本文將描述一種對TCP/IP網(wǎng)絡(luò)進行故障診斷的結(jié)構(gòu)化方法。此篇可以作為引子，后面的文章我們將討論本文所涉及到的一些關(guān)鍵問題?

那么，在你聽到“TCP/IP網(wǎng)絡(luò)故障診斷”這個詞的時候，你想到了什么?許多人可能會看到一張流程圖?；蛘哒f想到了操作步驟有幾步的問題。還有許多人可能會感到茫然，無從下手。

TCP/IP的故障診斷似乎看起來簡單，畢竟，這僅僅是一個擁有四層協(xié)議的體系結(jié)構(gòu)，每一層有多種協(xié)議。不過，表面的簡單并不意味著故障能夠輕松解決。下面我們先看看：

傳統(tǒng)的故障診斷方法

幾年前，在筆者第一次學(xué)習(xí)TCP/IP的網(wǎng)絡(luò)組建時，理解了幾個簡單的故障診斷的流程，這個流程大體涉及到如下的幾個方面：

鍵入ipconfig，用以檢查IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)是否正確。

1. 運行ping 127.0.0.1,查看網(wǎng)絡(luò)適配器是否正在工作。

2. 運行ping 探測本機的IP地址是否正確或合法。

3. 試著ping同一子網(wǎng)內(nèi)的任何一臺計算機的IP地址，看是否ping通。

4. 試著ping一下默認網(wǎng)關(guān)(即路由器上將你的子網(wǎng)連接到網(wǎng)絡(luò)其余部分的接口)，看是否ping通。

5. 試著ping不同子網(wǎng)的一臺計算機的IP地址

6. 試著ping外網(wǎng)的一臺計算機的IP地址。

筆者覺得這種方法有點兒僵化，因為我們幾乎可以不用動腦子就可以遵循這些步驟。而且還有點兒效率低下，因為從其過程來看，它先假定你自己的計算機最可能有問題，而且問題極可能離你很近(你的網(wǎng)卡、計算機的IP地址配置、本地子網(wǎng))，然后才是遠程計算機的問題。在互聯(lián)網(wǎng)還沒有真正快速發(fā)展之前，這個方法也許不錯,也就是說，在DNS成為被廣泛采用的域名解析系統(tǒng)之前，在防火墻和VPN等成為多數(shù)企業(yè)的網(wǎng)絡(luò)部分之前，這個方案也許不錯。

筆者的意思是：如果你的一個用戶說：“我現(xiàn)在不能連接到服務(wù)器上?！蹦敲磫栴}會出在哪里呢?我們有必要將用戶的這句話分解為幾部分，以便于進一步理解問題。

第一部分-“我不能…”：

那么，我們應(yīng)該問一下，是否只有一個用戶報告網(wǎng)絡(luò)問題呢?如果還有其他人，他們出現(xiàn)的問題類似嗎?如果是這樣的，那么問題很清除了，你不需要采用上述的僵化方法，直接開始對用戶的計算機開始故障診斷即可以。否則，問題極有可能出現(xiàn)在其它地方，這可能意味著你的DNS服務(wù)器離線了或你的DNS供應(yīng)商服務(wù)出現(xiàn)了問題?；蛘邇?nèi)部網(wǎng)絡(luò)上的某個路由器出了問題，出現(xiàn)丟包現(xiàn)象?；蛟S你的用戶正試圖連接的服務(wù)器已經(jīng)崩潰。

或許你應(yīng)該停下來，想一想這些出現(xiàn)故障的用戶可能存在的共同問題。例如，這些機器都位于相同的子網(wǎng)上嗎?如果是這樣的話，那么有可能那個子網(wǎng)的默認網(wǎng)關(guān)配置錯誤或者路由器癱瘓?；蛟S是某個工作人員將連接子網(wǎng)的工作組交換機到骨干交換機的網(wǎng)絡(luò)電纜切斷了?；蛟S是某個惡意用戶將一個欺詐性的DHCP服務(wù)器安裝到那個子網(wǎng)上了，這個惡意用戶正竊取機器的IP地址，而將一些不可路由的地址分配給那些計算機，從而形成拒絕服務(wù)的故障。

當(dāng)然，如果只是一個用戶存在著這種問題，那么就需要我們問這樣一些問題，如“計算機開機了嗎?網(wǎng)絡(luò)電纜安全地安裝到了計算機的后部了嗎?”

