某公司网络PING延迟故障案例解析

案例阐发－许昌某网吧网络故障诊断故障描述故障地址：河南省许昌某网吧网络环境：网吧大要有200台电脑，采用双W AN出口〔电信和网通〕拜候互联网，网络布局较为简单，外网路由器主交换机二层交换机客户端。

故障详细描述：同时接上两个外网出口时，整个网络拜候通讯呈现异常，网络速度异常迟缓，很多用户甚至不克不及上网，在客户端进行ping包测试时发现，当地客户端严重丢包，断开网通的外网出口，网络却又恢复正常，ping包测试也无异常。

故障阐发由于在断开网通的线路后，网络拜候正常，初步疑心是网通线路问题，于是用笔记本单独接网通线路测试，一切正常，所以首先排除了网通线路的问题。

在排除线路问题后，我们将问题重点放在了内网主机查抄上。

由于网络速度迟缓而且呈现断网的情况，所以疑心网络中有主机传染ARP或其他蠕虫病毒攻击导致网络瘫痪，于是决定用科来网络阐发系统抓包阐发，在中心交换机上做好端口镜像，在笔记本上安装科来网络阐发系统，将笔记本接到中心交换机的端口上，启动科来网络阐发系统开始捕捉数据，约6分钟后遏制捕捉并阐发捕捉到的数据包。

我们首先了解网络的整体运行状态，在概要统计视图中可以看到：网络的总共流量为，而操纵率那么达到了近80％，这是网络迟缓的一个重要指示参数。

我们再看TCP的参数信息，此处，TCP的同步数据包与结束连接数据包别离是17796和9963个，由TCP的工作道理我们知道，TCP在工作时首先会通过三次握手成立连接，数据传输完成后，必需关闭连接，在成立握手的时候，会发生2个同步数据包，而关闭连接的时候，也会发生2个同步数据包，所以，理论情况下，1个TCP连接的同步数据包与结束连接数据包应该大致相等，如果二者的数据包相差较大，说明当前的网络传输不正常。

如图1。

图1选择端点视图，我们发现，IP地址为这台主机的网络连接数较多，而且流量也比较大，所以，我们定位这个IP，单独对其阐发。

在节点浏览器中选择，翻开矩阵连接视图，我们看到，该主机的通讯主机数达到了1000个，而且很大一局部为单向流量，如图2。

网络性能监测案例分析：如何解决用户访问卡顿问题？近年来，随着互联网的快速发展，我们对网络的依赖越来越深。

然而，随之而来的是网络性能问题的困扰，尤其是用户访问卡顿问题，成为了广大网络用户的心头之患。

本文将以案例分析的方式，探讨如何解决这一难题。

案例一：用户访问速度变慢的问题某公司的网站最近遇到了用户访问速度变慢的问题，这导致了用户体验的下降和客户流失的风险。

为了解决这个问题，该公司决定进行网络性能监测。

首先，他们使用了一款专业的网络性能监测工具来分析网络延迟、带宽利用率等指标。

通过监测结果，他们发现在访问高峰期，带宽利用率超过了80%。

为了解决这一问题，他们采取了多种措施：1. 增加带宽：通过与网络服务提供商合作，他们增加了带宽并优化了网络路由，从而提高了网络的传输速度，减少了卡顿问题的发生。

2. 压缩资源：为了减少网络传输的数据量，他们采用了资源压缩技术，对网页内容、图片等进行压缩，从而减少了网络传输的时间和带宽占用。

3. 内容分发网络（CDN）：他们通过使用CDN来分发网站的静态资源，将这些资源缓存在全球各地的服务器上，使用户可以从离他们最近的服务器获取资源，从而缩短了访问时间，提高了用户的访问速度。

