【正文】 網(wǎng)絡連通。 先檢查這些被 Ping的電腦是否安裝有防火墻。三層交換機可以設置 VLAN（虛擬局域網(wǎng)），不同 VLAN內的工作站在沒設置路由的情況下無法 Ping通，因此要修改 VLAN的設置，使它們在一個 VLAN中，或設置路由使 VLAN之間可以通訊。 它電腦通訊這是典型的交換機死機現(xiàn)象，可以通過重新啟動交換機的方法解決。如果重新啟動后，故障依舊，則檢查一下與交換機連接的所有電腦，看逐個斷開連接的每臺電腦的情況，慢慢定位到某個故障電腦，會發(fā)現(xiàn)多半是某臺電腦上的網(wǎng)卡故障導致的。 ，最后導致整臺交換機或整個堆疊都慢下來。通過控制臺檢查交換機的狀態(tài)，發(fā)現(xiàn)交換機的緩沖池增長得非?？欤_到了 90%或更多。 首先應該使用其它電腦更換這個端口上的原來的連接，看是否由這個端口連接的電腦的網(wǎng)絡故障導致，也可以重新設置出錯的端口并重新啟動交換機。也有可能是這個端口損壞了。 路由器 所謂“路由”，是指把數(shù)據(jù)從一個地方傳送到另一個地方的行為和動作，而路由器，正是執(zhí)行這種行為動作的機器，它的英文名稱為 Router。是使用一種或者更多度量因素的網(wǎng)絡層設備，它決定網(wǎng)絡通信能夠通過的最佳路徑。圖 68所示的是一臺 TPLink寬帶路由器。 路由器是互聯(lián)網(wǎng)絡中必不可少的網(wǎng)絡設備之一，是一種連接多個網(wǎng)絡或網(wǎng)段的網(wǎng)絡設備，它能將不同網(wǎng)絡或網(wǎng)段之間的數(shù)據(jù)信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數(shù)據(jù)，從而構成一個更大的網(wǎng)絡。 路由器有兩大典型功能，即數(shù)據(jù)通道功能和控制功能。數(shù)據(jù)通道功能包括轉發(fā)決定、背板轉發(fā)以及輸出鏈路調度等，一般由特定的硬件來完成；控制功能一般用軟件來實現(xiàn)，包括與相鄰路由器之間的信息交換、系統(tǒng)配置、系統(tǒng)管理等。 圖 68 TPLink路由器 路由器主要有以下幾種功能： 路由器支持各種局域崗和廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡互相通信。 提供包括分組過濾、分組轉發(fā)、優(yōu)先級、復用、加密、壓縮和防火墻等功能。 路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。 路由器是一種負責尋徑的網(wǎng)絡設備，它在互連網(wǎng)絡中從多條路徑中尋找通訊量最少的一條網(wǎng)絡路徑提供給用戶通信。路由器用于連接多個邏輯上分開的網(wǎng)絡。對用戶提供最佳的通信路徑，它利用路由表為數(shù)據(jù)傳輸選擇路徑，路由表包含網(wǎng)絡地址以及各地址之間距離的清單，并利用路由表查找數(shù)據(jù)包從當前位置到目的地址的正確路徑。 路由器使用最少時間算法或最優(yōu)路徑算法來調整信息傳遞的路徑，如果某一網(wǎng)絡路徑發(fā)生故障或堵塞，路由器可選擇另一條路徑，以保證信息的正常傳輸。還可進行數(shù)據(jù)格式的轉換，成為不同協(xié)議之間網(wǎng)絡互連的必要設備。 路由器使用尋徑協(xié)議來獲得網(wǎng)絡信息，采用基于“尋徑矩陣”的尋徑算法和準則來選擇最優(yōu)路徑。按照 OSI參考模型，路由器是一個網(wǎng)絡層系統(tǒng)。路由器分為單協(xié)議路由器和多協(xié)議路由器。 為了完成“路由”的工作，在路由器中保存著各種傳輸路徑的相關數(shù)據(jù)－－路由表（ Routing Table），供路由選擇時使用。路由表中保存著子網(wǎng)的標志信息、網(wǎng)上路由器的個數(shù)和下一個路由器的名字等內容。路由表可以是由系統(tǒng)管理員固定設置好的，也可以由系統(tǒng)動態(tài)修改，可以由路由器自動調整，也可以由主機控制。在路由器中涉及到兩個有關地址的名字概念，那就是：靜態(tài)路由表和動態(tài)路由表。由系統(tǒng)管理員事先設置好固定的路由表稱之為靜態(tài)（ static）路由表，一般是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡的配置情況預先設定的，它不會隨未來網(wǎng)絡結構的改變而改變。動態(tài)（ Dynamic）路由表是路由器根據(jù)網(wǎng)絡系統(tǒng)的運行情況而自動調整的路由表。