科来抓了包，有几个疑问想请教大家-数据包以上传至网盘

biglynx · 发表于 2010-9-27 15:51:43

本帖最后由 biglynx 于 2010-9-27 16:20 编辑

先向各位汇报一下我们网络最近情况——打开网页大部分时候很慢，中午用户多的时候更是这样，PING网关也就是三层交换机上划分出来的网关，有掉包现象，但不定时，断的也不多，4-6个的样子。
再向各位汇报一下大概的网络拓扑互联网----->计费网关---->三层交换---->划分VLAN连到各个部门。

在三层交换机上做端口镜像，用论坛提供的科来网络分析交流版，抓了几次包，情况都差不多。但每次保存下来都是16M，就没敢往论坛上传，等会再抓一次，找个网盘传上来～

抓包文件
http://u.115.com/file/f0697c717c
如果要提取码的话 f0697c717c 应该这个就是了～
唉，刚刚辛辛苦苦编辑了帖子，竟然没发表成功，返回上一步竟然什么都没了……

截了几张我认为能反映问题的图，在这里向大家请教

有两个部分的包数量特别多，怀疑65-127是TCP的迅雷数据包，1024以上的是UDP的迅雷数据包～我猜的，呵呵

TOP10，UDP高峰都有占到80%

这里反映UDP也是占大多数啊

这是别的软件抓的进出流量

这个是科来的诊断，TCP重连和TCP慢应答，是不是大家反映打开网页慢的原因呢？根本原因又在哪里呢？

内部都是采用10.168开头的静态私有地址，但也有很多用户使用路由，大部分都是192.168开头的，只是不清楚，为什么科来也能抓到路由呢？

其实疑问很多的，来到CSNA，学习了好几天，但是发现自己还是搞不清楚这些情况，请大家不吝赐教。

还有一点想问的就是，如果确实是迅雷下载占用了大部分带宽资源，那么网页打开慢，PING三层交换的网关掉包，是因为带宽不够还是因为三层交换机性能不足还是两者皆有呢？

long_323 · 发表于 2010-9-27 16:01:20

如果确实是迅雷下载占用了大部分带宽资源，那么网页打开慢，PING三层交换的网关掉包，是因为带宽不够还是因为三层交换机性能不足还是两者皆有呢？
一般是带宽不够，不过要是存在迅雷下载，不管多大的带宽都能给你占满。
目前怀疑两点：1、网络中存在arp扫描、欺骗；2、内网用户使用下载软件，造成网络拥塞。

kelai520 · 发表于 2010-9-27 16:05:50

如果是ARP欺骗扫描.. 那怎么解决呢..
我是新手.. 想学习一下解决事情的办法.

pc新手 · 发表于 2010-9-28 16:06:52

装个360开启ARP防火墙

pc新手 · 发表于 2010-9-28 16:08:05

请问那么多的TCP慢应答是不是因为迅雷造成的？？

biglynx · 发表于 2010-9-28 16:33:23

5# pc新手
我觉得是的，但不知道为什么以前就没有网络慢的现象，现在才有

pc新手 · 发表于 2010-9-28 21:43:11

限制流量在观察观察

biglynx · 发表于 2010-9-29 17:25:44

恩，计费网关上做限制了，感觉要稍微好了点。
昨天又处理了个接入交换机的小故障不知道是不是也有影响。

jacklu01 · 发表于 2010-10-3 21:54:46

找出下载者，限制这家伙

biglynx · 发表于 2010-10-6 08:27:58

9# jacklu01
呵呵，没有流控或者行为管理系统。虽然知道，由于制度限制，没法限制。

科来抓了包，有几个疑问想请教大家-数据包以上传至网盘

本帖子中包含更多资源

评分