第5章網絡層測試和故障診斷5.1網絡層測試相關知識1．邏輯地址2．IP數據報①版本②首部長度③服務類型（TypeofService）④總長度⑤標識（Identification）⑥片標志（Flags）⑦生存時間（TTL）⑧協議⑨頭檢驗和3．網段、子網和拓撲結構網段指一個計算機網絡中使用同一個物理層直接通信的那一部分。一個子網是一個廣播域，一個網段是一個沖突域。在網絡測試中，網絡拓撲結構是非常重要的。在進行網絡分析和性能評估時，需要了解網絡的拓撲連接情況，包括子網分布情況，可以加快設備部署以及減少故障排查的時間。4．ARP協議5．ICMP類

型描

述0回應（Ping應答，與類型8的Ping請求一起使用）3目標不可達4源消亡5重定向8回應請求（Ping請求，與類型0的Ping應答一起使用）9路由器公告（與類型10一起使用）10路由器請求（與類型9一起使用）11超時12參數問題13時標請求（與類型14一起使用）14時標應答（與類型13一起使用）15信息請求（與類型16一起使用）16信息應答（與類型15一起使用）17地址掩碼請求（與類型18一起使用）18地址掩碼應答（與類型17一起使用）6．路由7．DHCPDHCP流程可分為4個過程，也可速記為DORA過程，如圖5.6所示。①請求IP租約，此時客戶端發送Discovery報文。②提供IP租約，DHCP服務器收到Discovery報文后，從地址池中選擇IP地址通過Offer報文進行回應。③客戶端發送Request報文確認選擇IP租約。④DHCP服務器發送Ack報文確認IP租約。5.2網絡層故障分類

5.2.1地址分配故障配置問題可能導致的故障IP地址設置錯誤網絡層無法到達掩碼設置錯誤導致主機誤被劃入其他網段，造成路由無法訪問網關設置錯誤導致網絡不通，或者路由不可達DNS設置錯誤網絡物理連通正常，但無法獲得目標IP地址，無法組包進行通信5.2.2地址解析故障1．ARP欺騙ARP的兩種典型欺騙方式如下。①

對網關設備ARP表進行欺騙，黑客站點不斷發出錯誤的MAC地址對應報文，造成網關ARP表中記錄的都是錯誤的MAC地址，網關回應客戶端時，都被發送給錯誤的MAC地址，從而導致客戶端無法上網。②偽造網關欺騙，宣稱自己是網關，使客戶端都向其發送數據，而不是通過正常的網關或路由設備進行訪問，從而導致客戶端不能上網或達到數據監聽目的。2．廣播風暴廣播風暴是與ARP協議相關的一種網絡故障類型，當交換機存在環路時會造成ARP請求幀或ARP應答幀在網絡中重復廣播，廣播報文逐漸占滿整個帶寬，引起廣播風暴。5.2.3路由故障①性能問題。終端用戶可能會抱怨網絡很慢，沒有達到以往正常時的狀態。②連接問題。一個或多個節點反映不能連接到網絡上。③上層問題。可以連接到網絡上并訪問一些應用，但是在使用某些應用時會出現問題，如郵件、OA系統等。5.2.4性能類故障路由設備、防火墻或流控設備很容易受到網絡層站點數或會話數量的影響，導致吞吐能力下降、延時加大，最終影響上層傳輸能力。導致性能故障可能的因素包括：①網絡邏輯拓撲被改變；②流量超過日常監控基線；③網絡設備的軟件配置被改變；④網絡設備的CPU利用率過高，進程分配不合理。5.3網絡層的測試和故障診斷5.3.1故障分析和排除場景中的測試1．部署方式網絡層則偏重廣播域乃至多個廣播域內的流量分析。如果測試點位于同一交換設備上，那么比較簡單而有效的方式就是做鏡像；如果需要監控不同網絡設備上的多個信息接口，則要考慮采用TAP方式組網監控。常用TAP又分為匯聚型、鏡像型和混合型。（1）匯聚型TAP（2）鏡像型TAP（3）混合型TAP2．分析方法（1）連通性的測試和驗證一般使用Ping（包括Telnet網絡設備進行Ping測試）測試功能或設備發現掃描軟件來驗證從測試端到目標設備是否路由可達。此時，使用準確的網絡文檔或支持拓撲圖生成的網絡分析工具，可以節省大量的時間。在Ping或類似工具不能定位問題時，可以將測試節點設在路徑的某一段中，如將TAP串接在路徑中，通過協議分析軟件捕包驗證測試數據是否經過該測試節點，分段查詢問題節點位于何處。（2）異常流量分析一般分析內容如下。①IP地址流量排名，對排名在前幾位的IP地址進行分析確認，以排除異常。②IP地址會話流量排名，對排名在前幾位的IP地址會話進行分析確認，以排除異常。③IP地址流量趨勢，判斷與以往趨勢是否相符。④在線活躍IP地址數，如果超過設備的處理能力，則需要考慮進行擴容。⑤網段或VLAN流量分布，如果利用率占用很高，特別是端口流量超過60%，考慮到峰值突發的情況，那么此時端口流量已飽和，應該升級端口速率或增加網段進行分流，以保證傳輸通道能夠支持正常的流量。5.3.2監控網絡運行場景中的測試1．部署方式2．分析方法（1）OS命令測試檢查路由協議配置是否有問題①RIP路由協議的分析②OSPF路由協議的分析（2）網絡測試儀分析1）獲得地址2）設備統計3）設備分類測試儀通過主動SNMP查詢和流量監測發現交換機。采用的分析方法如下。①監測管理幀類型—Cisco發現協議（CDP）、數據鏈路層發現協議（LLDP）。②監測生成樹幀類型—IEEE802.1dBPDU生成樹。③SNMP查詢—IEEE802.1d橋MIB。④私有MIB查詢—華為、銳捷、思科交換機列表。4）診斷路由測試儀的路由分析有兩種方式。①通過SNMP讀取路由表信息②專用路徑分析功能5.3.3性能評估場景中的測試1．部署方式對網絡設備和網絡系統的二、三層流量測試及協議仿真2．分析方法分析的一般過程為：①

添加機框；②

占用端口；③

選擇向導；④

選擇參數；⑤

配置接口；⑥

配置流量；⑦

配置測試參數；⑧

配置延時參數；⑨

運行測試；⑩

查看結果；?導出報告。5.4網絡層的測試和故障診斷案例典型案例1：利用協議分析軟件分析異常數據幀采用協議分析軟件進行捕包，通過對數據的分析來判斷主機情況。捕包分兩步進行，首先在網絡正常時進行捕包，目標是建立樣本文件和基線，相當于分析時的自定義標準；然后在網絡故