120台网吧网络速度慢！

yuxi1016 · 发表于 2006-7-8 22:22:05

各位高手，我120台的网吧，最近从内网访问外网的速度很慢，我用Omipeek做了1个小时的监控，在附件里，请大家帮忙分析一下原因。
我的网络用的是这种结构：
                                                               光纤
                                                                  |
                                                            ROS软路由
                                                                  |
                                                            华为5024P             -这个用来做主交换，这个交换机要做两个vlan才可以做端口镜项
                                                         |       |       |
                                                      边缘    边缘边缘

对了，000AEB304147是我的游戏服务器。
         00D0B7407D7C是我的收费服务器。
         00C09F8BDD44是用来监控就是OmniPeek这台。

现在的问题就是，网吧满员的时候，从内网访问外网速度非常慢。希望大家帮一下忙看看是什么地方出了问题，谢谢！

[ 本帖最后由 yuxi1016 于 2006-7-11 21:57 编辑 ]

ValorZ · 发表于 2006-7-8 23:04:18

1.你的数据包里面有99%的数据是广播数据包和你自己本机的数据包，这说明，你sniff机器的位置不对。没有sniff到全部的流量.（3小时抓到66201个桢，一共才8MB大小，整个网吧3个小时的流量才这么点，怎么想都不可能吧）
2 就从你现在的数据包里面的内容来看，192.168.1.240是你的游戏服务器，发送的ARP频率比较高。你说你的局域网只有150台机器，但是他穷据了1.0这个C类网。以及你的机器，也向1.2到1.254发送过ARP请求。但是频率不高，肯以忍受。

从你的游戏服务器发送的arp请求来看，你的150台机器似乎都是在一个vlan里面的？这样机器开的一多，广播的流量就会成倍增加。我的建议，就是好好的划一下vlan，利用trunk，然后搞台路由器做单臂路由。网吧做成一个域好像不太方便，那就设一个WINS服务器。这样可以减少很多NETBIOS的广播。

[ 本帖最后由 ValorZ 于 2006-7-9 11:46 编辑 ]

yuxi1016 · 发表于 2006-7-9 11:02:55

谢谢版主给的建议，可以问几个问题吗？
1、我这里现在找不到合适的路由做单项路由，可不可以不做，只做一个wins服务器来减少netbios的广播？
2、我的5024做了端口监控，用笔记本插上去监控会不会有什么影响？

ValorZ · 发表于 2006-7-9 11:19:48

1。普通的2000 server，就能做个单臂路由了。你的软路由应该也能完成那个功能。但是网吧划vlan的话就会造成vlan之间局域网游戏不能相互连接的问题。所以，做个wins服务器应该可以减少netbios的广播吧。
2。你的5024端口监控是怎么设置的？

yuxi1016 · 发表于 2006-7-9 11:46:43

版主，我的5024是划了两个vlan，vlan1监控vlan2的数据，华为的这个交换机就是有这个bug。
对了，刚才忘记问了，您看了我的那个纪录，局域网有没有什么大的问题

ValorZ · 发表于 2006-7-9 12:01:34

2个vlan之间似乎不能互相访问的，你怎么能捕捉数据？

你的数据包里面有99%的数据是广播数据包和你自己本机的数据包，这说明，你sniff机器的位置不对。没有sniff到全部的流量.（3小时抓到66201个桢，一共才8MB大小，整个网吧3个小时的流量才这么点，怎么想都不可能吧）

yuxi1016 · 发表于 2006-7-9 12:15:36

这样好吗？我现在把笔记本接到监控口上，监控5分钟的流量，您帮我分析一下

yuxi1016 · 发表于 2006-7-9 12:26:54

老大，就像您说的，我把笔记本接到监控口上，1分钟怎么有保存了5个文件，加起来有70多兆啊，怎么传给您？

yuxi1016 · 发表于 2006-7-9 12:31:58

可以给一个联系方式吗？手机或者QQ

ValorZ · 发表于 2006-7-9 18:14:25

你只要抓每个桢的前68个字节就行了，不需要把所有的桢内容都抓下来

[ 本帖最后由 ValorZ 于 2006-7-9 18:53 编辑 ]

yuxi1016 · 发表于 2006-7-9 23:22:45

怎么限制啊！我的只有限制每个包的的大小，就是Limit each packet to 128 bytes，是不是没有找对地方？

ValorZ · 发表于 2006-7-9 23:24:29

对，就是这个，改成68看看？

cwym29 · 发表于 2006-7-10 09:32:28

在Etherpeek中设置buffer大小，然后保存buffer中的数据包就会小一点。

菜青虫 · 发表于 2006-7-10 10:20:35

从LZ发的数据包文件来看，环境没有部署好，只抓到本机及网络中的广播包！

俺使用科来，在诊断中看到有ARP攻击的提示，

192.168.1.240和192.168.1.254中好像在进行ARP扫描，整个网段都扫描了，应该算是不正常的吧，

强烈建议LZ重新抓包，重新发上来讨论

菜鸟人飞 · 发表于 2006-7-10 10:56:29

1.如楼上几位兄弟所言，楼主OmniPeek的安装部署的确存在问题，这可以从下面这幅图中得到证实。由于没有在正确的位置进行抓包，从而得到的数据包不完整，除本机以外，网络中其它主机均只有广播通讯被捕获。

2.楼主请参阅http://www.csna.cn/forum.php?mod ... &extra=page%3D3正确部署您的网络分析软件。

3.启动网络分析软件抓包，然后将数据包压缩并上传到论坛。数据包不用保存太大，把buffer设小一点，捕获的时间短一点即可。但必须保证里面有完整的TCP连接信息，以便于分析速度慢的原因。

哦，另外，数据包文件中的确存在ARP扫描的情况，但这可能是正常的，这些数据包可能是游戏服务器和收费服务器发出的，同时网络中的主机对此进行了回应，但是由于安装部署不正确，未捕获到ARP回复数据包，所以出现了这种情况。

[ 本帖最后由菜鸟人飞于 2006-7-10 10:59 编辑 ]

土豆 · 发表于 2006-7-10 13:39:39

同意楼上各位GG的说法。

yuxi1016 · 发表于 2006-7-11 21:34:04

谢谢各位的帮助，真心感谢，我明天重新抓包，然后请大家帮忙看看，这几天生意下降了很多啊！再次感谢

yuxi1016 · 发表于 2006-7-11 21:59:12

好了，现在在全满的情况下，我查在华为的监控口上捕捉的两次包，麻烦大家在看看，谢谢

yuxi1016 · 发表于 2006-7-13 20:02:53

各位麻烦看看，我是新手，看不出个所以然来

ValorZ · 发表于 2006-7-13 20:26:00

你的网络带宽有多少？
55 49 这2台电脑流量有点大

icefired · 发表于 2006-7-13 20:44:50

关注抓包情况。

菜鸟人飞 · 发表于 2006-7-14 09:46:22

楼主的数据包已更新。

从新抓的数据包来看，192.168.1.49 192.168.1.55 192.168.1.230这三台主机可能存在故障，楼主可以检查下这几台主机的工作情况。它们与公网地址建立的连接或会话非常多，大量消耗了网络资源，有可能是导致网络速度慢的根源。

建议：下次楼主如果还有新的数据包时，不要替换覆盖原来的数据包，可以用第一次，第二次之类的将之区别开。

yuxi1016 · 发表于 2006-7-14 21:20:27

谢谢各位的分析，我会注意的

jordan2001554 · 发表于 2006-7-31 10:45:33

我是新人什么也不懂，就当看看学习下

120台网吧网络速度慢！

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分