一、Linux網(wǎng)絡(luò)結(jié)構(gòu)特點

　　由于Linux是在Internet上發(fā)展成熟的操作系統(tǒng)，因此，它具有與生俱來的網(wǎng)絡(luò)功能，特別在Internet和Intranet的功能上有明顯優(yōu)勢。但是由于Linux的桌面應(yīng)用和Windows的差距，除了一些Linux專門實驗室之外大多數(shù)企業(yè)應(yīng)用Linux系統(tǒng)時:往往是Linux和Windows或Unix等操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)。掌握Linux TCP/IP的網(wǎng)絡(luò)模型（見圖－1所示），掌握OSI網(wǎng)絡(luò)模型、TCP/IP模型及相關(guān)服務(wù)對應(yīng)的層次對于Linux網(wǎng)絡(luò)故障分析與排除是非常重要的。據(jù)統(tǒng)計，Linux網(wǎng)絡(luò)故障有35％在物理層、25％在數(shù)據(jù)鏈路層、10％在網(wǎng)絡(luò)層、10％在傳輸層、10％在對話、7％在表示層、3％在應(yīng)用層。由此可以看出，網(wǎng)絡(luò)故障通常發(fā)生在網(wǎng)絡(luò)七層模型的下三層，即物理層、鏈路層和網(wǎng)絡(luò)層。對應(yīng)于實際網(wǎng)絡(luò)也就是使用的網(wǎng)絡(luò)線纜、連接模塊、網(wǎng)卡、交換機、路由器等設(shè)備故障。這些故障可能因為硬件的質(zhì)量或性能、磨損老化、人為誤操作、不正確的網(wǎng)絡(luò)協(xié)議設(shè)置、管理問題、Linux軟件的BUG、系統(tǒng)受到黑客攻擊和Linux病毒等原因造成。OSI的層次結(jié)構(gòu)為網(wǎng)管員分析和排查故障提供了非常好的組織方式。由于各層相對獨立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。

圖－1 Linux TCP/IP四層模型和OSI七層模型對應(yīng)

　　把OSI七層模型和Linux TCP/IP四層網(wǎng)絡(luò)模型對應(yīng)，然后將各種網(wǎng)絡(luò)協(xié)議也規(guī)檔，這樣有利于網(wǎng)絡(luò)故障的排除。TCP/IP模型各個層次的功能和協(xié)議見表－1。

　　需要重點說明的是: TCP/IP與OSI最大的不同在于OSI是一個理論上的網(wǎng)絡(luò)通信模型，而TCP/IP則是實際運行的網(wǎng)絡(luò)協(xié)議。圖2示出TCP/IP的主要協(xié)議分類情況。

圖－2

圖－3 Linux網(wǎng)絡(luò)拓撲圖

　　叢圖3中可以看出這是一個典型的中型Linux異構(gòu)以太網(wǎng)絡(luò)。包括各種服務(wù)器、防火墻。網(wǎng)絡(luò)節(jié)點在300個左右，對于這個網(wǎng)絡(luò)故障應(yīng)當叢網(wǎng)絡(luò)硬件傳輸問題開始，然后檢查軟件設(shè)定問題。

　　二、Linux網(wǎng)絡(luò)故障

　　1.網(wǎng)絡(luò)硬件傳輸問題

　　網(wǎng)絡(luò)硬件傳輸問題引起的故障主要指連通性故障。

　?。?）網(wǎng)絡(luò)線纜　

　　在圖－3中可以發(fā)現(xiàn)，網(wǎng)絡(luò)接口設(shè)備中使用最多的是網(wǎng)絡(luò)線纜　。由于網(wǎng)絡(luò)線纜　經(jīng)常接在墻角和門縫處，有可能被壓壞。所以，需要注意網(wǎng)線是否因被截斷、網(wǎng)線過度扭曲變形、自制網(wǎng)絡(luò)接頭（如RJ-45跳線頭）品質(zhì)不良造成訊號不良；網(wǎng)絡(luò)接頭與設(shè)備（如集線器、路由器、交換機）接觸不良等。網(wǎng)絡(luò)線纜的檢測通常使用網(wǎng)絡(luò)線纜測試儀。它主要用于測試目前大家常用的遮敝式雙絞線、非遮敝式雙絞線及同軸纜線等。一般來講網(wǎng)絡(luò)線纜測試儀都有偵測纜線錯誤狀態(tài)功能，網(wǎng)線是否開路，是否短路以及相反、交叉、分離等即可就可辨別，同時在一定的范圍內(nèi)還可量測纜線的長度，更主要的是用它來核對雙絞線末端到末端連接是否符合 EIA/TIA 568商業(yè)建筑電信布線標準?！?

