帮我分析下，这几天苦了我了。

lwyjdgv · 发表于 2008-12-4 19:35:31

首先描述下，我是处于网吧的环境，总共59台机器，10M电信光纤。
IP分布为：192.168.1.1~192.168.1.59。游戏服务器IP为：192.168.1.250。收费端IP为：192.168.1.253。网关IP为：192.168.1.254。
网络结构：外网>路由器>主交换机>3个分交换机>每台交换接若干客户机。
这段时间，一个感觉：卡！之前还出现过各种各样的网络问题，都一一解决。但现在这个问题完全摸不到头绪。
网络高峰期(包括有顾客高速下载的时段)网吧就开始卡，ping网关无规律掉包，DNS无规律掉包，并且延迟升高。
等人走一半以后，才好的。但是只要一有下载，立刻开始卡。不得以，在路由器做了限速，稍微好了点。
自己看了日志后的一点补充：
192.168.1.43是在用P2P下载，我已经叫他关了，依然如此。
192.168.1.55在看QvodPlayer，我也奇怪，好像某些播放器会伪造一些尾数一样的IP。
192.168.1.8在看共享的电影。
我实在想不出原因了，如果没办法，只好找电信了！

日志有20M，我上传到空间里了：
http://xianexs.mail.qq.com/cgi-b ... 1&&txf_sid=
提取码：70227113

[ 本帖最后由 lwyjdgv 于 2008-12-4 20:27 编辑 ]

loveks · 发表于 2008-12-4 19:45:42

我正在下载中

nhao · 发表于 2008-12-4 20:05:54

这个问题一般都有,其实你抓下包试下,如果是PING BAIDU.你会发现掉的那些包并不是BAIDU的地址,而是些其他的地址.是TTL值为O了.可能是路由的NAT转发能力有限,条目不够,而下载网络电视那的抢占带宽的能力很强...换个好些的路由器试下看效果怎么样.

oldjiang · 发表于 2008-12-4 20:11:31

以后可以分卷压缩上传工程文件，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid55245

lwyjdgv · 发表于 2008-12-4 20:27:10

原帖由 nhao 于 2008-12-4 20:05 发表
这个问题一般都有,其实你抓下包试下,如果是PING BAIDU.你会发现掉的那些包并不是BAIDU的地址,而是些其他的地址.是TTL值为O了.可能是路由的NAT转发能力有限,条目不够,而下载网络电视那的抢占带宽的能力很强...换个好些 ...

感谢！这些症状是突发性的。以前从来没有这样的情况。正常的时候，局域网内2-3个人高速下载很正常的事，更别说看P2P电视了。
差点忘了说了，我这是10M光纤。

oldjiang · 发表于 2008-12-4 20:43:42

这个路由器还支持限制并发连接数，最好也设置一下
1、用过滤器看看发送到外网的包，mac是网关地址

2、端点视图，按发包降序

3、定位ip25，协议

4、数据包的时间差太小了，每秒超过5万个包

下次再抓到这样的包，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52287看看是什么进程

oldjiang · 发表于 2008-12-4 20:45:44

原帖由 nhao 于 2008-12-4 20:05 发表
这个问题一般都有,其实你抓下包试下,如果是PING BAIDU.你会发现掉的那些包并不是BAIDU的地址,而是些其他的地址.是TTL值为O了.可能是路由的NAT转发能力有限,条目不够,而下载网络电视那的抢占带宽的能力很强...换个好些 ...

“掉的那些包并不是BAIDU的地址,而是些其他的地址.是TTL值为O了”，能详细说明一下吗？有例子更好

lwyjdgv · 发表于 2008-12-4 21:54:37

原帖由 oldjiang 于 2008-12-4 20:43 发表
这个路由器还支持限制并发连接数，最好也设置一下
1、用过滤器看看发送到外网的包，mac是网关地址
11954
2、端点视图，按发包降序
11955
3、定位ip25，协议
11956
4、数据包的时间差太小了，每秒超过5万个包
...

发现几个这样的例子，好像源端口都是2000，目标端口都是15001，我看了下，好像都是下载的。但是这个数据也太夸张了点吧？
而且好像和卡并没有什么关系，因为我把这些机器都关了，但情况还是那样。
编号相对时间源目标协议大小解码概要
1267423 15.400887 192.168.1.4:2000 qqdiskqueue.qq.com:15001 SCCP 122 源端口=2000;目标端口=15001;长度=84;检验和=0xF8FA 正确

[ 本帖最后由 lwyjdgv 于 2008-12-4 21:57 编辑 ]

royallin · 发表于 2008-12-4 22:42:54

192.168.1.43是在用P2P下载，我已经叫他关了，依然如此。
192.168.1.55在看QvodPlayer，我也奇怪，好像某些播放器会伪造一些尾数一样的IP。

这2个都是P2P，特别是QVOD，这个软件太疯狂。

做并发连接限制吧。

loveks · 发表于 2008-12-4 23:17:06

p2p软件可能关了。后台上传进程有没有关掉.检查一下

lwyjdgv · 发表于 2008-12-5 03:57:44

原帖由 royallin 于 2008-12-4 22:42 发表
192.168.1.43是在用P2P下载，我已经叫他关了，依然如此。
192.168.1.55在看QvodPlayer，我也奇怪，好像某些播放器会伪造一些尾数一样的IP。

