求高手帮忙分析一下我抓的包，特别奇怪的网络问题

myw805

[local]1[/local]
网络拓扑结构：外网总线接一台CISCO的防火墙，防火墙出来的网线接A交换机，然后A交换机连接B交换机，B交换机再连接C交换机，内网是通过代理服务器vmchproxy1上网的，代理服务器是个虚机，chinamail1是内网的邮件服务器。
现在网络状况是：偶尔会出现网络中断，打不开网页，持续时间不等，有时候一两分钟，有时十分二十分。
请高手们帮帮忙，快急死我了，领导已经发火了。

myw805

myw805

myw805

跪求高手帮忙分析一下我抓的包(8个压缩包)

oldjiang

抓包时间2小时35分钟，太长了
有故障的时候抓2、3分钟即可

这个机器占了总流量的60%，疑似下载或P2P

很多P2P也用udp53端口

1336049号数据包的概要有“%BA%BA.mp3 HTTP/1.0”

另外这个mac是？

myw805

多谢版主的回贴及指点，我想着抓包时间长点，才能把问题找出来。
192.168.0.150就是我说的那台内网的代理服务器虚机：vmchproxy1，所有内网的用户上网及MSN都是通这台代理服务器出去的，所以它的流量会很大，我想这应该是正常的吧？
另外想问一下，“1336049号数据包的概要有‘%BA%BA.mp3 HTTP/1.0’”句话是什么意思，我是菜鸟，请帮忙解释的清楚一点，谢谢。
00：1E：13：0B：5D：12这个MAC地址，我去查一下，看是什么地址，另外我问一下，如果这个MAC地址可疑的话，那么00：0F：24：7E：58：D5这个MAC地址是不是更可疑啊？请指点

oldjiang

如果是代理服务器那就正常了
00：0F：24：7E：58：D5应该是那个虚拟机的mac

myw805

版主回复的真快啊,谢谢了
能确定00:OF:24:7E:58：D5就是虚机代理服务器的MAC地址吗?从抓的包中可以判断出吗?因为这个虚机代理服务器的权限不在我手上,是总公司那里管着呢.

另外，我还想问一下版主：从抓的包里面来看,在“诊断”选项卡下,有太多的“TCP重传数据包”和“TCP连接被复位”，这是不是不正常的现象啊？如下图

oldjiang

00:0F:24:7E:585
一般只有网关才有这么多的连接数和流量
可以问一下嘛
你这个又是代理又是虚拟，对我来说复杂了一点

myw805

其实就是在一台装有防毒服务器的台式机上安装了一个虚拟机,来做为代理服务器,供大家上网使用

xtkt

這個你可以在論壇中進行搜索

xiaoshazi

楼主，你所有上网的流量都通过这个代理服务器，所有流量都让杀毒服务器过滤一下是吗？

在打不开网页的时候，你能ping通外网吗？我觉得你可以在出现问题的时候从一台客户机连续ping代理服务器、防火墙、外网。看看此时网络是否通

myw805

使用代理服务器的话,PING外网是PING不通的,我有PING过代理服务器、网关、内部DHCP和DNS，都可以PING的通，但就是上去网，而且我发现局域网内，是没有问题的。真郁闷，不知道何故？

jesondan

ping 代理服务器的下一跳可以ping通吗？

myw805

oldjiang，谢谢你的耐心指导，下面我画的网络拓扑，你帮我分析一下：

myw805

你所说的代理服务器的下一跳，是指什么啊，请指点：网关吗？

oldjiang

“外部光纤”不是连接到总部的吧？
虚拟机代理服务器，机器在本地，但管理权限在上级部门？
从这个拓扑来看，如果用cisco路由器做网关也能上网
科来是在何处部署的呢？

jesondan

我不理解这个代理服务器是怎么工作的？是wingate这样的软件工作模式，还是在ie里输入代理服务器的地址，然后才能上互联网。从图上看，你这个代理服务器是在旁路工作的。

而且从你的图上看，你的交换设备都是串连，没有一个核心交换吗？

你的客户机的网关是指向哪里？ cisco的路由器吗？

myw805

"外部光纤"是从本地电信公司拉过来的宽带,不是到总部的光纤,虚拟代理服务器在本地,管理权在总部,用那个Cisco路由器做网关肯定是可以上网的,但是用它来上网的话,就不受代理服务器的管理了,所以都没有用它来上网,而且这个Cisco路由器的管理权也在总部,下面是我布署科来的网络拓扑,请帮我看下,是否正确?

代理服务器的工作模式不是WINGATE的那种,是在IE里输入代理地址的那种,而且交换设备是串连的,没有核心交换的,客户机的网关是指向那个Cisco路由的.

royallin

先搞清楚是内网问题还是外网电信的问题。
最好的就是光纤转出来后直接接一台电脑进行测试。不方便的话，可以选择下班后没人使用网络时，或者找个能划分VLAN的设备接在最上端，把你那台测试的电脑跟公司他其他电脑跟设备分成2个部分进行测试，看下问题是不是出现在某个部分或者共同出现。
找出是内外网问题后面的就比较好查了。

lyfxwwolf

我现在也 遇到的是这个 问题
我们公司的网络比上面的更 简单  adsl—>带路由功能的猫-> TPLINK交换机1号->服务器   1号交换机连接2号交换机   （比较乱 ）
服务器就是文件服务器  平时  拨号用的
网络会闪断  有时几分钟一次  有时候半个小时
我单机拨号  掉包率很小 1500个掉了2个   但是连到交换机上  就会狂掉
换过了猫  还是不行  我换了个小的交换机 连上服务器 还有另外台电脑  也会掉包  1600个 掉了30个包

[ 本帖最后由 lyfxwwolf 于 2008-12-2 19:04 编辑 ]

myw805

外网可以确定没有问题,内网也应该没有问题,因为我们这里是两层楼的办公室,二楼经常出现断网,但一楼不会断,也就是二楼打不开网页的时候,一楼可以正常打开网页,而且我在二楼断网的时候也测试过,内网是没有问题的,我是这样测试的:因为我们的机房在一楼,二楼打不开网页的时候,我在二楼PING网关,PING代理服务器,PING DHCP和内部DNS都是通的,而且打不开网页的时候我们的内部邮件也可以正常收发,这说明内网应该没有问题,而且在二楼打不开网页的时候,也试过nslookup www.google.com,可以正常解析出IP地址,用tracert www.google.com返的第一跳也 ... ��地址192.168.0.2,但奇怪的是:就是打不开网页,每逢这个时候,我就把二楼的交换机的电源拔掉,重启一下,就好了,后来我把二楼的交换机也更换了,但是故障现象依旧,这实在令人费解,不知道问题出现在哪里?请大家帮忙出谋划策.

royallin

把科莱部署在2楼出口处抓包看看。

xiaoshazi

你能标示一下1楼和2楼的用户都在哪个交换机上了吗？1楼和2楼用同一个vlan 吗？你可以在出问题的时候，请能管理路由器的人检查一下路由器的状态