某电业局网络故障诊断

案例分析－某电业局网络故障诊断故障描述故障地点：某电业局故障现象：网络严重阻塞，内部主机上网甚至内部主机间的通讯均时断时续。故障详细描述：网络突然出现通讯中断，某些VLAN不能访问互联网，且与其它VLAN的访问也会出现中断，在机房中进行ping包测试，发现中心交换机到该VLAN内主机的ping包响应时间较长，且出现间歇性丢包，VLAN与VLAN间的丢包情况则更加严重。故障详细分析前期分析初步判断引起问题的原因可能是：交换机ARP表更新问题广播或路由环路故障人为或病毒攻击需要进一步获取的信息：宪网络首拓扑结构及伙正常工作时刘的情己况尿交换机窄ARP杂表增信息面及裹交换机负载诸情况咳网络中传输阳的原始数据额包具体分析哗首先，准我们填从网络管理案员那儿，摩得知度了网络中主己机共450在台左右登，同时得到瞧了网络的简病单拓扑图，壶如图1所示袜。典（鼓图1鞋熄网络原始借拓扑炸简裹图砖）螺从图1可以凑知道，扭网络中划分宋了6个VL萍AN，惹分别是10类.230.亮201.0捞/24、1欣0.230爽.202.针0/24、跟10.23粪0.203杂.0/24遍、10.2地30.20卖4.0/2乡4、10.罗230.2介05.0/竞24、10也.230.士206.0革/24、区，其中20基1～205楼这5个VL阳AN家分别用于三一个部门，滴而206养为赞服务器宫专用网段奸。歼各VLAN讲同时连接上熊中心交换机卡（Pass达port某8010）鞋，症中心交换机驼再连接到防轿火墙，由防讯火墙连接到锈Inter浅net以及脾省单位。崭大致了解了不网络拓扑后剂，我们以超打级终端方式鸭登录中心交计换机，搅发现交换机炎的负载较大忍，立即候清除细交换机吓ARP表甲并重启丝，宣但途故障票仍然存在鼓，于是我们凡决定对网络治进行抓包分唐析。必在中心交换喇机（Pas圈sport脑8010坝）上配置好限端口镜像钩（具体配置个信息横，炉略）浮，并将安装弟科来网络分董析系统的笔伍记本接到杯中心交换机截的构镜像口捧上仔，健安装好后网来络的拓扑简肠图如图2所冬示。停（图寇2召安装科来网伶络分析系统随后的网络拓坐扑简图）浩由于科来网蹈络分析系统渔可以跨VL巡AN买对数据进行趟捕获分析，贼所以材在中心交换揪机上接入安贞装科来网络室分析系统的系笔记本后，眯网络的拓扑装结构并未发报生任何改变他。格打开笔记本素上的科来网道络分析系统楼，薄捕获数据包仰约1分钟张（捕获停止霸后发现庙确切充时间是53疼秒）辽后停止捕获凶，并腊对捕获到的霸数据通讯进涉行分析林。届将节点浏览称器定位到物扣理端点匀下的本地网剑段姑，含我们发现M循AC地址为秃00:00否:E8:4短0:44:槐99往的主机，下荷面共有40橡个IP地址膏，如图吴3军。辩（图娱3貌定位本地网皮段的端点视铅图）挠我们知道，昂在正常情况仆下，一个M吧AC地址下种面出现多个遵IP地址，誓只可能有以焦下几种情况摇之一：锋网关、代理尸服务器、手灰动绑定多个删IP地址密。咨询网络辆管理员得知为，该网段内追的机器均只弓绑定了一个倚MAC地址径，且没有代斯理服务器，牧同时该MA跑C也不是网磨关MAC地歼址，由此，言我们怀疑，纱该主机可能羞存在欺骗攻样击。促右键单击图稿3魄中的险00:00管:E8:4城0:44:漆99穗节点，在弹椅出的菜单中卧选择毫“提定位浏览器扫节点(L)碑”聚命令，将节衡点浏览器中柜定位到冤00:00境:E8:4扑0:44:诵99怎。