故障现象
笔者单位有一台CISCO 2611路由器,一直运行正常,但最近出现一个奇怪的故障现象:笔者某天连接Console线到路由器,启动时按"Ctrl+Break"键,想进入Rornmon模式,屏幕上显示
uncompress...
ios version.
Press Return to get statrted
按回车键显示
Bluelab Network
owners:winner-ted/takker
Email:winner-ted@7up.cor
BlueLab
看现象,路由器好像是被人 "黑"了,以上三行都是黑客写的,并把Rommon提示符改了,而且在这种模式下修改启动注册值的命令也没了。
诊断过程
笔者查看网络日志,没有发现外部IP地址入侵的迹象,估计是有人恶作剧,把原来的用户改成了低级别用户,再在用户登陆的时候加个banner而已。
查阅资料得知 "crtl土break"也可以被屏蔽掉的,如果是笔记本电脑连在Console口上,另外有的时候可能按 "ctrl+break"是无效的,还要和功能键配合才行。
经过反复实践,笔者找到了让路由器自动逼到Rommon下的方法。
(1)用以下的超级终端设置连接到路由器
1200 baud rate
No parity
8 data bits
1 stop bit
No flow control
这时候在屏幕上没有任何输出信息,这是正常的。
(2)将路由器关机后重新启动,接住空格键10-15s,这个操作将会给路由器一个信号,与按下"Ctrl+Break"键相似。
(3)断开终端,用9600b/S的速率连接到路由器,就可以自动回到ROMMonitor模式下。
排除心得
本例是比较特殊的路由故障:是由于内部人员管理不严,任意修改路由配置引发的问题。而对于常见的路由故障,我们可以采用下面的一些方法来判断。
从局域网到某个Internet站点需经过多次路由转发,出了故障,需要判断出哪一个路由器出问题,至少判断出在什么范围出问题,才能进而设法解决。分析故障经常使用两条诊断命令:Ping和Tracert,这两条命令均在提示符方式下运行。Ping命令可以显示源主机和目标主机的IP联系。如Ping 204.71.200.67(目标主机也可写域名,如Ping www.yahoo.cor,由域名服务器解析成IP地址),表示源主机向目标主机(204.71.200.67)发送一数据请求包,目标主机收到请求包后即发回一响应数据包,源主机收到后显示这一过程所花的时间。超过规定的时间还没有得到响应,则显示超时错误。Internet不能访问了,Ping ISP最后一个路由器,不通,说明问颠就在ISP的范围内。但这里有一个缺陷,因为和目标的连接要经过多次路由转发,问题究竞出在哪一个路由上就说不清楚了;再说ISP的路由器IP地址有时要调整,有时Pinq会无从下手。
Tracert命令扩展了Pinq命令的功能,它可以告诉我们到达目的主机经过哪些路由及等待时间,即给出了IP访问的路径图,它在跟踪链接、测定高等待时间区域等方面很有帮助,给诊断上网故障带来很大的便利。同Ping命令的格式一样,Tracert命令后面也是加上一个目的IP地址或域名地址。如果想知道访问新浪网站的路径可键入命令tracert202.106.184.200或tracert www.sina.com.cn,中间经过的路由站点一目了然;如果最终到不了新浪服务器,在哪里断了链也很容易看出来(出现*号的地方)。访问Internet的数据在每一级路由器都要有重新封装报文、检查路由表等一系列的工作要做,需要一定的时间,因此ISP的路由次数愈少愈好,而且每一级路由器处理速度要快(正常耗时不超过50ms)。用Tracert命令就可以清楚知道上述数据,便于对ISP服务质量进行监督。