网络异常流量排查方法故障现象:2015.2.2—2.6连续4天,XXX大厦网络延时高,且有丢包现象。从核心交换机z8905上ping直连路由器接口地址丢包,如图:图中的点即为丢包。正常情况下,XXX大厦网络为(从电脑pingDNS服务器):联系广域网回复说从路由器往上ping石油网正常。排查过程:一、在电脑使用tracert命令查看哪条路由延时高:二、查看网络出口情况:查看z8905的端口Gei_1/3端口利用率以及有无CRC错包:结论:网络出口正常。三、查看核心交换机直连路由器链路情况:1、示意图为:z8905(端口G1/3)——H3C(端口G8/0),更换连接网线后,问题依旧。2、在z8905上使用showvctintGei_1/3查看线路质量,显示网线质量很好,如图:结论:核心交换机上联直连路由器网线正常。四、查看核心交换机至用户链路情况:排查下行链路:从电脑ping网关(网关在接入交换机上)正常,从网关ping核心交换机正常。结论:局域网链路正常。四、查看局域网用户情况:1、在z8905的端口Gei1/3上做端口镜像(源),在z8905的端口Gei5/48上做端口镜像(目的),在电脑上安装wireshark,将电脑连接z8905的端口Gei5/48,同时ping路由器172.16.127.194,延时高时,进行抓包。配置为:intgei_1/3monitorsession1sourceintgei_5/48swacvl801noshutmonitorsession1destination查看是否配置成功:2、分析抓包:点击source进行排序,发现这一段包里面一大半都是源地址为172.16.120.17的会话,172.16.120.17的TCPwindow都特别小只有60多个字节。正常的回话都是比较大的。大量低于64字节的包不是太正常。有可能是那个地址造成的,大量60字节的包占用了很多tcp连接资源,60字节是空包了,没有数据信息。结论:分析后,网络正常,但是172.16.120.17这个用户没在线,待网络再次延时高时,继续抓包定位此用户。简单抓包分析方法:点击source进行排序,查看回话数量多的ip,再看包大小(小于64b不正常)、序列号(seq总为1不正常)
