網(wǎng)絡(luò)工程師都會(huì)用到Ping����,它是檢查路由問題的有效辦法。但也常聽工程師抱怨:不可能��,怎么會(huì)不通呢�����?
這樣的困惑一般發(fā)生在自認(rèn)為路由設(shè)置正確的時(shí)候���。舉幾個(gè)筆者遇到的問題���,歡迎大家補(bǔ)充。
最簡(jiǎn)單的三種情況:
1.太心急�����。即網(wǎng)線剛插到交換機(jī)上就想Ping通網(wǎng)關(guān)����,忽略了生成樹的收斂時(shí)間。當(dāng)然�����,較新的交換機(jī)都支持快速生成樹���,或者有的管理員干脆把用戶端口(access port)的生成樹協(xié)議關(guān)掉�����,問題就解決了����。
2.訪問控制��。不管中間跨越了多少跳,只要有節(jié)點(diǎn)(包括端節(jié)點(diǎn))對(duì)ICMP進(jìn)行了過濾���,Ping不通是正常的�。最常見的就是防火墻的行為����。
3.某些路由器端口是不允許用戶Ping的。
還遇到過這樣的情形����,更為隱蔽。
1.網(wǎng)絡(luò)因設(shè)備間的時(shí)延太大�����,造成ICMPecho報(bào)文無法在缺省時(shí)間(2秒)內(nèi)收到����。時(shí)延的原因有若干,比如線路(衛(wèi)星網(wǎng)時(shí)延上下星為540毫秒)��,路由器處理時(shí)延�����,或路由設(shè)計(jì)不合理造成迂回路徑。使用擴(kuò)展Ping�,增加timed out時(shí)間,可Ping通的話就屬路由時(shí)延太大問題���。
2.引入NAT的場(chǎng)合會(huì)造成單向Ping通。NAT可以起到隱蔽內(nèi)部地址的作用�����,當(dāng)由內(nèi)Ping外時(shí)��,可以Ping通是因?yàn)镹AT表的映射關(guān)系存在���,當(dāng)由外發(fā)起Ping內(nèi)網(wǎng)主機(jī)時(shí)����,就無從查找邊界路由器的NAT表項(xiàng)了����。
3.多路由負(fù)載均衡場(chǎng)合。比如Ping遠(yuǎn)端目的主機(jī)�����,成功的reply和timed out交錯(cuò)出現(xiàn),結(jié)果發(fā)現(xiàn)在網(wǎng)關(guān)路由器上存在兩條到目的網(wǎng)段的路由�����,兩條路由權(quán)重相等�����,但經(jīng)查一條路由存在問題��。
4.IP地址分配不連續(xù)�����。地址規(guī)劃出現(xiàn)問題象是在網(wǎng)絡(luò)中埋了地雷���,地址重疊或掩碼劃分不連續(xù)都可能在Ping時(shí)出現(xiàn)問題�����。比如一個(gè)極端情況����,A、B兩臺(tái)主機(jī)��,經(jīng)過多跳相連��,A能Ping通B的網(wǎng)關(guān)��,而且B的網(wǎng)關(guān)設(shè)置正確��,但A�����、B就是Ping不通��。經(jīng)查�,在B的網(wǎng)卡上還設(shè)有第二個(gè)地址����,并且這個(gè)地址與A所在的網(wǎng)段重疊。
5.指定源地址的擴(kuò)展Ping.登陸到路由器上���,Ping遠(yuǎn)程主機(jī)��,當(dāng)ICMP echorequest從串行廣域網(wǎng)接口發(fā)出去的時(shí)候����,路由器會(huì)指定某個(gè)IP地址作為源IP,這個(gè)IP地址可能不是此接口的IP或這個(gè)接口根本沒有IP地址�。而某個(gè)下游路由器可能并沒有到這個(gè)IP網(wǎng)段的路由,導(dǎo)致不能Ping通�。可以采用擴(kuò)展Ping���,指定好源IP地址�����。
當(dāng)主機(jī)網(wǎng)關(guān)和中間路由的配置認(rèn)為正確時(shí)�����,出現(xiàn)Ping問題也是很普遍的現(xiàn)象�。此時(shí)應(yīng)該忘掉"不可能"幾個(gè)字����,把Ping的擴(kuò)展參數(shù)和反饋信息、traceroute���、路由器debug����、以及端口鏡像和Sniffer等工具結(jié)合起來進(jìn)行分析。
比如�,當(dāng)A、B兩臺(tái)主機(jī)經(jīng)過多跳路由器相連時(shí)�����,二者網(wǎng)關(guān)設(shè)置正確��,在A上可以Ping通B��,但在B上不能Ping通A.可以通過在交換機(jī)做鏡像���,并用Sniffer抓包,來找出ICMP報(bào)文終止于何處��,報(bào)文內(nèi)容是什么����,就可以發(fā)現(xiàn)ICMP報(bào)文中的源IP地址并非預(yù)期的那樣,此時(shí)很容易想象出可能是路由器的NAT功能使然���,這樣就能夠逐步地發(fā)現(xiàn)一些被忽視的問題�。而Ping不通時(shí)的反饋信息是"destination_net_unreachable"還是"timedout"也是有區(qū)別的。
