Vallyol's Blog

21/09/2011

Основы TCP/IP

Filed under: Internet — Метки: — vallyol @ 23:18

Описывается диагностика и устранение проблем с подключением, разрешением имен и созданием сеанса TCP (Transmission Control Protocol) с помощью набора средств и возможностей, имеющихся в операционных системах Microsoft® Windows Server™ 2003 и Windows® XP. Администратор сети должен владеть методиками анализа сетевых проблем, связанных с TCP/IP, с точки зрения различных уровней модели TCP/IP и уметь использовать необходимые средства для эффективного выявления и устранения проблем со связью в сети TCP/IP.

Выявление источника проблемы

При диагностике любой проблемы полезно применять логический подход. Обычно при поиске неполадок следует искать ответы на такие вопросы:

Что работает?

Что не работает?

Как между собой связаны вещи, которые работают и которые не работают?

Работало ли когда-нибудь то, что сейчас не работает?

Если да, то что изменилось с тех пор, когда оно работало?

Ответы на эти вопросы помогут определить место, откуда начать поиск неполадок, и, возможно, позволят изолировать ошибку в компоненте, уровне или конфигурации, которые вызывают проблему.

Средства поиска и устранения неполадок, имеющиеся в Windows
В Windows Server 2003 и Windows XP имеется полный набор средств и служб для настройки, администрирования и диагностики, которые можно использовать для устранения проблем TCP/IP. Эти средства перечислены в таблице

Средства и службы для диагностики TCP/IP
Arp Просмотр и редактирование кэша протокола ARP (Address Resolution Protocol).
Hostname Отображение имени компьютера.
Ipconfig Просмотр текущей конфигурации TCP/IP для IPv4 и IPv6. Также используется для управления конфигурациями IPv4-адресов, распределенных с помощью протокола DHCP (Dynamic Host Configuration Protocol), просмотра или очистки кэша разрешения клиентов DNS и регистрации имен DNS.
Nbtstat Просмотр конфигурации NetBIOS через TCP/IP (NetBT) и управление кэшем имен NetBIOS.
Netsh Средство настройки многих сетевых служб. Для каждой сетевой службы имеется контекст с командами, специфичными для данной службы. Для контекстов netsh interface ip и netsh interface ipv6 средство позволяет просматривать и управлять настройками протокола TCP/IP на локальном или удаленном компьютере.
Netstat Просмотр статистики протокола и сведений о текущих TCP-подключениях.
Nslookup Выполнение DNS-запросов и просмотр результатов.
Ping Отправка эхо-запросов ICMP (Internet Control Message Protocol) или ICMPv6 (Internet Control Message Protocol for IPv6) для проверки достижимости.
Route Просмотр таблиц маршрутизации IPv4 и IPv6 и редактирование таблицы маршрутизации IPv4.
Tracert Отправка эхо-запросов ICMP или ICMPv6 для прослеживания сетевого маршрута прохождения пакетов IPv4 или IPv6 к определенному объекту назначения.
Pathping Отправка эхо-запросов ICMP или ICMPv6 для прослеживания маршрута прохождения пакетов IPv4 или IPv6 к определенному объекту назначения и просмотр сведений о потерях пакетов по каждому маршрутизатору и связи на маршруте.
Служба SNMP Обеспечение сведений о состоянии и статистической информации для систем управления SNMP (Simple Network Management System).
Просмотр событий Запись ошибок и событий.
Журналы и оповещения производительности Запись сведений о производительность протокола ядра TCP/IP и отправка оповещений (должна быть установлена служба SNMP).
Сетевой монитор Захват и отображение содержимого TCP/IP-пакетов, отправленных на компьютеры и с компьютеров, работающих под управлением Windows Server 2003.
Netdiag Запуск ряда диагностических тестов на сетевых компонентах. Netdiag устанавливается в составе средств поддержки Windows XP и Windows Server 2003 из папки Support\Tools компакт-диска Windows XP или Windows Server 2003.
Telnet Проверка установки TCP-соединения между двумя узлами.
Ttcp Прослушивание и отправка данных TCP-сегмента или UDP-сообщений между двумя узлами. Программа Ttcp.exe поставляется с Windows Server 2003 в папке Valueadd\Msft\Net\Tools компакт-диска Windows Server 2003.

Устранение неполадок протокола IPv4

В следующих разделах описываются средства и методики, используемые для выявления проблем на последовательных уровнях стека протокола TCP/IP, использующего уровень Интернета протокола IPv4. В зависимости от типа проблемы, может потребоваться выполнить одно из следующих действий:

Начать снизу стека и двигаться вверх.

Начать сверху стека и двигаться вниз.

В следующих разделах, описывающих вариант движения с вершины стека, показаны следующие процедуры:

Проверка подключения по IPv4.

Проверка разрешения имен DNS для IPv4-адресов.

Проверка разрешения имен NetBIOS.

Проверка сеансов TCP на основе протокола IPv4.

Хотя в следующих разделах об этом и не говорится, для захвата трафика IPv4 с целью устранения многих проблем TCP/IP-связей на основе IPv4 можно использовать также сетевой монитор. Сетевой монитор поставляется с сервером Microsoft Systems Management Server и, как дополнительный сетевой компонент, с Windows Server 2003. Однако чтобы правильно интерпретировать отображение пакетов IPv4 в сетевом мониторе, необходимо обладать специальными знаниями в области протоколов, используемых в каждом пакете.

Проверка подключения по IPv4
Для устранения проблем с подключением по IPv4 можно выполнить следующие действия:

исправить подключение;

проверить конфигурацию;

откорректировать конфигурацию;

проверить достижимость;

просмотреть и откорректировать таблицу маршрутизации IPv4;

проверить надежность маршрутизатора.

