帮我看看啊。。网吧老是掉线。。

qiaohai888 · 发表于 2008-2-12 13:22:20

快受不了了。。每天都掉个2 3次的。。。我装了科来演示版的。。不会用啊。。哪位帮帮看看啊。。万分感谢

qiaohai888 · 发表于 2008-2-12 13:22:44

那个高手看到了。。加我QQ： 7892467 谢谢

oldjiang · 发表于 2008-2-12 14:36:52

科来简单易用，用法请参考：
http://www.csna.cn/forum.php?mod=viewthread&tid=7556
http://www.csna.cn/forum.php?mod=viewthread&tid=7562
http://www.csna.cn/forum.php?mod=viewthread&tid=7594
部署请参考
http://www.csna.cn/forum.php?mod ... &extra=page%3D1
即便不能做镜像，随便抓个包也有助于解决问题

qiaohai888 · 发表于 2008-2-12 15:55:03

刚才掉线时我保存了个工程。可是不知道怎么看。。论坛传不上来。。太大了。帮我看看好吗

gng7086 · 发表于 2008-2-13 01:34:10

现在网吧就是容易掉线，在所有机子做个ARP防护吧！

liuheliuxi · 发表于 2008-2-13 08:56:24

你别获取太久了，1－2分钟就可以了，这样的工程就不大了

qiaohai888 · 发表于 2008-2-13 10:34:49

我分开压了下。。。高手们帮我看下啊。。谢谢

从零开始 · 发表于 2008-2-13 11:32:20

楼主的部署好像没有正确啊，只捕获到了你本机和广播的流量。
从工程文件看，有ARP扫描，并且流量较大，但都是内网的数据对拷，不知道还有没有其他故障，请高手补充。
但由于楼主使用的是演示版，可能有些故障没有分析出来。

liuheliuxi · 发表于 2008-2-13 11:44:40

楼主把你的网络结构图也画一份上传大家看看，我怀疑你部署不对

oldjiang · 发表于 2008-2-13 12:30:56

1、楼主的部署应该是正确的，从矩阵视图看，除了本机和广播，还有192.168.0.178、192.168.0.85、192.168.0.71等的流量。
2、流量最大的、发包最多的都是楼主的机器，抓包的时候本机应该避免大量的网络操作，最好什么都不做。
3、诊断视图有ARP扫描，但缓存超过16M，数据被冲掉了，建议楼主重新抓包
4、用技术交流版，不用演示版
5、在节点浏览器点ARP协议，网关00:0F:7A:20:01:84在3分钟的时间里发出了16902个ARP请求包如“谁是 192.168.0.254? 告诉 192.168.0.254”，频率也太高了，是不是网关启用了防ARP的功能？关掉试试。这些ARP请求，目标物理地址和源物理地址相同，我的则是全0，如图。
6、定位流量最大的TCP-OTHER协议，端点视图，总流量降序依次是192.168.0.218、223、130、224、225等，切换到矩阵，223因为比较靠近249而难以发现，能否把相对较大的集中在左侧？
7、定位流量最大的192.168.0.249，流量最大的TCP会话192.168.0.249:9912--192.168.0.218:1093，192.168.0.249:9912发的2383个数据包只有一个TCP校验和是正确的，校验和错误的包接收方应该丢弃，但又未见有重传，而且也确认了（比如2121190号数据包），所以校验和错误应该是个假象。

[ 本帖最后由 oldjiang 于 2008-2-13 21:56 编辑 ]

qiaohai888 · 发表于 2008-2-14 12:44:09

版主。。我网吧有200多台机子。。交流版的能用吗？

qiaohai888 · 发表于 2008-2-14 12:45:28

我是在游戏更新服务器上装的科来。。就是249那个IP

qiaohai888 · 发表于 2008-2-14 14:09:15

我又装了个。6.7的不是演示版的。。帮我看看谢谢

qiaohai888 · 发表于 2008-2-14 16:15:08

能不能看出来是不是广播风暴啊。。。刚才又掉线了。。是有台机子引起的。。去看了。机子挺正常的。。没病毒。。是不是网卡或网线引起的广播风暴啊。科来能查出来吗？

wub1230 · 发表于 2008-2-14 17:07:23

把你怎么部署的情况写出来！

oldjiang · 发表于 2008-2-14 17:12:50

楼主能不能换个机器抓包，无需做镜像，专抓那个ARP

lbzxy · 发表于 2008-2-14 17:38:41

个人认为楼主可以从两个方面检查下：
1、254这个网关设备是否开启了防ARP欺骗的功能，它在不断广播免费ARP，而且频率非常快，建议你关闭此功能；
2、检查249，也就是你的电影更新服务器，建议楼主在该主机的网络适配器高级对话框中禁用“卸载TCP校验和”选项，因为我发现凡是与之通讯的主机都出现TCP校验和错误。