查看协议鹅视图，躲发现该节点今主动傻发起了项22613羡个徒ARP回闪复免数据包，而努ARP请求垄数据包住只有2个奖，浸如图茶4抖所示。糊（图物4灯00:00狠:E8:4创0:44:响99享主机通讯的跃协议分布步）向从图4下面污的数据包可迹以知道，固00:00驱:E8:4覆0:44:登99稻主动向网络香中的其它主稿机发出AR魔P回复数据腾包席，内容是告坦诉对方主机疑，自己是某损个IP的主壶机成，而这个I烛P在不断地清变化。由此哑可以断定，毁MAC地址援为指00:00嘴:E8:4堂0:44:工99伍的机器在进专行ARP欺援骗。辜同时，诊断问视图的AR蛇P诊断事件耀区时传，也给出了保相应的提示够信息，如图牵5。孝（图5故00:00袍:E8:4舌0:44:爆99躺的ARP诊灿断信息）翅经过纽上面浆的救分析，我们严确定驰00:00尖:E8:4胳0:44:逃99馋存在ARP锁欺骗攻击，才网管人员立魄刻开始查找肯该主机，恒由于他们渗以前酬做了IP与晋MAC地址燃的统计表，刚所以很门轻松乞地停就找到了该校机器。管在二层交换透机上拨掉该享主机的网线久，网络纳很快玉恢复正常库，VLAN口间的内部访和问和外部访灾问跳（包括In肆terne眉t和省网御单位臣）闪速度均恢复缎正常。浓另外，从图倚3愉的显示箭可知，虚00:02滩:B0:B寻C:68:丘D2近、鞋00:0B骑:DB:4术B:46:末81霸、道00:11清:25:8堵D:7D:叼C1垫三台机器孟占用的流量允较大，锡通过查看这医几台机器的竭具体流量后莫，发现树00:02趁:B0:B歇C:68:抛D2榆和曾00:0B无:DB:4挨B:46:衫81泊在互相进行槽数据拷贝，芦而肢00:11宇:25:8碰D:7D:球C1盈对应的IP荒地址是10好.230.制204.1败，它是10姜.230.玩204.0赌/24网段暴的网关，占垦用较量吉较救大约属于挣正常撕情况捕。去由此基本断斩定网络时断腰时续的根源插即前面找出愚的瓶00:00敏:E8:4帆0:44:朽99春主机。录找出故障点钉，并帮助便网络恢复正捎常后，僵我们驶因为其它的棉事情离开了击现场神，并未去排貌查庸00:00教:E8:4沉0:44:娱99拿的具体情况太。浙下午接到电标业局厘网管人员芬的，告厕知在析找到MAC全地址为忍00:00捷:E8:4困0:44:唉99另的主机沾时怖，动该陵用户仅在朴使用WOR修D虎进行文档编秀辑，并未人紧为的进行攻骂击慢，然后套安装防病毒营软件并对霜该主机取进行汪查杀，霸查出荡病毒滨若干巾，瓣病毒查杀后喷，揪再次将该主践机接止入网络，网码络通讯仍然倘正常。印由此得出引倚发网络故障隆的原因是M楼AC地址为描00:00协:E8:4党0:44:锦99佣的主机感染盆蠕虫病毒，旺该病毒自动沿进行ARP扛欺骗攻击，钞导致网络访悬问的时断时汇续。总结揪中大型网络涂中，炒网络故障错碧综复杂，胁不借助专业易网络分析工继具的情况下呼，很难对故抄障进行排查扣，如本例中淹，如果不对咏数据包进行延捕获，即使采在交换机上粒查看流量，恢由于福00:00数:E8:4裹0:44:坑99具的流量并不瞎特别大，所扮以我们虽也很难找患到鸡故障点。持同时，告由于此次捕漂获数据包的闪时间较短，窄仅仅只有5关3秒，所以耕网络中可能业还存在一些蜓未被检测出酿问题的主机灾（这些主机惹当前未启动半，不会收发广相应