Исправление подключения
Возможность исправления сетевого подключения можно использовать для быстрого возобновления настроек сетевого подключения по протоколу IPv4. Это может помочь устранить общие проблемы конфигурации. При исправлении сетевого подключения выполняется ряд задач с целью возобновить подключение, как если бы оно было только что инициализировано Чтобы запустить исправление сетевого подключения, выполните следующие действия:

Нажмите кнопку Пуск, выберите Панель управления и затем дважды щелкните Сетевые подключения.

Щелкните правой кнопкой мыши подключение, которое требуется исправить, и в контекстном меню выберите Исправить.

Можно также нажать кнопку Исправить на вкладке Поддержка в окне состояния сетевого подключения.

При исправлении сетевого подключения выполняются следующие действия:

Проверяется, включен ли протокол DHCP, и, если он включен, отправляется широковещательное сообщение DHCPRequest для обновления конфигурации адресов IPv4.

Очищается кэш ARP. Это эквивалентно команде arp -d *.

Кэш разрешения клиентов DNS очищается и перезагружается записями из файла Hosts. Это эквивалентно команде ipconfig /flushdns.

С помощью динамического обновления DNS перерегистрируются имена DNS. Это эквивалентно команде ipconfig /registerdns.

Кэш имен NetBIOS очищается и перезагружается записями #PRE из файла Lmhosts. Это эквивалентно команде nbtstat -R.

С помощью службы Windows поддержки имен Интернета (WINS) освобождаются и затем перерегистрируются имена NetBIOS. Это эквивалентно команде nbtstat -RR.

Проверка конфигурации
Чтобы проверить текущие настройки IPv4 для обеспечения правильной конфигурации адресов (при настройке вручную ) или подходящей конфигурации адресов (при автоматической настройке), можно использовать следующие команды:

ipconfig /all

Команда ipconfig /all отображает IPv4-адреса, применяемые по умолчанию шлюзы и настройки DNS для всех интерфейсов. Средство Ipconfig работает только на локальном компьютере.

netsh interface ip show config

Команда netsh interface ip show config отображает серверы DNS и WINS по каждому интерфейсу. Средство Netsh может также использоваться для просмотра конфигурации удаленного компьютера с помощью параметра командной строки –r имя_удаленного_компьютера. Например, чтобы просмотреть конфигурацию удаленного компьютера FILESRV1, используйте команду netsh –r filesrv1 interface ip show config.

Вкладка Поддержка в окне Состояние сетевого подключения.

Чтобы получить сведения о состоянии сетевого подключения, дважды щелкните подключение в папке «Сетевые подключения» и выберите вкладку Поддержка. На вкладке Поддержка указаны тип адреса (DHCP или «Настроен вручную»), IPv4-адрес, маска подсети и применяемый по умолчанию шлюз. Нажмите кнопку Подробности на вкладке Поддержка вкладка, чтобы отобразить адрес управления доступом к носителю (MAC), сведения об аренде DHCP, DNS-серверах и WINS-серверах.

Управление конфигурацией
Для изменения конфигурации IPv4-адресов можно использовать следующие средства:

Папка «Сетевые подключения»

Из папки «Сетевые подключения» можно вносить изменения в свойства компонента протокола Интернета (TCP/IP) требуемого сетевого подключения.

Команды netsh interface ip set

Команду netsh interface ip set address можно использовать для настройки типа адреса (DHCP или настроен вручную ), IPv4-адреса, маски подсети и применяемого по умолчанию шлюза. Команду netsh interface ip set dns можно использовать для настройки источника адресов DNS-серверов (DHCP или настроен вручную), адреса DNS-сервера, маски подсети и поведения при регистрации DNS. Команду netsh interface ip set wins можно использовать для настройки источника адресов WINS-серверов (DHCP или «Настроен вручную») и адреса WINS-сервера.

Для управления конфигурацией протокола IPv6 удаленного компьютера можно также использовать параметр командной строки –r имя_удаленного_компьютера средства Netsh.

Команды Ipconfig для управления адресами DHCP

Для управления DHCP-адресами можно использовать следующие команды:

ipconfig /release

ipconfig /renew

ipconfig /showclassid

ipconfig /setclassid

Дополнительные сведения об использовании команд Ipconfig для управления конфигурациями адресов DHCP см. в главе 6 «Протокол DHCP».

Проверка достижимости
Для проверки достижимости локального или удаленного объекта попробуйте выполнить следующие действия:

Проверка и очистка кэша ARP.

Чтобы отобразить текущее содержимое кэша ARP, используйте команду arp –a. Чтобы очистить кэш ARP, используйте команду arp –d *. Эта команда удаляет также статические записи кэша ARP.

Проверка связи с применяемым по умолчанию шлюзом.

Проверить связь с применяемым по умолчанию шлюзом по его IPv4-адресу можно с помощью средства Ping. IPv4-адрес применяемого по умолчанию шлюза можно получить с помощью команд ipconfig, netsh interface ip show config или route print. При проверке связи с применяемым по умолчанию шлюзом определяется, можно ли достичь локальных узлов и применяемого по умолчанию шлюза, который используется для пересылки пакетов IPv4 к удаленным узлам. Если применяемый по умолчанию шлюз фильтрует все ICMP-сообщения, выполнить этот шаг может быть невозможно.

Проверка связи с удаленным объектом по его IPv4-адресу

Если удается проверить связь с применяемым по умолчанию шлюзом, проверьте связь с удаленным объектом по его IPv4-адресу. Если удаленный объект фильтрует все ICMP-сообщения, выполнить этот шаг может быть невозможно. Практика фильтрации ICMP-сообщений широко распространена в Интернете.

