网络故障诊断方法与实践.ppt

Vision for the Enterprise Performance Management Market 网络故障诊断方法与实践 建设满足企业业务需求的网络运维管理系统 网络故障诊断方法 企业网故障诊断的方法实践 企业网的故障诊断（链路轴） 企业网的故障诊断（协议轴） 流量、协议分析的关键（如何了解网络中的流量） 数据源来自设备 SNMP轮询 Netflow 数据源来于独立硬件 镜像捕捉 在线捕捉 网络故障诊断实践案例  －－异常流量分析 异常流量类型 案例一：链路流量中出现错误帧，导致丢包 端口自适应失败（不匹配） 案例二：带宽使用异常 非业务应用占用业务应用带宽 案例三：站点ARP流量异常 站点病毒导致网络ARP流量异常 案例四：异常的主机行为 通过TELNET端口发起DDoS攻击 案例一 自适应问题导致链路出现错误流量 自适应问题的测试 总有用户报怨”网络太慢”或”无法与服务器连接”，有什么办法可以判断是否由自适应问题引起的呢？ 从网络监测的角度看，可以使用SNMP协议从交换机的MIB库中读取基本的流量统计信息。 例如: 端口利用率 帧的数量及其中的错误类型 冲突和CRC错误帧 如果有大量的冲突或CRC错误被检测到，就有可能是自适应失败。 端口自适应过程 NLP FLP FLP 自动检测的顺序 自适应 是在IEEE 802.3u 中规定。其好处是在不需用户参与设定的情况下，自动以最高速率连接 1000BASE-T 全双工 1000BASE-T 半双工 100BASE-T2 全双工 100BASE-TX 全双工 100BASE-T2 100BASE-T4 (只能半双工) 100BASE-TX 半双工 10BASE-T 全双工 10BASE-T 半双工 双工问题综合比较表 案例二 非业务应用占用业务应用带宽 故障现象: 某公司在上海的分支部分抱怨与总部的服务器连接慢 应用和数据库管理员说 “数据库与应用性能很好” 案例三 站点病毒导致网络ARP流量异常 网络发生故障 某天正是在上班时间，**公司网管接到投诉说上网和发邮件很慢，并且时断时续。经查证内网间访问一切正常，但在访问外网时连接不稳定甚至中断，并且此故障存在于全网范围内。 网络拓扑图简介（IP网段：192.168.0.xxx） 故障分析排查步骤 1、此次故障只是针对于访问外网，而在内网一切正常。 路由器故障。 查看路由器工作的指示灯一切正常， 登陆路由器查看WAN口流量也不大，不存在与外网连接链路带宽被占用情况。 更换路由器与交换机的连接线后故障依然存在。 将路由器重启，故障依旧。 2、因为是在公司的正常上班时间，所以必须要在最短的时间内排除故障。 3、采用ES网络通，在交换机上随便找个接口连接到了网络中。 查看本地网络带宽 查看广播数据包的占用情况 分析 查看本地带宽和带宽占用情况是想了解网络中是否出现了广播风暴，但从查看的结果来看，各种数据包的占用情况属于正常。 接下面查看各协议的分布情况。 查看协议分布情况 查看ARP的详细情况 分析： 从协议分布结果中看到ARP包的百分比占用率84.5%这对于一个正常的网络来说显得有些过高。 在随后的详细查看中发现设备QINHAN的发包量是其他设备的几千倍，由此可以大致判断设备QINHAN存在问题！很有可能是中了ARP病毒！ 下一步通过协议分析工具，进行捕包分析以验证判断。 捕包分析 详细查看数据包 地址对照分析 确认故障 故障的原因是因为有台设备中了ARP病毒，在全网中发送ARP欺骗数据包，从而导致其他的设备无法找到网关路由器，也就无法访问外网。 下一步需要快速定位QINHAO这台站点的位置，将其断网排除故障，并进行病毒清除。 定位这台设备 总结 当网络中出现ARP病毒爆发时，整个网络的带宽占用一切正常，路由器和交换机的工作状态也是正常的。 网络中广播流量可以会很高，但也可能是正常的水平。 通过分析流量中的协议分布情况，可以发现ARP协议的流量占了很大的比例。 通过分析ARP流量源，可发现异常站点发出的ARP数据包比例大大超出正常水平。 案例四 采用TELNET端口发起DDOS黑客攻击 问题好像出在Telnet协议上 谁在用Telnet 捕捉数据深入分析 大量的TCP请求 异常流量分析总结: 通常问题的根源是一种特殊应用占用了网络资源； 通过流量分析，某种应用可以方便地定位是哪些用户造成的； 很多病毒的表现都是导致网络有很多非正常的流量; 网络分析仪可以立即告诉你网络异常是非正常流量造成的, 很快地确定非正常站点的IP，故障定位就非常快; 作为网络管理来说，最主要的是预防为主。这就要求能够实时地，连续不断第对网