一、问题描述
某集团内部网段用户在凌晨访问互联网经常出现网络闪断的情况,造成网络访问异常缓慢,如上图。
通过部署科来网络回溯分析系统,分别采集核心交换机上联防火墙的接口流量和互联网出口流量。监控问题时段出现的网络现象及原始数据包,帮助用户判断问题根源。
二、问题分析
1.互联网出口流量分析
互联网出口故障前流量
如上图,在故障发生前,可以看到内部网段的客户端(方框遮挡处)能够与互联网地址进行正常的通讯,能够接收数据包并发送数据包。
互联网出口故障时流量
但在发生故障时,内部网段内的主机没有向外发送的任何数据包,造成网络瞬时中断。但可以看到DMZ网段(圆框遮挡处)的地址能够正常与互联网进行通讯,说明互联网出口连通性没有问题。
2. 核心交换机流量分析因网络出口与核心交换机之间存在多种网络安全设备,为了检测这些安全设备是否存在丢包情况,所以在核心交换上采集流量进行对比分析。
核心交换机故障前流量
如上图,在故障发生前,可以看到内部网段的客户端能够与互联网地址进行正常的通讯,能够接收数据包并发送数据包。
核心交换机故障时流量
但在发生故障时,内部网段内的主机没有向外发送的任何数据包,造成网络瞬时中断,并且内部网段主机同样不能向DMZ区的主机发送数据包。
三、分析结论根据对互联网出口进行分析,发现内部网段主机对外发送数据包为0,不能与互联网主机通讯,但DMZ区链路能够与互联网正常通讯,说明连接内部网段的设备或链路可能存在短时间丢包造成网络闪断。
在核心交换机上分析,同样发现内部网段的主机对外发送数据包为0,不能与互联网和DMZ区进行正常通讯,说明核心交换机或核心交换机下联链路(设备)出现异常,造成外发数据包丢失。
结合实际情况来看,核心交换机下联众多汇聚交换机,而这些汇聚交换机同一时间全部出现问题的几率较小,所以我们怀疑是核心交换机在凌晨时出现运行异常,造成短时间内不能正确转发内部网段对外发送的数据包,造成网络闪断,建议用户向核心交换机厂家了解情况并进行问题排查。
|
发表于 2015-8-4 16:47:45