Прослеживание маршрута к удаленному объекту

Если не удается проверить связь с удаленным объектом по его IPv4-адресу, может существовать проблема маршрутизации между локальным узлом и узлом назначения. Чтобы проследить путь маршрутизации к удаленному объекту, используйте команду tracert –d IPv4-адрес. Параметр командной строки –d препятствует выполнению средством Tracert обратного запроса DNS через интерфейс каждого ближайшего к исходному узлу маршрутизатора на пути маршрутизации, что ускоряет отображение пути маршрутизации. Если промежуточные маршрутизаторы или объект назначения фильтруют все ICMP-сообщения, выполнить этот шаг может быть невозможно. Практика фильтрации ICMP-сообщений широко распространена в Интернете.

Проверка фильтрации пакетов
Проблема с достижением узла назначения может быть вызвана настройкой безопасности протокола IP (IPsec) или фильтрации пакетов на исходном узле, промежуточных маршрутизаторах или узле назначения, что препятствует отправке, пересылке или получению пакетов.

На исходном узле проверьте следующее:

активные политики IPsec — с помощью оснастки «Монитор IP-безопасности»;

для компьютеров, работающих под управлением Windows Server 2003 — фильтры IPv4-пакетов маршрутизации и удаленного доступа на интерфейсах маршрутизации с помощью оснастки «Маршрутизация и удаленный доступ».

На промежуточных маршрутизаторах IPv4, работающих под управлением Windows XP, проверьте следующее:

активные политики IPsec — с помощью оснастки «Монитор IP-безопасности».

На промежуточных маршрутизаторах IPv4, на которых работают Windows Server 2003 и маршрутизация и удаленный доступ, проверьте следующее:

активные политики IPsec — с помощью оснастки «Монитор IP-безопасности»;

фильтры IPv4-пакетов маршрутизации и удаленного доступа на интерфейсах маршрутизации — с помощью оснастки «Маршрутизация и удаленный доступ»;

компонент протокола маршрутизации «NAT и простой брандмауэр» маршрутизации и удаленного доступа.

На промежуточных IPv4-маршрутизаторах или брандмауэрах независимых поставщиков проверьте конфигурацию фильтров пакетов (также называются списками доступа) и политик и фильтров IPsec.

На узле назначения, работающем под управлением Windows XP или Windows Server 2003, проверьте следующее:

активные политики IPsec — с помощью оснастки «Монитор IP-безопасности»;

включен ли брандмауэр подключения к Интернету или брандмауэр Windows;

фильтрация TCP/IP.

На узле назначения, на котором работают Windows Server 2003 и маршрутизация и удаленный доступ, проверьте следующее:

активные политики IPsec — с помощью оснастки «Монитор IP-безопасности»;

фильтры IPv4-пакетов маршрутизации и удаленного доступа на интерфейсах маршрутизации — с помощью оснастки «Маршрутизация и удаленный доступ»;

компонент протокола маршрутизации «NAT и простой брандмауэр» маршрутизации и удаленного доступа;

включен ли брандмауэр подключения к Интернету или брандмауэр Windows;

фильтрация TCP/IP.

Дополнительные сведения об IPsec и компонентах фильтрации пакетов см. в главе 13 «Безопасность протокола IP (IPsec) и фильтрация пакетов».

Просмотр и корректировка локальной таблицы маршрутизации IPv4
Причиной невозможности достижения локального или удаленного объекта назначения может быть неправильность или отсутствие маршрутов в таблице маршрутизации IPv4. Для просмотра таблицы маршрутизации IPv4 служат команды route print или netstat –r. Убедитесь в наличии маршрута, соответствующего локальной подсети, и, если настроен применяемый по умолчанию шлюз, — применяемого по умолчанию маршрута. Если имеется несколько применяемых по умолчанию маршрутов с одинаковой самой низкой метрикой, то измените конфигурацию IPv4 так, чтобы только один из них существовал и использовал интерфейс, который подключает к сети с наибольшим числом подсетей, например, к Интернету.

Для добавления маршрута к таблице маршрутизации IPv4 используйте команду route add. Для изменения существующего маршрута используйте команду route change. Для удаления существующего маршрута используйте команду route delete.

Проверка надежности маршрутизатора
Если возникают сомнения по поводу производительности маршрутизатора, с помощью команды pathping –d IPv4-адрес можно проследить маршрут прохождения пакетов к определенному объекту назначения и просмотреть сведения о потерях пакетов по каждому маршрутизатору и связи на маршруте. Параметр командной строки –d препятствует выполнению средством Pathping обратного запроса DNS через интерфейс каждого ближайшего к исходному узлу маршрутизатора на пути маршрутизации, что ускоряет отображение пути маршрутизации.

Проверка разрешения имен DNS для IPv4-адресов
Если достижимость с использованием IPv4-адресов возможна, но с использованием имен узлов — нет, то может иметь место проблема с разрешением имен компьютеров, которая обычно возникает из-за неправильной настройки клиента DNS или вследствие проблем с регистрацией DNS.

Для устранения проблем с разрешением имен DNS можно использовать следующие процедуры:

проверка конфигурации DNS;

просмотр и очистка кэша разрешения клиентов DNS;

проверка разрешения имен DNS с помощью средства Ping;

использование средства Nslookup для просмотра ответов DNS-сервера.

Проверка конфигурации DNS
На узле, имеющем проблемы с разрешением имен DNS, проверьте следующее:

имя компьютера;

основной DNS-суффикс;

порядок просмотра DNS-суффиксов;

DNS-суффиксы, зависящие от подключения;

DNS-серверы.

Эти сведения можно получить с помощью команды ipconfig /all . Для получения информации о том, какие имена DNS должны быть зарегистрированы в DNS, используйте команду netsh interface ip show dns.

Чтобы зарегистрировать необходимые имена DNS как записи ресурса IPv4-адресов (также известны, как записи ресурса A) с помощью динамического обновления DNS, воспользуйтесь командой ipconfig /registerdns.

