案例分析 －某电业局网络故障诊断(网络严重阻塞)

一、故障描写
故障地点：
某电业局

故障现象：
网络严重阻塞，内部主机上网甚至内部主机间的通信均时断时续。

故障详细描写：
网络突然涌现通信中断，某些VLAN不能访问互联网，且与其它VLAN的访问也会涌现中断，在机房中进行ping包测试，创造中心交换机到该VLAN内主机的ping包响应时间较长，且涌现间歇性丢包，VLAN与VLAN间的丢包情况则更加严重。

二、故障详细分析

1.前期分析
初步断定引起问题的原因可能是：交换机ARP表更新问题、广播或路由环路故障、人为或病毒攻击
需要进一步获取的信息：网络拓扑结构及正常工作时的情况、交换机ARP表信息及交换机负载情况、网络中传输的原始数据包

2.具体分析
首先，我们从网络管理员那儿，得知了网络中主机共450台左右，同时得到了网络的简略拓扑图，如图1所示。
  



（图1　网络原始拓扑简图）

从图1可以知道，网络中划分了6个VLAN，分辨是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中201～205这5个VLAN分辨用于一个部门，而206为服务器专用网段。各VLAN同时连接上中心交换机（Passport 8010），中心交换机再连接到防火墙，由防火墙连接到Internet以及省单位。

大致懂得了网络拓扑后，我们以超级终端方法登录中心交换机，创造交换机的负载较大，立即打扫交换机ARP表并重启，但故障仍然存在，于是我们决定对网络进行抓包分析。

在中心交换机（Passport 8010）上配置好端口镜像（具体配置信息，略），并将安装科来网络分析系统的笔记本接到中心交换机的镜像口上，安装好后网络的拓扑简图如图2所示。
  



（图2　安装科来网络分析系统后的网络拓扑简图）

由于科来网络分析系统可以跨VLAN对数据进行捕获分析，所以在中心交换机上接入安装科来网络分析系统的笔记本后，网络的拓扑结构并未产生任何转变。
打开笔记本上的科来网络分析系统，捕获数据包约1分钟（捕获结束后创造确实时间是53秒）后结束捕获，并对捕获到的数据通信进行分析。


将节点浏览器定位到物理端点下的本地网段，我们创造MAC地址为00:00:E8:40:44:99的主机，下面共有40个IP地址，如图3。




（图3　定位本地网段的端点视图）

我们知道，在正常情况下，一个MAC地址下面涌现多个IP地址，只可能有以下几种情况之一：网关、**********、手动绑定多个IP地址。咨询网络管理员得知，该网段内的机器均只绑定了一个MAC地址，且没有**********，同时该MAC也不是网关MAC地址，由此，我们猜忌，该主机可能存在诱骗攻击。

本消息共2页,当前在第1页  1  2