通过这些措施，该公司成功地解决了用户访问速度变慢的问题，提升了用户体验，进一步巩固了自身的市场地位。

案例二：网络拓扑问题导致的卡顿在另一个案例中，一家企业的内部网络出现了频繁的卡顿问题。

为了解决这一问题，他们进行了网络性能监测和分析。

首先，他们采用了网络流量分析工具，对网络中的流量进行了统计和分析。

通过监测结果，他们发现网络中存在大量的冗余流量和网络拓扑问题。

为了解决这一问题，他们采取了以下措施：1. 优化网络拓扑：通过重新规划网络拓扑结构，减少网络中的冗余路径和网络设备，从而提高了网络的传输效率。

2. 设置流量控制策略：他们使用网络流量控制技术，对网络中的流量进行限制和管理，避免了流量过载和拥堵问题的发生，从而减少了卡顿的情况。

网络异常流量排查方法故障现象：2015.2.2—2.6连续4天，XXX大厦网络延时高，且有丢包现象。

从核心交换机z8905上ping 直连路由器接口地址丢包，如图：图中的点即为丢包。

正常情况下，XXX大厦网络为（从电脑pingDNS服务器）：联系广域网回复说从路由器往上ping石油网正常。

排查过程：一、在电脑使用tracert命令查看哪条路由延时高：二、查看网络出口情况：查看z8905的端口Gei_1/3端口利用率以及有无CRC错包：结论：网络出口正常。

三、查看核心交换机直连路由器链路情况：1、示意图为：z8905（端口G1/3）——H3C（端口G8/0），更换连接网线后，问题依旧。

2、在z8905上使用show vct int Gei_1/3查看线路质量，显示网线质量很好，如图：结论：核心交换机上联直连路由器网线正常。

四、查看核心交换机至用户链路情况：排查下行链路：从电脑ping网关（网关在接入交换机上）正常，从网关ping核心交换机正常。

结论：局域网链路正常。

四、查看局域网用户情况：1、在z8905的端口Gei1/3上做端口镜像（源），在z8905的端口Gei5/48上做端口镜像（目的），在电脑上安装wireshark，将电脑连接z8905的端口Gei5/48，同时ping路由器172.16.127.194，延时高时，进行抓包。

配置为：int gei_1/3monitor session 1 sourceint gei_5/48sw ac vl 801no shutmonitor session 1 destination查看是否配置成功：2、分析抓包：点击source进行排序，发现这一段包里面一大半都是源地址为172.16.120.17的会话，172.16.120.17的TCP window 都特别小只有60多个字节。

正常的回话都是比较大的。

大量低于64字节的包不是太正常。

有可能是那个地址造成的，大量60字节的包占用了很多tcp连接资源，60字节是空包了，没有数据信息。

I互联网+安全nternet Security 汕头LTE网中兴设备PING时延不达标解决案例□林琼璇中国电信股份有限公司汕头分公司【摘要】汕头LTE网中兴设备Ping时延不达标，通过无线侧到P设备再到核心网各段时延的对比，找出问题所在，最终定位在无线侧，通过更换调度模式，从而减少时延，最终Ping时延达到规定标准。

【关键字】Ping时延不达标解决方案一、问题描述根据上级部门下发的有关LTE-FDD单站验收标准中规定如下：单用户Ping包时延（32byte小包）小于30ms，成 功率大于95%。

汕头LTE网中兴设备已测试室外站点Ping时延（32byte 小包）均大于30m s，平均时延在30-36m s之间。

（图1 )二、 原因分析2.1汕头LTE站点到核心网E P C的拓扑如下图2:2.2无线侧（终端到基站）不同模式P in g时延对比：1、 基于收到S R置大的模拟BSR模式这是中兴设备V3.1版本的默认设置。

其基本原理是基于SR (Schedule Request)上报，根据前一•个TTI需要调度的U E个数，eNodeB主动下发一个较大的上行资源，使 得U E可以利用该资源发送上行数据，减少了U E发送BSR (Buffer Status Report,用来告诉基站有多少数据需要发送）然后eNodeB根据BSR进行调度流程。

