案例-视频会议故障诊断.doc

故障描述： 某部门内部视频会议系统不稳定，会议时画面卡，甚至会议中断。 工具及设备 科来网络分析系统2010专家版一套； 测试笔记本一台； 网络交换机。 分析原理 视频会议系统对网络的带宽要求比较高，而网络中异常流量会对带宽产生很大的影响，现阶段造成网络异常的行为主要分为以下几种： 大量的流量导致网络拥塞，从而出现丢包，导致网络服务质量下降； 大量的数据包导致网络设备的处理性能下降，从而导致网络服务质量下降； 不正常的数据报文影响网络的正常访问，破坏网络的正常拓扑结构。 异常的网络流量产生的原因很多，目前用户网络中危害最大的异常流量产生的主要原因有： 病毒引起的异常网络流量 网络攻击引起的异常网络流量 不当的网络配置引起的异常网络流量 不当应用引起的异常网络流量（例如P2P下载等） 分析内容 此次分析捕获时间很长，共产生411MB数据包，我们选取部分时间段数据包进行分析。 根据分析系统的流量趋势图，我们可以看到，在开始捕获数据包后一个时间节点，网络的整体带宽出现一个急剧下降的趋势，之后网络流量平稳，如下图所示： 因此我们选取从开始捕获到流量下降的这个时间段具体分析。 网络故障判断 一、首先，从分析系统概要统计可以看到，网络这个时间段总流量将近200M，数据包达到60多万，每秒数据流量达到4.970Mbps 后与现场工程师联系沟通，在捕获数据包期间，并未有视频会议召开，而且这个网络是专门用作视频会议的用途，没有其它的应用使用。 二、继续观察分析系统的协议栏，可以看到网络中这个时间段，传输的大部分是UDP-Other协议，占总流量的90.754%；少量的音视频以及TCP协议，另外网络中ICMP协议的数据包已比较多，达到256429个。 三、网络中正常的应用基本是基于TCP的，只有P2P传输、部分视频传输是采用的UDP协议，并且网络在正常使用的时候，是不会存在这么大量的ICMP数据包，因此我们可以判断网络中存在异常的数据行为。 网络现象分析 一、网络中存在异常流量，查看分析系统的IP端点，可以看到，产生数据传输的节点基本是11.190.254.0网段的主机，根据系统的每秒位进行排序可以发现11.190.254.99主机带宽最大，11.190.254.194其次，占用1.020Mbps。 二、查看分析系统矩阵栏，可以看到网络中的流量大部分是与11.190.254.99通讯产生，属于内部数据交换；通讯主机9台，发送流量177.714MB。 三、通过协议看到，网络中存在很多的ICMP数据包，定位ICMP协议，具体分析； 四、定位后可以看到，网络中绝大部分主机在测试11.190.254.99时，提示目标端口不可达；产生这类问题的原因可能是主机未开启ICMP端口，或者主机因性能原因，系统忙而丢弃这类数据包。 故障诊断 通过分析可以看出，网络异常产生的原因如下： 网络中部分与11.190.254.99通讯的主机流量占用了网络的大部分带宽资源； 网络中存在大量的74字节的ICMP数据包，大量小字节数的数据包会影响网络传输的效率。 解决方案： 检查与11.190.254.99通讯的主机，是否有正常的业务应用（视频会议）在进行，如果属于正常的业务（网络实时带宽仅仅4.9Mbps），则说明网络现有的带宽资源以及11.190.254.99主机处理能力已经不能满足这类的业务应用，需要优化升级； 如果没有工作在运行，则需要检查发生通讯的所有客户端到底在发生何种网络行为，占用了网络的大部分资源。 另外也需检查客户端的进程，是什么原因引起客户端发送大量的ICMP请求，影响网络的正常使用。 由于分析工程师不在现场，仅根据数据包的传输状况进行分析，初步判断网络中异常的传输，故障排查需要现场工作人员及时检查通讯主机的状况。 5 / 5