这2个都是P2P，特别是QVOD，这个软件太疯狂。

做并发连接限制吧。

你是不是指“启用NAT会话数限制”这项？
最大回话数已经限制为：2500。最大TCP会话数：2200。最大UDP会话数：2200。最大ICMP会话数：100。
用的是默认的。

原帖由 loveks 于 2008-12-4 23:17 发表
p2p软件可能关了。后台上传进程有没有关掉.检查一下

呵呵，我是之后叫他们关的。所以并不是测的不准的问题。

lwyjdgv · 发表于 2008-12-5 03:59:00

另外，论坛的大侠们，是否我这封报告，软件分析问题不大？
如果是这样，我只能找硬件问题或者找电信的人了。

oldjiang · 发表于 2008-12-5 08:26:21

HiPER ReOS 2008高级配置手册
7.1.4 NAT 全局配置
最大 Session 数：局域网每台主机所能占用的最大 NAT 会话数

2500太多了，我觉得tcp+udp合计200-300就可以了，请咨询一下厂商，这个路由器支持的最大会话数（一般几万个）
另外卡的时候，路由器的cpu利用率是多少？

[ 本帖最后由 oldjiang 于 2008-12-5 08:28 编辑 ]

nhao · 发表于 2008-12-5 13:45:18

其实这样抓的包不清晰的.根本不知道是什么问题.

nhao · 发表于 2008-12-5 13:46:05

我们的软件工程师说LINUX写的路由软体都有这样的问题.

oldjiang · 发表于 2008-12-5 13:48:29

能说的详细点吗？

nhao · 发表于 2008-12-5 13:48:31

在接外网的路由前面接一个镜像口的交换机,用科来抓包WAN出的包.再在那台路由器上用科来抓LAN的包,这样比较才能明白那些掉的包到底是什么应用上的.....

nhao · 发表于 2008-12-5 13:48:56

对于连接数的问题,一般好点的机器都有几万条.

nhao · 发表于 2008-12-5 13:51:34

原帖由 oldjiang 于 2008-12-5 13:48 发表
能说的详细点吗？

我只看他在LINUX里改软体,我也不懂,侠诺艾泰什么都这样写的.
上面的线路接好后,在PC上PING 出口网关,再TELNET进路由也PING网关,这样抓包试试.

nhao · 发表于 2008-12-5 13:54:41

我上面说那个PING BAIDU.的TIMEOUT的包,都是些其他的地址到网关的TTL值变成0的包.其实搞清楚掉包和超时这间的关联和区别.
不过有的中高端路由器这样的现象不是很明显,有的就很显示.

nhao · 发表于 2008-12-5 13:59:11

不过楼主这个问题,应该是连接数的问题.前段时间我去过一家叫优宝的公司,也是10的光纤.用的是华为2620的路由,交换机也是光口进入.他们问题是QQ和MSN过几分钟就掉线,但自己连上去.后来我们用我们的路由上去,这问题解决.但下载的速度冲不上去,之前2620可以达到900KB左右,而我们这台路由只能600KB左右,这样其他人还有些小卡.后来换了台更高端的机器上去,这个问题解决,所以可能是路由的处理能力问题.当然不要有网络病毒最好是.

nhao · 发表于 2008-12-5 14:08:18

还有种情况,就是PPPOE的问题.其实我们到现在也不明白问题所在.就是会掉线.PPPOE很难弄.当然楼主这个是光纤.大家抓的PPPOE的包的时候,可以看到抓到的包的间隔时间,有的为200有的为50有的是30.我们有台路由本来是50的,但后来现场改了那台路由的这个时间为30S,那个掉了线的问题解决.而其实改成30时,也掉过线,只是路由很快就接上去了.LCP的数据在不对称的PPPOE应用里很容易被大流量上传的网络数据包冲下来.所以以后大家做网吧的时候尽量不要用ADSL为好.如果是这个情况掉包掉线那可就麻烦,还搞不清是路由的问题还是病毒还是电信那边的....

nhao · 发表于 2008-12-5 14:24:14

分析一个问题真的好难啊.往往是跟踪一个应用的所有包在不同时段具体网络运行状态中的具体流程.....做过滤的话有些应用的包可能又抓不到.所以科来加一个流程,把诊断加到里面去就更完美了.可惜我的科来只有30个节点,有些地方用不了.只能用其他的,不过还是科来方便!

royallin · 发表于 2008-12-5 15:12:39

原帖由 oldjiang 于 2008-12-5 08:26 发表
HiPER ReOS 2008高级配置手册
7.1.4 NAT 全局配置
最大 Session 数：局域网每台主机所能占用的最大 NAT 会话数

2500太多了，我觉得tcp+udp合计200-300就可以了，请咨询一下厂商，这个路由器支持的最大会话数（ ...

就是呀，2500太多了，我开个迅雷满速都用不到200条。

55902000 · 发表于 2008-12-5 16:38:48

ping网关无规律掉包,应是内网问题.而不关外网问题(好久没用科来分析了,有点不会了)

[ 本帖最后由 55902000 于 2008-12-5 16:43 编辑 ]

lwyjdgv · 发表于 2008-12-5 20:51:08

我真的糊涂了，今天又正常了。不过是电信的人过来了。
看情况，好像是网吧有电信有点矛盾，业主怀疑是电信在搞鬼。因为上次也是这样，电信的技术人员一过来，立马就好。
就此结帖吧。

mark29 · 发表于 2008-12-11 15:31:44

黑网吧，电信去封你的。。有可能。。。。

帮我分析下，这几天苦了我了。

回复 11# 的帖子

回复 15# 的帖子