CSNA网络分析认证专家实战案例 第44章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
利用率(位)(77)
图44-7
图44-8
图44-9
从图44-7和图44-8可以看到,77和78网段的网络利用率 相对于它们的通信带宽都比较大。因为各个视频会议的通信 带宽都是2 Mbps的,从上面的利用率我们可以看到,整个视 频会议的网络利用率都非常的高,占用了大量的网络使用带 宽。
我们同时进行了Ping测试,发现77和78网段会经常出现 丢包、延时大的故障现象,而74网段则比较正常。
机,所以我们将科来软件部署在核心交换机上,镜像不同的 端口来捕获各个交互的数据包,如图44-2所示。
图44-2
44.2.3 具体分析 1.确定内部网络是否有攻击行为 我们先将所有的端口都做镜像,捕获网络中所有的交互
流量,根据各交互数据查看网络中是否有病毒主机、网络是 否受到攻击等一些异常行为。我们从捕获到的数据包观察网 络的总体情况,如图44-3所示。
综合上面的总体分析我们可以得出结论:整个网络是处 于正常应用的状态,没有异常攻击或病毒,所以视频会议慢 不是网络病毒攻击造成的。
2.具体分析视频会议故障 为了找到并解决问题,我们要在故障现场进行观察,抓 取在视频会议进行时的数据包,分析具体的故障原因。 我们在抓取视频会议的数据包时发现,属于视频会议网 段的流量比较大,如图44-6所示。
44.2.1 分析方法 对于这类网络故障,我们可以利用数据包捕获法来了解
其数据包交互过程,通过捕获到的数据包观察网络有没有受 到攻击、主机有没有中病毒、视频会议的交互数据包有没有 丢包等。利用综合信息来分析故障出现的原因,然后再结合 相应的解决办法来解决该故障。
44.2.2 部署方式 从上面的介绍我们知道,所有的交互都要经过核心交换
对于TCP连接情况,我们可以通过它来发现网络中有没 有基于TCP的网络攻击等行为。通常一个初始化TCP连接对 应一个成功建立连接,它们正常的比值应该等于或者接近 1∶1。如图44-3所示,两者相差不大,比值较为正常,所以 TCP的连接情况应该是正常的。
从图44-4我们可以看到,流量排在第一位的是一个广域 网地址,通过了解我们知道该地址是煤监局的出口地址,所 以流量大属于正常情况。至于后面几个流量大的主机,通过 分析可以发现它们在进行下载。
44.1.1 网络环境 如图44-1所示,省局视频会议室的视频会议终端是连接
在核心交换机上的,MCU通过一台北电路由器与核心交换 机相连,北电路由器连接国家局路由器,以便于与国家局进 行视频会议;地市局的视频会议通过地市局路由器与国家局 路由器相连到MCU,地市局上网经过地市局路由器到防火 墙这条线路。
第44章 某局视频会议故障报告 和服务器运行分析
➢44.1 视频会议故障描述 ➢44.2 视频会议故障分析 ➢44.3 服务器的运行分析 ➢44.4 总结
44.1 视频会议故障描述
视频会议应用主要在于稳定,在进行视频会议的时候如 果出现利用率波动过大、网络流量占用过大的情况,那么视 频会议可能就会出现中断、视频反应慢等故障。
图44-3
如上图所示,在一个半小时的时间里总共有11.730 GB 的流量经过核心交换机,我们从后面的端点流量等情况可以 看到有重复捕获的流量,所以产生的流量并不是特别大。
再看数据包分布情况,大包和小包的数量比值相差不大, 没有过多的小包或过多的大包产生。因为病毒通常会产生大 量的小包,而攻击包可能是发送大量小包或者是利用大流量, 造成网络带宽被过多占用致使网络瘫痪,但是图中没有类似 的数据包。
视频会议主要是通过中间设备MCU来控制和组织各视 频会议终端的,通过后期的了解发现,所有的视频会议终端 都要跟MCU交互,然后才能在视频会议的大屏中彼此进行 交流。因此,我们针对各个视频会议终端地址与MCU地址 的数据进行分析,可以看到整个视频会议过程中的平均流量 情况,如图44-10所示。
图44-10
从上图我们可以看到,黑框标识的IP地址就是视频会议 的IP地址,视频会议平均每秒的流量在1 Mb左右,所以视频 会议所需要的带宽在1 Mb左右就行了,但是整个77和78网 段的流量使用很大,占用了过多的视频会议带宽,所以导致 丢包、延时等现象。