2、 增强型混合调度模式混合调度模式是在预调度持续时间内，定时主动向UE 发送上行资源，U E利用该资源发送上行数据，由于基站是周期性的对U E分配上行资源，减少了U E发送S R的流程，因此使得Ping包时延缩短。

混合调度模式对所有的S R均做同样的处理，如果系统中用户量大，大量的上行资源预授权将导致基站反向干扰加重，严重影响基站反向解调性能。

为 了避免混合调度模式带来的负面影响，增强型混合调度模式能够对Ping的业务进行识别，识别出Ping业务的周期和大小之后，仅仅在Ping的周期到来时，给一定长度及相应大小的预授权即可。

PING大包丢包故障分析
1.1. 故障描述
1. 故障环境
网络结构如下图所示：
如上图所示，两边网络通过光纤相连，中间设备只有光电转换器，到单位B的内部网络有一台防火墙
2. 故障描述
单位B在进行网络测试时，在单位B的出口路由器处PING单位A的出口路由器时，PING大包会出现丢包现象，但是PING小包正常。

1.2. 故障分析
1. 分析方法
主要通过专有的网络分析工具（科来网络分析系统）将故障时相应的数据包捕获下来进行深度分析，并通过分析发现相应的异常，从而定位故障原因的方法。

2. 部署科来网络分析系统
我们在单位B的光电转换器和路由器之间串连一个交换机，利用交换机的端口镜像功能，镜像两个端口的流量，并将科来网络分析系统部署在交换机的镜像口，如下图所示：
3. 分析数据包
通过故障重现，即在路由器接口处进行PING测试，并同时捕获数据包，得到的数据包如下图所示：
如上图所示，我们在使用大包PING对端时，对端返回了一个超时的数据包，查看它具体的数据包解码，如下图：
造成该故障的原因是因为，我们在网络中传输大包时，由于网络中“最大传输单元”的限制，大数据包会发生分片，当分片数据包都到达目的端时会发生重组，一旦有一个分片丢失就会造成数据报重组超时，所以会发送超时的差错提示。

4. 分析结论
我们在进行PING测试时，数据包只经过了光电转换器和中间链路，所以造成该故障的原因就是光电转换器或中间链路丢包造成的。

1.3. 总结
当我们在分析数据包时，发现通信的数据包中有异常的数据包，那么我们就需要关注它是何种应用的数据包，通过分析异常的数据包可以帮助我们快速的找到故障原因，从而解决故障。

反馈信息Request timed outa.对方已关机：比如在上图中主机A中PING192.168.0.7,或者主机B关机了，在主机A中PING192.168.0.5都会得到超时的信息。

b.对方与自己不在同一网段内，通过路由也无法找到对方，但有时对方确实是存在的，当然不存在也是返回超时的信息。

c.对方确实存在，但设置了ICMP数据包过滤（比如防火墙设置）怎样知道对方是存在，还是不存在呢，可以用带参数-a的Ping命令探测对方，如果能得到对方的NETBIOS名称，则说明对方是存在的，是有防火墙设置，如果得不到，多半是对方不存在或关机，或不在同一网段内。

d.错误设置IP地址正常情况下，一台主机应该有一个网卡，一个IP地址，或多个网卡，多个IP地址（这些地址一定要处于不同的IP子网）。

但如果一台电脑的“拨号网络适配器”（相当于一块软网卡）的TCP/IP设置中，设置了一个与网卡IP地址处于同一子网的IP地址，这样，在IP 层协议看来，这台主机就有两个不同的接口处于同一网段内。

当从这台主机Ping其他的机器时，会存在这样的问题：A.主机不知道将数据包发到哪个网络接口，因为有两个网络接口都连接在同一网段。

B.主机不知道用哪个地址作为数据包的源地址。

因此，从这台主机去Ping其他机器，IP层协议会无法处理，超时后，Ping就会给出一个“超时无应答”的错误信息提示。

但从其他主机Ping这台主机时，请求包从特定的网卡来，ICMP只须简单地将目的、源地址互换，并更改一些标志即可，ICMP应答包能顺利发出，其他主机也就能成功Ping通这台机器了。

