CSNA网络分析论坛»首页 流量分析 网络分析 网吧掉线故障, 跪求帮助!!!
12下一页
返回列表 发帖
查看: 9314|回复: 37

网吧掉线故障, 跪求帮助!!!

[复制链接]
liu2008xia
发表于 2006-12-14 05:05:03 | 显示全部楼层 |阅读模式
网吧掉线故障(正在观察中)

网络结构图    中心交换机到了最终客户机都是1000M网络。


路由器(10.128.33.246 00-0e-a0-84-51 )开启防arp功能,已经绑定所有客户机mac地址,(注:是否有静态的arp表不清楚!)
客户机也用(arp -s 10.128.33.*  00-07-e9-73-e6 arp -s 10.128.33.246 00-0e-a0-84-51 ......)全部开机绑定。

故障现象:
        不定时地掉线,掉线时下面所有机器不能上网,也ping不通网关(10。128。33。246);其它客户机相互之间能ping通(电影,单机游戏全部正常)。

注:网吧整体是全无盘(客户机没有硬盘)结构,由四台无盘服务带下面所有客户机,(掉线时,客户机除不能上网外,其余都正常的)
      这四台服务器ip地址分别是:10。128。33。241到10。128。33。244
      10。128。33。240(电影服务器)(win 2003)
      10。128。33。245(东方网收费服务器)(win xp系统)
      10。128。33。246(网关)
      10。128。33。247(监控服务器)(win 200s)
      10。128。33。248  、249(两台收营机)(win xp系统)
      10。128。33。250(文件服务器)(win xp系统)

已有实验结果:
        掉线时:按下面行的顺序进行,由上到下进行。

                (文件服务器)插在中心交换机上,不能ping通网关,不能上网,但是能ping其他机器。
                随便取一客户机,ping网关,不通;输入arp –a显示网关MAC地址正常。ping其他都通。
                (文件服务器)直接插在路由器上,还是不能ping通网关,不能上网,但是能ping其他机器。
                (文件服务器)直接插在路由器上,拔掉路由到中心交换机的线,单机接路由,一切正常,可上网,ping网关通。
                马上插上中心交换到路由的线,不通,还是前面的老样子。
                把路由器到中心交换机的网线,(在交换机一端的)端口由22端口换到24端口,可上网几秒钟,之后还是老样子。
                重新启动路由器,2-3分钟后,正常。所有电脑都可以上网,ping网关通
                 
                这两三天都是这样,一天最少掉一次线,晚上9点左右最多。今天最多,一天就掉了6次线,哭死。
                跪求帮助!!!

                也不清楚是什么原因,随机抓了流量比较大的几个图,给高手你们看看。跪求帮助!!!十万火急!!!

                下面上传的工程包是刚刚掉线时的,高手们帮看看。 跪求帮助!!!十万火急!!!,谢谢大家啦。

[ 本帖最后由 liu2008xia 于 2006-12-18 12:29 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

lingyungong79
发表于 2006-12-14 11:04:08 | 显示全部楼层
上传的数据包我看不出来什么问题(偶也是新学的,别仍鸡蛋啊,要仍就仍RMB),你的贴图中10.128.33.90这台机子流量过大,可以查查看。
1000M的网络问题有可能是路由到交换机或是交换机到交换机的跳线问题。是否为六类线缆等。
回复

使用道具 举报

kyokof
发表于 2006-12-14 11:41:49 | 显示全部楼层
你抓的这些包是否在掉线的时候抓的?
是否划分vlan?
还有是否用科来在mirror port上面抓包?

[ 本帖最后由 kyokof 于 2006-12-14 11:44 编辑 ]
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-14 12:22:23 | 显示全部楼层
原帖由 kyokof 于 2006-12-14 11:41 发表
你抓的这些包是否在掉线的时候抓的?
是否划分vlan?
还有是否用科来在mirror port上面抓包?


谢谢大家,回复!这些包是掉线后抓的,是用科来在镜像端口抓的。

还有二楼说有可能是交换机跳线问题,有点不明白,如果是请教如果设置。。。

下次一定上传掉线时的抓包。先附一张总的报表,大家帮助分析下,谢谢大家了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

kyokof
发表于 2006-12-14 12:25:14 | 显示全部楼层
原帖由 liu2008xia 于 2006-12-14 12:22 发表


谢谢大家,回复!这些包是掉线后抓的,是用科来在镜像端口抓的。

还有二楼说有可能是交换机跳线问题,有点不明白,如果是请教如果设置。。。

下次一定上传掉线时的抓包。先附一张总的报表,大家帮 ...


从你的包来看没有什么问题。
从你描述的情况来看,路由器的问题的可能性比较大。
可以换个软路由上去用两天看看,
另外路由与千兆交换机之间的速度协商有时候也会造成问题,下次掉线的时候,把路由接到百兆交换机上面试试看
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-14 12:33:07 | 显示全部楼层
原帖由 kyokof 于 2006-12-14 12:25 发表


从你的包来看没有什么问题。
从你描述的情况来看,路由器的问题的可能性比较大。
可以换个软路由上去用两天看看,
另外路由与千兆交换机之间的速度协商有时候也会造成问题,下次掉线的时候,把路由接到百 ...


