1、通用的故障处理过程：

    A收集症状：收集网络、用户、ES的症状
    1） 分析现存症状
    2） 判断所属
    3） 窄化范围
    4） 判定症状
    5） 记录症状

    B分离问题
    1） Bottom-Up troubleshooting
    从物理层开始向上排查，直到应用层。常用于怀疑问题发生在物理层，或在处理复杂网络问题时使用。
    2） Top-Down troubleshooting
    从应用层开始向下排查故障，用于怀疑问题发生在软件部分。
    3） Divide-and-Conquer troubleshooting
    选择OSI模型的特定层（数据链路层、网络层、传输层）开始故障处理，确定问题是在该层、还是上层或下层。适于具有丰富的经验的人员使用。
    常用traceroute命令检查下4层（从物理层到应用层）。

    C纠正问题

    ES故障处理命令
    1） ping
    连续Ping： ping –t 192.168.0.1 ；Windows系统
    ping –s 192.168.0.1 ；Unix环境
    记录路由： ping –r 192.168.0.1 ；Windows
    ping –s –nRv 192.168.0.1 ；Unix

    2） Trace Route
    Tracert 10.0.0.1 ；Windows系统
    Tracerout 10.0.0.1 ；Unix
    Ping记录路由器的出接口，而traceroute通常记录进入的接口。

    3） Arp
    显示第2层和第3层地址的映射表： Arp –a ；Windows/Unix

    4） Route
    显示路由表： route print ；windows系统
    route –n ；Unix

    5） Netstat
    显示到ES的当前连接及端口： netstat –n ；Windowx & Unix

    6） Ipconfig＆Ifconfig
    显示ES的IP配置： ipconfig /all ；windows
    ifconfig –a ；unix

    7） Nbtstat
    显示当前名称解析缓存： nbtstat –c ；
    清除当前名称解析缓存： nbtstat –r ；

第4章 协议属性

    一、OSI参考模型
    应用层
    表示层
    会话层
    传输层
    网络层
    数据链路层
    物理层

    二、全局协议分类

    1、面向连接的协议：
    windows size：在需要目标系统确认的传输的数据包数。
    队列数据传送：对进入和发送的PDU指定序号，在目的地再按序号重排数据；
    流控：确保发送的速率不超过目标接收的速率，通过为传输建立窗口尺寸实现；
    错误控制：确保接收到的数据连续并无错，如有丢失或损失的PDU，则不发送ACK包。
    面向连接的协议有：ATM、TCP、Novell SPX、Apple Talk ATP；

    2、非连接的协议
    不包括连接设置和终止，没有流控和错误控制。
    非连接的协议有：UDP、Apple Talk DDP、Novell IPX；

    三、第2层：数据链路层

    1、Ethernet/IEEE802.3

    2、Token Ring/IEEE802.5

    四、PPP

    五、SDLC

    六、Frame Relay
 
    七、ISDN

    八、第3、4层：IP路由协议
    1、IP
    2、ICMP
    3、TCP
    4、UDP

第5层 Cisco测试命令和TCP/IP连接故障处理

    一、故障处理命令

    1、show命令：
    1） 全局命令：
    show version ；显示系统硬件和软件版本、DRAM、Flash
    show startup-config ；显示写入NVRAM中的配置内容
    show running-config ；显示当前运行的配置内容
    show buffers ；详细输出buffer的名称和尺寸
    show stacks ；提供路由器进程和处理器利用率信息, 用stack decode
    show tech-support ；显示几个show命令的输出
    show access-lists ；查看访问列表配置
    show memory ；用于测试内存问题

    2） 接口相关命令
    show queueing [fair|priority|custom]
    show queue e0/1 ；查看接口上队列的设置和操作
    show interface e0/1 ；Cisco缺省的Ethernet封装方法是ARPA
    show ip interface e0/1 ；显示指定接口的TCP/IP配置信息

    3） 进程相关命令
    show processes cpu ；显示路由器CPU的使用率和当前的进程
    show processes memory ；显示路由器当前进程的内存使用情况

    4） TCP/IP协议相关命令
    Show ip access-list ；显示IP访问列表（1-199）
    Show ip arp ；显示路由器的ARP缓存（IP、MAC、封装类型、接口）
    Show ip protocols ；显示运行在路由器上的IP路由协议的信息
    Show ip route ；显示IP路由表中的信息
    Show ip traffic ；显示IP流量统计信息

    2、debug命令
    DEBUG不应在CPU使用率超过50%的路由器上运行。

    1） 限制debug输出
    在使用DEBUG获得所需数据后，要关闭Debug
    使路由器对所有消息都配置使用时间戳：
    Router#service timestamps debug datetime msec localtime
    Router#service timestamp log datetime msec localtime
    缺省，error和debug信息仅发送到console，telnet到路由器上看不到debug和log的信息。想在telnet中看到debug和log信息：
    Router#terminal monitor
    Router#terminal monitor ；关闭信息输出
    Router#undebug all ；关闭debug进程及所有相关信息的输出
    可以应用ACL到debug以限定仅输出要求的debug信息。
    如仅查看从10.0.1.1到10.1.1.1的ICMP包：
    Router(config)#access-list 101 permit icmp host 10.0.1.1 host 10.1.1.1
    Router#debug ip packet detail 101
    2） 全局debug命令：
    3） 接口debug
    4） 协议debug
    5） IP debug
    debug ip packets

