网络故障诊断方法与实践课件

VisionfortheEnterprisePerformanceManagementMarket网络故障诊断方法与实践网络故障诊断方法与实践建设满足企业业务需求的网络运维管理系统故障诊断监测和基线服务水平管理被动模式主动模式针对于服务网络故障诊断方法与实践网络故障诊断方法网络故障诊断方法与实践企业网故障诊断的方法实践协议轴链路轴故障点网络故障诊断方法与实践企业网的故障诊断（链路轴）网络故障诊断方法与实践EthernetFrame企业网的故障诊断（协议轴）SMTPServerE-mailuserE-MailLayer7-5E-MailTCPHeaderTransportLayerE-MailTCPHeaderNetworkLayerIPHeaderPACKETSource:UserDestination:ServerFCSETHERNETFRAMENetworkPhysical物理层DataLink数据链路层Network网络层Transport传输层Session会话层Presentation表示层Application应用层网络故障诊断方法与实践流量、协议分析的关键（如何了解网络中的流量）LatencyTheNetworkBandwidthSAPOracleWebVoIPContentionSecurity数据源来自设备SNMP轮询Netflow数据源来于独立硬件镜像捕捉在线捕捉网络故障诊断方法与实践网络故障诊断实践案例

－－异常流量分析网络故障诊断方法与实践异常流量类型案例一：链路流量中出现错误帧，导致丢包端口自适应失败（不匹配）案例二：带宽使用异常非业务应用占用业务应用带宽案例三：站点ARP流量异常站点病毒导致网络ARP流量异常案例四：异常的主机行为通过TELNET端口发起DDoS攻击网络故障诊断方法与实践案例一自适应问题导致链路出现错误流量网络故障诊断方法与实践自适应问题的测试总有用户报怨”网络太慢”或”无法与服务器连接”，有什么办法可以判断是否由自适应问题引起的呢？从网络监测的角度看，可以使用SNMP协议从交换机的MIB库中读取基本的流量统计信息。 例如:端口利用率帧的数量及其中的错误类型冲突和CRC错误帧

如果有大量的冲突或CRC错误被检测到，就有可能是自适应失败。网络故障诊断方法与实践有双工问题的端口会显示大量的FCS/CRC错误。这些错误可以通过平均错误加以分类交换器的第6号端口有错误故障案例网络故障诊断方法与实践端口自适应过程NLPFLP网络故障诊断方法与实践FLP网络故障诊断方法与实践自动检测的顺序自适应 是在IEEE802.3u中规定。其好处是在不需用户参与设定的情况下，自动以最高速率连接

1000BASE-T全双工1000BASE-T半双工100BASE-T2全双工100BASE-TX全双工100BASE-T2100BASE-T4(只能半双工)100BASE-TX半双工10BASE-T全双工10BASE-T半双工1/8sec网络故障诊断方法与实践双工问题综合比较表双工配置自适应固定为半双工固定为全双工自适应安全,在连接中很少失败可以工作,因为设备默认为半双工双工不匹配固定为半双工可以工作,因为设备默认为半双工工作,安全,因为设备默认为半双工双工不匹配固定为全双工双工不匹配双工不匹配工作网络故障诊断方法与实践案例二非业务应用占用业务应用带宽网络故障诊断方法与实践故障现象:某公司在上海的分支部分抱怨与总部的服务器连接慢应用和数据库管理员说“数据库与应用性能很好”网络故障诊断方法与实践故障网络DatabaseServersBrachOfficeUsersWANOptiViewE1WAN北京深圳上海E1FractionalE1512Kbps

