范围或者某个设备上面；

之后你就可以针对这个设备展开深入的排查了。

有些时候，问题不一定跟路由器有关；但有时候用户会按照“经验”认为路由器出问题的可能性比较大，直接就重启设备了事；虽然有时候也能解决问题（暂时），但其实根本原因就查不到了。

这里存在一个矛盾，作为维护的角度来看，应该是保留现场排查问题为主，但最为使用的角度来看，应当尽快恢复网络为主；大家在实际工作中应当酌情处理。

有写时候网络上出现的问题不是能不能上网的问题，而是速度慢、卡之类的，我们一般可以判断为网络上的流量大。

但是大流量来自哪里？你可以使用Wireshark之类的抓包软件查看

如果流量真的很大，且来自合理的网络应用（无法屏蔽），这个时候可能会因为网络出口带宽较小、或网络设备性能较低（show cpu），那么处理方法应当是增加增加网络带宽或者是更换网络设备（如路由器）了；

如果流量真的很大，但来自一些不合理的应用，如上班是间QQ之类的，那么我想应该调用路由器的管理策略功能来加以限制了。如：ACL、GBSC等等

大家可以灵活运用。

Chaochao

Lilf  技术强帖！ UPUP！！

dragon5204

学了许多，谢谢拉，哈

tea

典型的故障排查思路，lilf上道了~

cctjack

看前先顶一个！

lcy06

thank you !!!!!!!!!!!!!!!!!!!!!

mive

[em6][em6][em6][em6]