Download
1 / 40
400 likes | 734 Views
網路查 修除錯 與高市任意門視訊系統. 解決學校網路連線問題. 網路斷線 連線不 上 ( 其實不是網路斷線 ) 網路很 慢 無線網路問題 郵件伺服器問題 奇怪 問題 線索愈多愈能快速找出問題點加以解決,以下各測試程序包含許多交叉測試找線索的方法. 網路運作基本架構. 1 實體層 ( 如:實際的連線或接頭 ) 2 資料鏈結層 ( 略 ) 3 網路層 (IP 位址 ) 4 傳送層 ( 電腦與電腦連線傳送資料的 port) 5 、 6 ( 略 ) 7 應用層 ( 如: IE 看不到某網頁 ) 網路 斷線 – 多發生 在 1,2,3 層
E N D
解決學校網路連線問題 • 網路斷線 • 連線不上 (其實不是網路斷線) • 網路很慢 • 無線網路問題 • 郵件伺服器問題 • 奇怪問題 線索愈多愈能快速找出問題點加以解決,以下各測試程序包含許多交叉測試找線索的方法
網路運作基本架構 • 1實體層 (如:實際的連線或接頭) • 2資料鏈結層 (略) • 3網路層 (IP位址) • 4傳送層 (電腦與電腦連線傳送資料的port) • 5、6 (略) • 7應用層 (如:IE看不到某網頁) • 網路斷線 –多發生在 1,2,3 層 • 連線不上 – 多發生在 3,4 層 • 網路很慢和奇怪問題 – 多發生在 2,7 層以及其它因素
檢查網路異常的程序–網路斷線 • 各校目前概分為有實體防火牆與防火牆代管之學校,後面我們簡稱實體校與代管校。 • 實體校與代管校之骨幹架構如下二張 • 一般校內網管被反應之情形為全校聯外不通,故先檢查程序0 • 若程序0之硬體正確則繼續判斷斷點在何處
高雄市國中小防火牆架構圖(24班↑)(2013.03) 市網中心 TANet Radius AAA IPv4 IPv6 中華電信 光電轉換器 5 5 WAN(IPv4/IPv6) 學校端防火牆 SRX-240H SRX-550 P 0/1 P 0/2 P 0/3 P 0/0 IPv4/IPv6 固定IP/DHCP PC 固定使用者之設備 Switch Printer NB AP VoIP DHCP Client 必須經由認證上網 IP-MAC Binding 共用設備 DHCP Client 必須經由認證上網 學校端
高雄市國中小防火牆架構圖(24班↓)(2013.03) 市網中心 TANet Radius AAA IPv4 IPv6 WAN(IPv4/IPv6) 中心端虛擬 防火牆(vSYS) 中華電信 光電轉換器 IPv4/IPv6 固定IP/DHCP PC 固定使用者之設備 Switch Printer NB AP VoIP DHCP Client 必須經由認證上網 IP-MAC Binding 共用設備 DHCP Client 必須經由認證上網 學校端
光電轉換盒(FOT) FOT的FX(光纖端)和TX(網路線端)各有三個燈號 正常時除兩端link燈閃爍外,其餘四個燈應恆亮 (綠燈)
程序0–檢查校內骨幹實體層 檢查實體層 • 電源線、光纖、網路線插好 • 相關設備是否正常開啟 • 觀察設備燈號 • 電源燈號 • 連線燈號 • 傳輸狀況燈號 • 其它燈號或故障、警示燈號
檢查校內骨幹實體層 - 斷點判斷 • 程序0中的光電轉換器FOT-(機率中低) • 與FOT相連的光纖線 -(機率低) • 與FOT相連的網路線 -(機率中等) • 防火牆或核心交換器上的RJ-45連接埠 -(機率中低,雷擊則高) • 中華電信(貴校的ISP電路商) -(機率高) • 資教中心的核心網路設備系列 -(機率低) ** a) b) c) d) 以燈號判斷,f) 則請聯絡中心 e) 若有電路編號請聯絡ISP,若無聯絡中心 • 在程序 A-5~10出問題應是學校骨幹斷線 請聯絡資教中心網路組
程序A – PING節點(此程序需考慮到目的IP是否會遭防火牆阻擋) • 1. ping 163.16.xxx.254 • 2. ping <A點> (代管校無) • 3. ping <D點> (代管校無) • 4. ping 163.16n.xxx.x (校內其它點) • 5. ping163.16m.yyy.y (其它高市學校) ( n,mϵ{1,2} ) • 6. ping 163.32.250.45 (資教中心伺服器) • 7. ping 140.117.11.1 (中山大學) • 8. ping 140.112.254.4 (台灣大學) • 9. ping 74.125.31.106 (GOOGLE)