路由器根據(jù)路由選擇協(xié)議（ Routing Protocol）提供的功能，自動學習和記憶網(wǎng)絡運行情況，在需要時自動計算數(shù)據(jù)傳輸?shù)淖罴崖窂健? 路由器與交換機的區(qū)別 總的來說，路由器與交換機的主要區(qū)別體現(xiàn)在以下幾個方面： 1．工作層次不同 最初的的交換機是工作在 OSI／ RM開放體系結構的數(shù)據(jù)鏈路層，也就是第二層，而路由器一開始就設計工作在 OSI模型的網(wǎng)絡層。由于交換機工作在OSI的第二層（數(shù)據(jù)鏈路層），所以它的工作原理比較簡單，而路由器工作在 OSI的第三層（網(wǎng)絡層），可以得到更多的協(xié)議信息，路由器可以做出更加智能的轉發(fā)決策。 2．數(shù)據(jù)轉發(fā)所依據(jù)的對象不同 交換機是利用物理地址或者說 MAC地址來確定轉發(fā)數(shù)據(jù)的目的地址。而路由器則是利用不同網(wǎng)絡的 ID號（即 IP地址）來確定數(shù)據(jù)轉發(fā)的地址。 IP地址是在軟件中實現(xiàn)的，描述的是設備所在的網(wǎng)絡，有時這些第三層的地址也稱為協(xié)議地址或者網(wǎng)絡地址。 MAC地址通常是硬件自帶的，由網(wǎng)卡生產(chǎn)商來分配的，而且已經(jīng)固化到了網(wǎng)卡中去，一般來說是不可更改的。而IP地址則通常由網(wǎng)絡管理員或系統(tǒng)自動分配。 3．傳統(tǒng)的交換機只能分割沖突域，不能分割廣播域；而路由器可以分割廣播域 由交換機連接的網(wǎng)段仍屬于同一個廣播域，廣播數(shù)據(jù)包會在交換機連接的所有網(wǎng)段上傳播，在某些情況下會導致通信擁擠和安全漏洞。連接到路由器上的網(wǎng)段會被分配成不同的廣播域，廣播數(shù)據(jù)不會穿過路由器。雖然第三層以上交換機具有 VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。 現(xiàn)在有些工作在第三層（網(wǎng)絡層）的交換機，也能實現(xiàn)路由器的功能。局域網(wǎng)里已普遍使用交換機，代替以前的路由器。局域網(wǎng)與廣域網(wǎng)的互聯(lián)才使用路由器。 4．路由器提供了防火墻的服務 路由器僅僅轉發(fā)特定地址的數(shù)據(jù)包，不傳送不支持路由協(xié)議的數(shù)據(jù)包傳送和未知目標網(wǎng)絡數(shù)據(jù)包的傳送，從而可以防止廣播風暴。 交換機一般用于 LANWAN的連接，交換機歸于網(wǎng)橋，是數(shù)據(jù)鏈路層的設備，有些交換機也可實現(xiàn)第三層的交換。 路由器用于 WANWAN之間的連接，可以解決異性網(wǎng)絡之間轉發(fā)分組，作用于網(wǎng)絡層。他們只是從一條線路上接受輸入分組，然后向另一條線路轉發(fā)。這兩條線路可能分屬于不同的網(wǎng)絡，并采用不同協(xié)議。相比較而言，路由器的功能較交換機要強大，但速度相對也慢，價格昂貴，第三層交換機既有交換機線速轉發(fā)報文能力，又有路由器良好的控制功能，因此得以廣泛應用。 通過以上的學習應該對交換機、集線器、路由器有一些了解，目前的使用主要還是以交換機、路由器的組合使用為主，具體的組合方式可根據(jù)具體的網(wǎng)絡情況和需求來確定。 路由器常見故障的處理 在路由器出現(xiàn)的故障中，大體可以分為兩類：一類是硬故障，一類是軟故障。這里的分類方法并沒有嚴格的標準，只是為了方便而已，在實踐中應該具體問題具體分析。 表現(xiàn)為當打開路由器的電源開關時，路由器前面板的電源燈不亮，風扇不轉。這時要重點檢查電源系統(tǒng)?？垂╇姴遄欠裼须?，電壓是否在規(guī)定的范圍內。如果供電正常，應該檢查電源線是否完好，接觸是否牢靠，必要時可以換一根，如果還不行，可以判定問題應該出在路由器的電源上?？梢钥纯绰酚善麟娫幢ｋU是否完好，如果燒了應該更換。如果還不行只好送修。 這類情況在硬件故障中是比較常見的一類。這里的部件往往是接口卡，表現(xiàn)為當把有問題部件插到路由器中時，系統(tǒng)其他部分都工作正常，但無法正確識別有問題的部件，這時往往是因為部件本身有問題。還有一種情況，就是部件可以被正確識別，但做完配置后（保證配置正確），接口就是不能正常工作，這時往往是因為存在物理故障。要確認以上這兩種情況，最好用相同型號的好的部件替換懷疑有問題的部件，就可以確認問題是否存在。 這種故障似乎應該歸入軟件故障，但由于這種情況往往是路由器本身存在的問題，且與硬件緊密相關，我們不妨把它歸類于此。以 cisco的路由器為例，如果路由器開機后總是進入 rmon狀態(tài)，這時往往說明系統(tǒng)軟件 IOS存在問題，這時不妨就將 IOS重新寫一遍。 