　　（2）網(wǎng)卡、集線器、路由器、交換機、ADSL調(diào)制解調(diào)器等網(wǎng)絡(luò)硬件設(shè)備

　　1、網(wǎng)卡不穩(wěn)定、品質(zhì)不佳，或者與整體系統(tǒng)的兼容性不佳； 各網(wǎng)絡(luò)設(shè)備的接觸不良，造成訊號衰減； 網(wǎng)絡(luò)設(shè)備使梅椒ú渙跡?斐繕璞腹δ芩ゼ醯榷薊嵩斐紗?湮侍?。?ǖ募觳飪梢醞ü??ǖ腖ink燈代表網(wǎng)線的好壞或者與Hub的連接是否正確，網(wǎng)卡的100M燈代表是否是100M連接。
　　2、高品質(zhì)的路由器、交換機一般都有液晶顯示菜單，實時顯示運行狀態(tài)，可以從中看出設(shè)備的故障情況。大部分網(wǎng)絡(luò)設(shè)備的物理層的信息雖然標識一樣，但在細節(jié)上很不相同，需要仔細研讀產(chǎn)品說明書來了解。另外可以在交換機上觀察各以太口上獲得的MAC地址來判斷故障。鏈路層的信息一般和物理層的信息交織在一起，除非出現(xiàn)誤碼率高和設(shè)備運行狀態(tài)不穩(wěn)定等，都不需要對鏈路層進行排障。
　　3、ADSL調(diào)制解調(diào)器:POWER: 當ADSL路由器接上電源后，電源LED指示燈會亮起。如果LED指示燈熄滅的話，請檢查您的電源接線是否正確。STATUS: 當ADSL Modem與局端設(shè)備握手時會閃爍，連線后會常亮。LINE 當廣域網(wǎng)線路聯(lián)通時，指示燈會亮起；在線路有數(shù)據(jù)傳送時會閃爍。PC 局域網(wǎng)聯(lián)機LED指示燈。當聯(lián)機上以太網(wǎng)時，此燈會亮起；在未連接以太網(wǎng)時，此燈是熄滅的。以太網(wǎng)有數(shù)據(jù)傳輸時閃爍。 TEST 測試用，常滅。

　　（3） 網(wǎng)絡(luò)設(shè)備配置的規(guī)則
　
　　各個網(wǎng)絡(luò)設(shè)備的配置都是有規(guī)則的。太長的網(wǎng)絡(luò)線會造成訊號的衰減，導(dǎo)致網(wǎng)絡(luò)聯(lián)機的時間太長甚至無法聯(lián)機。 例如100兆以太網(wǎng)要遵守5-4-3-2-1網(wǎng)絡(luò)標準：5-最多有5個網(wǎng)段且干線總長最大為2469m。4-最多連4個中繼器。 3-其中3個干線段上連工作站，一個干線最多100個工作站，中繼器相當于一個工作站，干網(wǎng)的每一端均需50歐姆的端界器，其中一個必須接地。2-有兩個網(wǎng)段只用來擴長而不連任何工作站，1-由此組成一個局域網(wǎng)，工作站到收發(fā)器最大距離50m，收發(fā)器最小間距2.5m。

　　（4）UPS電源

　　UPS電源是一個容易被忽視的環(huán)節(jié)。由于核心路由器、大型交換機、基帶式“貓”等網(wǎng)絡(luò)設(shè)備對電壓和接地都非常敏感，因此，對于這些網(wǎng)絡(luò)，應(yīng)當使用性能優(yōu)良的在線式UPS作為供電電源，對于服務(wù)器10個以上,節(jié)點在300個以上的中型網(wǎng)絡(luò)最好使用10000W功率以上的，從而可以將所有的網(wǎng)絡(luò)設(shè)備都連接在同一電源，避免不同設(shè)備間的電壓差別。此外，機房和機柜要有非常好的接地措施，并為所有設(shè)備建立一條地線保證接地電壓相同，確保網(wǎng)絡(luò)設(shè)備正常進行。

