CSNA网络分析论坛»首页 流量分析 网络分析 帮我看看啊。。网吧老是掉线。。
12下一页
返回列表 发帖
查看: 5466|回复: 30

帮我看看啊。。网吧老是掉线。。

[复制链接]
qiaohai888
发表于 2008-2-12 13:22:20 | 显示全部楼层 |阅读模式
快受不了了。。每天都掉个2 3次的。。。我装了科来演示版的。。不会用啊。。哪位帮帮看看啊。。万分感谢
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-12 13:22:44 | 显示全部楼层
那个高手看到了。。加我QQ:  7892467     谢谢
回复

使用道具 举报

oldjiang
发表于 2008-2-12 14:36:52 | 显示全部楼层
科来简单易用,用法请参考:
http://www.csna.cn/forum.php?mod=viewthread&tid=7556
http://www.csna.cn/forum.php?mod=viewthread&tid=7562
http://www.csna.cn/forum.php?mod=viewthread&tid=7594
部署请参考
http://www.csna.cn/forum.php?mod ... &extra=page%3D1
即便不能做镜像,随便抓个包也有助于解决问题
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-12 15:55:03 | 显示全部楼层
刚才掉线时我保存了个 工程 。可是不知道 怎么看。。论坛传不上来。。太大了。帮我看看好吗
回复

使用道具 举报

gng7086
发表于 2008-2-13 01:34:10 | 显示全部楼层
现在网吧就是容易掉线,在所有机子做个ARP防护吧!
回复

使用道具 举报

liuheliuxi
发表于 2008-2-13 08:56:24 | 显示全部楼层
你别获取太久了,1-2分钟就可以了,这样的工程就不大了
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-13 10:34:49 | 显示全部楼层
我分开压了下。。。高手们帮我看下啊。。谢谢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

从零开始
发表于 2008-2-13 11:32:20 | 显示全部楼层
楼主的部署好像没有正确啊,只捕获到了你本机和广播的流量。
从工程文件看,有ARP扫描,并且流量较大,但都是内网的数据对拷,不知道还有没有其他故障,请高手补充。
但由于楼主使用的是演示版,可能有些故障没有分析出来。
回复

使用道具 举报

liuheliuxi
发表于 2008-2-13 11:44:40 | 显示全部楼层
楼主把你的网络结构图也画一份上传大家看看,我怀疑你部署不对
回复

使用道具 举报

oldjiang
发表于 2008-2-13 12:30:56 | 显示全部楼层
1、楼主的部署应该是正确的,从矩阵视图看,除了本机和广播,还有192.168.0.178、192.168.0.85、192.168.0.71等的流量。
2、流量最大的、发包最多的都是楼主的机器,抓包的时候本机应该避免大量的网络操作,最好什么都不做。
3、诊断视图有ARP扫描,但缓存超过16M,数据被冲掉了,建议楼主重新抓包
4、用技术交流版,不用演示版
5、在节点浏览器点ARP协议,网关00:0F:7A:20:01:84在3分钟的时间里发出了16902个ARP请求包如“谁是 192.168.0.254? 告诉 192.168.0.254”,频率也太高了,是不是网关启用了防ARP的功能?关掉试试。这些ARP请求,目标物理地址和源物理地址相同,我的则是全0,如图。
6、定位流量最大的TCP-OTHER协议,端点视图,总流量降序依次是192.168.0.218、223、130、224、225等,切换到矩阵,223因为比较靠近249而难以发现,能否把相对较大的集中在左侧?
7、定位流量最大的192.168.0.249,流量最大的TCP会话192.168.0.249:9912--192.168.0.218:1093,192.168.0.249:9912发的2383个数据包只有一个TCP校验和是正确的,校验和错误的包接收方应该丢弃,但又未见有重传,而且也确认了(比如2121190号数据包),所以校验和错误应该是个假象。

[ 本帖最后由 oldjiang 于 2008-2-13 21:56 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 12:44:09 | 显示全部楼层
版主。。我网吧有200多台机子。。交流版的能用吗?
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 12:45:28 | 显示全部楼层
我是在游戏更新服务器上装的科来。。就是249那个IP
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 14:09:15 | 显示全部楼层
我又装了个。6.7的 不是演示版的。。帮我看看  谢谢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 16:15:08 | 显示全部楼层
能不能看出来是不是广播风暴啊。。。刚才又掉线了。。是有台机子引起的。。去看了。机子挺正常的。。没病毒  。。是不是网卡或网线引起的广播风暴啊。  科来能查出来吗?
回复