DLCI102FractionalE1

768Kbps

DLCI101用户抱怨应用慢服务工作正常E1将广域网分析仪接在总部广域网出口的骨干链路上到其它分支结构网络故障诊断方法与实践当前没有物理层上的故障注意到最高的应用协议不是网络中常见的注意到最高流量的VC是上海,这是不正常的网络故障诊断方法与实践显示上海地区的流量最高，也正是这个地区的用户抱怨慢为了确认每个VC当前流量占用的比例，我们选择%VC进行排序查看网络故障诊断方法与实践点击CIR按钮，查看这个DLCI所标识的PVC的CIR的情况这一地区流量超载网络故障诊断方法与实践注意到DLCI101连接上海的PVC自动进入流量查看窗口网络故障诊断方法与实践Wow!最高应用是“Kazaa”，这是一种对等式的共享文件的应用，这应用在这个企业网中是不充许的。点击topapplications项可以看到这个PVC流量中应用最高的协议排序。网络故障诊断方法与实践当选中这个协议时，该柱状图会加亮显示通过TopConversations可以找到究况是那些主机正在使用这种应用进行对话网络故障诊断方法与实践右边是一些上海地区的客户机左边是一台服务器我们确认一下这个应用是什么TCP端口，这样可以通过防火增或路由器的访问控制列表将这个端口封掉网络故障诊断方法与实践TCP1214，是这个未授权的应用占用了大量网络资源，造成宝贵的广域网链路被大量占用。网络故障诊断方法与实践案例三站点病毒导致网络ARP流量异常网络故障诊断方法与实践网络发生故障

某天正是在上班时间，**公司网管接到投诉说上网和发邮件很慢，并且时断时续。经查证内网间访问一切正常，但在访问外网时连接不稳定甚至中断，并且此故障存在于全网范围内。网络故障诊断方法与实践网络拓扑图简介（IP网段：192.168.0.xxx）INTERNET用户群用户群路由器IP：01服务器IP：网络故障诊断方法与实践故障分析排查步骤1、此次故障只是针对于访问外网，而在内网一切正常。路由器故障。查看路由器工作的指示灯一切正常，登陆路由器查看WAN口流量也不大，不存在与外网连接链路带宽被占用情况。更换路由器与交换机的连接线后故障依然存在。将路由器重启，故障依旧。2、因为是在公司的正常上班时间，所以必须要在最短的时间内排除故障。3、采用ES网络通，在交换机上随便找个接口连接到了网络中。网络故障诊断方法与实践查看本地网络带宽本地带宽正常网络故障诊断方法与实践查看广播数据包的占用情况广播占用正常网络故障诊断方法与实践分析查看本地带宽和带宽占用情况是想了解网络中是否出现了广播风暴，但从查看的结果来看，各种数据包的占用情况属于正常。接下面查看各协议的分布情况。网络故障诊断方法与实践查看协议分布情况发现异常进一步查看详细情况网络故障诊断方法与实践查看ARP的详细情况所有发送ARP数据包的设备排名排在第一位设备发的ARP数据包远远超过其他的设备网络故障诊断方法与实践