Destination host Unreachable对方与自己不在同一网段内，而自己又未设置默认的路由，或者网络上根本没有这个地址，比如上例中A机中不设定默认的路由，运行Ping192.168.1.4就会出现“Destination host Unreachable”。

PING时延不达标处理一、问题描述在泉州电信FDD-LTE网络新开站点单验时，出现测试PING业务时延不达标。

二、问题影响影响单验进度，不能真实有效测量出该站点用户面时延三、问题分析在进行ping业务测试中，出现ping时延过大，无法达到验收标准，面对问题，先确保设备连接正常，再通过观察时延情况，一步一步进行原因排查常见时延表现有以下几种情况：1. 第一次时延过大，随后的时延正常，导致平均时延不达标；2. 时延远远大于标准值，查看电脑速率监控，排除有大流量业务存在的问题；3. 时延较大或者ping不断失败，更换服务器做ping业务，排除服务器问题；4. 时延跳动较大，查看该点信号变动情况，排除信号不稳定问题；5. 时延稍微大于标准值，查看mifi的DRX是否关闭，排除设备设置问题；6. 时延及上传下载业务不正常，感受电脑及mifi温度，排除测试设备过热问题；7. 排除设备、服务器、测试方法没问题后，测试该站点其它RRU及同BBU下其它站点的RRU是否正常，进一步确认问题所在。

四、问题处理1、因为第一次ping的时候，需要寻址和寻找路由，这中间需要消耗点时间，建议重新做ping业务；2、先关闭大流量业务，再重新做ping业务；3、测试之前准备几个服务器，更换服务器或者使用外网地址重新做ping业务；4、重新找点，不要求找极好点，但尽量找稳定的点，就是在同一个点，信号跳动较小，然后再重新做ping业务；5、关闭mifi的DRX功能（关闭方法见附件1），然后再重新做ping业务；6、重启电脑及mifi，重新连接设备，然后再重新做ping业务；7、联系工程督导协助排查。

8、问题解决，PING时延业务合格，请及时向有关人员反馈进度。

五、总结建议排除问题时由简单到繁琐，将整个过程分为一步步去排除，首先要确保自己测试方法没问题，再排除测试设备、服务器和测试点等外部因素，最后再考虑是基站设备问题。

