网络排错-网络安全-运维真实案例-公司大厦局域网网速慢排查手册.docx

网络异常流量排查方法故障现象：2015.2.22.6 连续 4 天，XXX 大厦网络延时高，且有丢包现象。从核心交换机 z8905 上 ping直连路由器接口地址丢包，如图：图中的点即为丢包。正常情况下，XXX 大厦网络为（从电脑pingDNS 服务器）：联系广域网回复说从路由器往上 ping 石油网正常。排查过程：一、在电脑使用 tracert 命令查看哪条路由延时高：二、查看网络出口情况：查看 z8905 的端口 Gei_1/3 端口利用率以及有无 CRC 错包：结论：网络出口正常。三、查看核心交换机直连路由器链路情况：1、示意图为：z8905（端口 G1/3）H3C（端口 G8/0），更换连接网线后，问题依旧。2、 在 z8905 上使用 show vct int Gei_1/3 查看线路质量，显示网线质量很好，如图：结论：核心交换机上联直连路由器网线正常。四、查看核心交换机至用户链路情况：排查下行链路：从电脑 ping 网关（网关在接入交换机上）正常，从网关 ping 核心交换机正常。结论：局域网链路正常。四、查看局域网用户情况：1、在 z8905 的端口 Gei1/3 上做端口镜像（源），在 z8905 的端口 Gei5/48 上做端口镜像（目的）， 在电脑上安装 wireshark， 将电脑连接 z8905 的端口 Gei5/48 ， 同时 ping 路由器 172.16.127.194，延时高时，进行抓包。配置为：int gei_1/3monitor session 1 sourceint gei_5/48 sw ac vl 801 no shutmonitor session 1 destination查看是否配置成功：2、分析抓包：点击 source 进行排序，发现这一段包里面一大半都是源地址为 172.16.120.17 的会话，172.16.120.17 的 TCP window 都特别小 只有 60 多个字节。正常的回话都是比较大的。大量低于 64 字节的包不是太正常。有可能是那个地址造成的 ，大量 60 字节的包占用了很多 tcp 连接资源，60 字节是空包了，没有数据信息。结论：分析后，网络正常，但是 172.16.120.17 这个用户没在线，待网络再次延时高时，继续抓包定位此用户。简单抓包分析方法：点击 source 进行排序，查看回话数量多的 ip，再看包大小（小于 64b不正常）、序列号（seq 总为 1 不正常）