程序C–判斷交換器狀態 • Switch 燈號 • 1.Link 沒亮→該port 故障、沒接線 • 2.Active 閃爍→有封包經過,偶而閃爍的綠燈或橘燈為正常 • 3.Active 恒亮或快速閃爍或異常慢閃→這個port異常 • 4. 每port 同時且快速閃爍→迴圈、broadcast風暴 • 5. 恒亮的橘燈或紅燈表示警示或故障
斷點初判 (實體校) • 執行程序A • 若斷點在程序 A-1與 A-2 • 執行程序A-4與程序C-1,C-2,判斷是否所使用的電腦至校內防火牆之連線交換器有否故障? • 若校內其它電腦的情況相同,可能問題在於校內的第三層交換器防火牆,執行程序0,確認燈號狀態後,若能依正常程序重開機(**)則重開機看是否回復,若不能正常重開,請聯絡中心協判,不得已只好 “直接斷電重開”。 (**) 正常程序關機:利用報修系統登錄關機時間請工程師預定自動關機時間,或實體防火牆上的 I/O 按鈕輕按一下,觀察它是否正常關機
斷點初判 (虛擬校) • 執行程序A • 若斷點在程序 A-1 • 執行程序C,判斷是否所使用的電腦至校內骨幹電路之連線交換器有否故障? • 觀察有否 程序C-3或C-4情況 -- 若為C-3,4情況在網路發生問題的早期應有網路愈來愈慢的現象。這情況多為校內有廣播風暴、或線路接為迴圈、或第二層病毒攻擊所致。 -- 此現象有可能導致中華電信等ISP電信商為保護第二層網路而切斷通路,可先找ISP商確認。 -- 確認ISP電路正常後,可直接接一部正常的電腦在骨幹電路的網路線上,若正常上網則確認為以上情況,若否,則必須在程序0和ISP電路上之間確認問題點。
連線不上 - 1 • 一、防火牆問題 有時連線不上不是斷線或網路路由問題,可能是防火牆擋住 (可能是對方的防火牆也可能是自己學校的防火牆也可能是第三方的防火牆要進一步判斷才能確定) 執行程序D telnet 與程序A ping 的動作可交叉測出問題 例如: 目標 163.32.250.131 • Ping 的動作成功,但 telnet 到80 port 失敗則可判定有防火牆擋住你的PC到目標伺服器的 80port。 • telnet 到 443 port 成功,但 ping 失敗則是防火牆擋住你的PC去ping 目標伺服器。
連線不上 - 2 • 二、DNS問題 - 執行程序E 例如連線不上 tw.yahoo.com 可用以下方式測試 DNS 問題 ipconfig /all 查詢目前本機DNS設定 • nslookup tw.yahoo.com (以本機設定之DNS查詢) • nslookuptw.yahoo.com 163.16.1.23 (以市網DNS查詢) • nslookup tw.yahoo.com 163.28.136.2 (以市網另一群DNS查詢) • nslookup tw.yahoo.com 168.95.1.1 (以Hinet DNS查詢) • nslookup tw.yahoo.com 8.8.8.8 (以Google DNS查詢) • nslookup tw.yahoo.com 140.117.11.1 (以中山大學DNS查詢) 綜合以上查詢結果可以判斷出 DNS 之設定是否有問題
連線不上 - 3 • 以 tracert找尋是否有過不了的路由器,以下是完整找尋完畢的範例 • 中途有不顯示的路由器不一定代表斷點所在,要等全部找尋完畢才能確認斷點 C:\Users\paar>tracert tw.yahoo.com 在上限 30 個躍點上 追蹤 tw-tw.frontpage.wg1.b.yahoo.com [203.188.197.200] 的路由: 1 1 ms <1 ms 1 ms 192.168.5.211 2 1 ms <1 ms 1 ms 163.32.119.254 3 2 ms <1 ms 2 ms 163.32.127.237 4 1 ms 3 ms 1 ms 192.83.175.94 5 1 ms 5 ms 2 ms SKC1-4935.hinet.net [203.75.135.126] 6 1 ms 2 ms 1 ms skc1-4902.hinet.net [211.22.224.74] 7 8 ms 11 ms 7 ms kh-c12r11.router.hinet.net [220.128.24.118] 8 11 ms 11 ms 7 ms 220-128-24-6.HINET-IP.hinet.net [220.128.24.6] 9 13 ms 6 ms 7 ms TYFO-3301.hinet.net [220.128.8.233] 10 7 ms 8 ms 7 ms 211-22-39-61.HINET-IP.hinet.net [211.22.39.61] 11 7 ms 7 ms 6 ms te-9-1.bas-b1.tp2.yahoo.com [203.188.192.166] 12 10 ms 7 ms 7 ms w1.www.vip.tp2.yahoo.com [203.188.197.200] 追蹤完成。