分析：从协议分布结果中看到ARP包的百分比占用率84.5%这对于一个正常的网络来说显得有些过高。在随后的详细查看中发现设备QINHAN的发包量是其他设备的几千倍，由此可以大致判断设备QINHAN存在问题！很有可能是中了ARP病毒！下一步通过协议分析工具，进行捕包分析以验证判断。网络故障诊断方法与实践捕包分析全是从网关的IP地址发来的ARP应答包注：01是网关路由IP地址网络故障诊断方法与实践详细查看数据包发送这个数据包的IP地址和MAC地址这是个ARP数据包网络故障诊断方法与实践地址对照分析实际的IP和MAC地址的一一对应网络故障诊断方法与实践确认故障故障的原因是因为有台设备中了ARP病毒，在全网中发送ARP欺骗数据包，从而导致其他的设备无法找到网关路由器，也就无法访问外网。下一步需要快速定位QINHAO这台站点的位置，将其断网排除故障，并进行病毒清除。网络故障诊断方法与实践定位这台设备设备QINHAO的所连接的交换端口网络故障诊断方法与实践总结当网络中出现ARP病毒爆发时，整个网络的带宽占用一切正常，路由器和交换机的工作状态也是正常的。网络中广播流量可以会很高，但也可能是正常的水平。通过分析流量中的协议分布情况，可以发现ARP协议的流量占了很大的比例。通过分析ARP流量源，可发现异常站点发出的ARP数据包比例大大超出正常水平。网络故障诊断方法与实践案例四采用TELNET端口发起DDOS黑客攻击网络故障诊断方法与实践物理层上没有故障没有问题记录在应用列表上发现有很多Telnet协议。问题好像出在Telnet协议上网络故障诊断方法与实践选择针对Telnet协议的“TopConversation”最高对话来看看谁在搞鬼选择显示所有的VC，不要错过任何的数据源。谁在用Telnet网络故障诊断方法与实践点击“Filter”来采集一些Telnet数据包，多找一些证据。看到这些跟服务器对话的奇怪的IP地址，它们的地址都只隔一个位。捕捉数据深入分析网络故障诊断方法与实践在过滤器上，设定捕的包源地址：从服务器到任意地址。留意Telnet协议已预先为您选定了。开时捕包网络故障诊断方法与实践协议分析显示有很多向服务器发出的TCP请求，但都没有TCP确认包送回到服务器去完成TCP的握手过程.另外,所有的可疑IP地址都是用同一个TCP端口….很不对劲!!大量的TCP请求网络故障诊断方法与实践异常流量分析总结:通常问题的根源是一种特殊应用占用了网络资源；通过流量分析，某种应用可以方便地定位是哪些用户造成的；很多病毒的表现都是导致网络有很多非正常的流量;网络分析仪可以立即告诉你网络异常是非正常流量造成的,很快地确定非正常站点的IP，故障定位就非常快;作为网络管理来说，最主要的是预防为主。这就要求能够实时地，连续不断第对网络实施监测，包括广域网和局域网.网络故障诊断方法与实践站点的快速定位网络故障诊断方法与实践TabularView显示所选设备上每一个端口的详细信息。选中一个端口，所有接入该端口的设备都会在右侧屏幕中显示出来。交换机端口所连接的设备网络故障诊断方法与实践如果不知道设备所接入的端口，可以通过查询主机端口的下拉框中选择设备选中了主机，与其相联的端口会在屏幕左侧显示出来。查询设备所连接的交换机端口网络故障诊断方法与实践客户端、服务器访问网络路径追踪追踪从应用的客户端到应用的服务器端，综合了第2层及第3层经过的路径分析网络故障诊断方法与实践应用性能故障诊断网络故障诊断方法与实践应用故障诊断“只证明不是网络本身问题，已经不太足够!”网络工程师需要鉴定问题发生的归属“证明是谁的问题!”鉴定最有可能发生问题的地方网络,应用,服务器,客户主机提供足够的信息明确的告知相关的IT责任部门,而不必了解具体的应用内容鉴定网络问题“这是网络问题而不是连通性问题!”提供工具和指导进行分析及解决网络运行问题网络故障诊断方法与实践鉴定问题所在领域验证网络服务802.1xDHCPDNS验证应用连接网络故障诊断方法与实践网络服务能够增加额外的DNS服务器和多地址解析测试在线和不在线的web,emailandIP地址的有效性网络故障诊断方法与实践应用的连通性显示仪表打开及连接一个指定的应用端口所需的“setuptime”(包括－数据包网络上往返时间加上