qiaohai888 · 发表于 2008-2-14 19:27:18

今天找出来一台机子。。因为他掉线的。。我用排除法查出来那条网线。。。167的IP 去看那机子也挺正常的啊。。也没病毒什么的。。。。这是那种可能引起的掉线啊。。我们这刚开业。网线做的不好。

qiaohai888 · 发表于 2008-2-14 19:28:21

是不是网线。或网卡有问题。。出现的广播风暴啊。。

qiaohai888 · 发表于 2008-2-14 20:15:30

刚才又掉线了。。掉的时候我PING的图。。发上来。。。IP 254是路由器。。。 24是我随便找的机了。好高啊。。是不是广播风暴啊。。
掉了有20秒吧。。又自己好了。。。快愁死我了。。

[ 本帖最后由 qiaohai888 于 2008-2-14 20:17 编辑 ]

liuheliuxi · 发表于 2008-2-15 08:50:46

原帖由 lbzxy 于 2008-2-14 17:38 发表
个人认为楼主可以从两个方面检查下：
1、254这个网关设备是否开启了防ARP欺骗的功能，它在不断广播免费ARP，而且频率非常快，建议你关闭此功能；
2、检查249，也就是你的电影更新服务器，建议楼主在该主机的网络适 ...

恩，我也就看出这两个问题了，如果还是出问题，建议楼主换一个“网关交换机”你的网络速度实在不该这么慢的，要么是网线都有问题，要么只能说是网关交换机质量不好。

oldjiang · 发表于 2008-2-15 10:58:14

这样的延时是够恐怖的。建议楼主：
1、换一台机器抓包，无需做镜像，专抓那个ARP
2、有镜像不用也可惜，还是在249上抓包，但是设过滤器滤掉249的包
两者取其一，再抓包注意不要把缓存用完。

滤掉249的包之后，工程2的数据包/广播包/网关的ARP包数量分别是865/852/330，工程1的是140/108/忘了。网关的ARP时间差达到微秒级如图，网关是什么型号？

图cscproj截自工程文件，图Packet Capture File截自从工程文件导出的数据包文件，两个的开始时间、持续时间不同，后者的开始时间是会变的即打开时间，容易误导。

[ 本帖最后由 oldjiang 于 2008-2-15 15:42 编辑 ]

qiaohai888 · 发表于 2008-2-15 19:53:06

好像听网上的朋友说marvelL的网卡有问题.... 我这就用的是昂达NF520的主板集成marvelL网卡

qiaohai888 · 发表于 2008-2-16 14:58:26

刚才又掉线了....装的欣向的免疫墙说是拦截到IP分片....IP分片是什么意思啊..

olo · 发表于 2008-2-17 14:08:38

ip包超过了MTU就会分片，就好像一个大箱子遇到一个不大的门的时候，就要分成多个合适大小的小箱子才能运出去，大部分网络设备的MTU都是1500，当然也不一定，1400多也是正常的。你用这个工具测试下路径mtu（所经过网络设备最小MTU)，如果太低就不正常了。

olo · 发表于 2008-2-17 14:32:12

tcp 校验值错误也太多了吧，看看这个图，红色代表校验值错误，黑色代表校验值正常。

qiaohai888 · 发表于 2008-2-18 10:13:14

我把主交换机..换成百M的就没事了....现在就不会掉了....这是哪的问题...网线.? 网卡?

liuheliuxi · 发表于 2008-2-18 12:13:55

原帖由 qiaohai888 于 2008-2-18 10:13 发表
我把主交换机..换成百M的就没事了....现在就不会掉了....这是哪的问题...网线.? 网卡?

那就是交换机的问题了。呵呵，你原来居然使用的是10M的？？？难怪出问题，200台电脑的流量都集中到这台交换机，不出问题都难

[ 本帖最后由 liuheliuxi 于 2008-2-18 12:15 编辑 ]

oldjiang · 发表于 2008-2-18 12:38:52

找到问题所在就好，大家都很热心，以后常来啊。楼主还是要看看网关的ARP设置。

6435 · 发表于 2008-2-26 08:59:22

提示: 作者被禁止或删除内容自动屏蔽

6435 6435 当前离线积分 0 头像被屏蔽	发表于 2008-2-26 08:59:22 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
6435 6435 当前离线积分 0 头像被屏蔽
	回复使用道具举报