网络故障与网络安全异常诊断及数据恢复高级培训

网络故障与网络安全诊断即数据恢复高级培训网络安全培训系列第一天网络故障诊断原理与技术网络异常状态诊断第二天病毒木马造成的异常诊断网络安全架构设计第三天网上银行防窃密技术故障后的数据恢复技术课程介绍网络安全培训系列网络故障诊断原理与技术网络安全培训系列学习目标描述故障排除的基本方法和步骤掌握故障排除常用工具软件的使用分析处理基本的网络故障问题网络安全培训系列课程内容故障排除综述网络产品简介常用故障诊断工具简介故障排除常用方法对网管人员的要求故障排除资源网络安全培训系列6对网络管理人员的要求目前互联网络技术、拓扑和应用的复杂性决定了网络管理人员必须：确保网络尽量稳定运行；掌握故障排除方法；熟悉各种协议可能故障点，迅速定位排除故障;网络安全培训系列7网络故障一般分类连通性问题硬件、媒介、电源故障；配置错误；设备兼容性问题。性能问题网络拥塞；到目的地不是最佳路由；供电不足；路由环路；网络不稳定。网络安全培训系列8网络故障排除基本步骤故障现象观察故障相关信息收集经验判断和理论分析各种可能原因列表对每一原因实施排错方案故障排除？恢复实施方案前的网络状态故障排除过程文档化循环1循环2NY网络安全培训系列9案例：广播流量引起的FTP业务问题10.11.56.0为一个用户网段；10.11.56.118为一个日志服务器；10.15.0.0是一个集中了很多应用服务器的网段。用户反映：日志服务器与10.15.0.0/16网段的备份服务器间备份发生问题！日志服务器网络安全培训系列101.故障现象描述要想对网络故障做出准确的分析，首先应该了解故障表现出来的各种现象“日志服务器与备份服务器间备份发生问题。”这是一个不完整不清晰的故障现象描述。因为这个描述没有讲述清楚下列问题：这个问题是连续出现，还是间断出现的？是完全不能备份，还是备份的速度慢（即性能下降）？哪个或哪些局域网服务器受到影响，地址是什么？正确的故障现象描述是：在网络的高峰期，日志服务器10.11.56.11到集中备份服务器10.15.254.253之间进行备份时，FTP传输速度很慢，大约是0.6Mbps。网络安全培训系列11案例：广播流量引起的FTP业务问题故障相关信息收集：信息收集途径•向受影响的用户、网络人员或其他关键人员提出问题；•根据故障描述性质，使用各种工具搜集情况，如网络管理系统、协议分析仪、相关display和debug命令等；•测试性能与网络基线进行比较。收集到以下信息•最近10.11.56.0网段的客户机不断在增加；•129.9.0.0网段的机器与备份服务器间进行FTP传输时速度正常为7Mbps，与日志服务器间进行FTP传输时速度慢，只有0.6Mbps；•在非高峰期日志服务器和备份服务器间FTP传输速度正常，大约为6Mbps。网络安全培训系列12案例：广播流量引起的FTP业务问题经验判断和理论分析各种可能原因列表日志服务器A的性能问题；10.11.56.0网络的网关性能问题；10.11.56.0网络本身的性能问题；网云性能问题。网络安全培训系列133.经验判断和理论分析利用前两个步骤收集到的数据，并根据自己以往的故障处理经验和所掌握的的知识，确定一个排错范围。通过范围的划分，就只需注意某一故障或与故障情况相关的那一部分产品、介质和主机。如上述案例，我们现在能够确定是一个网络性能下降问题。那么，是网段10.11.56.0的性能问题？是中间网络的性能问题？还是10.15.0.0网段的性能问题呢？根据129.9.0.0网段的机器与备份服务器间进行FTP传输时速度正常为7Mbps这一事实，我们可以排除掉10.15.0.0网段的性能问题。网络安全培训系列144.各种可能原因列表该步骤列出根据经验判断和理论分析后总结的各种可能原因如上述案例，可能原因如下：网段10.11.56.0的性能问题，其原因可能为：•日志服务器A的性能问题•10.11.56.0网络的网关性能问题•10.11.56.0网络本身的性能问题中间网络性能问题，主要是到网络10.15.0.0的路由不是最佳路由网络安全培训系列157.循环进行故障排查过程可能原因1：网络10.11.56.0到网络10.15.0.0的路由不是最佳路由。制定的方案：在10.11.56.0网段的网关上使用“tracert10.15.245.253”命令，发现探测报文返回时长仅为10ms，表明该可能原因并不是造成故障的原因。我们进入循环排错过程。网络安全培训系列167.循环进行故障排查过程可能原因2：日志服务器A的性能问题。制定的方案：测试同一网段的主机C和日志服务器间的FTP传输速度，是6Mbps，正常。可见问题与服务器A无关。网络安全培训系列177.循环进行故障排查过程可能原因3：10.11.56.0网络的网关性能问题。制定的方案：测试主机C和备份服务器B间FTP传输速度是7Mbps，正常。排除了网关因素，因为B、C在不同网段上而速度正常。网络安全培训系列187.循环进行故障排查过程可能原因4：10.11.56.0网络本身的性能问题。制定的方案：在网段10.11.56.0的以太网交换机上使用命令“displaymac”，输出如下：PortRcv-UnicastRcv-MulticastRcv-Broadcast----------------------------------------------------------------6/321031781208665PortXmit-UnicastXmit-MulticastXmit-Broadcast----------------------------------------------------------------6/3266679872866522474038(输出的广播：输出的单播比例为1：3，太大了。)