下载后可任意编辑案例分析 - 某电业局网络故障诊断一、故障描述故障地点:某电业局故障现象:网络严重堵塞,内部主机上网甚至内部主机间的通讯均时断时续。故障详细描述:网络突然出现通讯中断,某些 VLAN 不能访问互联网,且与其它 VLAN 的访问也会出现中断,在机房中进行 ping 包测试,发现中心交换机到该 VLAN 内主机的 ping 包响应时间较长,且出现间歇性丢包,VLAN 与 VLAN 间的丢包情况则更加严重。二、故障详细分析1. 前期分析初步推断引起问题的原因可能是:交换机 ARP 表更新问题广播或路由环路故障人为或病毒攻击需要进一步猎取的信息:网络拓扑结构及正常工作时的情况交换机 ARP 表信息及交换机负载情况网络中传输的原始数据包 下载后可任意编辑2. 具体分析首先,我们从网络管理员那儿,得知了网络中主机共 450 台左右,同时得到了网络的简单拓扑图,如图 1 所示。(图 1 网络原始拓扑简图)从图1可以知道,网络中划分了6个VLAN,分别是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、,其中 201~205 这 5 个 VLAN 分别用于一个部门,而 206 为服务器专用网段。各 VLAN 同时连接上中心交换机(Passport 8010),中心交换机再连接到防火墙,由防火墙连接到 Internet 以及省单位。大致了解了网络拓扑后,我们以超级终端方式登录中心交换机,发现交换机的负载较大,立即清除交换机 ARP 表并重启,但故障仍然存在,于是我们决定对网络进行抓包分析。在中心交换机(Passport 8010)上配置好端口镜像(具体配置信息,略),并将安装科来网络分析系统的笔记本接到中心交换机的镜像口上,安装好后网络的拓扑简图如图 2 所示。 下载后可任意编辑(图 2 安装科来网络分析系统后的网络拓扑简图)由于科来网络分析系统可以跨 VLAN 对数据进行捕获分析,所以在中心交换机上接入安装科来网络分析系统的笔记本后,网络的拓扑结构并未发生任何改变。打开笔记本上的科来网络分析系统,捕获数据包约 1 分钟(捕获停止后发现确切时间是 53秒)后停止捕获,并对捕获到的数据通讯进行分析。将节点浏览器定位到物理端点下的本地网段,我们发现 MAC 地址为 00:00:E8:40:44:99 的主机,下面共有 40 个 IP 地址,如图 3。 下载后可任意编辑(图 3 定位本地网段的端点视图)我们知道,在正常情况下,一个 MAC 地址...
