基于网络分析的故障检测.pdfVIP

基于网络分析的故障检测 前言 在对网络的管理和维护过程中，我们可能经常会遇到网络传输延迟导致上网连接时断时 续或者出现上网速度异常缓慢的故障现象，并且，可能是一会正常，一会不正常，对于这类 故障，相信是网络管理中比较难于判断和处理的。在对这类故障的处理中，通常的做法首先 是采用ping 测试，ping 网关、DNS 或者外网IP 的时候，几乎都会出现丢包或较大延迟的现 象。那么，我们该如何准确、有效及快速的解决这类网络故障现象？以下是我自己在遇到此 类故障时的一些解决方法和一点心得，希望和广大兄弟分享交流，并希望可以对广大的网管 兄弟们带来一点启发！ 故障回放 我们单位是一家以机械为主的制造企业，规模不大，局域网的只有近100 台计算机，都 同时接入到了互联网，网络结构也比较简单，外网进来接的是侠诺路由器，路由器下接的是 侠诺三层交换机，在交换机上做了VLAN 划分，192.168.0.0/24 为服务器群，其中，192.168.0.3 同时提供DHCP 、DNS 以及AD 域控服务，其他的VLAN 有192.168.10.0/24、192.168.20.0/24 等共5 个VLAN ，局域网网络运行一直比较稳定。由于最近网络做了改造，采用了双WAN 口访问，所以重新配置了路由器，网络产生了一些异常故障，具体现象为：某VLAN 内的 主机突然发生网络传输中断故障，不能连接192.168.0.3 服务器，但是一段时间后（几分钟 或几小时）又自动恢复正常，产生这种故障的主机不确定是某一台，偶尔是这台，偶尔又是 另外一台，在故障发生的时候，ping 服务器192.168.0.3，均能够ping 通IP 地址，但却不能 ping 通域名，检查DNS 服务器，未发现任何错误。 故障排查 经过分析，初步认为该故障多半与广播风暴、网络病毒攻击等因素有关。为了进一步查 找和定位故障原因，于是将笔记本连接到交换机上镜像端口，并运行科来网络分析系统来捕 获网络的数据包通讯，希望能够借此快速的查明原因。 大约2 分钟后，停止捕获，现在对捕获的数据包进行详细的分析，具体分析如下： 首先，通过科来的概要统计来看，网络的流量、广播流量、数据包大小分布以及 TCP 连接的信息均没有发现异常，随后，在诊断视图下看到，发生的网络事件全是ICMP 主机重 定向，达到了1771 次，如下图： 查看这个事件的参考信息：“路由器向源主机发送一个主机重定向报文通知源主机有 一条到达目的主机的更好的路由”。因此，从诊断视图的ICMP 主机重定向，我们得到了一 个重要的提示：网络中可能存在环路。再来到数据包视图，可以详细的查看到产生该问题的 原因。打开数据包视图，数据包的概要统计如下图所示： 选择第1 和第2 个数据包，其详细的解码如下图所示： 从该数据包的解码中，可以看出，这是一个ICMP 重定向数据包，大概的意思是：路由 器192.168.0.10 告诉192.168.0.3 应该去访问192.168.0.254，这才是一个更好的路径。查看该 ICMP 数据包携带的数据，这个数据包是由192.168.21.172 在访问192.168.0.3 时造成的。 继续往下看，这是第3 个数据包的详细解码，只有一个字段发生了变化，就是生存时 间（TTL ），我们都知道，一个IP 数据包每经过一个路由，其TTL 就会减1，当TTL 为0 时还没有到达目的主机，则该数据包将被丢弃，从下图看到，该数据包的TTL 值从第 1 个 数据包的12 变成了第3 个数据包的10，已经呈递减的趋势。 继续看第4、第5 以及后面的数据包，TTL 值一直在递减，直到第 13、14 个数据包时， TTL 值为0，显示超时。所以，从第1 个数据包到第14 个包，ICMP 数据包里面的IP 报头 的TTL 值不断递减，直到TTL 超时，因此，明显是网络中产生了环路才会造成这种现象。 而从数据包地址来看，产生ICMP 重定向的地址全是192.168.21 网段的主机IP，可能是在 抓包的同时，正好是这个网段的主机与192.168.0.3 通讯时产生了该事件。 至此，通过对科来网络分析系统捕获的数据通讯分析，我们已经可以确定，前面出现的 故障现象肯定是有环路引起的，而结合前面配置路由表信息，终于找到了原因所在：原来是 在配置路由表的时候，考虑不周到，由于在路由器添加了路由条目：192.168.0.0/16 下一条 0.254 ，而在254上的路由条目却没找到21 网段的