PING大包丢包网络故障分析案例解决方案网络故障是在使用网络过程中经常会出现的问题，其中大包丢包是一种常见的网络故障。

大包丢包指的是在网络传输过程中，发生了传输较大包的数据丢失的情况。

接下来我将进行一个关于大包丢包的网络故障分析案例，并提供相应的解决方案。

案例分析：公司A部门反馈在办公网络中使用视频会议时，经常出现画面卡顿和断流的问题。

在进行网络故障排查的过程中，发现了存在大包丢包的情况。

问题分析：大包丢包会导致网络传输不稳定，影响视频会议等带宽需求较高的应用。

造成大包丢包的原因主要有以下几点：1.网络拥塞：当网络带宽使用过高时，可能会造成网络拥塞，从而引发大包丢包问题。

2.路由器配置错误：路由器可能会存在配置错误，导致无法正确转发大包数据，从而引发大包丢包问题。

3.网络设备故障：路由器、交换机等网络设备可能存在故障，导致无法有效处理网络数据，从而引发大包丢包问题。

解决方案：针对以上问题，可以采取以下解决方案：1.网络监控与优化：通过网络监控工具对网络流量进行实时监控，及时发现网络拥塞问题。

在网络拥塞时，可以考虑对网络带宽进行扩容，以保证网络的稳定性。

2.检查路由器配置：对路由器进行检查，确保其配置正确。

可以参考厂商提供的配置文档，根据网络需求合理设置路由器参数。

同时，也可以考虑升级路由器固件，以确保设备的正常工作。

3.检查网络设备故障：定期对网络设备进行巡检，发现故障及时进行修复或更换。

例如，使用专业的网络测试工具对路由器、交换机等设备进行故障检测，确保其正常运行。

4.优化网络拓扑：对网络拓扑结构进行优化，确保网络中的数据传输路径短且流畅。

通过优化网络拓扑，可以减少数据传输的时延，从而降低大包丢包的发生概率。

5.加强网络安全：网络安全问题也可能导致大包丢包问题。

加强网络安全措施，防范网络攻击与入侵。

例如，使用防火墙、入侵检测系统等安全设备，对网络数据进行过滤和监测。

总结：大包丢包是一种常见的网络故障，可能会对网络传输稳定性产生严重影响。

网络测试工具使用技巧五：实际案例分析与应用经验分享随着互联网的不断发展，网络测试工具在我们的日常生活中扮演着越来越重要的角色。

无论是网络工程师还是普通用户，都需要掌握一些网络测试工具的使用技巧，以便更好地解决网络问题。

在本篇文章中，我将通过一些实际案例分析和应用经验分享，来帮助读者更好地掌握网络测试工具的使用。

案例一：网络延迟问题的解决在某一企业网络中，用户反馈在访问特定网站时出现了严重的延迟问题。

针对这个问题，网络工程师使用了Ping命令来测试网络的延迟。

通过Ping命令发现，到达目标网站的平均延迟时间为200ms，而到达其他网站的延迟时间却只有100ms。

通过对网络拓扑图的分析，发现问题出现在企业网络的边界路由器上。

工程师使用了Traceroute命令来追踪数据包的路径，并发现数据包在边界路由器上的转发时间明显增加。

最终，工程师通过优化路由器的配置，成功解决了网络延迟问题。

通过这个案例可以看出，网络测试工具在排查网络故障时起到了至关重要的作用。

Ping命令可以帮助我们快速查找网络延迟问题的根源，而Traceroute命令则可以用来确定网络数据包的实际路径。

掌握这些工具的使用技巧，能够帮助我们更快速地解决网络问题，提高网络的稳定性和可用性。

案例二：网络带宽问题的解决在某一办公楼网络中，用户反馈在高峰时段网络速度明显下降。

为了解决这个问题，网络工程师使用了Iperf工具来进行带宽测试。

通过对各个网络设备的带宽进行测试，工程师发现出现了一个网络交换机的带宽瓶颈。

工程师根据测试结果，对交换机进行了带宽扩充，问题得到了解决。

通过这个案例可以看出，带宽测试工具对于帮助我们发现网络瓶颈非常重要。

在网络拓扑中，往往会有一些关键节点，如交换机或路由器，通过使用带宽测试工具，我们可以及时发现这些节点的带宽瓶颈，并及时采取措施进行优化，提升网络的带宽。