44.3 服务器的运行分析
网络中有对外开放的Web服务器,根据负责人介绍, Web服务器可能受到了外部攻击或者本身中了病毒,所以我 们对服务器的交互数据包进行捕获,分析其是否异常,如图 44-11所示。
图44-6
从图44-6中可以看到,该网在1分钟左右的时间里一共 产生了将近90 MB的流量,其中77网段的流量将近47 MB, 78网段的流量将近21 MB,74网段的流量将近7 MB,而且 这三个网段都是视频会议所在的网段。可以看出,视频会议 所在的网段占用了一大半的网络带宽。
我们再察看网络的利用率是如何分布的,如图44-7、图 44-8和图44-9所示。
图44-1
44.1.2Байду номын сангаас故障现象 地市局到省局是通过2 Mbps线路,省局在与地市局进行
视频会议的时候,会出现动作延时、视频反应慢、图像没反 应等现象;视频会议信号差,Ping地市局视频会议的IP地址 时,延时比较大,还有丢包现象。
44.2 视频会议故障分析
导致视频会议延时的原因,可能是网络病毒、网络攻击 或者是中间通信设备故障等。为了能够找到造成故障的原因, 我们对故障进行以下的分析。
我们再看看整个网络协议的使用情况,观察是否有异常 协议使用,是否有不常用协议的流量变大等,如图44-5所示。
图44-4
图44-5
从上图可以看到,整个网络的协议使用靠前的几位分别 是UDP-Other、HTTP、TCP-Other等,都是正常网络中经常 出现的协议,UDP-Other和TCP-Other通常在我们进行下载、 在线视频时出现。所以从使用的协议来看,网络中协议使用 量也是正常的。
图44-11
如图44-11所示,服务器的流量不是很大,TCP连接数 有点异常。通常TCP连接异常可能会是TCP攻击或中了TCP 端口病毒,但是通过图44-12所示的会话视图可以看到,造 成TCP初始化和成功建立连接比值差异的主要原因是由于在 进行TCP三次握手时出现了数据包重传,而不是基于TCP的 攻击或病毒。
图44-7
图44-8
图44-9
从图44-7和图44-8可以看到,77和78网段的网络利用率 相对于它们的通信带宽都比较大。因为各个视频会议的通信 带宽都是2 Mbps的,从上面的利用率我们可以看到,整个视 频会议的网络利用率都非常的高,占用了大量的网络使用带 宽。
我们同时进行了Ping测试,发现77和78网段会经常出现 丢包、延时大的故障现象,而74网段则比较正常。
机,所以我们将科来软件部署在核心交换机上,镜像不同的 端口来捕获各个交互的数据包,如图44-2所示。
图44-2
44.2.3 具体分析 1.确定内部网络是否有攻击行为 我们先将所有的端口都做镜像,捕获网络中所有的交互
流量,根据各交互数据查看网络中是否有病毒主机、网络是 否受到攻击等一些异常行为。我们从捕获到的数据包观察网 络的总体情况,如图44-3所示。
综合上面的总体分析我们可以得出结论:整个网络是处 于正常应用的状态,没有异常攻击或病毒,所以视频会议慢 不是网络病毒攻击造成的。
2.具体分析视频会议故障 为了找到并解决问题,我们要在故障现场进行观察,抓 取在视频会议进行时的数据包,分析具体的故障原因。 我们在抓取视频会议的数据包时发现,属于视频会议网 段的流量比较大,如图44-6所示。
44.2.1 分析方法 对于这类网络故障,我们可以利用数据包捕获法来了解
其数据包交互过程,通过捕获到的数据包观察网络有没有受 到攻击、主机有没有中病毒、视频会议的交互数据包有没有 丢包等。利用综合信息来分析故障出现的原因,然后再结合 相应的解决办法来解决该故障。
44.2.2 部署方式 从上面的介绍我们知道,所有的交互都要经过核心交换
对于TCP连接情况,我们可以通过它来发现网络中有没 有基于TCP的网络攻击等行为。通常一个初始化TCP连接对 应一个成功建立连接,它们正常的比值应该等于或者接近 1∶1。如图44-3所示,两者相差不大,比值较为正常,所以 TCP的连接情况应该是正常的。
