網(wǎng)絡(luò)環(huán)境

　　網(wǎng)吧大概有200臺電腦，采用雙WAN出口（電信和網(wǎng)通）訪問互聯(lián)網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)較為簡單，外網(wǎng)、路由器、主交換機(jī)、二層交換機(jī)、客戶端。

　　故障詳細(xì)描述

　　同時(shí)接上兩（電腦沒聲音）個(gè)外網(wǎng)出口時(shí)，整個(gè)網(wǎng)絡(luò)訪問通訊出現(xiàn)異常，網(wǎng)絡(luò)速度異常緩慢，很多用戶甚至不能上網(wǎng)，在客戶端進(jìn)行ping包測試時(shí)發(fā)現(xiàn)，本地客戶端嚴(yán)重丟包，斷開網(wǎng)通的外網(wǎng)出口，網(wǎng)絡(luò)卻又恢復(fù)正常，ping包測試也無異常。

　　故障分析

　　由于在斷開網(wǎng)通的線路后，網(wǎng)絡(luò)訪問正常，初步懷疑是網(wǎng)通線路問題，于是用筆記本單獨(dú)接網(wǎng)通線路測試，一切正常，所以首先排除了網(wǎng)通線路的問題。在排除線路問題后，我們將問題重點(diǎn)放在了內(nèi)網(wǎng)主機(jī)檢查上。由于網(wǎng)絡(luò)速度緩慢并且出現(xiàn)斷網(wǎng)的情況，所以懷疑網(wǎng)絡(luò)中有主機(jī)感染ARP或其他蠕蟲病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓，于是決定用科來網(wǎng)絡(luò)分析系統(tǒng)抓包分析，在中心交換機(jī)上做好端口鏡像，在筆記本上安裝科來網(wǎng)絡(luò)分析系統(tǒng)，將筆記本接到中心交換機(jī)的端口上，啟動科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲數(shù)據(jù)，約6分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。

　　我們首先了解網(wǎng)絡(luò)的整體運(yùn)行狀態(tài)，在概要統(tǒng)計(jì)視圖中可以看到：網(wǎng)絡(luò)的總共流量為1.828GB，而利用率則達(dá)到了近80％，這是網(wǎng)絡(luò)緩慢的一個(gè)重要指示參數(shù)。我們再看TCP的參數(shù)信息，此處，TCP的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包分別是17796和9963個(gè)，由TCP的工作原理我們知道，TCP在工作時(shí)首先會通過三次握手建立連接，數(shù)據(jù)傳輸完成后，必須關(guān)閉連接，在建立握手的時(shí)候，會產(chǎn)生2個(gè)同步數(shù)據(jù)包，而關(guān)閉連接的時(shí)候，也會產(chǎn)生2個(gè)同步數(shù)據(jù)包，所以，理論情況下，1個(gè)TCP連接的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包應(yīng)該大致相等，如果二者的數(shù)據(jù)包相差較大，說明當(dāng)前的網(wǎng)絡(luò)傳輸不正常。如圖1。

　　

　　圖1