收藏
下载资源

案例分析某电业局网络故障诊断

上传人:ss****gk 文档编号:233077074 上传时间:2022-01-01 格式:DOCX 页数:7 大小:99.81KB
返回 下载 相关 举报
案例分析某电业局网络故障诊断_第1页
第1页 / 共7页
案例分析某电业局网络故障诊断_第2页
第2页 / 共7页
案例分析某电业局网络故障诊断_第3页
第3页 / 共7页
案例分析某电业局网络故障诊断_第4页
第4页 / 共7页
案例分析某电业局网络故障诊断_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《案例分析某电业局网络故障诊断》由会员分享,可在线阅读,更多相关《案例分析某电业局网络故障诊断(7页珍藏版)》请在金锄头文库上搜索。

1、案例分析一某电业局网络故障诊断一、故障描述故障地点:某电业局故障现象:网络严重阻塞,内部主机上网甚至内部主机间的通讯均时断时续。故障详细描述:网络突然出现通讯中断,某些VLAN不能访问互联网,且与其它VLAN的访问也会出现中 断,在机房中进行ping包测试,发现中心交换机到该VLAN内主机的ping包响应时间较长, 且出现间歇性丢包,VLAN与VLAN间的丢包情况则更加严重。二、故障详细分析1. 前期分析初步判断引起问题的原因可能是: 交换机MAC表更新问题 广播或路由环路故障 人为或病毒攻击需要进一步获取的信息: 网络拓扑结构及正常工作时的情况 交换机ARP表信息及交换机负载情况 网络中传输

2、的原始数据包2. 具体分析首先,我们从网络管理员那儿,得知了网络中主机共450台左右,同时得到了网络的简单拓 扑图,如图1所示。10 230.204,0/24服务器番(图1网络原始拓扑简图)从图1可以知道,网络中划分了 6个VLAN,分别是10.230.201.0/24、10.230.202.0/24、 10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、,其中 201205 这 5 个VLAN分别用于一个部门,而206为服务器专用网段。各VLAN同时连接上中心交换机(Passport 8010),中心交换机再连接到防

3、火墙,由防火墙连接到Internet以及省单位。大致了解了网络拓扑后,我们以超级终端方式登录中心交换机,发现交换机的负载较大,立 即清除交换机ARP表并重启,但故障仍然存在,于是我们决定对网络进行抓包分析。在中心交换机(Passport 8010)上配置好端口镜像(具体配置信息,略),并将安装科来网 络分析系统的笔记本接到中心交换机的镜像口上,安装好后网络的拓扑简图如图2所示。(图2安装科来网络分析系统后的网络拓扑简图)由于科来网络分析系统可以跨VLAN对数据进行捕获分析,所以在中心交换机上接入安装 科来网络分析系统的笔记本后,网络的拓扑结构并未发生任何改变。打开笔记本上的科来网络分析系统,捕

4、获数据包约1分钟(捕获停止后发现确切时间是53 秒)后停止捕获,并对捕获到的数据通讯进行分析。将节点浏览器定位到物理端点下的本地网段,我们发现MAC地址为00:00:E8:40:44:99的主 机,下面共有40个IP地址,如图3。工程l.cscproj -科来网络分析系/ 停止-本地网段文件便),揖(I)查看(V)工程(F)新重打开函节点浏菟器OOOAOOOAOOOE 00:11oo:ocEB EB A6 096E2D2D303238DF 47 B3 6A 94 46 C6 2CBO D7(1)(1)(1)(1)IS CD BQM)移助 0()名赫总流量数籍包网络连接-T本增阿段1,692,5

5、124 945 Mbps95,475& 99 00:00 E8 40 3D.75(1)li 珀 00:00 E8 40 2D E5(1)(t Mai 00:00 E8 40 3F DE(1)S Sal 00:13 8F 4A FE CC(1)It珀 OO:OB.DB 4B 46 81(1)圉 珀 00:K0.4C 4E 38 BC(1)坦 00:08.74 4E 00.85(1)Si Ma) 00:OA.EB 55 BA. 15(1)Si Mol 00:OA.EB.55.60.55(1),珀 00:OA.EB S5 5C.88(1),珀 00:OA.EB 55 5F 92(1)iti 岫 00

6、:0A.EB.55 8E.5A(1)Si 珀 00:OA.EB 55 8E.F9(1)S 珀 OD:OA EB 55 5B66(1)Si 岫 00:OA EB 55 8D BE(1)ffi if 00:0A:EB:55 5E 50(1)圈珀 00:10:5A SC 11 B5(1)Hi 珀 00:50:BA 63 47 FA(I)瓯岫 00:50:BA 63 41 D6(1)+ 4s00 02 BO BC 68 D2256 MB858, 312129 400 Kbps10,912+ 珀00 0B DB4B 46:81733 769 帖545,7490 bps3+ 坦00 It 258D:7D:

7、CI湖液HB559,5434 722 Mbps68,146+ 书00 04 DC 1E:62:01g61 205 MB237,99491 312 Kbps16,154+ 珀00 00 F0 7CAZB68.013 MB40,91112.528 Kbps527+ 坦00 10-83 JF:B4:C923.485 MB24, 4234.443 Mbps584t 00 02 55 2B 96:F03 771 MB14,7572.712 Kbps1,817t 00 14 22.79.85:CZ3 256 BB5,1510 bps175+ 珀00 03 0D 2A:C3:0E2 793 IflB39,2

8、398 136 Kbps20tiO 00 汩 44 99l猝MB27,056I 536 Kbps139+ 00 0E Afi Al 73:081 823 RB5,8690 bps744+ 珀00 00 18 15:89:511 610 MB5,0770 bps513+ 珀00 0C 76 67:54:001 459 MB6,09828 592 Kbps326+ laoo 11 25 8D 9L971 :-7j WE:6.5530 bpsV数据包过滤器未使用偈误数据包0域获的数据包1,693,384丢失的数爰包0接受的数据包1.693,3841拒绝的数包0候存便用率m工程状及即。D00 00 1

9、8 40 44 99BS包3,163/27,056理目标协议大小根要八143956700:00:E8:40:44:99FF: FF:FF:FF:FF:FFARP64 0.136.136.16 在 00:00:E8:40:44:9A143976100:00:E8:40:44:9900:04:DC:lE:62:01ARP64 10.230.203.39 在 00:00:18:40:44:9914397740Q:00:E8:40:44:9900:50:BA:F4:OC;3CARP64 10.230.203.254 在 00:00:E8:40:44:99143977500:00:E8:40:44:99

10、00:04:DC:lE:62:01ARP64 10.230.203.62 在 00:00:E8:40:44:99143978500:00:E8:40:44:9900:0A:EB:7B:25:A4AFP64 10.230.203.254 在 00:00:E8:40:44:99143978600:00:E8:40:44:9900:04:DC:lE:62:01ARP64 10.230.203.170 在 00:00:E8:40:44:99143979000:00:18:40:44:99FT: FF: FT: FF: FT: FFARP64 0.136.136.16 在 00:00:E8:40:44:

11、9A143993900:00:E8:40:44:99FF:FF:FF:FF: FT:FFARP64 0.136.136.16 在 00:00:E8:40:44:9A144001800:00:18:40:44:9900:04:DC:IE:62:01ARP64 10.230.203.39 在 00:00:E8:40:44:99144003100:00:E8:40:44:9900:50:BA:F4:OC:3CAPP64 10.230.203.254 在 00:00:E8:40:44:99144003200:00:E8:40:44:9900:04:DC:1E:62:O1*PP64 10.230.203

12、.62 在 00:00:E8:40:44:99144003900:00:E8:40:44:9900:0A:EB:7B:25:A4ARP64 10.230.203.254 在 00:00:E8:40:44:99144004000:00:E8:40:44:9900:04:DC:lE:62:01ARP64 10.230.203.170 在。:00:E8:40:44:99 vl敷费包寻求蒂助.iWS Fl(图3定位本地网段的端点视图)我们知道,在正常情况下,一个MAC地址下面出现多个IP地址,只可能有以下几种情况 之一:网关、代理服务器、手动绑定多个IP地址。咨询网络管理员得知,该网段内的机器 均只绑

13、定了一个MAC地址,且没有代理服务器,同时该MAC也不是网关MAC地址,由 此,我们怀疑,该主机可能存在欺骗攻击。右键单击图3中的00:00:E8:40:44:99节点,在弹出的菜单中选择“定位浏览器节点(L)”命 令,将节点浏览器中定位到00:00:E8:40:44:99o查看协议视图,发现该节点主动发起了 22613 个ARP回复数据包,而ARP请求数据包只有2个,如图4所示。工程1- cscproj -科来F?络分析系统停止00: 00:8:40:44: 99文件伊)渊a a)查看(V)工程(M 工具er)窗口 on 希助on H Q. O新建打开 向后克忍。概亶线计 诊断 端点 协议

14、连,数套包 日志 赤#画曾函00 00 E8 4044 99iS8名称总流量数18包总流申S 胃Ethernet HJ . 966 NB|27,056100 OOOM100.000*1 390 NB22,61570 215*83 586%1.390 NB22,61370 E83.579*寸* Request128 B20 006*0.007Ma TnS99 569 KB4,44129 785%16 414%* Tie?IMI547.375 KB4 09227 1SCX15 24*宙寸UDP|51 990 KB3452 578MLZ75U裁 Js适妻k过矗 陛嘉置日慕置诊断置 名技 过霾表土 T剑QO国困盛曹 团00:00 E8 40 44 99Res”nse教据包 I 3,094/22,613编号源目标协议大小幅要-

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号