Просмотр и очистка кэша разрешения клиентов DNS
Перед отправкой запросов имен DNS TCP/IP проверяет кэш разрешения клиентов DNS. Если для имени существует положительная запись кэша, используется соответствующий IPv4-адрес. Если для имени существует отрицательная запись кэша, запросы имен DNS не отправляются.

Чтобы отобразить содержимое кэша разрешения клиентов DNS, используйте команду ipconfig /displaydns. Чтобы очистить содержимое кэша разрешения клиентов DNS и перезагрузить его записями из файла Hosts, используйте команду ipconfig /flushdns.

Проверка разрешения имен DNS с помощью средства Ping
Чтобы протестировать разрешение имен DNS, воспользуйтесь средством Ping, с помощью которого можно проверить связь с объектом назначения по имени его узла или полному доменному имени (FQDN). Средство Ping отображает FQDN и его разрешенный IPv4-адрес. Если на узле, на котором запускается средство Ping, используется как протокол IPv4, так и IPv6 и запрос DNS возвращает и IPv4-адреса, и IPv6-адреса, средство Ping сначала использует IPv6-адреса, а затем уже — IPv4-адреса. Чтобы заставить средство Ping использовать IPv4-адрес, добавьте к команде Ping параметр –4.

Использование средства Nslookup для просмотра ответов DNS-сервера
Если средство Ping использует неправильный IPv4-адрес, очистите кэш разрешения клиентов DNS командой ipconfig /flushdns и воспользуйтесь средством Nslookup для определения набора адресов, возвращенных в сообщении ответа на запрос имен DNS. На подсказку Nslookup > введите команду set d2 , чтобы отобразить максимальное количество сведений из сообщений ответов DNS. Затем с помощью Nslookup просмотрите нужное FQDN-имя и сведения сообщения ответа DNS. В подробном представлении сообщений ответов DNS найдите записи A.

Проверка разрешения имен NetBIOS
Если достижимость с использованием IPv4-адресов возможна, но с использованием имен NetBIOS — нет, то может иметь место проблема с разрешением имен NetBIOS , которая обычно возникает из-за неправильной настройки NetBIOS через TCP/IP или вследствие проблем с регистрацией WINS.

Для устранения проблем с разрешением имен NetBIOS можно использовать следующие средства и процедуры:

проверка конфигурации NetBT;

просмотр и перезагрузка кэша имен NetBIOS;

проверка разрешения имен NetBIOS с помощью средства Nbtstat.

Проверка конфигурации NetBIOS через TCP/IP
На узле, имеющем проблемы с разрешением имен NetBIOS, проверьте следующее:

имя компьютера NetBIOS;

тип узла NetBIOS;

основной WINS-сервер;

дополнительный WINS-сервер;

не отключен ли режим NetBIOS через TCP/IP.

Эти сведения можно получить с помощью команды ipconfig /all . Для получения информации о том, какой код области NetBIOS назначен каждому интерфейсу, используйте команду nbtstat -c. Проверить, включен ли запрос Lmhosts, можно на вкладке WINS с дополнительными свойствами компонента протокола Интернета (TCP/IP).

Чтобы просмотреть локальную таблицу имен NetBIOS, используйте команду nbtstat –n. Просмотреть таблицу имен NetBIOS удаленного компьютера можно с помощью команд nbtstat –a имя_компьютера или nbtstat –A IPv4-адрес.

Чтобы освободить и перерегистрировать имена NetBIOS узла в WINS, используйте команду nbtstat -RR.

Просмотр и перезагрузка кэша имен NetBIOS
Перед отправкой запросов WINS или широковещательных запросов имен выполняется проверка кэша имен NetBIOS. Если для разрешенного имени существует запись, TCP/IP использует соответствующий IPv4-адрес. Чтобы просмотреть содержимое кэша имен NetBIOS, используйте команду nbtstat -c. Чтобы очистить содержимое кэша имен NetBIOS и перезагрузить его записями #PRE из файла Lmhosts, используйте команду nbtstat -R.

Проверка разрешения имен NetBIOS с помощью средства Nbtstat
Чтобы протестировать разрешение имен NetBIOS, воспользуйтесь командой nbtstat –a имя_компьютера. Эта команда отображает таблицу имен NetBIOS компьютера, заданного по его имени компьютера NetBIOS.

Проверка сеансов TCP на основе протокола IPv4
Если достижимость и разрешение имен работают правильно, но установить сеанс TCP с узлом назначения не удается, выполните следующие процедуры:

проверка фильтрации пакетов;

проверка создания сеанса TCP;

проверка сеансов NetBIOS.

Проверка фильтрации пакетов
Как уже упоминалось в разделе «Проверка подключения по IPv4» этой главы, фильтрация пакетов по исходному узлу, промежуточным маршрутизаторам и узлу назначения может препятствовать созданию сеансов TCP. Используйте сведения из раздела «Проверка подключения по IPv4» для проверки фильтрации пакетов или политик IPsec на исходном узле, промежуточных маршрутизаторах и брандмауэрах и узле назначения.

В ряде случаев фильтрация пакетов настраивается с целью разрешить определенные типы трафика и отвергать все остальные либо отвергать определенные типы трафика и принимать все остальные. В качестве примера можно привести брандмауэр или веб-сервер, настроенный так, чтобы он пропускал только трафик по протоколу HTTP (HyperText Transfer Protocol) и отвергал любой другой трафик, проходящий через веб-сервер. В результате можно будет просматривать веб-страницы на веб-сервере, но нельзя проверить связь с веб-сервером командой ping или обратиться к его общим папкам и файлам.

Проверка создания сеанса TCP
Чтобы убедиться, что TCP-подключение с помощью известного номера TCP-порта объекта назначения может быть установлено, можно воспользоваться командой telnet IPv4-адрес TCP-порт. Например, чтобы проверить, принимает ли TCP-подключения служба веб-сервера на компьютере с IPv4-адресом 131.107.78.12, используйте команду telnet 131.107.78.12 80.