路由器问题???掉线时单机接路由器确是正常的,马上就可以上网,就是这点很不明白,希望指教。

谢谢你,我回按你说的试试的。
回复

使用道具 举报

kyokof
发表于 2006-12-14 12:49:26 | 显示全部楼层
原帖由 liu2008xia 于 2006-12-14 12:33 发表


路由器问题???掉线时单机接路由器确是正常的,马上就可以上网,就是这点很不明白,希望指教。

谢谢你,我回按你说的试试的。


但是只要你把路由器接到中心交换机上,别的机器一样访问不了,而别的机器可以互访。
这样看来可能是路由与中心交换机连接有问题!
但是有些低性能的路由器,在负载太重的也会出现这种情况,将其从交换机上拔出又会恢复正常

另外,你的那个抓包机器连接的交换机怎么放在中心交换机和路由器之间的?
直接在中心交换机上抓

奇怪你贴出来的数据包好像和你给的图不太一样啊?

[ 本帖最后由 kyokof 于 2006-12-14 13:05 编辑 ]
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-14 13:23:20 | 显示全部楼层
原帖由 kyokof 于 2006-12-14 12:49 发表


但是只要你把路由器接到中心交换机上,别的机器一样访问不了,而别的机器可以互访。
这样看来可能是路由与中心交换机连接有问题!
但是有些低性能的路由器,在负载太重的也会出现这种情况,将其从交换机上 ...


谢谢。明白多了,我会换个路由试试,那个镜像交换机是110服务器用的,现在我把自己的电脑接在他的镜像端口扫描呢。
如果要接在中心交换机的包,下次我再上传个。

下面是今天刚刚掉线时在镜像端口抓的包,还有几张图,高手们帮看看。(问题正在排除中)

[ 本帖最后由 liu2008xia 于 2006-12-14 13:28 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

kyokof
发表于 2006-12-14 14:13:08 | 显示全部楼层
首先看数据流量异常的的机器,如图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

kyokof
发表于 2006-12-14 14:18:03 | 显示全部楼层
观察10.128.33.128的数据包
发觉他发出的数据〉99%都是垃圾udp包(其内容都是41 41 41.....)
流量为1G多,且各个数据包发送时间间隔相当短
连接的ip都是61.136.59.148,
而10.128.33.128收的数据包几乎为0
由此断定,10.128.33.128肯定为问题机器!!
整个抓包持续时间才4分钟,他一台机器就发出那么多数据,不挂才怪

[ 本帖最后由 kyokof 于 2006-12-14 14:43 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

kyokof
发表于 2006-12-14 14:24:51 | 显示全部楼层
这台机器还伪装成n个ip地址

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-14 16:38:47 | 显示全部楼层
,谢谢了,问题机子是找到了,可是是什么原因照成的,以后怎么防治,还请高人人帮忙想个方法。

不然一天掉个五六次线,客人都跑光了。大家的帮助,小弟我忠心的感谢。
回复

使用道具 举报

kyokof
发表于 2006-12-14 16:47:19 | 显示全部楼层
原帖由 liu2008xia 于 2006-12-14 16:38 发表
,谢谢了,问题机子是找到了,可是是什么原因照成的,以后怎么防治,还请高人人帮忙想个方法。

不然一天掉个五六次线,客人都跑光了。大家的帮助,小弟我忠心的感谢。

呵呵,自己在管理上面想想办法,比如对于管理交换机的配置,路由对下面客户机限速,限并发连接数(一般要很好的路由器才支持,所以用软路由合算)
如果有人想搞你,你怎么也防不住的。
回复

使用道具 举报

lingyungong79
发表于 2006-12-14 17:20:39 | 显示全部楼层
电影服务器是哪一台?
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-14 19:49:13 | 显示全部楼层
原帖由 lingyungong79 于 2006-12-14 17:20 发表
电影服务器是哪一台?


10。128。33。240(电影服务器)

非常感谢大家的帮助, ,谢谢大家的关注。这次的掉线让我长不少知识。

下面的是今天白天抓的包,还有一张图,大家帮忙看看,10.128.33.72这台电脑有没有问题。我看他流量满大的,不过抓包的时候没有掉线。
传上来让大家一起研究下,看还有什么别的问题。不过比较大,全部有20多M吧,我分成9个小包了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

kyokof
发表于 2006-12-14 20:50:59 | 显示全部楼层
原帖由 liu2008xia 于 2006-12-14 19:49 发表


10。128。33。240(电影服务器)

非常感谢大家的帮助, ,谢谢大家的关注。这次的掉线让我长不少知识。

下面的是今天白天抓的包,还有一张图,大家帮忙看看,10.128.33.72这台电脑有没有问 ...


并不是说流量大了就有问题的!
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-14 21:35:33 | 显示全部楼层
原帖由 kyokof 于 2006-12-14 20:50 发表


并不是说流量大了就有问题的!