程序D–連接埠測試(第四層) 範例目標:測試 163.32.250.131 的 80 port 是否提供服務? • telnet 163.32.250.131 80 • 很快就變成全黑畫面表示連線成功 • 一直在連線中表示無法連線或如下: 常見伺服器服務之 port 號對應:http://ppt.cc/m-T_ Windows 7 請在控制台 ->程式和功能->開啟關閉 Windows 功能裡打開 telnet用戶端
程序E – 檢查DNS 以 ipconfig /all 指令秀出目前的 DNS 設定
DNS建議設定 A群 163.16.1.12 163.16.1.23 B群 163.28.136.2 163.28.136.10 163.28.136.14 建議A、B群設定各選一部
網路很慢 -1 網路很慢的因素有很多種,以下我們就常見的情形討論 若不是以下常見問題就必須如開頭所說收集多一點線索 • 一、校內封包互擾或接錯問題 觀察校內防火牆算下來第一階或第二階的 switch 交換器,若有程序C-3或C-4的結果幾乎可以確定就是問題所在,這時就必須找出校內的問題PC或接錯的線,循C-3,4閃動異常的線往下找應可找到,多半為接錯線或中毒。
網路很慢 -2 • 二、校外問題 問題因素也很多種,必須搭配多種程序來檢測問題 • 執行程序E觀察各段連線的狀況 • 搭配執行程序A-1~9並觀察回應時間 • A-1~7原則上常態上回應時間應都穩定回應在 10ms 以內,不應忽大忽小。 • A-8應穩定回應在 20ms 以內,A-9應在 40ms 以內,過高則應是那段網路擁塞。
網路很慢 -3 • 三、IPv6問題 • 若 PC 未啟用 IPv6 則排除此情形 • 執行程序G 由於 TANet 採用 V4, V6 Dual stack,曾發生因 IPv6 先作用失敗再以 IPv4 連線造成緩慢的情形,且多發生在IPv6 功能不完全之作業系統上如 win xp、win 2003 • 四、其它問題 必須收集多方線索藉以判斷,聯絡中心網路組幫忙判斷查詢
程序F – 觀察統計資料 • http://mrtg.tanet.edu.tw/ • N-cloud 資安資訊查詢
程序G – IPv6 • 類似 IPv4 • ping 2001:288:8201:1::2 • telnet 2001:288:8201:1::2 80 • nslookup –type=aaaawww.google.com 異常緩慢可辨別出問題點 • a) b) c) 各個測試也必須交叉測試收集線索藉以判斷
程序H - tracert • 以 tracert的方式尋找斷線
新一代網路架構 TAINET 固網 N-Cloud -Central Operation -Security Response -Reporting GSN GE x 7 高雄市政府 資訊中心 中山大學 HP 5120 L2 Switch 國際連線 • TP S5100 IPS • Botnet/Attack • App Control • Zero Day/Exploit HP 6604 Router Check Point SWG 12600 -Web Filter 固網 ADSL 無線網路控 制管理機制 • TP S2500 IPS • Data Protect • Zero Day/Exploit HP10508 Core Switch 社教單位 • Sophos • Anti-Virus • Malware0 中心辦公室 研習教室 10G *2 TP 2400(既有) 10G *2 中心電腦教室 NS 5400 Firewall SRX 550 Firewall 高中職 10G *6 • Cellopoint • - Mail Filter 網路服務主機群 VirtualFirewall SRX 550 Firewall 大於60班 10G *X 10G *6 Juniper NS5400 Firewall 教育行政 主機群/Radius SRX 240 Firewall 大於24班 Server Farm HP 5900 L2 Switch 1G *50 小於24班 及偏遠學校 固網 Virtual Firewall