Если средству Telnet удается создать TCP-подключение, окно командной строки очищается и, в зависимости от протокола, отображается некоторый текст. В этом окне можно ввести команды для службы, к которой установлено подключение. Чтобы выйти из средства Telnet, введите CTRL+C. Если средству Telnet не удается создать TCP-подключение, отображается сообщение «Подключение к IPv4-адрес… Не удалось открыть подключение к этому узлу через порт TCP-порт. Сбой подключения».

Для тестирования TCP-подключений можно также использовать Port Query, бесплатное средство корпорации Майкрософт, которое помогает устранить проблемы подключения TCP/IP для определенных типов трафика TCP и UDP. Имеется версия программа Port Query, работающая в режиме командной строки (Portqry.exe, доступна на веб-узле PortQry — консольный сканер портов, версия 2.0), и версия с графическим интерфейсом пользователя (Portqueryui.exe, доступна на веб-узле PortQryUI — интерфейс пользователя для консольного сканера портов). Обе версии работают на компьютерах с Windows 2000, Windows XP и Windows Server 2003.

Для проверки TCP-подключения можно также использовать средство Test TCP (Ttcp). С помощью Ttcp можно как инициировать, так и прослушивать TCP-подключения. Средство Ttcp применимо также и для трафика UDP. С помощью Ttcp можно настроить компьютер для прослушивания определенного порта TCP или UDP, не прибегая к установке на компьютер специального приложения или службы. Это позволяет протестировать сетевое подключение на определенный трафик перед установкой служб.

Дополнительные сведения о средствах Port Query и Ttcp см. в статье Тестирование сетевых путей на общие типы трафика.

Проверка сеансов NetBIOS
Чтобы убедиться в установке сеанса NetBIOS, можно воспользоваться командой nbtstat –s, которая отображает таблицу сеансов NetBIOS.

Устранение неполадок IPv6

В следующих разделах описываются средства и методики, используемые для выявления проблем в последовательных слоях стека протокола TCP/IP, использующего IPv6-слой Интернета. В зависимости от типа проблемы, может потребоваться выполнить одно из следующих действий:

Начать снизу стека и двигаться вверх.

Начать сверху стека и двигаться вниз.

В следующих разделах, описывающих вариант движения с вершины стека, показаны следующие процедуры:

проверка IPv6-подключения;

проверка разрешения имен DNS для IPv6-адресов;

проверка сеансов TCP на основе протокола IPv6.

Хотя об этом и не говорится в следующих разделах, для захвата трафика IPv6 с целью устранения многих проблем TCP/IP-связей на основе IPv6 можно также использовать сетевой монитор. Сетевой монитор поставляется с сервером Microsoft Systems Management Server и, как дополнительный сетевой компонент, с Windows Server 2003. Однако чтобы правильно интерпретировать отображение пакетов IPv6 в сетевом мониторе, необходимо обладать детальными знаниями в области протоколов, используемых в каждом пакете.

Проверка IPv6-подключения
Для устранения проблем с подключением по IPv6 можно выполнить следующие действия:

проверить конфигурацию;

откорректировать конфигурацию;

проверить достижимость;

просмотреть и откорректировать таблицу маршрутизации IPv6;

проверить надежность маршрутизатора.

Проверка конфигурации
Чтобы проверить текущие настройки IPv6 для обеспечения правильной конфигурации адресов (при настройке вручную ) или подходящей конфигурации адресов (при автоматической настройке), можно использовать следующие команды:

ipconfig /all

Команда ipconfig /all отображает IPv6-адреса, применяемые по умолчанию маршрутизаторы и настройки DNS для всех интерфейсов. Средство Ipconfig работает только на локальном компьютере.

netsh interface ipv6 show address

Эта команда отображает только IPv6-адреса, назначенные каждому интерфейсу. Средство Netsh может также использоваться для просмотра конфигурации удаленного компьютера с помощью параметра командной строки –r имя_удаленного_компьютера. Например, чтобы просмотреть конфигурацию удаленного компьютера FILESRV1, используйте команду netsh –r filesrv1 interface ipv6 show address.

Управление конфигурацией
Команду netsh interface ipv6 set address можно использовать для настройки вручную IPv6-адресов. В большинстве случаев ручная настройка IPv6-адресов не требуется, поскольку они автоматически назначаются узлам службой автоконфигурации IPv6-адресов.

Команду netsh interface ipv6 set interface можно использовать для изменения конфигурации IPv6-интерфейсов. Для добавления IPv6-адресов серверов DNS используйте команду netsh interface ipv6 add dns.

Для управления конфигурацией протокола IPv6 удаленного компьютера можно также использовать параметр командной строки –r имя_удаленного_компьютера средства Netsh.

Проверка достижимости
Для проверки достижимости локального или удаленного объекта попробуйте выполнить следующие действия:

Проверка и очистка кэша соседей.

Подобно кэшу ARP (Address Resolution Protocol), кэш соседей хранит недавно разрешенные адреса канального уровня. Чтобы просмотреть текущее содержимое кэша соседей, используйте команду netsh interface ipv6 show neighbors. Чтобы очистить текущее содержимое кэша соседей, используйте команду netsh interface ipv6 delete neighbors.

Проверка и очистка конечного кэша.

Конечный кэш хранит IPv6-адреса следующего прыжка для объектов назначения. Чтобы просмотреть текущее содержимое конечного кэша, используйте команду netsh interface ipv6 show destinationcache. Чтобы очистить текущее содержимое конечного кэша, используйте команду netsh interface ipv6 delete destinationcache.

Проверка связи с применяемым по умолчанию маршрутизатором.