从图44-4我们可以看到,流量排在第一位的是一个广域 网地址,通过了解我们知道该地址是煤监局的出口地址,所 以流量大属于正常情况。至于后面几个流量大的主机,通过 分析可以发现它们在进行下载。
44.1.1 网络环境 如图44-1所示,省局视频会议室的视频会议终端是连接
在核心交换机上的,MCU通过一台北电路由器与核心交换 机相连,北电路由器连接国家局路由器,以便于与国家局进 行视频会议;地市局的视频会议通过地市局路由器与国家局 路由器相连到MCU,地市局上网经过地市局路由器到防火 墙这条线路。
第44章 某局视频会议故障报告 和服务器运行分析
➢44.1 视频会议故障描述 ➢44.2 视频会议故障分析 ➢44.3 服务器的运行分析 ➢44.4 总结
44.1 视频会议故障描述
视频会议应用主要在于稳定,在进行视频会议的时候如 果出现利用率波动过大、网络流量占用过大的情况,那么视 频会议可能就会出现中断、视频反应慢等故障。
图44-3
如上图所示,在一个半小时的时间里总共有11.730 GB 的流量经过核心交换机,我们从后面的端点流量等情况可以 看到有重复捕获的流量,所以产生的流量并不是特别大。
再看数据包分布情况,大包和小包的数量比值相差不大, 没有过多的小包或过多的大包产生。因为病毒通常会产生大 量的小包,而攻击包可能是发送大量小包或者是利用大流量, 造成网络带宽被过多占用致使网络瘫痪,但是图中没有类似 的数据包。
视频会议主要是通过中间设备MCU来控制和组织各视 频会议终端的,通过后期的了解发现,所有的视频会议终端 都要跟MCU交互,然后才能在视频会议的大屏中彼此进行 交流。因此,我们针对各个视频会议终端地址与MCU地址 的数据进行分析,可以看到整个视频会议过程中的平均流量 情况,如图44-10所示。
图44-10
从上图我们可以看到,黑框标识的IP地址就是视频会议 的IP地址,视频会议平均每秒的流量在1 Mb左右,所以视频 会议所需要的带宽在1 Mb左右就行了,但是整个77和78网 段的流量使用很大,占用了过多的视频会议带宽,所以导致 丢包、延时等现象。
44.3 服务器的运行分析
网络中有对外开放的Web服务器,根据负责人介绍, Web服务器可能受到了外部攻击或者本身中了病毒,所以我 们对服务器的交互数据包进行捕获,分析其是否异常,如图 44-11所示。
图44-6
从图44-6中可以看到,该网在1分钟左右的时间里一共 产生了将近90 MB的流量,其中77网段的流量将近47 MB, 78网段的流量将近21 MB,74网段的流量将近7 MB,而且 这三个网段都是视频会议所在的网段。可以看出,视频会议 所在的网段占用了一大半的网络带宽。
我们再察看网络的利用率是如何分布的,如图44-7、图 44-8和图44-9所示。
图44-1
44.1.2Байду номын сангаас故障现象 地市局到省局是通过2 Mbps线路,省局在与地市局进行
视频会议的时候,会出现动作延时、视频反应慢、图像没反 应等现象;视频会议信号差,Ping地市局视频会议的IP地址 时,延时比较大,还有丢包现象。
44.2 视频会议故障分析
导致视频会议延时的原因,可能是网络病毒、网络攻击 或者是中间通信设备故障等。为了能够找到造成故障的原因, 我们对故障进行以下的分析。
我们再看看整个网络协议的使用情况,观察是否有异常 协议使用,是否有不常用协议的流量变大等,如图44-5所示。
图44-4
图44-5
从上图可以看到,整个网络的协议使用靠前的几位分别 是UDP-Other、HTTP、TCP-Other等,都是正常网络中经常 出现的协议,UDP-Other和TCP-Other通常在我们进行下载、 在线视频时出现。所以从使用的协议来看,网络中协议使用 量也是正常的。
图44-11
如图44-11所示,服务器的流量不是很大,TCP连接数 有点异常。通常TCP连接异常可能会是TCP攻击或中了TCP 端口病毒,但是通过图44-12所示的会话视图可以看到,造 成TCP初始化和成功建立连接比值差异的主要原因是由于在 进行TCP三次握手时出现了数据包重传,而不是基于TCP的 攻击或病毒。