PortRcv-OctetXmit-Octet---------------------------------------------------------------6/32140948293581516443041在网段10.15.0.0上的以太网交换机上使用命令“showmac”输出如下：PortRcv-UnicastRcv-MulticastRcv-Broadcast-------------------------------------------------------------6/36557802870285PortXmit-UnicastXmit-MulticastXmit-Broadcast--------------------------------------------------------------6/3627879749190257119430（广播：单播比例＝1：270，属于正常。）PortRcv-OctetXmit-Octet---------------------------------------------------------------6/36671725870814998816809网络安全培训系列197.循环进行故障排查过程由此得知，网段10.11.56.0上广播包和单播包比例为1:3，确实太大了。再次询问用户该网段主要运行的业务是什么，而得出了故障最终原因如下：10.11.56.0是普通用户网段，由于业务原因每个用户需要发送大量广播包和多播包随着近期越来越多的用户接入该网络，在这个网段上的服务器需要花费更多的资源来处理越来越多的广播和多播包，因此其服务的传输速度自然减慢。这是一个网络布局不恰当的问题，需要重新安排服务器的位置，将服务器移动10.15.0.0网段后，故障解决。网络安全培训系列208.故障处理过程文档化当最终排除了网络故障后，流程的最后一步就是对所做的工作进行文字记录。文档记录主要包括以下几个方面：故障现象描述及收集的相关信息网络拓扑图绘制网络中使用的设备清单和介质清单网络中使用的协议清单和应用清单故障发生的可能原因对每一可能原因制定的方案和实施结果本次排错的心得体会其他：如排错中使用的参考资料列表等网络安全培训系列21课程内容故障排除综述常用故障诊断工具简介故障排除常用方法对网管人员的要求故障排除资源网络安全培训系列22常用故障诊断命令简介网络设备故障诊断主要有以下命令：pingtracertDisplaydebug网络安全培训系列23Ping命令Ping命令简介VRP平台的ping命令Windows平台的ping命令案例：使用大包ping对端进行MTU不一致的故障排除e0:3.3.3.3/8s0:1.1.1.1/8s0:1.1.1.2/8e0:2.2.2.2/8RouterARouterB网络安全培训系列24补充：VRP平台的ping命令在系列路由器上，ping命令的格式如下：ping[ip][-ccount][-ttimeout][-spacketsize]ip-address-cping报文的个数，缺省值为5；-t设置ping报文的超时时间，单位为毫秒，缺省值为2000；-s设置ping报文的大小，以字节为单位，缺省值为56。例如，向主机10.15.50.1发出2个8100字节的ping报文#ping-c2-s810010.15.50.1PING10.15.50.1:8100databytes,pressCTRL_CtobreakReplyfrom10.15.50.1:bytes=8100Sequence=0ttl=123time=538msReplyfrom10.15.50.1:bytes=8100Sequence=1ttl=123time=730ms---10.15.50.1pingstatistics---2packetstransmitted网络安全培训系列25补充：Windows平台的ping命令在PC机上或WindwosNT为平台的服务器上，ping命令的格式如下：ping[-ncount][-t][-lsize]ip-address-nping报文的个数；-t持续地ping直到人为地中断-l设置ping报文所携带的数据部分的字节数，设置范围从0至65500例：向主机10.15.50.1发出2个数据部分大小为3000Bytes的ping报文C:\ping-l3000-n210.15.50.1Pinging10.15.50.1with3000bytesofdataReplyfrom10.15.50.1:bytes=3000time=321msTTL=123Replyfrom10.15.50.1:bytes=3000time=297msTTL=123Pingstatisticsfor10.15.50.1:Packets:Sent=2,Received=2,Lost=0(0%loss)网络安全培训系列26Tracert命令Tracert命令简介VRP平台的tracert命令Windows平台的tracert命令案例：使用tracert命令定位不当的网络配置点网络安全培训系列27故障排除常用display命令dispalyversiondispalycurrent-configdispalyinterface网络安全培训系列28debugdebug命令概述获得路由器中交换的报文和帧的细节信息debug配置debug命令使用注意事项不使用debug命令监控正常的网络运行在网络使用的低峰期使用不要轻易使用该debug命令不要轻易使用类似debugall之类的命令使用debug命令后，应立即以“undodebugxx”命令终止debug命令的执行。dispaly和debug命令配合使用网络安全培训系列29课程内容故障排除综述网络产品简介常用故障诊断工具简介故障排除常用方法对网管人员的要求故障