集結全球頂尖安全技術 TAINET 固網 N-Cloud -Central Operation -Security Response -Reporting GSN GE x 7 高雄市政府 資訊中心 中山大學 HP 5120 L2 Switch 國際連線 • TP S5100 IPS • Botnet/Attack • App Control • Zero Day/Exploit HP 6604 Router Check Point SWG 12600 -Web Filter 固網 ADSL 無線網路控 制管理機制 • TP S2500 IPS • Data Protect • Zero Day/Exploit HP10508 Core Switch 社教單位 • Sophos • Anti-Virus • Malware0 中心辦公室 研習教室 10G *2 TP 2400(既有) 10G *2 中心電腦教室 NS 5400 Firewall SRX 550 Firewall 高中職 10G *6 • Cellopoint • - Mail Filter 網路服務主機群 VirtualFirewall SRX 550 Firewall 大於60班 10G *X 10G *6 Juniper NS5400 Firewall 教育行政 主機群/Radius SRX 240 Firewall 大於24班 Server Farm HP 5900 L2 Switch 1G *50 小於24班 及偏遠學校 固網 Virtual Firewall
無線網路問題 請先在可上網的有線電腦確認在資訊服務入口可登入! • 原縣學校 • 確認有問題之PC取得之IP為何,若不正確則有可能 • 無線AP之設定有誤 • 校內有使用者自接設定有誤之無線AP • 收集問題線索(錯誤的畫面、問題的特徵…等)聯絡中心協助查詢。 • 原市學校請參酌以下網站設定,仍有疑問請聯絡中心之駐點工程師(聯易科技) http://wireless.kh.edu.tw/
郵件伺服器問題 原本伺服器服務正常 • 寄信問題 • Google、Yahoo 等收不到校內伺服器的寄信 • 從校內伺服器telnet 到對方伺服器 25 port • 使用者在家使用outlook寄信 • 收信問題 • 檢查郵件伺服器A紀錄 • 檢查郵件伺服器MX紀錄
奇怪問題 例如: • 校內每部電腦各交叉測試都正常,但只有 yahoo 的 mail 連不上 • 校內每部電腦連 **.kcg.org.tw 都正常,只有連 x.kcg.org.tw 異常 • 希望開放防火牆讓校外連入校內 NAS5000 port • 公文系統很慢…. • 校內某些電腦很正常、某幾台有問題 請收集多方線索與交叉測試 聯絡中心網路組幫忙判斷查詢
附錄軟體 • tracetcp http://tracetcp.sourceforge.net/ • wireshark http://www.wireshark.org/ • winpcap http://www.winpcap.org/
Cisco Movi (已改版為 Jabber) Cisco Movi是基於TMS及VCS所演生的HD高畫質顯示的視訊會議軟體,簡易的操作及平易近人介面讓使用者完全沒有任何負擔
安裝與運行Cisco Movi 執行MoviSetup4.x.exe檔案,所有的安裝過程僅是Next.即可完成 完成後,可由開始—程式集—Cisco—Cisco TelePresenceMovi啟動
設定Cisco Movi 啟動Movi後,在輸入User Name與 Password前,請設定必要資訊 Internal VCS:留空不填 External VCS:vcs.kh.edu.tw Domain: vcs.kh.edu.tw Transport:auto
Movi使用介面說明 我的連絡人 撥號記錄 上線狀態 撥號欄位 控制台:聲音影像 設定工具
Movi連線架構1 – 注意防火牆的開啟 VCS Control之下的兩個Movi client連線方式
Movi連線架構2 – 注意防火牆的開啟 VCS Control之下的H.323與Movi client連線方式