Проверить связь с применяемым по умолчанию маршрутизатором по его IPv6-адресу можно с помощью средства Ping. IPv6-адрес локальной связи применяемого по умолчанию маршрутизатора можно получить с помощью команд ipconfig, netsh interface ipv6 show routes, route print или nbtstat -r. При проверке связи с применяемым по умолчанию маршрутизатором определяется, можно ли достичь локальных узлов и применяемого по умолчанию маршрутизатора, который используется для пересылки пакетов IPv6 к удаленным узлам.

При проверке связи с применяемым по умолчанию маршрутизатором необходимо указать код зоны для интерфейса, через который должны отправляться сообщения эхо-запроса ICMPv6. Код зоны — индекс интерфейса применяемого по умолчанию маршрута (::/0) с самой низкой метрикой — можно получить с помощью команд netsh interface ipv6 show routes или route print.

Если применяемый по умолчанию маршрутизатор фильтрует все ICMPv6-сообщения, выполнить этот шаг может быть невозможно.

Проверка связи с удаленным объектом по его IPv6-адресу.

Если удается проверить связь с применяемым по умолчанию маршрутизатором, проверьте связь с удаленным объектом по его IPv6-адресу. Если удаленный объект фильтрует все ICMPv6-сообщения, выполнить этот шаг может быть невозможно.

Прослеживание маршрута к удаленному объекту

Если не удается проверить связь с удаленным объектом по его IPv6-адресу, может существовать проблема маршрутизации между локальным узлом и узлом назначения. Чтобы проследить путь маршрутизации к удаленному объекту, используйте команду tracert –d IPv6-адрес. Параметр командной строки –d препятствует выполнению средством Tracert обратного запроса DNS через интерфейс каждого ближайшего к исходному узлу маршрутизатора на пути маршрутизации, что ускоряет отображение пути маршрутизации. Если промежуточные маршрутизаторы или объект назначения фильтруют все ICMPv6-сообщения, выполнить этот шаг может быть невозможно.

Проверка фильтрации пакетов
Проблема с достижением узла назначения может быть вызвана настройкой безопасности протокола IP (IPsec) или фильтрации пакетов на исходном узле, промежуточных маршрутизаторах или узле назначения, что препятствует отправке, пересылке или получению пакетов.

На исходном узле проверьте политики IPsec для IPv6, которые были настроены с помощью средства Ipsec6.

На промежуточных маршрутизаторах IPv6, работающих под управлением Windows XP или Windows Server 2003, проверьте политики IPsec для IPv6, которые были настроены с помощью средства Ipsec6.

На промежуточных IPv6-маршрутизаторах или брандмауэрах независимых поставщиков проверьте настройку фильтров пакетов IPv6 и политик IPsec.

На узле назначения проверьте следующее:

Политики IPsec для IPv6, которые были настроены с помощью средства Ipsec6.

Простой брандмауэр IPv6.

IPv6 для Windows Server 2003 обеспечивает поддержку простого брандмауэра в интерфейсе. Будучи включен, протокол IPv6 удаляет входящие сегменты TCP Synchronize (SYN) и все незапрашиваемые входящие UDP-сообщения. Простой брандмауэр можно настроить с помощью команды netsh interface ipv6 set interface interface=имя_или_индекс firewall=enabled|disabled.

Брандмауэр подключения к Интернету для IPv6

Брандмауэр подключения к Интернету для IPv6 входит в состав Advanced Networking Pack для Windows XP, бесплатно загружаемого пакета для Windows XP с пакетом обновления 1 (SP1).

Брандмауэр Windows

Брандмауэр Windows поставляется с Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1).

Дополнительные сведения об этих компонентах фильтрации пакетов см. в главе 13 «Безопасность протокола IP (IPsec) и фильтрация пакетов».

Просмотр и корректировка локальной таблицы маршрутизации IPv6
Причиной невозможности достижения локального или удаленного объекта назначения может быть неправильность или отсутствие маршрутов в таблице маршрутизации IPv6 Для просмотра таблицы маршрутизации IPv6 служат команды route print, netstat –r или netsh interface ipv6 show routes. Убедитесь в наличии маршрута, соответствующего локальной подсети, и применяемого по умолчанию маршрута, если он автоматически настраивается применяемым по умолчанию маршрутизатором. Если имеется несколько применяемых по умолчанию маршрутов с одинаковой самой низкой метрикой, то может потребоваться изменить конфигурации IPv6-маршрутизаторов так, чтобы только применяемый по умолчанию маршрут с самой низкой метрикой использовал интерфейс, который подключает к сети с наибольшим числом подсетей.

Для добавления маршрута к таблице маршрутизации IPv6 используйте команду netsh interface ipv6 add route. Для изменения существующего маршрута используйте команду netsh interface ipv6 set route. Для удаления существующего маршрута используйте команду netsh interface ipv6 delete route.

Проверка надежности маршрутизатора
Если возникают сомнения по поводу производительности маршрутизатора, с помощью команды pathping –d IPv6-адрес можно проследить путь прохождения пакетов к определенному объекту назначения и просмотреть сведения о потерях пакетов по каждому маршрутизатору и связи на маршруте. Параметр командной строки –d препятствует выполнению средством Pathping обратного запроса DNS через интерфейс каждого ближайшего к исходному узлу маршрутизатора на пути маршрутизации, что ускоряет отображение пути маршрутизации.

Проверка разрешения имен DNS для IPv6-адресов
Если достижимость с использованием IPv6-адресов возможна, но с использованием имен узлов — нет, то может иметь место проблема с разрешением имен компьютеров, которая обычно возникает из-за неправильной настройки клиента DNS или вследствие проблем с регистрацией DNS.