案例三：网络安全问题的解决在某一金融机构的网络中，出现了大量的DDoS攻击。

网络性能监测案例分析：如何解决用户访问缓慢问题？随着互联网的普及和发展，人们越来越依赖于网络进行各种活动。

然而，有时我们会遇到用户访问缓慢的问题，这给我们的工作和生活带来了困扰。

本文将通过一个网络性能监测案例分析，探讨如何解决用户访问缓慢问题。

首先，我们需要了解网络性能监测的基本原理和方法。

网络性能监测是指通过对网络进行实时监测和分析，以评估网络性能并发现潜在问题的过程。

它可以是针对特定应用或整个网络的监测，通过收集网络流量、延迟、带宽利用率等数据，来判断网络是否正常运行。

接下来，我们来看一个实际案例。

某公司的员工反映，他们访问公司内部网站时速度非常缓慢，甚至时常出现无法访问的情况。

这个问题严重影响了员工的工作效率，需要及时解决。

于是，网络管理员进行了网络性能监测，并找到了问题的源头。

通过监测，管理员发现内部网站的带宽利用率异常高，几乎达到了网络容量的极限。

这就导致了用户访问缓慢的问题。

管理员进一步分析发现，原因在于一些员工的私人设备非法共享了内部网站的带宽，导致其他员工无法正常访问。

为了解决这个问题，管理员采取了一系列措施。

首先，他们加强了网络安全策略，禁止私人设备连接到内部网络，并使用防火墙和入侵检测系统监控网络流量。

其次，他们对内部网络进行了优化，对带宽进行了合理分配和控制，确保每个员工都能够获得足够的网络资源。

最后，他们开展了培训和宣传活动，向员工普及网络安全知识，并告知他们合理使用网络资源的重要性。

经过一段时间的努力，公司内部网站的访问速度明显提高，员工的工作效率也得到了改善。

网络性能监测的成功案例表明，合理的网络管理和及时的问题解决是确保网络正常运行的关键。

除了上述案例，还有许多其他情况下的网络性能监测和问题解决：比如，某网站用户在特定时间段访问缓慢，经监测发现是服务器负载过高导致的，通过增加服务器数量和优化代码等措施解决问题；某应用程序在特定地域用户之间传输速度慢，经监测发现是网络链路问题，通过调整路由和增加网络带宽解决问题等等。

PING时延分析指导书1 概述联通比拼前，各局点都会进行大量的拉网测试，数据分析量非常巨大，为了保证大多数问题能在一线快速隔离定位，从而不影响各局点的网络优化进度，提高效率。

本文将针对联通路测的数据，给出简单可行的问题排查指导书，从而指导一线快速发现问题，实现简单问题及时闭环，复杂问题及时响应。

2 数据反馈模板2.1 版本和测试工具反馈2.2 Ping时延影响特性参数反馈输出件2.3 Ping测试整体测试结果反馈2.4 传输时延坏点反馈2.5 空口时延坏点反馈3 数据分析指导3.1 Ping时延总体分析如果是通过便携机的CMD命令PING来执行的话，可以通过直接保存结果，或者在终端侧直接抓包获取PING的结果。

但通过Probe设置的PING任务，可以再ASSTANT工具中吐出PING的详细结果和统计信息。

由于在分析的过程中需要对当前的SINR或者Pathloss的关系曲线进行对比分析，所以需要关联SINR和PathLoss的数据，但是由于SINR和PathLoss的信息无法与PING信息在同一个SHEET上显示，所以需要通过分别导出PING统计页与SINR和PathLoss统计页，然后根据PING统计中的时间（秒级）点去VLOOKUP在SINR和PathLoss页中的信息。

3.2 Ping时延分段在了解了PING时延的大体情况之后，可以进一步分析传输时延和空口时延分别耗时是多少。

可以通过IFTS 149 跟踪获取eNB PDCP到Server的环回时延。

149跟踪仅支持IFTS和基于IMSI的IFTS跟踪，不支持CellDT跟踪，149跟踪会记录Ping包和Ping Reply包在PDCP的时间戳等信息，通过将Ping Reply包减去Ping包获得PDCP至Server的环回时延。

