XX单位无法发送大邮件的故障分析.docxVIP

案例分析 报 告 案例分析 报 告 第 PAGE \* MERGEFORMAT 2页 第 PAGE \* MERGEFORMAT 8页 CSNA 网络分析专家 案例分析报告 某单位无法发送带大附件邮件分析 报告提交时间 2010-11-9 报告提交人 孟召瑞  2010 年 11 月 目 录 故障描述 3 故障现象 3 网络拓扑 3 具体分析 4 捕获数据包 错误！未定义书签。 推荐解决方法 7  1. 故障描述 1.1 故障现象 该单位近两个月内发现邮件发送异常，具体表现为： 邮件发送很慢，但接收正常。 空头信或文字较少的邮件能正常发送，但文字较多或携带超过 15KB 以上的附件则 无法正常发送。 使用 web 邮件收发正常，使用 outlook 和 foxmail 等客户端出现异常。 1.2 网络拓扑 如下图，用户使用 outlook 等客户端发送邮件的基本路径为：用户接入交换机 核心交换机邮件服务器邮件网关防火墙路由器SP。 邮件服务器位于 FW 的 DMZ 区。 而通过 WEB 发送邮件则不通过邮件服务器和邮件网关。 （图 1 某单位邮件传输路径原始简易拓扑图） 2. 具体分析 2.1 抓包分析 客户的邮件出现问题已经两个月没有解决，而以前使用了近 5 年都是正常的，邮件服务 器和邮件网关没有做任何改变，一直运行良好了多年。这种问题很奇怪，客户自己做过很多 排查工作，做过撇开邮件网关直接使用邮件服务器发送，问题依然；也尝试着使用其他方法 将设备拿掉，但多次尝试依然无法找出根源在哪，因此问题一直存在。 根据邮件链路情况分析，我们先在邮件服务器前端进行抓包，查看客户端的邮件发送情 况，抓包采用核心交换机镜像邮件服务器接口方式。抓包同时使用客户 PC 的邮件客户端发 送大附件邮件测试。我们发现服务器接受到邮件服务器的时候大字节的数据包 1518byte 的数据包重传很多次。而且多次重传无法将数据包后，服务器还是没有收到大字节的数据包， 而经过 90 秒之后，服务器认为此连接为异常连接，发送重置数据包，邮件传输中断。 （图 2 异常的 SMTP 会话） 如上图，我们看到 1518byte 的字节几乎都无法顺利的传输。而之前的协商都很 正常。经过多次重传后服务器还是没有收到 1518 数据包，服务被中止。 经过多个会话的分析发现，此种会话很多，而且大的数据包都很难被传输，多次重传。 数据包个数为 20368，而 TCP 重传发生的次数就达 5456，重传概率达到 26.7%。 （图 3 大量的 SMTP 数据包重传） 为什么传输小数据包没问题，而大的数据包都不成功呢？MTU？难道是路径中某个接 口的MTU太小而又不做分片导致的？是防火墙呢，路由器，还是邮件网关等设备的原因呢？ 为了验证猜想，决定在防火墙后面进行抓包看下 1518byte 的数据包有没有被正确传 输。我们在防火墙后面抓包发现 1518byte 的数据包是可以穿越防火墙的。如图： （图 4 防火墙后抓包） 上图我们也看到，几乎大多数的1518byte的数据包的分片标识中分段标志都置位1， 这就意味着 1518byte 的数据包是不准许分片的。这种做法是上层协议的需要，SMTP 协议 在打包的时候就告诉了 IP 层，封装数据的时候不要分片。大多数的 TCP 传输是很少有分片 现象的存在，分片大多出现在 UDP 和 IP 协议的传输中。 防火墙被排除后本地网络就剩下路由器了，我们在路由器后面抓包看下是