Для устранения проблем с разрешением имен DNS можно использовать следующие процедуры:

проверка конфигурации DNS;

просмотр и очистка кэша разрешения клиентов DNS;

проверка разрешения имен DNS с помощью средства Ping;

использование средства Nslookup для просмотра ответов DNS-сервера.

Проверка конфигурации DNS
На узле, имеющем проблемы с разрешением имен DNS, проверьте следующее:

имя компьютера;

основной DNS-суффикс;

порядок просмотра DNS-суффиксов;

DNS-суффиксы, зависящие от подключения;

DNS-серверы.

Эти сведения можно получить с помощью команды ipconfig /all . Для получения информации о том, какие имена DNS должны быть зарегистрированы в DNS, используйте команду netsh interface ip show dns.

По умолчанию IPv6 назначает хорошо известным адресам локальных узлов DNS-серверов позиции FEC0:0:0:FFFF::1, FEC0:0:0:FFFF::2 и FEC0:0:0:FFFF::3 в каждом интерфейсе, который принимает уведомления маршрутизатора. Для добавления IPv6-адресов дополнительных DNS-серверов используйте команду netsh interface ipv6 add dns.

Чтобы зарегистрировать необходимые имена DNS как записи ресурса IPv6-адресов (также известны как записи ресурса AAAA) с помощью динамического обновления DNS, воспользуйтесь командой ipconfig /registerdns.

Просмотр и очистка кэша разрешения клиентов DNS
Перед отправкой запросов имен DNS протокол TCP/IP проверяет кэш разрешения клиентов DNS. Если для разрешенного имени существует положительная запись кэша, используется соответствующий IPv6-адрес. Если для имени существует отрицательная запись кэша, запросы имен DNS не отправляются.

Чтобы отобразить содержимое кэша разрешения клиентов DNS, используйте команду ipconfig /displaydns. Чтобы очистить содержимое кэша разрешения клиентов DNS и перезагрузить его записями из файла Hosts, используйте команду ipconfig /flushdns.

Проверка разрешения имен DNS с помощью средства Ping
Чтобы протестировать разрешение имен DNS, воспользуйтесь средством Ping, с помощью которого можно проверить связь с объектом назначения по имени его узла или FQDN. Средство Ping отображает FQDN и его соответствующий IPv6-адрес.

Использование средства Nslookup для просмотра ответов DNS-сервера
Если средство Ping использует неправильный IPv6-адрес, очистите кэш разрешения клиентов DNS и воспользуйтесь средством Nslookup для определения набора адресов, возвращенных в сообщении ответа на запрос имен DNS. На подсказку Nslookup > введите команду set d2, чтобы отобразить максимальное количество сведений из сообщений ответов DNS. Затем с помощью Nslookup найдите нужное FQDN-имя. В подробном представлении сообщений ответов DNS найдите записи AAAA.

Проверка сеансов TCP на основе протокола IPv6
Если достижимость и разрешение имен работают правильно, но установить TCP-подключение к узлу назначения не удается, выполните следующие процедуры:

проверка фильтрации пакетов;

проверка создания TCP-подключения.

Проверка фильтрации пакетов
Как уже упоминалось в разделе «Проверка подключения по IPv6» этой главы, фильтрация пакетов по исходному узлу, промежуточным маршрутизаторам и узлу назначения может препятствовать созданию TCP-подключений. Используйте сведения из раздела «Проверка подключения по IPv6» для проверки фильтрации пакетов или политик IPsec на исходном узле, промежуточных маршрутизаторах и брандмауэрах и узле назначения.

В ряде случаев фильтрация пакетов настраивается с целью разрешить определенные типы трафика и отвергать все остальные либо отвергать определенные типы трафика и принимать все остальные. В качестве примера можно привести брандмауэр или веб-сервер, настроенный так, чтобы он пропускал только трафик по протоколу HTTP и отвергал любой другой трафик, проходящий через веб-сервер. В результате можно будет просматривать веб-страницы на веб-сервере, но нельзя проверить связь с ним командой ping или обратиться к его общим папкам и файлам.

Проверка создания сеанса TCP
Чтобы убедиться, что TCP-подключение с помощью известного номера TCP-порта объекта назначения может быть установлено, можно воспользоваться командой telnet IPv6-адрес TCP-порт. Например, чтобы проверить, принимает ли TCP-подключения через TCP-порт 80 служба веб-сервера на компьютере с IPv6-адресом 3FFE:FFFF::21AD:2AA:FF:FE31:AC89, используйте команду telnet 131.107.78.12 80.

Если средство Telnet может успешно создать TCP-подключение, окно командной строки очищается и, в зависимости от протокола, отображается некоторый текст. В этом окне можно ввести команды для службы, к которой установлено подключение. Чтобы выйти из средства Telnet, введите CTRL+C. Если средству Telnet не удается создать TCP-подключение, отображается сообщение «Подключение к IPv6-адрес… Не удалось открыть подключение к этому узлу через порт TCP-порт. Сбой подключения».

Для проверки TCP-подключения можно также использовать средство Test TCP (Ttcp). С помощью Ttcp можно как инициировать, так и прослушивать TCP-подключения. Средство Ttcp применимо также и для трафика UDP. С помощью Ttcp можно настроить компьютер для прослушивания определенного порта TCP или UDP, не прибегая к установке на компьютер специального приложения или службы. Это позволяет протестировать сетевое подключение на определенный трафик перед установкой служб.

Дополнительные сведения о Ttcp см. в статье Тестирование сетевых путей на общие типы трафика.

Сводка

В этой главе представлены следующие ключевые сведения:

Постепенно приближаясь к устранению проблемы, нужно проверить и изолировать потенциально сбойные компоненты. Для этого следует определить, что работает, что не работает, работало ли оно когда-либо и что изменилось с тех пор, когда оно еще работало.