相同Identifer意味这是同一个ping的发包和reply包。

Ping包类型将ping包区分为request 和reply包。

网络性能监测案例分析：解决用户访问缓慢的策略在当今数字化时代，互联网已成为人们生活和工作中不可或缺的一部分。

然而，时常出现的网络连接缓慢问题成为了许多用户的痛点，给用户体验和工作效率带来了不小的困扰。

为了解决这一问题，网络性能监测成为了一项关键的任务。

首先，我们来看一个真实的网络性能监测案例。

某企业的网络部门接到用户反馈，称他们在使用公司内部网站进行文件下载时，速度极其缓慢。

为了解决这个问题，网络部门采取了以下策略。

第一步，网络监测与分析。

网络部门使用网络监测工具对网络流量和延迟进行实时监测。

通过对日志数据的分析，他们发现每天下午的高峰时段，网络流量激增，导致网络拥堵，影响了用户的访问速度。

第二步，带宽优化。

针对网络拥堵问题，网络部门决定升级带宽。

他们与网络服务提供商合作，通过增加带宽来提高网络连接的速度和稳定性。

这一措施既解决了用户访问缓慢的问题，也为企业日后的网络扩展留下了余地。

第三步，内容分发网络（CDN）的引入。

自企业的用户分布较为广泛，全国各地均有访问需求，为了减少用户与网站之间的物理距离和带来的延迟，网络部门引入了CDN技术。

通过将网站内容分发到位于各地的CDN服务器上，用户可以从最近的服务器上获取所需内容，从而提高访问速度和用户体验。

第四步，优化网站性能。

网络部门利用网站性能监测工具，对公司内部网站进行了全面的性能测试和分析。

他们发现网站中存在大量的冗余代码和过大的图片等问题，导致网页加载速度缓慢。

为了解决这个问题，他们对网页进行了优化，去除了冗余的代码，压缩了图片大小，并采用浏览器缓存和文件合并等技术来提高网页的加载速度。

通过以上策略的实施，企业网络部门成功解决了用户访问缓慢的问题。

用户反馈显示，网站加载速度明显提升，用户的访问体验得到了极大的改善。

而对于企业来说，提高网络性能不仅可以提高员工的工作效率，还可以增强企业的竞争力和品牌形象。

总结起来，网络性能监测的案例分析告诉我们，解决用户访问缓慢的关键在于全面的监测与分析、带宽优化、CDN技术的引入和网站性能的优化。

单位局域网,10M光纤通过光纤收发器接入机房,接入一个4口D-Link路由器作为核心交换机(静态IP),通过光纤转接到3栋办公楼的弱电井机柜,每个机柜配置24口TP-L INK交换机。

在交换机上设置了不同的虚拟工作子网,不同办公楼的工作子网全部通过对应弱电井内的交换机,连接到单位局域网中,并通过路由器登记MA C地址后访问Internet网络[1]。

这样就保证了每栋办公楼都能独立上网,并且各自的上网状态不受其他地方的影响。

近段时间网速不太稳定,远程登陆路由器“重启”后情况有所改善,但过段时间又出现了相同的故障现象。

笔者首先怀疑是遭到了AR P攻击,因为当局域网内某台主机感染了AR P病毒时,就会向本局域网内某一网段所有主机发送A R P 欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。

因客户端具有防代理功能,造成受害者无法通过病毒主机上网。

由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢,中毒者同样如此,中毒者感觉运行速度很慢时,可能会采取重新启动或其他措施。

此时病毒短时间停止工作,大家会感到网络恢复正常。

如此反复,就造成网络时断时续。

参照以上疑似情况,笔者决定通过“arp -d”命令进行诊断,点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮(执行此操作后,如果能恢复正常则说明此次掉线可能是受A R P 欺骗所致。

“arp -d”命令用于清除并重建本机arp 表并不能抵御AR P欺骗,执行后仍有可能再次遭受ARP攻击。

),然后重新尝试上网,发现仍旧不能正常,看来此次故障与本机可能遭受AR P攻击无关,即本机应该没有遭受ARP攻击[2]。

笔者决定再对本网进行检测,运行AntiArp程序,输入本网段的网关ip 地址后,点击“获取网关MAC地址”,检查网关IP地址和MAC地址无误后,点击“自动保护”,AntiArp程序在软件提示框内未显示网络P I N G 延迟故障一例①吴天经(江苏省沭阳县中医院 江苏沭阳 223600)摘 要:路由器可以说是局域网中至关重要的网络设备,它的工作状态与电脑的上网状态息息相关。

某局不定时出现网络延迟故障分析1.1. 故障背景近日接到某局信息中心电话，反映网络中总是不定时的出现网络速度特别慢的问题，多则十几秒，短则几秒钟，虽然也对某些问题主机进行了处理，但问题依然存在。

