返回
利用回溯分析技术解决网络环路问题

利用回溯分析技术解决网络环路问题

ID:37697766

大小:1.18 MB

页数:8页

时间:2019-05-29

利用回溯分析技术解决网络环路问题_第1页
利用回溯分析技术解决网络环路问题_第2页
利用回溯分析技术解决网络环路问题_第3页
利用回溯分析技术解决网络环路问题_第4页
利用回溯分析技术解决网络环路问题_第5页
资源描述:

《利用回溯分析技术解决网络环路问题》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、利用回溯分析技术解决网络环路问题CSNA网络分析认证培训©2001-2014科来版权所有www.colasoft.com.cn科来官网www.colasoft.com.cn一、故障描述1、故障背景一天,一个客户打电话说他们部门的内网阶段性掉线,而且频率很高,访问外网非常慢,ping网关,时通时不通,延时较大,部门所有机器都是类似情况!初步判断,有可能是内网异常流量占用,或者广播风暴之类的故障!还好,客户在使用科来回溯产品,可以保存数据,以便于现在回放“录像”。简单描述一下网络拓扑,比较简单,只是一个部门网络,汇聚交换机

2、——二层交换机——用户。抓包位置,汇聚交换机作镜像,镜像端口接科来回溯分析系统。网关地址:192.168.10.1选取时间为28s,总流量16.312M,速率也是比较大的(如图)!科来官网www.colasoft.com.cn2、概要统计下载数据包分析端点视图:广播和组播流量比较大,几乎占了总流量的98%。先前的判断的方向是对的!而且还有两个无效地址0.0.0.0,169.254.134.187,没有获取到地址,忘了说了,地址都是自动获得的!看了协议视图,豁然开朗科来官网www.colasoft.com.cn是dhcp

3、和netbios在作怪!结合dhcp和netbios的联动性(见注释1),初步确定是dhcp在作怪了,正是由于dhcp的缘故,所以出现了169.254.x.x和0.0.0.0这样的地址。DHCP的工作原理(见注释2),现在我们只说第一次登录的时候。根据客户端是否第一次登录网络,DHCP的工作形式会有所不同。我们只说第一次登录的时候,当DHCP客户端第一次登录网络的时候,也就是客户发现本机上没有任何IP数据设定,它会向网络发出一个DHCPdiscover封包。因为客户端还不知道自己属于哪一个网络,所以封包的来源地址会为0

4、.0.0.0,而目的地址则为255.255.255.255,然后再附上DHCPdiscover的信息,向网络进行广播。在Windows的预设情形下,DHCPdiscover的等待时间预设为1秒,也就是当客户端将第一个DHCPdiscover封包送出去之后,在1秒之内没有得到响应的话,就会进行第二次DHCPdiscover广播。若一直得不到响应的情况下,客户端一共会有四次DHCPdiscover广播(包括第一次在内),除了第一次会等待1秒之外,其余三次的等待时间分别是9、13、16秒。如果都没有得到DHCP服务器的响应,

5、客户端则会显示错误信息,宣告DHCPdiscover的失败。Windows操作系统预设,客户端如果学不到地址,系统自动会把一个169.254.x.x分配给它。之后,基于使用者的选择,系统会继续在5分钟之后再重复一次DHCPdiscover的过程。这是数据包0.0.0.0的解码图,是mac地址为00:0f:b0:72:ba:8c发送的广播包,在进行dhcpdiscover这是数据包169.254.134.187的解码图,是mac地址为00:0f:b0:72:ba:8c发送的组播包说明是同一个客户端00:0f:b0:72:

6、ba:8c发出的数据包,可是为什么没有学到地址呢?又为什么会产生如此科来官网www.colasoft.com.cn大的流量呢?带着这个疑问我们继续分析:首先定位DHCP包,深入分析。这是00:0f:b0:72:ba:8c发出的数据包是dhcpdiscover包,向服务器请求地址,大家看,标签53是“dhcp报文类型”的标签,消息类型为1说明dhcpdiscover包,在向服务器请求地址。再看192.168.10.1发的包科来官网www.colasoft.com.cn大家再看标签类型为53的“消息类型”,为2,说明是dh

7、cpserver发的dhcpoffer包,说明服务器给00:0f:b0:72:ba:8c分配192.168.10.9的地址了,那为什么会有如此多的数据包呢?我们接着分析!既然服务器为00:0f:b0:72:ba:8c提供了地址,说明它收到了00:0f:b0:72:ba:8c的discover包,那就说明服务器没有问题以及他们之间的网络通信是好的,难道问题出在00:0f:b0:72:ba:8c上?让客户先把00:0f:b0:72:ba:8c关了,看看现象。问题依然存在!看来问题不在它身上!既然服务器和客户机以及他们之间的

8、链路是畅通的,那问题一定出在中间设备上。难道是网络中存在环路?看来只能先分析一下数据包再说!定位到dhcp协议,看dhcp事物id和ip的标识iddhcp事物id如下:竟然是同一个事物id,就是说是同一个事件的的数据包,看来真的有可能存在环路了。为了证明以上观点,再看ipidentifyid:科来官网www.colasoft.co

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。