案例分析 - 某中学网络故障诊断一、故障描述故障地点:江苏省某中学校园网故障现象:严重网络堵塞,客户机之间相互 ping 时严重丢包,校园网用户访问互联网的速度非常慢,甚至不能访问
故障详细描述:整个校园网突然出现网络通讯中断,内部用户均不能正常访问互联网,在机房中进行 ping包测试时发现,中心机房客户机对中心交换机管理地址的 ping 包响应时间较长且出现随机性丢包,主机房客户机对二级交换机通讯的通讯丢包情况更加严重
二、故障详细分析1
前期分析初步推断引起问题的原因可能是:交换机 ARP 表更新问题广播或路由环路故障病毒攻击需要进一步猎取的信息:ARP 信息交换机负载网络中传输的原始数据包2
故障具体分析排查开始实际具体排查工作:1
在主机房的客户机和以下的客户机上分别使用“arp –a”命令查看 ARP 缓存信息,结果正常;2
登录中心交换机查看各端口的流量,由于交换机反应速度较慢,操作超时,无法获得负载的实际流量;3
使用科来网络分析系统 5
0 捕获并分析网络中传输的数据包,具体过程如下
在中心交换机上做好端口镜像配置操作,并将分析用笔记本接到此端口上,启动科来网络分析系统 5
0 捕获分析网络的数据通讯,约 2
5 分钟后停止捕获并分析捕获到的数据包
XX 中学校园网的主机约为 1000 台,一般情况下,同时在线的有 600 台左右
在停止捕获后,我们在科来网络分析系统 5
0 主界面左边的节点浏览器中发现,内部网络(Private-Use Networks)同时在线的 IP 主机达到了 6515 台,如图 1,这表示网络存在许多伪造的 IP 主机,网络中可能存在伪造 IP 地址攻击或自动扫描攻击
选择连接视图,发现在约 2
5 分钟的时间内网络中共发起了 3027 个连接,且状态大多都是客户端请求同步,即三次握手的第一步,由 TCP 工作原理