“…連接到…”

可以問這位用戶這樣一個問題“你所說的連接是什么意思?”這是因為“連接”是一個技術(shù)性很強的詞語，許多用戶其實并不真正理解所談?wù)摰臇|西。為什么呢?因為存在著不同種類的連接，包括MAC級的通信、TCP會話、口令驗證、訪問權(quán)限和特權(quán)、跨NAT的連接、防火墻的通過、應(yīng)用層的會話等等。作為網(wǎng)管員需要知道用戶的問題是什么。當(dāng)這些用戶說不能“連接到”服務(wù)器時，他們正在做什么?是在訪問此服務(wù)器上的一個共享嗎?在訪問時是否收到了一個“拒絕訪問”的消息呢?這些用戶是否收到一個登錄窗口，提示其輸入相關(guān)憑證呢?(如賬戶名、口令等)服務(wù)器拒絕其憑證了嗎?這些用戶在找到或使用活動目錄中的共享時發(fā)生了問題了嗎?他們發(fā)現(xiàn)問題的是一個映射驅(qū)動器嗎?他們是不是正通過瀏覽網(wǎng)上鄰居來查找服務(wù)器呢?等等。

這些用戶僅在連接某臺服務(wù)器時才出現(xiàn)故障嗎?或者，這些用戶是不是在連接到任何網(wǎng)絡(luò)節(jié)點時都出現(xiàn)故障?在這里，決定問題或故障的范圍是很重要的：連接是一個方面或多個方面呢?

“…服務(wù)器…”

你搞定了這個用戶，而且搞定了那臺服務(wù)器，也搞定了其間的網(wǎng)絡(luò)。它們?nèi)圆荒苓B接?為什么呢?需要注意的是那臺服務(wù)器到底在什么地方呢?它在用戶的子網(wǎng)上嗎?在一個相鄰的子網(wǎng)上嗎?在一個不同的部門上嗎?在一個不同的樓層上嗎?在一個不同的大樓上嗎?是哪種網(wǎng)絡(luò)將用戶與特定的服務(wù)器連接起來?是無線以太網(wǎng)嗎?是無線局域網(wǎng)嗎?是互聯(lián)網(wǎng)上的VPN通道嗎?是撥號的modem連接嗎?是線纜modem還是DSL modem?首先決定用戶和服務(wù)器之間的連接類型(有可能是幾種)，然后思考哪個地方有可能出現(xiàn)故障?有可能是CSU/DSU出了故障，可以試著給它重新加電或與應(yīng)該監(jiān)視CSU/DSU的供應(yīng)商聯(lián)系。也有可能是某人在打掃衛(wèi)生時碰到了電源開關(guān)，導(dǎo)致某個以太網(wǎng)交換機離線。如果你用的是可網(wǎng)管型交換機，也可以檢查網(wǎng)絡(luò)管理軟件的警告信息。也有可能是遠程服務(wù)器所在的辦公室發(fā)生了電源中斷?？梢栽囍娫捵稍円幌?。

用戶是僅與一臺服務(wù)器無法連接，還是無法與多臺服務(wù)器不能連接?其他人也不能連接到那些服務(wù)器上嗎?在受影響的服務(wù)器之間有什么共同的東西嗎?(問題有可能與用戶的計算機有關(guān)，更有可能與網(wǎng)絡(luò)架構(gòu)自身有關(guān))

“…現(xiàn)在”

時間因素在故障診斷中是至關(guān)重要的。應(yīng)該問一下：問題是剛剛發(fā)生嗎?上次成功連接到服務(wù)器是在什么時候?這種現(xiàn)象持續(xù)了多長時間?是連續(xù)性的還是間斷的?斷斷續(xù)續(xù)的網(wǎng)絡(luò)問題涉及到不可靠的WAN鏈接以及其它一些難于解決的問題，特別是這些問題持續(xù)很短暫時間或偶爾出現(xiàn)時更是這樣。

時間因素還有可能將問題與可能影響網(wǎng)絡(luò)的其它情況聯(lián)系起來。問題是出現(xiàn)在今天上午10點20分嗎?彼時你的網(wǎng)絡(luò)還出現(xiàn)了哪些問題?WSUS服務(wù)器上打補丁了嗎?域服務(wù)器上的預(yù)定維護實現(xiàn)了嗎?

