資源描述:
《【精品】案例分析-許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷15》由會員上傳分享�����,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫�。
1�����、案例分析一許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷故障描述故障地點:河南省許呂某網(wǎng)吧網(wǎng)絡(luò)環(huán)境:網(wǎng)吧大概有200臺電腦��,采用雙WANfll口(電信和網(wǎng)通)訪問互聯(lián)網(wǎng)��,網(wǎng)絡(luò)結(jié)構(gòu)較為簡單,外網(wǎng)f路由器f主交換機一>二層交換機->客八端�。故障詳細描述:同時接上兩個外網(wǎng)出口時,整個網(wǎng)絡(luò)訪問通訊出現(xiàn)異常�,網(wǎng)絡(luò)速度異常緩慢,很多川戶甚至不能上網(wǎng)��,在客戶端進行ping包測試時發(fā)現(xiàn)����,本地客戶端嚴重丟包,斷開網(wǎng)通的外網(wǎng)出口���,網(wǎng)絡(luò)卻乂恢復正常��,ping包測試也無界常�����。故障分析由于在斷開網(wǎng)通的線路后����,網(wǎng)絡(luò)訪問正常,初步懷疑是網(wǎng)通線路問題�,于是川筆記本單
2、獨接網(wǎng)通線路測試�����,一切正常���,所以首先排除了網(wǎng)通線路的問題����。在排除線路問題示�,我們將問題重點放在了內(nèi)網(wǎng)主機檢查上��。山于網(wǎng)絡(luò)速度緩慢并且出現(xiàn)斷網(wǎng)的情況��,所以懷疑網(wǎng)絡(luò)中有主機感染ARP或其他孀蟲病毒攻擊導致網(wǎng)絡(luò)癱瘓�����,于是決定用科來網(wǎng)絡(luò)分析系統(tǒng)抓包分析,在中心交換機上做好端口鏡像,在筆記木上安裝科來網(wǎng)絡(luò)分析系統(tǒng)���,將筆記木接到屮心交換機的端口上�,啟動科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲數(shù)據(jù)����,約6分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。我們首先了解網(wǎng)絡(luò)的整體運行狀態(tài)�����,在概要統(tǒng)計視圖屮可以看到:網(wǎng)絡(luò)的總共流蜃為1.828GB,而利用率則達到
3�、了近80%,這是網(wǎng)絡(luò)緩慢的一個重要指示參數(shù)。我們再看TCP的參數(shù)信息����,此處,TCP的同步數(shù)據(jù)包?結(jié)束連接數(shù)據(jù)包分別是17796和9963個��,由TCP的工作原理我們知道�,TCP在工作時首先會通過三次握手建立連接,數(shù)據(jù)傳輸完成后���,必須關(guān)閉連接��,在建立握手的時候����,會產(chǎn)生2個同步數(shù)據(jù)包,而關(guān)閉連接的時候�����,也會產(chǎn)生2個同步數(shù)據(jù)包�����,所以���,理論情況卜1個TCP連接的同步數(shù)據(jù)包與結(jié)朿連接數(shù)據(jù)包應(yīng)該大致相等�����,如果二者的數(shù)據(jù)包相差較大����,說明當前的網(wǎng)絡(luò)傳輸不正常�。如圖1。-統(tǒng)計信息開始日期開始時間持續(xù)時間2009-05-1916:2
4�����、9:4500:06:49+物理錯誤+802.3錯誤日網(wǎng)絡(luò)克星字節(jié)數(shù)據(jù)包利用率每秒位數(shù)平均利用率總共疣星1.828GB3,628,79879.064%79.064Mbps38.396%發(fā)送廣播流量309.546KB3,4850.003%3.136Kbps0.006%發(fā)送組播流量1.928KB270.000%0bps0.000%E數(shù)暑包大小分布字節(jié)數(shù)據(jù)包利用率毎秒位數(shù)平均利用率<=6422.928MB375,6600.509%508.928Kbps0.470%65-127151.606MB1,653,8735.17
5�����、9%5.179Mbps3.109%128-25537.549MB231,5711?579%1.579Mbps0.770%256-51129.146MB84,9761.021%1.021Mbps0.598%512-1023105.893MB160,9344.022%4.022Mbps2.172%1024-15171.106GB850,53463.062%63.062Mbps23.222%>=1518392.683MB271.2503.692%3.692Mbps8.054%BTCP數(shù)番包字節(jié)數(shù)據(jù)包利用率每秒位數(shù)平均
6�����、利用率TCP同步數(shù)據(jù)包1.311MB17,7960.015%15.136Kbps0.027%TCP結(jié)束連接數(shù)據(jù)包1.617MBIgz9830.017%16.712Kbps0.033%TCP復位數(shù)據(jù)包427.146KB16,8330.011%10.752Kbps0.009%BTCP連接J計數(shù)初始化TCP連接8,878成功建立的TCP連接8,064&DHS分析計數(shù)1DNS諳求2���、009DNS正確響應(yīng)1,877選擇端點視圖���,我們發(fā)現(xiàn),IP地址為192.168.1.2這臺主機的網(wǎng)絡(luò)連接數(shù)鮫多�,并H流量也比較大,所以�,我
7、們定位這個IP,單獨對其分析����。在節(jié)點瀏覽器中選擇192.168.1.2,打開矩陣連接視圖����,我們看到����,該主機的通訊主機數(shù)達到T1000個,并且很大一部分為單向流量�,如圖2。擾要統(tǒng)計診斷端點協(xié)議會話矩陣數(shù)據(jù)包日志圉表報表選??需���;邀隸8�、(1)218.206.128^45(1)58.83.127243(1)121.14.222.173(1)123.54.1847(1)219.129.83.8(1)202,104.231.17(1)219.129.83.9(1)119.120.94.143(1)121.10.24.67(1)117.83.40.27(1)118.122.36.142(1)202,104.231.15(1)