连接设置时间)SYNtoSYN-ACK网络故障诊断方法与实践应用连通性测试的设置可以选择任何已知端口及用户指定的端口用户可以设置测试间隔时间网络故障诊断方法与实践应用端口扫描的设置网络故障诊断方法与实践应用端口扫描的设置网络故障诊断方法与实践应用端口扫描的设置网络故障诊断方法与实践应用流分析QuickOverviewProtocolsinthetraceMeasuretheaggregatethroughputforindividualapplicationsovertime.ServersandclientsbyprotocolIndividualprotocoltransactionsforeachapplicationlayerprotocol:ListoftheindividualcommandsApplicationturnsThroughputforeachapplicationtransactionPayloadvs.HeaderthroughputforeachtransactionTimefromrequesttofirstdataConnectionsetuptimeBouncechartshowingtheapplicationlayerinformationAllowsaddingtransportlayerpacketsinthebouncechart,witherrorpacketsmarkedinredConnectionsetuptimeonbouncechartIssuesdetected网络故障诊断方法与实践有多少Web服务器有权使用上获得的Danaher股票价格信息?网络故障诊断方法与实践数据包捕捉后的分析回答:18是18个!显示数据流的传输，,有效载荷对数据包头

及在传输期间的数据流这个分析是来自DNS,DHCP,HTTP,HTTPS,SMTPandSMB数据传输网络故障诊断方法与实践分析所有与数据传输相关的服务器自动提供相关服务器数据传输相关信息–不需要设置显示过滤及分析大量的单独数据包网络故障诊断方法与实践分析每一个单独的数据包在单项菜单选项中,，单独的分析可能包括Server-ClientorClient-Server往返时间网络故障诊断方法与实践应用弹跳图网络故障诊断方法与实践IP以太网络性能验收与评测网络故障诊断方法与实践中华人民共和国国家标准基于以太网技术的局域网系统的验收测评规范

SpecificationforAcception，TestingandEvaluationofLocalAreaNetwork(LAN)SystemsBasedonEthernetTechnology中华人民共和国国家质量监督检验检疫总局

网络故障诊断方法与实践局域网系统网络设备是局域网系统的核心部分，目前主要设备类型有：集线器、交换机、路由器、防火墙等。传输介质主要有双绞线、光缆等。网管系统是对整个局域网系统进行管理的软硬件系统。提供基本网络服务的设备是保证局域网正常工作和丰富局域网功能的各种服务器，包括网管服务器、DHCP服务器、DNS服务器、Email服务器、WWW服务器等。根据局域网系统实际部署情况，

一般都可以将其划分为核心层、

汇聚层和接入层。局域网系统的

通用结构如图1所示，如果有的局

域网结构简单，可以只有一层或两层。网络故障诊断方法与实践基于以太网技术的局域网系统的验收测评规范规定了局域网系统基本性能指标，包括连通性、传输速率、吞吐率、丢包率、传输延迟、广播率、错误率、线路利用率、碰撞率等，并给出相应的限值和测试方法；规定了包括DHCP、DNS、Web、Email、文件服务等应用的指标要求和测试方法；规定了包括子网划分、VLAN、QoS、NAT、用户接入多ISP、AAA、设备和线路备份、组播等在内的主要网络功能要求及其测试方法；规定了网络管理功能的要求和测试方法；规定了验收测评和日常维护测试两种测试类型，以及需要测试的项目和判据。网络故障诊断方法与实践测试内容网络系统性能测试网络系统应用性能测试网络系统功能测试网络管理功能测试网络故障诊断方法与实践RFC2544吞吐量（Throughput）：测试网络设备包转发的能力。通常指网络设备在不丢包条件下每秒转发包的极限。一般可以采用二分发查找该极限点。时延（Latency）：测试网络设备在吞吐量范围内从收到包到转发出该包的时间间隔。时延测试应当重复20次然后去其平均值。丢包失率（Framelossrate）：测试网络设备在不同负荷下丢弃包占收到包的比例。不同负荷通常指从吞吐量测试到线速（线路上传输包的最高速率），步长一般使用线速的10%。网络故障诊断方法与实践测试吞吐量网络故障诊断方法与实践吞吐量的算法吞吐率=发送速率x(收到的帧数/发送的帧数)例如:1000Mbpsx(1489Kframes/14881Kframes)=100Mbps带宽=丢包为0时的最大吞吐量网络故障诊断方法与实践影响吞吐量的因素网络设备集线器