高手帮我看看这个包

hanvey126

传了，帮忙看一下

hanvey126

不是吧~~~这样也么正确部署？我测试过了，不是捕捉到流量了吗？

hanvey126

OK,明白了！！！谢谢OLDJIANG大哥！！

oldjiang

没错，默认的矩阵是这个样子，但是单播矩阵就不是了

hanvey126

终于给我抓到单播了 ，麻烦版主大哥帮我分析一下！！！！
其中，192.168.8.114 192.168.8.110 192.168.8.239这几台是服务器！

[ 本帖最后由 hanvey126 于 2008-6-27 21:37 编辑 ]

hanvey126

再传一个ARP的包，oldjiang大哥，麻烦你了 ！！！！掉线，掉到老板快发飙了！

oldjiang

工程2，只有一个机器在扫描了，00:30:18:AA:CC:7F，1#的工程文件里也是他！
从00:30:18:AA:CA:62以下，那些机器发的包大部分都是对00:30:18:AA:CC:7F请求的应答

oldjiang

1、部署正确！
2、可惜缓存超了，用网关mac地址做过滤器，分别查看内网的、外网的流量，7GB分别只剩下不到10MB，没得分析。参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的6#
3、协议视图，流量最大的tcp-other协议，基本上都是访问114服务器的，按h3c论坛的说法，最好开流控。如果科来是部署在路由器的镜像口，怎么会抓到局域网机器访问游戏服务器的包呢？
4、协议视图，有bt、emule、pplive等，路由器做限速了吗？一定要限速。
5、是不是无盘网络？
6、建议使用下面的过滤器、在路由器的LAN1口、抓访问外网的流量：
过滤器，添加，新过滤器，高级过滤器，与，地址，填写路由器的mac地址



[ 本帖最后由 oldjiang 于 2008-6-28 12:42 编辑 ]

hanvey126

忘记说一点AACC7F那台电脑装有网络执法官，因此有请求也不足为怪吧，选择重新抓了包，上传！！！

hanvey126

原帖由 oldjiang 于 2008-6-28 12:30 发表
1、部署正确！
2、可惜缓存超了，用网关mac地址做过滤器，分别查看内网的、外网的流量，7GB分别只剩下不到10MB，没得分析。参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的6#
3、协议视图，流量最大的tcp-other ...

科来部署在路由器镜像端口，路由做过限速，也禁止了P2P,电炉等...网吧为有盘网络，上传限制为150K，下载限制为400K，应该很合适吧，55M的带宽！！！！

oldjiang

1、看了路由器手册，限速，速度单位是bits/s比特每秒，限速设置是合理的。

2、36#的工程文件，也是和41#一样部署在路由器镜像端口吗？如果是的话，我就不明白为何能俘获114、110、239等服务器的流量，路由器上还接了什么机器？

hanvey126

回42#
抓包机器是连路由的LAN1口，114，239，150等服务器是接在H3C上面的，照理说LAN1口做了端口镜像，难道不能抓到整个网络的流量吗？
路由上没接其他机器了，除开抓包的机器，就是到主交换机的线了！

[ 本帖最后由 hanvey126 于 2008-6-28 22:24 编辑 ]

oldjiang

lan1镜像的是lan2-4口，也就是说只有流经（进或出）lan2-4的包才会被转发到lan1，才会被接在lan1上的科来俘获，不从这里过的，就不会被俘获，所以镜像不等于能抓到局域网上所有的包。服务器是接在H3C上，客户机访问服务器，交换机就转发即可，按理是不会经过路由器lan2-4口的，我奇怪的是36#为何能抓到客户机访问服务器的流量。

[ 本帖最后由 oldjiang 于 2008-6-28 22:58 编辑 ]

oldjiang

40#的工程文件，发现一个超速的
端点视图，按每秒位降序，定位第一个

查看他的会话，192.168.11.21的速度是104KBps=1047Kbps

oldjiang

1、网络执法官，尽量少用，他欺骗其他机器说他是网关，于是其他机器就发包给他，他再转发给真正的网关，他本身会成为一个瓶颈，能否双向欺骗就不清楚了，也许路由做了arp绑定。同时路由器启用了防ARP功能，估计网络执法官也只是能收到部分的包，这样是不是有点乱。
2、金浪千兆交换机不是三层交换机，为什么要划分两个lan，公安监控的要求吗？
3、掉线肯定是什么地方出现了瓶颈，网络拓扑是路由--金浪--H3C，这三个都是网络的核心设备，建议装一个solarwinds，观察流量和cpu利用率，这个软件net130有下载，艾泰4250NB路由器和S5024P交换机都支持SNMP。观察几天，就可以建立一个baseline，即正常情况下时间/客户数/流量/利用率大概是个什么样子，当流量异常的时候，再用科来分析。
4、还是建议你画一个拓扑图，就现在的问题分别咨询三个核心设备的厂商，看看能否对配置进行一些优化。在本论坛按标题搜索“网吧 掉线”有一些帖子，全文搜索就更多了，看看。

hanvey126

我内网应该无中毒或者疯狂发包的迹象吧？

hanvey126

原帖由 oldjiang 于 2008-6-28 23:58 发表
1、网络执法官，尽量少用，他欺骗其他机器说他是网关，于是其他机器就发包给他，他再转发给真正的网关，他本身会成为一个瓶颈，能否双向欺骗就不清楚了，也许路由做了arp绑定。同时路由器启用了防ARP功能，估计网络执 ...

从网吧组网开始到今年年初，都一直没什么问题，过年开始就经常这样，机器数也没有增加，同样的设备，却老是出现ping的通网站，上不了网，而且每天晚高峰期的时候就出现一次，重启一次路由又好了，然后又没问题了！这个时候重启交换机没有用，必须是重启路由！想来想去，会是交换设备的瓶井吗？

oldjiang

从最近的两个包来看，没有

oldjiang

用solarwinds看看路由器wan口、lan口的流量和cpu利用率，这个软件可以整天运行

hanvey126

oldjiang大哥，谢谢你了！
solarwinds软件我下载不到啊，麻烦告诉我一个下载的地址！还有我金浪交换机的型号是KN-S1008GM+，帮我分析一下好吗？

oldjiang

用Router CPU Load可以看cpu利用率
用snmp graph 可以同时看流量和cpu利用率
比较喜欢用snmp graph ，启动快，刷新快，连续的曲线
可以每个端口打开一个窗口，比如wan开一个窗口、lan开一个窗口、cpu利用率开一个窗口
也可以在一个窗口中同时显示wan进出流量、lan进出流量、cpu利用率等5个参数
流量里的ifinoctets是指进入端口的流量，即终端到端口的；ifoutoctets是从端口出去的，即端口到终端。

[ 本帖最后由 oldjiang 于 2008-6-29 11:28 编辑 ]

oldjiang

KN-S1008GM+，厂商网站没有手册。

hanvey126

汗啊！！！
英文版的，英文水平不够用，晕死了！有没汉化版的啊

hanvey126

今天早上换了路由器，问题依旧，排除是路由的问题。由于是整个网络无响应，也不能断定故障出现在金浪或者是华为的交换机上。故障时重启交换设备无效，那么请问oldjiang大哥，可否给我一个解决的方案！

[ 本帖最后由 hanvey126 于 2008-6-29 18:55 编辑 ]

oldjiang

我没什么方案，让你失望了
按附件所示全天观察路由器
请同行支援，不要一个人战斗
咨询h3c的ASC