使用道具 举报

wub1230
发表于 2008-2-14 17:07:23 | 显示全部楼层
把你怎么部署的情况写出来!
回复

使用道具 举报

oldjiang
发表于 2008-2-14 17:12:50 | 显示全部楼层
楼主能不能换个机器抓包,无需做镜像,专抓那个ARP
回复

使用道具 举报

lbzxy
发表于 2008-2-14 17:38:41 | 显示全部楼层
个人认为楼主可以从两个方面检查下:
1、254这个网关设备是否开启了防ARP欺骗的功能,它在不断广播免费ARP,而且频率非常快,建议你关闭此功能;
2、检查249,也就是你的电影更新服务器,建议楼主在该主机的网络适配器高级对话框中禁用“卸载TCP校验和”选项,因为我发现凡是与之通讯的主机都出现TCP校验和错误。
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 19:27:18 | 显示全部楼层
今天找出来一台机子。。因为他掉线的。。我用排除法查出来那条网线。。。167的IP  去看那机子也挺正常的啊。。也没病毒什么的。。 。。这是那种可能引起的掉线啊。。我们这刚开业。网线做的不好。
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 19:28:21 | 显示全部楼层
是不是网线。或网卡有问题。。出现的广播风暴啊。。
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-14 20:15:30 | 显示全部楼层
刚才又掉线了。。掉的时候我PING的图。。发上来。。。IP 254是路由器。。。   24是我随便找的机了。好高啊。。是不是广播风暴啊。。
掉了有20秒吧。。又自己好了。。。快愁死我了。。

[ 本帖最后由 qiaohai888 于 2008-2-14 20:17 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

liuheliuxi
发表于 2008-2-15 08:50:46 | 显示全部楼层
原帖由 lbzxy 于 2008-2-14 17:38 发表
个人认为楼主可以从两个方面检查下:
1、254这个网关设备是否开启了防ARP欺骗的功能,它在不断广播免费ARP,而且频率非常快,建议你关闭此功能;
2、检查249,也就是你的电影更新服务器,建议楼主在该主机的网络适 ...


恩,我也就看出这两个问题了,如果还是出问题,建议楼主换一个“网关交换机”你的网络速度实在不该这么慢的,要么是网线都有问题,要么只能说是网关交换机质量不好。
回复

使用道具 举报

oldjiang
发表于 2008-2-15 10:58:14 | 显示全部楼层
这样的延时是够恐怖的。建议楼主:
1、换一台机器抓包,无需做镜像,专抓那个ARP
2、有镜像不用也可惜,还是在249上抓包,但是设过滤器滤掉249的包
两者取其一,再抓包注意不要把缓存用完。

滤掉249的包之后,工程2的数据包/广播包/网关的ARP包数量分别是865/852/330,工程1的是140/108/忘了。网关的ARP时间差达到微秒级如图,网关是什么型号?

图cscproj截自工程文件,图Packet Capture File截自从工程文件导出的数据包文件,两个的开始时间、持续时间不同,后者的开始时间是会变的即打开时间,容易误导。

[ 本帖最后由 oldjiang 于 2008-2-15 15:42 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-15 19:53:06 | 显示全部楼层
好像听网上的朋友说marvelL的网卡有问题.... 我这就用的是昂达NF520的主板集成marvelL网卡
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-16 14:58:26 | 显示全部楼层
刚才又掉线了....装的欣向的免疫墙 说是拦截到IP分片....IP分片是什么意思 啊..
回复

使用道具 举报

olo
发表于 2008-2-17 14:08:38 | 显示全部楼层
ip包超过了MTU就会分片,就好像一个大箱子遇到一个不大的门的时候,就要分成多个合适大小的小箱子才能运出去,大部分网络设备的MTU都是1500,当然也不一定,1400多也是正常的。你用这个工具测试下路径mtu(所经过网络设备最小MTU),如果太低就不正常了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

olo
发表于 2008-2-17 14:32:12 | 显示全部楼层
tcp 校验值错误也太多了吧,看看这个图,红色代表校验值错误,黑色代表校验值正常。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

qiaohai888
 楼主| 发表于 2008-2-18 10:13:14 | 显示全部楼层
我把主交换机..换成百M的就没事了....现在就不会掉了....这是哪的问题...网线.? 网卡?
回复

使用道具 举报

liuheliuxi
发表于 2008-2-18 12:13:55 | 显示全部楼层
原帖由 qiaohai888 于 2008-2-18 10:13 发表
我把主交换机..换成百M的就没事了....现在就不会掉了....这是哪的问题...网线.? 网卡?


那就是交换机的问题了。呵呵,你原来居然使用的是10M的???难怪出问题,200台电脑的流量都集中到这台交换机,不出问题都难

[ 本帖最后由 liuheliuxi 于 2008-2-18 12:15 编辑 ]
回复

使用道具 举报

oldjiang
发表于 2008-2-18 12:38:52 | 显示全部楼层
找到问题所在就好,大家都很热心,以后常来啊。楼主还是要看看网关的ARP设置。
回复

使用道具 举报

6435
头像被屏蔽
发表于 2008-2-26 08:59:22 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

下一页 »
12下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表