《CSNA网络分析认证专家实战案例》课件-第31章

31.1故障描述31.2分析过程31.3分析结论第31章某银行网银系统访问缓慢分析案例

31.1.1故障背景

某银行用户反映银行网银系统有时访问较慢，主要表现为打开登录界面耗时过长。银行客户希望能对网银系统作一个全面的分析，找出故障的原因。31.1故障描述31.1.2网络拓扑

网银系统的网络环境示意图如图31-1所示。

图31-1客户端访问网银系统外网地址，然后经过F5负载均衡设备转发数据，直接访问SSL加密设备，再通过SSL设备转发给网银系统Web服务器。本案例选择在网络出口以及SSL加密设备出口部署科来网络回溯系统进行抓包分析。

31.2.1分析思路

结合网银系统网络拓扑及数据的走向，网银系统访问较慢的原因有以下几点：

(1)网银系统访问流量太大，出口链路拥塞。

(2)网络响应延时较大。

(3)网络设备转发故障。

(4)网银服务器本身响应较慢。31.2分析过程31.2.2整体流量分析

对1小时内网银系统外网出口流量进行统计，总流量为919MB，峰值流量为5Mbps，平均流量为2.2Mbps，如图31-2所示。

图31-231.2.3网络延时分析

在TCP的连接过程中，客户端和服务器端在网络中共传输三个数据包，俗称三次握手，这三个数据包都是小包，没有实际的有效数据载荷。服务器端对客户端TCPSYN的请求在系统底层响应，响应非常快，该响应同数据包在网络中传输的延迟比可忽略，同时由于都是小包，网络传输延迟非常小，因此在数据包分析中，可以通过三次握手数据包的时间间隔来确定网络的传输延迟，如图31-3所示。

图31-3如图31-3所示，当我们在客户端和服务器端的网络中某一点捕获到客户端同服务器端的TCP三次握手数据包时，三个数据包在流量分析设备捕获到的时间分别为T1、T2和T3。这种情况下，T2

-

T1的值可以认为是数据包从捕获点网络传送到服务器，然后服务器再传回捕获点的RTT(RoundTripTime)；T3

-

T2的值为数据包从捕获点传送到客户端，然后从客户端传送回捕获点的RTT；T3

-

T1的值可以认为是从客户端到服务器的RTT。随机选择系统外网出口多个完整的TCP会话，通过对TCP三次握手时间进行分析，发现服务器端在收到客户端的链接请求后，都在1毫秒以内给予了响应，这说明网银系统内部网络正常，不存在延时，如图31-4所示。

图31-431.2.4网银系统性能分析

对外网出口流量进行分析，重点分析持续时间较长的TCP会话，发现部分会话存在异常，如图31-5所示。

通过TCP“交易时序图”可以看出，服务器端在对客户端的第一个请求进行确认后，经过了7秒才发出了响应数据包。这段时间应该就是导致客户端访问网银系统缓慢的直接原因。为了确定这个延迟产生的具体原因，分析SSL加密设备进出数据，找出相同源IP的TCP会话数据进行对比，发现在SSL加密设备出口处同样出现服务器端在很长时间后才发出响应数据的情况，如图31-6所示。

图31-5

图31-6外网出口出现的故障现象在SSL加密设备出口同样存在，证明这段延迟不是在SSL加密设备之前产生，F5到SSL加密设备之间的网络正常。

进一步分析SSL加密设备和网银服务器交互数据，由于这部分数据是没有进行加密传输的，因此无法准确定位到之前分析的同一个TCP会话。而通过对大量TCP会话的对比分析，发现SSL加密设备和网银服务器之间的数据传输很快，所有会话都是在1秒之内完成，基本不存在响应延时情况，如图31-7所示。通过以上的分析，基本可以判定SSL加密设备是造成网银系统访问缓慢的原因。而SSL加密设备在进行数据加密之前，会进行一个密钥的协商，具体过程如图31-8所示。

图31-7

图31-8结合故障数据包分析可以发现，出现延时的数据包是由SSL加密设备向客户端响应的Serverhello数据包，因此更加可以肯定SSL加密设备就是造成故障的根本原因。

通过以上信息，我们可以作出如下判断：

(1)链路流量值不大，流量稳定，没有明显的递增或递减趋势，监控链路不存在持续性拥塞问题。