    3、logging命令
    输出error和其它信息到console、terminal、路由器内部buffer或一台syslog服务器：
    Router>show logging
    Cisco路由器有8种可能的logging级：0-7
    Logging级别 名称 描述
    1 Emergencies 系统不能用的信息
    2 Alerts 直接行动
    3 Critical 紧急情形
    4 Errors 错误信息
    5 Warnings 警告信息
    6 Notifications 正常但重要的情形
    7 Informational 信息
    8 Debugging 调试
    缺省地，console、monitor、buffer的logging被设置为debugging级，而trap（syslog）服务器的logging被设置为informational。

    4、执行路由核心复制
    core dump包含一份当前系统内存中信息的精确拷贝。捕捉包含在内存中信息的方法有：
    1） 配置路由器在崩溃时执行Core Dump，存储到TFTP、FTP、RCP服务器：
    对TFTP协议，只需指定TFTP服务器IP，不需要任何附加的配置：
    Router(config)#exception dump 192.168.1.1 ；TFTP服务器的IP地址
    对FTP协议的配置：
    Router(config)#exception dump 192.168.1.1 ；FTP服务器的IP地址
    Router(config)#ip ftp username Kevin
    Router(config)#ip ftp password aloha
    Router(config)#ip ftp source-interface e0
    Router(config)#exception protocol ftp
    对RCP协议的配置：
    Router(config)#exception protocol rcp
    Router(config)#exception dump 192.168.1.1 ；RCP服务器的IP地址
    Router(config)#ip rcmd remote-username Kevin
    Router(config)#ip rcmd rcp-enable
    Router(config)#ip rcmd rsh-enable
    Router(config)#ip rcmd remote-host Kevin 192.168.1.1 kevin ；
    2） 在系统没有崩溃的情况下，执行Core Dump命令。
    Router#write core
    Core Dump仅在Cisco工程师测试和解决路由器问题时有用。

    5、ping命令
    ping用于测试整个网络可达性和连通性。可在用户EXEC模式和特权EXEC模式下使用。
    IP的ping使用ICMP协议提供连通性和可能性信息，缺省只发送5个echo信息。
    扩展Ping的选项有：源IP地址；服务类型；数据；包头选项。
    Ping的响应字符集
    字符 解释 字符 解释
    ! Received an echo-reply message Q Source quench
    . Timeout M Unable to fragment
    U/H Destination unreachable A Administratively denied
    N Network unreachable ? Unknown packet-type
    P Protocol unreachable

    6、traceroute命令
    traceroute用于显示到达目标的包路径。可在用户模式和特权模式下使用。
    Traceroute的响应：
    字符 解释 字符 解释
    Xx msec The RTT for each packet * Timeout
    H Host unreachable U Port unreachable
    N Network unreachable P Protocol unreachable
    A Administratively denied Q Source quench
    ? Unknown packet type

    二、LAN连接问题
    1、获得IP地址
    主机可以动态或静态获得IP地址。
    1） DHCP：DHCP比BootP多了地址池和租期。
    2） BootP：
    3） Helper Addresses：指定集中放置的DHCP服务器的IP地址
    Ip helperaddress ip-address ；
    No ip forward-protocol udp 137 ；
    4） 路由器上的DHCP服务：配置路由器为一台DHCP服务器
    5） DHCP和BootP故障处理
    Show dhcp server ；
    Show dhcp lease ；
    2、ARP
    ARP映射第2层MAC地址到第3层地址。
    Show arp ；显示路由器的ARP表
    Debug arp ；
    1） ARP代理：缺省Cisco路由器的ARP代理是启用的
    在下列情况下，CISCO路由器将用自身的MAC地址响应ARP请求：
    a接收到ARP的接口上的Proxy ARP是启用的；
    bARP请求的地址不在本地子网；
    c路由器的路由表中包含ARP请求地址的子网；
    3、TCP连接示例

    三、IP访问列表
    1、标准ACL：基于IP包的源IP地址允许或禁用
    2、扩展ACL：提供源地址、目标地址、端口号、会话层协议进行过滤。
    3、命名ACL：可以是标准ACL，也可以是扩展ACL。
    命名ACL与编号ACL的区别：命名ACL有一个逻辑名，可以删除命名ACL中单独一行。
    Ip access-list extended Example-Named-ACL
    Deny tcp any any eq echo
    Deny tcp any any eq 37
    Permit udp host 172.16.10.2 any eq snmp
    Permit tcp any any