Для устранения проблем TCP/IP в Windows имеются следующие средства: Arp, Hostname, Ipconfig, Nbtstat, Netsh, Netstat, Nslookup, Ping, Route, Tracert, Pathping, служба SNMP, просмотр событий, журналы и оповещения производительности, сетевой монитор и Netdiag.

Устранение неполадок связей по протоколу IPv4 путем проверки IPv4-подключения, проверки разрешения имен DNS для IPv4-адресов, проверки разрешения имен NetBIOS и проверки сеансов TCP на основе IPv4.

Устранение неполадок связей по протоколу IPv6 путем проверки IPv6-подключения, проверки разрешения имен DNS для IPv6-адресов, проверки разрешения имен NetBIOS и проверки сеансов TCP на основе IPv6.

Словарь терминов

Разрешение адресов — процесс протокола IPv4 (с использованием ARP) или IPv6 (с использованием поиска соседей), который разрешает адрес MAC для IP-адреса следующего прыжка маршрута связи.

Протокол разрешения адресов (Address Resolution Protocol) — протокол, который для определения адреса MAC для IPv4-адреса использует широковещательный трафик локальной подсети.

ARP — см. «Протокол разрешения адресов».

Кэш ARP – таблица для каждого интерфейса статически или динамически разрешенных IPv4-адресов и их соответствующих адресов MAC.

Применяемый по умолчанию шлюз — параметр конфигурации протокола IPv4, который является IPv4-адресом соседнего маршрутизатора IPv4. При настройке применяемого по умолчанию шлюза создается применяемый по умолчанию маршрут в таблице маршрутизации IPv4.

Применяемый по умолчанию маршрут — маршрут, который охватывает все возможные объекты назначения и используется для пересылки, если таблица маршрутизации не содержит для объекта назначения никаких других более определенных маршрутов. Например, если маршрутизатор или отправляющий узел не может найти для объекта назначения маршрут подсети, сводный маршрут или узловой маршрут, IP выбирает применяемый по умолчанию маршрут. Применяемый по умолчанию маршрут используется для упрощения конфигурации узлов и маршрутизаторов. Для таблиц маршрутизации IPv4 применяемый по умолчанию маршрут — это маршрут с сетевым адресом 0.0.0.0 и маской сети 0.0.0.0. Для таблиц маршрутизации IPv6 применяемый по умолчанию маршрут имеет префикс адреса ::/0.

Применяемый по умолчанию маршрутизатор — параметр конфигурации протокола IPv6, который является адресом локальной связи соседнего маршрутизатора IPv6. Применяемые по умолчанию маршрутизаторы автоматически настраиваются обнаружением маршрутизатора протокола IPv6.

Конечный кэш — таблица IPv6-адресов объектов назначения и их ранее определенных адресов следующего прыжка.

DNS — см. «Система именования доменов (DNS)».

Кэш разрешения клиентов DNS — хранимая в оперативной памяти таблица, которая содержит записи из файла Hosts и результаты последних запросов имен DNS.

DNS-сервер — сервер, поддерживающий базу данных сопоставлений доменных имен DNS с различными типами данных, такими как IP-адреса.

Система именования доменов (DNS) — иерархическая, распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, такими как IP-адреса. DNS обеспечивает понятные имена для спецификаций компьютеров и служб, а также получение прочих сведений, хранящихся в базе данных.

Имя узла – имя компьютера или устройства в сети. Пользователи обращаются к компьютерам в сети по их именам узла. Чтобы можно было найти определенный компьютер, его имя узла должно либо присутствовать в файле Hosts, либо быть известно DNS-серверу. Для большинства компьютеров, работающих под управлением Windows, имя узла и имя компьютера тождественны.

Разрешение имен узлов — процесс определения IP-адреса объекта назначения, соответствующего имени узла.

Файл Hosts — локальный текстовый файл такого же формата, как и файл /etc/hosts в 4.3 BSD UNIX. Этот файл сопоставляет имена узлов с IP-адресами и хранится в папке системная_папка\System32\Drivers\Etc.

Файл Lmhosts — локальный текстовый файл, содержащий сопоставления имен NetBIOS с IP-адресами для узлов, расположенных в удаленных подсетях. Для компьютеров, работающих под управлением Windows, этот файл хранится в папке системная_папка\System32\Drivers\Etc.

Отрицательные записи кэша — имена узлов, добавленные в кэш разрешения клиентов DNS, которые были отобраны запросом, но которые не удалось разрешить.

Кэш соседей — кэш, поддерживаемый каждым узлом IPv6 и хранящий IPv6-адрес соседа по подсети и его соответствующий MAC-адрес. Кэш соседей является эквивалентом кэша ARP для IPv4.

NBNS — см. «Сервер имен NetBIOS (NBNS)».

Имя NetBIOS — 16-байтовое имя процесса, использующего NetBIOS.

Кэш имен NetBIOS – динамически обновляемая таблица, расположенная на узле с поддержкой NetBIOS и хранящая недавно разрешенные имена NetBIOS и их соответствующие IPv4-адреса.

Разрешение имен NetBIOS — процесс определения IPv4-адресов, соответствующих именам NetBIOS.

Сервер имен NetBIOS (NBNS) — сервер, который хранит сопоставления имен NetBIOS с IPv4-адресами и разрешает имена NetBIOS узлов, поддерживающих NetBIOS. WINS представляет собой сервер имен NetBIOS, реализованный корпорацией Майкрософт.

Таблица маршрутизации — набор маршрутов, используемый для определения адреса следующего прыжка и интерфейса для IP-трафика, отправленного узлом или пересланного маршрутизатором.

Windows Internet Name Service (WINS) — сервер имен NetBIOS, реализованный корпорацией Майкрософт.

WINS — см. «Windows Internet Name Service (WINS)».

Источник MSDN

Реклама

Создайте бесплатный сайт или блог на WordPress.com.

%d такие блоггеры, как: