Network Troubleshooting Methodology - The Systematic Approach

Достъпно също на:

Методология за отстраняване на мрежови проблеми: Системен подход

Защо методологията е от значение

Проблемът: Приложението за база данни е "бавно." Мрежовият екип обвинява сървъра. Сървърът обвинява мрежата. В същото време потребителите са разочаровани и часовете се пропиляват в кръгова дебъгване.

Решението: Систематичен, научен подход за отстраняване на проблеми, който използва доказателства, а не предположения, за идентифициране на коренови причини.

Цената на случайни отстраняване на неизправности: Загуба на време, неправилно определя, че маскира реални проблеми, пръст сочене между екипи, и деградира потребителски опит.

Въведение: Научният метод се прилага към мрежовите мрежи

Мрежово отстраняване е основно упражнение в научния метод:

Наблюдавай симптоми и събиране на данни
Формиране на хипотеза за кореновата причина
Тествайте хипотезата с диагностични инструменти
Анализиране на резултатите и да потвърди или отхвърли хипотезата
Изпълнение на корекция Въз основа на потвърдена коренова причина
Проверка Проблемът е решен.

Тази статия осигурява структурирана рамка за решаване на мрежови проблеми, която предотвратява общи капани като:

Пристрастяване за потвърждение (търсене само за доказателства, които подкрепят първоначалното си предположение)
Случайни промени без диагноза (напръскване и молитва)
Фиксиране на симптомите вместо корен причини
Циркулярни грешки без документиране на опита

Петте ключови въпроса

Преди да се потопите в техническата диагностика, отговорете на тези пет критични въпроса, за да стесните обхвата на разследването:

Въпрос 1: Какво се промени напоследък?

Промени в настройките? Нов хардуер? Софтуерни актуализации? Промени в топологията?

Проверка на дневниците за управление на промените
Преглед на последните ангажименти в системите за управление на конфигурацията
Питай: "Вчера работи ли?"

↓

Въпрос 2: Кой е засегнат?

Един потребител? Една сграда? Всички? Само специфично приложение?

Едно устройство: Вероятно местен проблем (NIC, кабел, конфигурация)
Една подмрежа: Гейтуей, DHCP или проблем с превключвателя
Всички: Основна инфраструктура, ИСП или широко разпространен въпрос
Специфично приложение: Сървър за кандидатстване, правило на защитната стена или DNS

↓

Въпрос 3: Постоянна ли е тя или е интермитентна?

Случва се постоянно? Само през определени часове? Случайни събития?

Постоянно: Твърд отказ (разрязване на кабела, неправилно конфигуриране, долу обслужване)
Въз основа на времето: Замърсяване в работно време, планирани процеси
Интермитант/рандом: Duplex несъответствие, неработещ хардуер, интермитентна връзка

↓

Въпрос 4: Можеш ли да го отхвърлиш?

Можеш ли да задействаш проблема при поискване?

Да. Много по-лесно за диагностициране (може да тества хипотези)
Не. Настройте мониторинг/логване и изчакайте повторение

↓

Въпрос 5: Какво вижда другата страна?

Проверка на двата края на връзката

Перспектива на клиента срещу сървър
Залавяне на пакет при източника срещу местоназначението
Асиметричен маршрут? Различни пътища за изпращане срещу получаване?

ОСИ подходът за диагностика, основан на модела

Моделът OSI осигурява структурирана рамка за отстраняване на проблеми. Работа от слой 1 (Физическа) нагоре, или от слой 7 (Прилагане) надолу, в зависимост от симптомите.

Подход отдолу нагоре (Layer 1 → Layer 7)

Кога да използвате: Пълна загуба на свързаност, без връзка светлина, или физически пласт симптоми

Слой 1: физически

Проверка: свързан кабел? Включи ли лампите? Влакно чисто?
Команди: show interfaces, ethtool eth0
Потърсете: КРС грешки, сблъсъци, късни сблъсъци, изтърсаци, гиганти

↓

Layer 2: Връзка с данните

Прав ли съм? Порта включен ли е? STP блокира?
Команди: show mac address-table, show spanning-tree
Потърсете: MAC махане, STP топология промени, VLAN несъответствия

↓

Слой 3: Мрежа

Проверка: Може ли пинг вход по подразбиране? Рутинна маса, нали?
Команди: ping, traceroute, show ip route
Търси: Липсващи маршрути, неправилен следващ хоп, маршрутни линии

↓

Слой 4: Транспорт

Проверка: Може ли да се установи TCP връзка? Файъруол блокира порта?
Команди: telnet host port, netstat -an, улавяне на пакети
Търсене: TCP препредаване, нула прозорци, RST пакети

↓

Layer 5-7: Сесия/Представяне/прилагане

Проверка: DNS решаване? Отговор на молбата? Автентичността работи ли?
Команди: nslookup, dig, curl -v
Търси: DNS неуспехи, грешки в приложението, проблеми с таймаут

Подход отгоре надолу (Layer 7 → Layer 1)

Кога да използвате: Специфични за приложението проблеми, при които съществува основна свързаност

Пример: "Мога да разгледам интернет, но нямам достъп до сайта на компанията SharePoint."

Започнете от Layer 7 (Is SharePoint service running? DNS решава да коригира IP?) и работи надолу само ако е необходимо.

Дървото на решението: Слой 1, 2 или 3?

Използвайте това бързо диагностично дърво, за да определите кой слой не работи:

Можете ли да пинг локален хост (127.0.0.1)?

↓ НЕ

Проблем: Оперативна система / Софтуерен проблем

TCP/IP стека не функционира. Проверете OS услугите, преинсталирайте мрежовите драйвери.

↓ ДА

Можеш ли да проследиш собствения си IP адрес?

↓ NO

Проблем: Layer 1/2 - Местен мрежов интерфейс

NIC деактивирани, грешен шофьор, кабел изключен. Проверка: ip link show или Управление на устройства

↓ YES

Можеш ли да звъннеш по подразбиране?

↓ NO

Проблем: Layer 1/2 - Местна мрежа

Проверка: Физически кабел, състояние на порта, VLAN задача, ARP таблица

↓ YES

Можете ли да пинг дистанционно хост чрез IP адрес?

↓ NO

Проблем: Layer 3 - Routing

Проверка: Рутинна маса, правила на защитната стена, ACLs. Използване traceroute да откриете къде спират пакетите

↓ YES

Можете ли да разрешите DNS (nslookup hostname)?

↓ NO

Проблем: DNS Конфигурация

Проверка: DNS сървър настройки, DNS сървър наличност, защитна стена блокиране порт 53

↓ YES

Можете ли да достигнете порта на приложението (телефонен хост порт)?

↓ NO

Проблем: Firewall / Port Blocking

Проверка: Правила на защитната стена, охранителни групи, сервизно слушане на пристанището

↓ YES

Мрежата е ОК - проблем с приложения слой

Проблемът е в самото приложение, удостоверяване или конфигурация на приложението

Изолационни техники

Когато имате хипотеза за основната причина, използвайте тези техники на изолация, за да го потвърдите или отхвърлите:

1. Замяна на компоненти Системно

Съвет: Промяна на една променлива в даден момент. Ако размените кабела и порта, няма да знаете кой го поправи.

Размяна на кабел с известен-добър кабел
Изпитване на различен порт за превключване
Опитайте различен NIC (или USB мрежов адаптер)
Тест от различно клиентско устройство
Преместване в различен VLAN/subnet

2. Packet улови в множество точки

Захващане на трафика при източника, междинните точки и местоназначението, за да се определи къде пакетите се изпускат или изменят:

# Capture on client
tcpdump -i eth0 -w client.pcap host server.example.com

# Capture on server
tcpdump -i eth0 -w server.pcap host client.example.com

# Compare:
# - Do packets leave client? (check client.pcap)
# - Do packets arrive at server? (check server.pcap)
# - If yes/no: problem is in the path between
# - If yes/yes but server doesn't respond: server-side issue

3. Тестване на гърба

Премахване на външни променливи чрез изпитване на свързаността в рамките на едно устройство:

# Test TCP stack without network
ping 127.0.0.1

# Test application listening locally
telnet localhost 80

# Test loopback on network interface (if supported)
# Some NICs support physical loopback for Layer 1 testing

4. Известни- добри изходни сравнения

Сравнете конфигурацията и поведението срещу работна система:

# Compare interface settings
diff <(ssh working-switch "show run int gi1/0/1") \
     <(ssh broken-switch "show run int gi1/0/1")

# Compare routing tables
diff <(ssh router1 "show ip route") \
     <(ssh router2 "show ip route")

Документация при отстраняване на неизправности

Правилната документация предотвратява кръговото дебъгване, където се опитвате едно и също нещо няколко пъти, без да го осъзнавате.

Грешка при отстраняване на шаблон

Issue ID: TICKET-12345
Date/Time: 2026-02-02 14:30 UTC
Reported By: Jane Smith (jane.smith@company.com)
Affected Users: ~50 users in Building A, 3rd floor
Symptom: Cannot access file server \\fileserver01

Initial Observations:
- Issue started around 14:00 UTC
- Only affects Building A, 3rd floor
- Other buildings can access fileserver01
- Ping to fileserver01 (10.1.50.10) times out from affected users
- Ping to default gateway (10.1.30.1) succeeds

Tests Performed:
1. [14:35] Checked switch port status: gi1/0/15 is UP/UP
2. [14:38] Checked VLAN assignment: Port is in VLAN 30 (correct)
3. [14:42] Checked interface errors: 1,234 CRC errors on gi1/0/15
4. [14:45] Replaced patch cable - still seeing CRC errors
5. [14:50] Moved uplink to different port (gi1/0/16) - errors persist
6. [14:55] Checked fiber cleanliness - dirty connector found

Root Cause:
Dirty fiber connector on uplink between Building A floor switch
and distribution switch causing CRC errors and packet loss

Resolution:
Cleaned fiber connector with proper cleaning kit. CRC errors
dropped to zero. File server access restored.

Verification:
Users confirmed file server accessible. Monitored for 15 minutes
with no errors.

Time to Resolution: 25 minutes

Защо документацията е от значение: Без този запис, следващият път, когато някой види КРС грешки на този превключвател, те могат да губят време за замяна на кабели и тестване портове, вместо незабавно проверка на чистотата на фибрите.

Изследвания на реални случаи

Case Study 1: "The Network is slow" (Всъщност: TCP Window Hausion)

Симптом

Времената за отговор на приложението на базата данни се влошават от <100ms до 5+ секунди. Екип за кандидатстване обвини "мрежа латентност."

Първоначални предположения (грешни)

Претоварване на мрежата
Наситена връзка WAN
Защитна стена

Диагностичен процес

Изпитване за пинг: RTT = 2m (отличен, изключва Layer 3 латентност)
Изпитване за широчина на лентата (iperf): 950 Mbps на 1 Gbps връзка (без претоварване)
Улавяне на опаковката: Разкрити TCP Zero Window пакети от сървъра на базата данни
Проверка на сървър: База данни сървър получава буфери = 64KB (малко!)

Коренна причина

База данни сървърите OS буфери бяха твърде малки за високочестотна × забавен продукт. Прозорецът ще запълни, принуждавайки подателя да чака.

Резолюция

# Increased TCP receive buffers on Linux database server
sysctl -w net.ipv4.tcp_rmem="4096 87380 16777216"
sysctl -w net.core.rmem_max=16777216

Урокът е научен

Не предполагай: "Бавно" не винаги означава "мрежа латентност." Винаги събирайте доказателства (пип за латентност, улавяне на пакети за поведение) преди да правите заключения.

Case Study 2: Intermittent Connectivity (Всъщност: Duplex Mismatch)

Symptom

Връзката със сървъра ще падне случайно, особено при натоварване. Понякога работи добре, понякога напълно не реагира.

Initial Assumptions (Wrong)

Неуспешна NIC
Лош кабел
Превключване на хардуера

Diagnostic Process

Проверка на интерфейса: Server NIC = 1000 / Full, Switch port = 1000 / Half (mismatch!)
Броячи за грешки: Масивен брой сблъсък на порта за превключване
Късни сблъсъци: Показател за двойно несъответствие

Root Cause

Автопреговорите се провалиха. Сървърът е договорил пълен сплит, превключвателят е паднал обратно на полу-дуплекс. Сблъсъците са настъпили при натоварване само когато двете страни са се опитали да предават едновременно.

Resolution

! Cisco switch - force full duplex
interface GigabitEthernet1/0/10
 speed 1000
 duplex full

Lesson Learned

Проверете двата края: Статусът на интерфейса показва договорените настройки. Несъответствието означава, че автоматичното договаряне се е провалило. Винаги е трудно кодирана скорост/дуплекс за сървъри.

Case Study 3: "Не мога да достигна някои сайтове" (Всъщност: MTU/PMTUD Black Hole)

Symptom

Потребителите могат да разглеждат някои сайтове (Google, Yahoo), но не и други (банков сайт, фирмен портал). Малките HTTP заявки проработиха, големите страници отрязаха.

Initial Assumptions (Wrong)

DNS емисия
Защитна стена блокира специфични сайтове
Проблем с маршрута на ISP

Diagnostic Process

Резолюция на DNS: Работи добре за всички сайтове
Изпитване за пинг: Може пинг "недостъпни" сайтове
Малка заявка за HTTP (curl): Работи за малки страници
Голямо изтегляне: След TCP ръкостискане
Изпитване MTU: ping -M do -s 1472 успява. ping -M do -s 1473 Провал
Мониторинг на ИЦМП: Не са получени съобщения "Необходима фрагментация" (код 4)

Root Cause

VPN тунел намали MTU до 1400, но защитната стена блокира ICMP "Необходима фрагментация" съобщения. Път MTU Discovery (PMTUD) не може да работи, създавайки MTU черна дупка. Малки пакети се побират, големи пакети с DF комплект бяха тихо изпуснати.

Resolution

! Implemented TCP MSS clamping on router
interface Tunnel0
 ip tcp adjust-mss 1360

! Alternative: Allow ICMP Type 3 Code 4 through firewall
access-list 101 permit icmp any any packet-too-big

Lesson Learned

Размер: Ако малки искания работят, но големи трансфери не успеят, подозират MTU / fragmentation въпроси. Използвайте пинг с DF бит, за да тествате пътя MTU.

Case Study 4: VoIP Quality Issues (Всъщност: QoS Misconfiguration)

Symptom

Гласовите разговори са били с прекъсващ звук, прекъсващи отпадането. Само през работното време (9am-5pm).

Initial Assumptions (Wrong)

Недостатъчна широчина на честотната лента
Сървърът VoIP е претоварен
Качество на връзката ISP

Diagnostic Process

Изпитване на широчината на лентата: Връзка само 40% използва през натоварения час
Проверка QoS: Гласов трафик маркирани с DSCP EF (46) правилно
Проверка на опашката: Гласовата опашка има само 5% разпределение на честотната лента (трябва да бъде 33%)
Улавяне на опаковката: Гласови пакети се свалят по време на претоварване

Root Cause

Политиката на QoS съществуваше, но разпределението на широчината на честотната лента беше на обратно: най-добрият ефект получи 60%, гласът получи 5%. По време на работното време, когато трафикът на данни се увеличава, гласовите пакети са били свалени поради препълване на опашката.

Resolution

! Corrected QoS policy
policy-map WAN-QOS
 class VOICE
  priority percent 33
 class VIDEO
  bandwidth percent 25
 class CRITICAL-DATA
  bandwidth percent 20
 class class-default
  bandwidth percent 22

Lesson Learned

Времеви въпроси = капацитет: Ако проблемите се случват само в натоварени часове, това не е труден провал, а капацитет / QoS проблем. Проверете статистиката на опашките, не само общата честотна лента.

Команда Референция на Symptom

Симптом	Слой	Команди за изпълнение	Какво да търсим
Няма светлина за свързване	Слой 1	`show interfaces ethtool eth0`	Състояние: долу, няма превозвач, кабелът е изключен
Загуба на пакет	Слой 1/2	`show interfaces show interfaces counters errors`	КРС грешки, изтърсаци, гиганти, сблъсъци, късни сблъсъци
Не мога да се свържа.	Слой 2	`arp -a show mac address-table show spanning-tree`	Не ARP запис, MAC не е научил, STP блокиране
Не мога да стигна до отдалечена мрежа.	Слой 3	`traceroute show ip route show ip route summary`	Липсващ маршрут, погрешен следващ хоп, маршрутен цикъл
Връзката отказана	Слой 4	`telnet host port netstat -an tcpdump`	Услугата не слуша, защитна стена блок, TCP RST
Бавно изпълнение	Слой 4+	`ping (RTT) iperf3 tcpdump show interfaces`	Висока латентност, ограничение на честотната лента, TCP препредаване, нула прозорци
Името на домакина не може да се разреши.	Слой 7	`nslookup dig cat /etc/resolv.conf`	DNS сървър недостъпен, грешен DNS config, NXDOMAIN
Интермитентни капки	Layer 1/2	`ping -f (flood) show logging show interfaces`	Duplex несъответствие, неработещ кабел, STP възстановяване
Понякога работи, не други.	Многократно	`Extended ping Packet capture Interface statistics`	Товароносимост, ECMP асиметрия, преливна маса

Кога да ескалирате

Знаеш кога да ескалираш до TAC или старши инженери. Ескалирайте, когато:

Изчерпала си всички стъпки за отстраняване на проблеми в базата ти знания.
Проблемът изисква достъп/пощения, които нямаш.
Проблемът включва софтуерен бъг или хардуерен дефект
Бизнес въздействието е критично и време-чувствително
Множество екипи трябва да си сътрудничат (заявление + мрежа + сървър)

Преди Ескалиране: Документирай всичко, което си опитал. Инженерите се нуждаят от тази информация, за да не повтарят стъпките ви. Включване:

Пълно описание на симптомите
Времева линия на началото на емисията
Диагностичните команди работят и тяхната продукция
Подкрепления на настройките
Улавяне на опаковки (ако е приложимо)
Това, което вече опита.

Изграждане на база за лично познание

Всяко отстраняване на проблеми е възможност за учене. Изграждане на база от лични знания:

1. Създаване на списание за отстраняване на неизправности

# Example structure
~/troubleshooting-journal/
├── 2026-01-15-duplex-mismatch.md
├── 2026-01-22-mtu-black-hole.md
├── 2026-02-02-tcp-window-exhaustion.md
└── README.md  # Index of all issues

# Each file contains:
# - Symptom
# - Diagnostic steps
# - Root cause
# - Resolution
# - Lessons learned
# - Related tickets/documentation

2. Изграждане на Command Cheat Sheet

Организирайте често използвани команди по сценарий за бърза справка по време на отстраняване на неизправности.

3. Документирайте мрежата си

Топология диаграми (Layer 2 и Layer 3)
Документация на IP адресната схема
Задачи на VLAN
Стандартни конфигурации (температура)
Известни-добри базови стойности (интерфейс статистика преди проблеми)

Общи антипатери, за да се избегне

Не: Направете случайни промени без диагноза

Промяната на конфигурацията без разбиране на проблема често прави нещата по-лоши или маскира истинския проблем.

Да приемем, че мрежата винаги е виновна.

Често "мрежови проблеми" са приложения, сървър, или клиентски проблеми. Съберете доказателства преди да приемете вината.

Не: Пропуснете документирането на вашите стъпки за отстраняване на проблеми

Ще си губите времето да повтаряте тестове, които вече сте направили или не можете да обясните на колегите какво сте опитали.

Игнорирай нередовните въпроси

Интермитентните проблеми често са ранни предупредителни признаци на предстоящ провал. Разследвайте ги преди да са станали критични.

Не: Fix симптоми вместо корен причини

Рестартиране на устройство може да възстанови услугата, но ако не разберете защо е необходимо рестартиране, проблемът ще се повтори.

Резюме: Системен списък за отстраняване на неизправности

Преди да започнете

Отговори на петте ключови въпроса (Какво се промени? Кой е засегнат? Постоянно или периодично? Възпроизвеждане? Какво вижда другата страна?)
Съберете първоначалните симптоми и потребителски доклади
Проверка за скорошни промени или поддръжка

По време на отстраняване на неизправности

Работа методично чрез OSI слоеве (отдолу нагоре или отгоре надолу)
Промяна на една променлива по време на изпитването
Документирайте всяко изпитване и резултата от него
Използване на пакети за улавяне, за да видите действителното поведение на трафика
Сравнение с известните- добри изходни стойности

След решението

Проверка на действително решаване на проблема
Основна причина и резолюция на документа
Обновяване на базата си знания
Ако конфигурацията е променена, актуализирайте документацията
Помисли върху следното: Възможно ли е наблюдението да се е случило по - рано?

Заключение

Проблемите в мрежата са както наука, така и изкуство. Науката следва систематична методология, използвайки правилно диагностични инструменти и протоколи за разбиране. Изкуството е да знаеш кои тестове да се провеждат първо въз основа на симптомите, разпознавайки модели от опит, и знаейки кога да ескалира.

Като следвате систематичния подход, очертан в тази статия, задавайки правилните въпроси, работейки методично чрез модела OSI, документирайки стъпките си и учейки се от всеки въпрос, вие ще станете по-ефективни при отстраняване на проблеми и избягване на общите капани, които водят до загуба на време и неправилни поправки.

Запомни: Целта не е само да се възстанови услугата, но и да се разбере защо се провали, за да не се случи отново.

Последна актуализация: февруари 2, 2026 г.