結(jié)構(gòu)化的方法

筆者自己的TCP/IP網(wǎng)絡(luò)的結(jié)構(gòu)化故障診斷的方法由三個關(guān)鍵部分組成：

1. 決定問題的因素。也就是說要考慮如下方面：

客戶端：即出現(xiàn)問題的客戶端
　　
服務(wù)器端：客戶無法訪問的服務(wù)器、打印機或其它的網(wǎng)絡(luò)資源(如互聯(lián)網(wǎng))等。

其間的網(wǎng)絡(luò)：線纜(如果不是無線的話)、集線器、交換機、路由器、防火墻、代理服務(wù)器，以及客戶端和服務(wù)器之間的其它網(wǎng)絡(luò)架構(gòu)。
　　
環(huán)境：可能會影響你的網(wǎng)絡(luò)的外部情況，如電源的波動、建筑物的維護等等。
　　
范圍：一個或多個有關(guān)的客戶端/服務(wù)器端。
　　
期間：連續(xù)的、間斷的，還是偶爾的，何時開始等。
　　
出現(xiàn)問題的連接類型：物理層、網(wǎng)絡(luò)層、傳輸層還是應(yīng)用層?身份驗證還是訪問控制?等等。
　　
標(biāo)志性信息：客戶端機器上的出錯消息，登錄對話框等等。
　　
2. 在考慮到以上問題因素時，決定需要應(yīng)用哪些故障診斷措施，這些措施包括：

驗證有關(guān)客戶端、服務(wù)器和網(wǎng)絡(luò)架構(gòu)硬件的物理媒體。也就是說檢查電纜，確保網(wǎng)絡(luò)適配器正確安裝，并進一步查找、驗證可以顯示媒體斷開狀態(tài)的網(wǎng)絡(luò)連接。

驗證有關(guān)客戶端、服務(wù)器、網(wǎng)絡(luò)架構(gòu)硬件的TCP/IP配置。在客戶端上這意味著檢查IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、DNS設(shè)置等等。對于網(wǎng)絡(luò)架構(gòu)硬件而言，也就是指路由器上的路由表和Internet網(wǎng)關(guān)。

驗證有關(guān)客戶端和服務(wù)器端的路由選擇的連通性。也就是說要使用ping，pathping，tracert，或其它類似的工具，便于在網(wǎng)絡(luò)層上驗證端到端的TCP/IP的連接性;采用數(shù)據(jù)包嗅探以監(jiān)視傳輸層會話;使用nslookup，telnet和其它的工具來診斷包括域名解析問題、身份驗證等應(yīng)用層問題。

3.理解之、詢問之、測試之:

理解協(xié)議如何工作，數(shù)據(jù)包如何由路由表轉(zhuǎn)發(fā)，netdiag.exe等工具能夠告訴你什么是非常關(guān)鍵的。成功的TCP/IP故障診斷是建立在理解TCP/IP如何工作和有關(guān)測試工具的基礎(chǔ)之上的。如果你從來沒有努力理解網(wǎng)絡(luò)監(jiān)視器的跟蹤模式，那么你在診斷某些問題時就會遇到困難。

問一些恰當(dāng)?shù)膯栴}對于成功的故障診斷也很關(guān)鍵。要學(xué)會何時按部就班，何時以跳躍性思維直奔主題是故障診斷藝術(shù)的本質(zhì)所在，這還括充分使用你的左右腦，即要有充分的想象和縝密的思維。

最后，踏踏實實地測試，并隔離問題是很關(guān)鍵的，為此你需要故障診斷的工具箱。而且沒有什么比豐富的經(jīng)驗更能幫助你解決復(fù)雜問題了。

小結(jié)

診斷TCP/IP網(wǎng)絡(luò)的故障時可能會使人灰心喪氣，不過也充滿樂趣。在未來的文章中，我們將祥細闡述故障診斷的措施和工具，以幫助你成功地解決網(wǎng)絡(luò)中出現(xiàn)的問題。