　　2.軟件問題

　?。?）網(wǎng)卡的IP地址設(shè)定錯誤

　　網(wǎng)卡是Linux網(wǎng)絡(luò)中的最常用設(shè)備，通常Linux服務(wù)器要安裝兩塊以上網(wǎng)卡。網(wǎng)卡IP地址的設(shè)定不當是導(dǎo)致網(wǎng)絡(luò)故障的最常見原因。例如，同一個IP在同一個網(wǎng)段中出現(xiàn)造成IP沖突、子屏蔽網(wǎng)絡(luò)設(shè)定錯誤等。

　?。?）路由問題（Router）

　　這方面的問題出在網(wǎng)關(guān)的設(shè)定錯誤，或者是路由設(shè)定不正確，導(dǎo)致資料封包沒有辦法順利地送出去。路由器是

　　（3）網(wǎng)絡(luò)負荷問題（Loading）

　　當黑客對網(wǎng)絡(luò)實施拒絕服務(wù)攻擊時，同時有大量的信息包涌服務(wù)器或交換機和路由器，就有可能造成網(wǎng)絡(luò)的停頓甚至掛起。許多Linux網(wǎng)絡(luò)故障是由于Linux服務(wù)器遭到系統(tǒng)攻擊引起的。

　?。?）NAT問題

　　NAT 無法正確的工作原因有很多，不過，如果您確定您的局域網(wǎng)絡(luò)聯(lián)機已經(jīng)正常，而且主機可以正確的連上 Internet，另外，客戶端的 DNS 設(shè)定也是正確的，那么可能發(fā)生的問題大概就是沒有將轉(zhuǎn)發(fā)功能打開，使用命令：

　?。cho 1 > /proc/sys/net/ipv4/ip_forward

　　如果使用采用iptables作為NAT服務(wù)器接入網(wǎng)絡(luò)，還要通過NAT將內(nèi)網(wǎng)IP轉(zhuǎn)換為外網(wǎng)IP，隱藏內(nèi)部網(wǎng)絡(luò)
　　iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 110 -j SNAT --to-source 202.112.133.119

　　iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 110 -j SNAT --to-source 202.112.133.119

　　其中：該入服務(wù)器的eth0接口連外網(wǎng)，IP地址為202.112.133.119。eth1接口連局域網(wǎng)，IP地址為192.168.0.1；局域網(wǎng)內(nèi)部有一臺Web服務(wù)器，IP地址為192.168.0.100。

　?。?）其它

　　防火墻是Linux網(wǎng)絡(luò)安全的關(guān)鍵部件，能夠探測和阻擋的攻擊。以Redhat Linux為例安裝時已經(jīng)內(nèi)至三種不同級別（標準、高、無防火墻）的防火墻。有時候選擇最高級別防火墻會讓一些通信端口被防火墻擋住了，造成無法執(zhí)行某些網(wǎng)絡(luò)資源。如果沒有指定具體情況,系統(tǒng)應(yīng)用默認的防火墻級別即高級別防火墻,是指系統(tǒng)指允許DHCP網(wǎng)絡(luò)鏈接、技術(shù)消息服務(wù)（IRC）和實時音頻處理。中級別防火墻禁止運行遠程會話、遠程NFS 、FTP、SSH、HTTP、Telnet和端口好低于1023的如何連接。

　　對于如何選擇你自己的安全級別，要從您的工作需求決定。如果你目前只是學習Linux基礎(chǔ)知識和編程，可以將級別降低一下，一旦你準備將企業(yè)應(yīng)用或關(guān)鍵應(yīng)用放到Linux平臺上時，則應(yīng)提高安全級別。另外在代理服務(wù)器（Squid）、文件服務(wù)器（Samba）等故障中也要考慮防火墻設(shè)定問題。

　　另外Linux內(nèi)核存在的漏洞問題；應(yīng)用程序中BUG；以及不同的操作系統(tǒng)的兼容性問題；設(shè)備驅(qū)動的缺少也是發(fā)生Linux網(wǎng)絡(luò)故障的原因。