谢谢,明白了。

晚上又掉线了。不过有了大家给的经验,在第一时间我加到了那台发包的机子,关了他马上网吧正常。
可这样那行啊,晚上是我盯着看科来才能在第一时间关了他的。 哭死,那位高人还有好的方法解决啊。请教。

晚上的发包机是10。128。33。135,同样和中午一样,防装了4700多个ip,同时发包,网吧不掉线才怪。
哎!!!!

如图下,

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

kyokof
发表于 2006-12-14 21:42:41 | 显示全部楼层
配置中心交换机(你的是不是可管理的阿),
路由对下面客户机限速,限并发连接数(网吧最好用软路由,比如RouterOS之类的)

建议你检查一下你们的无盘镜像文件,看看是否有毒

[ 本帖最后由 kyokof 于 2006-12-14 21:46 编辑 ]
回复

使用道具 举报

逍遥一指令
发表于 2006-12-15 00:54:43 | 显示全部楼层
学习了,我想请问下 kyokof 兄
如何去判断内网中被伪造的主机呢?
谢谢~!
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-15 03:16:35 | 显示全部楼层
原帖由 kyokof 于 2006-12-14 21:42 发表
配置中心交换机(你的是不是可管理的阿),
路由对下面客户机限速,限并发连接数(网吧最好用软路由,比如RouterOS之类的)

建议你检查一下你们的无盘镜像文件,看看是否有毒


我的中心交换机是可管理的,你要我设置什么呢,呵呵,就是那个中心交换机的设置文件都是英文,看得有点头大。

今天我正想装个RouterOS软路由,试试,镜像文件我会杀杀毒的,128。135这两台电脑都是我的2号服务器的电脑,还真有可能是镜像文件有病毒了,啊晕。

真是谢谢你的关注,有什么好的发现我会第一时间上传的,让大家都长点知识。
回复

使用道具 举报

kyokof
发表于 2006-12-15 08:27:11 | 显示全部楼层
原帖由 逍遥一指令 于 2006-12-15 00:54 发表
学习了,我想请问下 kyokof 兄
如何去判断内网中被伪造的主机呢?
谢谢~!

在科来钟,如果一个Mac对应多个ip地址,并且这个mac不是网关,那么这个机器就在伪装

[ 本帖最后由 kyokof 于 2006-12-15 08:49 编辑 ]
回复

使用道具 举报

lingyungong79
发表于 2006-12-15 08:42:59 | 显示全部楼层
又学到一点~ 不过偶把故障问题没有分析得对!郁闷中......
回复

使用道具 举报

jllsw
发表于 2006-12-15 09:14:35 | 显示全部楼层
真是学到了不少东东呀。学习
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-15 22:12:18 | 显示全部楼层
今天设置了并发连机,再加上内网ip限速,重新做了2号服务器的镜像文件,到现目前是没出现掉线问题, 呵呵,看看明天怎么样。

不过今天抓包时发现一个奇怪的东西不知是什么?

大家看看。。分析有可能是什么,他是不网关,却好像代理了12个我们网吧的内网ip。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

逍遥一指令
发表于 2006-12-15 22:27:39 | 显示全部楼层
怎么会出现0.0.0.0这样的地址啊?
回复

使用道具 举报

san980
发表于 2006-12-17 01:05:36 | 显示全部楼层
从什么地方看出来一个MAC地址有N个IP呢?
我看了半天也没有看出来
麻烦讲解一下!
谢谢先!
回复

使用道具 举报

liu2008xia
 楼主| 发表于 2006-12-17 04:09:14 | 显示全部楼层
原帖由 san980 于 2006-12-17 01:05 发表
从什么地方看出来一个MAC地址有N个IP呢?
我看了半天也没有看出来
麻烦讲解一下!
谢谢先!


你看图。。。。

今天没有掉线,应该就是希望明天还不是掉线,应该是找到问题了,呵呵。 谢谢大家的帮助。 特别是三楼的帮助,谢谢了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

SuperMAN
发表于 2006-12-18 00:25:18 | 显示全部楼层
kyokof 简直是大家的偶像呀~~

学到不少东西,支持,顶一下,呵呵!!

不过kyokof 的名字是啥意思呢,不好记,起一个响亮点的名字哈,呵呵呵~~
回复

使用道具 举报

san980
发表于 2006-12-18 09:21:57 | 显示全部楼层
原帖由 liu2008xia 于 2006-12-17 04:09 发表


你看图。。。。

今天没有掉线,应该就是希望明天还不是掉线,应该是找到问题了,呵呵。 谢谢大家的帮助。 特别是三楼的帮助,谢谢了。

多谢楼主的说明
现在明白了
整个论坛都是热心人啊!
回复

使用道具 举报

san980
发表于 2006-12-18 09:30:40 | 显示全部楼层
楼主,很不好意思问问有没有构建无盘网络的相关文档啊?
比较详细设置的那种
以前一直想自己动手试试
苦于没有环境,还望见谅!
回复

使用道具 举报

下一页 »
12下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表