在有些時候，要作某些特定的配置（如 NAT），反復檢查，確認配置正確，可相應的功能就是實現(xiàn)不了，這時先不要急著懷疑設備有問題，最好先找一找系統(tǒng)軟件的版本號，并查找相關的說明，看一看所使用的版本的軟件是否支持這個功能。因為路由器的系統(tǒng)軟件往往有許多版本，每個版本支持不同的功能。如果你當前的軟件版本不支持這個功能，那就應該找到相應的軟件，先進行升級。 有些時候，配置似乎沒有問題，可路由器就是不能正常工作，或者工作不穩(wěn)定，總出現(xiàn)一些莫名其妙的問題。這時不妨先不要急著反復調試，不如回過頭來看看網(wǎng)絡規(guī)劃，看看這上面是不是有問題。比如是不是有重復使用的網(wǎng)段，網(wǎng)絡掩碼的計算是否正確等等。 這種問題是最常見的，就是配置的確存在問題。比如線路兩端路由器的參數(shù)不匹配或參數(shù)錯誤等等，這種情況只要認真細致地查找，總可以解決。 路由器的發(fā)展趨勢 由器正在朝速度更快、服務質量更好和更易于綜合化管理的三個方向發(fā)展。 1．速度更快 傳統(tǒng)意義上，路由器通常被認為是網(wǎng)絡速度的瓶頸。在局域網(wǎng)速度早已達到上百兆時，路由器的處理速度至多只到幾十兆比特率。這幾年伴隨著因特網(wǎng)的爆炸性增長，對路由器的研究也重點體現(xiàn)在提高路由器的處理速度上。 2．質量更好 前面所述的路由器在速度上的提高仍只不過是為了適應數(shù)據(jù)流量的急劇增加。而路由器發(fā)展趨勢更本質、更深刻的變化是：以 IP為基礎的包交換數(shù)據(jù)將在未來幾年內迅速取代電路交換通信方式，成為通信業(yè)務模式的主流。這意味著， IP路由器不僅要提供更快的速度以適應急劇增長的傳統(tǒng)的計算機數(shù)據(jù)流量，而且， IP路由器也將逐步提供原電信網(wǎng)絡所提供的種種業(yè)務。但是傳統(tǒng)的 IP路由器并不關心也不知道 IP包的業(yè)務類型，一般只是按先進先出的原則轉發(fā)數(shù)據(jù)包，語音電話數(shù)據(jù)、實時視頻數(shù)據(jù)、因特網(wǎng)瀏覽數(shù)據(jù)等等各種業(yè)務類型的數(shù)據(jù)都被不加區(qū)分的對待。由此可見， IP路由器要想提供包括電信廣播在內的所有業(yè)務，提高服務質量 (QOS)是其關鍵。這也正是目前各大網(wǎng)絡設備廠商 (包括 Cisco，3Com， Nortel等 )所努力推進的方向。 3．更加智能 隨著網(wǎng)絡流量的爆炸性增長，網(wǎng)絡規(guī)模日益膨脹，以及對網(wǎng)絡服務質量的要求越來越高，路由器上的網(wǎng)絡管理系統(tǒng)變得日益重要，網(wǎng)絡連接已成為日常工作，生活中不可缺的部分。在保證質量的情況下最大限度地利用帶寬、及早發(fā)現(xiàn)并診斷設備故障，迅速方便地根據(jù)需要改變配置，這些網(wǎng)絡管理功能都日益成為直接影響網(wǎng)絡用戶和網(wǎng)絡運營商利益的重要因素。在網(wǎng)絡協(xié)議七層模型中，網(wǎng)絡管理屬于高層應用，目前各廠家網(wǎng)絡管理的一個重要發(fā)展趨勢是向智能化方向發(fā)展。所謂智能化又體現(xiàn)在兩個方面，一是網(wǎng)絡設備（路由器）之間信息交互的智能化；二是網(wǎng)絡設備與網(wǎng)絡管理者之間信息交互的智能化。 防火墻 防火墻的英文名為“ FireWall”，它是目前一種最重要的網(wǎng)絡防護設備。是指一個有軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使 Inter與 Intra之間建立起一個安全網(wǎng)關（ Security Gateway），從而保護內部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關 4個部分組成。圖 69是中華衛(wèi)士 A220防火墻，具有安全可靠、操作簡便等特點 圖 69 防火墻 防火墻的分類 1．根據(jù)防火墻所采用的技術不同，分為包過濾型、代理型和監(jiān)測型。 (1)包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、 TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包” 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的 Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造 IP地址，騙過包過濾型防火墻。 (2)代理型