在办理业务时经常出现无法正确上传数据的现象，严重影响了办公的效率。

希望我们能到现场去分析一下问题的原因，并找出引起这个问题的故障主机。

放下电话后，马上坐车赶到该局信息中心，在同信息中心管理人员进行沟通后了解到该国税局的网络拓扑结构如下：由于无法确定问题主机所在的位置，只好在核心交换机上设置端口镜像，将到市局网络、省局网络的两个端口的进、出流量镜像到空的端口上，接入安装有科来的笔记本，进行现场的抓包。

1.2. 故障重现在捕获了一段时间的数据包后，发现网络中的数据流量并不大，每秒钟只有几百个数据包，每秒位的流量也只达到了850.376Kbps，并不会对网络造成多大的影响。

又捕获了一段时间后，突然发现流量激增，每秒数据包数达到了25000多个，每秒位流量更是达到了22.484Mbps，如下图：看来这便是造成网络不定时出现严重延迟现象的原因了，通过查看“数据包”视图，发现这一时间段内发送的主要协议是UDP，源主机都是72.20.96.73：2425，目的主机都是不同网段的2425端口，并且时间间隔非常短，只有0.000002秒，大小都是固定的112字节又过了一段时间之后，又出现了这种现象：随后又捕获到了相同现象的主机，通过对这两台主机进行查杀，均在其上发现了数量不等的病毒，之后又对网络进行了一段时间的监视，没有再发现突发流量激增的情况。

1.3. 总结本文是根据实际捕获的数据包进行分析的，网络中除了流量激增的情况外，还存在着蠕虫病毒、ARP 请求风暴的情况，但并不是引起网络不定时出现大的延迟的主要原因。

由于攻击造成的网络性能下降案例分析1.1. 故障现象描述1. 故障现象描述东欢坨矿网管员报该区域网络内有许多用户访问集团公司内部网或互联网慢或者不通；林南仓矿报告说到机关总部网络故障。

针对该报告对相关网络进行排查，发现有如下特点：首先，C7609 CPU负载高达99%，从总部ping东欢坨和林南仓的C3550都无法连通；其次，两矿用户反映可以访问其各自的内部网站；第三，东欢坨矿可以ping通网关192.168.60.1，但丢包严重；第四，林南仓矿几乎无法ping通网关192.168.130.1；第五，总部用户也反映上网比平时明显要慢。

2. 基本环境描述用户基本网络拓扑如下图所示。

192.168.60.2Vl23:192.168.60.0/231.1.1.1Vl22 GW:192.168.130.1Vl23 GW: 192.168.60.1东欢坨矿距集团总部大约15公里，之间采用100M光纤连接；林南仓矿因距总部一百多公里，距东欢坨矿仅十几公里，因而林南仓对总部机关网络的访问，是通过本矿一台C3550走2M通讯线路连接就近接入东欢坨矿的C3550，通过东欢坨矿网络实现与机关总部网络互联的。

东欢坨矿所属网络为vlan 23，网关192.168.60.1指在C7609上，林南仓矿所属网络为vlan 22，网关192.168.130.1也指在C7609上，通过启用OSPF路由访问网络。

1.2. 分析方案设计1. 分析目标初步判定怀疑有异常的网络行为导致路由器CPU负载增大，导致处理能力下降，从而影响网络性能。

因此分析出造成路由器C7609 CPU负载高的原因实际上也就能分析出网络访问慢的原因。

2. 分析设备部署因矿区离机关总部很远，网络监控分析工作无法在故障矿区直接进行，只能在总部做，因而用作科来网络分析系统监控用的PC布设在了C7609，与其G2/42端口连接。

为了进一步分析故障原因，在C7609上做源端口为G4/5，目的端口为G2/42的镜像，通过连接在G2/42口的监控pc抓取数据包。