网络中出现的现象，不能理解，请高手帮忙看看

yagqfhd · 发表于 2008-4-19 17:04:52

我们使用联想的3508做核心，配制有17个VLAN，IP分配为固定分配，全部为10.113 网段，现在在交换机里的路由表中出现了192.168网段的信息，不明白为什么，现用科来抓包，请大家帮忙看一下原因

[ 本帖最后由 yagqfhd 于 2008-4-25 10:36 编辑 ]

oldjiang · 发表于 2008-4-22 19:15:39

请检查一下这些对应多个IP的MAC是不是VLAN的MAC地址？

[ 本帖最后由 oldjiang 于 2008-4-22 21:42 编辑 ]

icexplorer · 发表于 2008-4-22 20:13:15

不懂,期待答案

yagqfhd · 发表于 2008-4-23 18:34:35

版主你好，我看了一下，是交换机的VLAN，MAC地址，分别是0E 15VLAN 0D 14 VLAN

oldjiang · 发表于 2008-4-24 21:42:39

1、请检查一下发包最多的机器，跟192有通讯的就集中在这几个机器上

比如10.113.15.28，定位它，看会话，是什么进程使用这些端口

2、协议视图有RTP，看起来跟视频有关，再次抓包的时候请在工程设置把这些勾都打上

3、基本上都是单向流量，能否描述一下拓扑、部署的方法和位置。节点超出许可，能否缩小抓包的范围，比如抓某个VLAN的包。
4、有双向流量的这三个机器，应该是真实存在的。

5、联想的3508交换机的具体型号，有下载手册的链接吗？
6、这个包我看几天了，耐看。

[ 本帖最后由 oldjiang 于 2008-4-25 09:37 编辑 ]

yagqfhd · 发表于 2008-4-25 10:32:44

1、我们校园网没有192.网段的机器全部为10段
2、你说的真实存在的192网段的机器，我找不到，不知道应该怎么找
3、联想的3508GF交换机用户手册可以下载 http://www.lenovonetworks.com/asp/downloads.asp?menuid=2
4、网络结构见附图

yagqfhd · 发表于 2008-4-25 10:35:31

没有办法上传图哪，怎么办

yagqfhd · 发表于 2008-4-25 10:37:17

没有办法了，只好把附图放在原贴上了，谢谢

yagqfhd · 发表于 2008-4-25 10:39:56

联想的3508共8口，全1000M口，其中8口接100M防火墙，是出口，为什么总是出现8口死机，必须重启交换机才能恢复，大家分析一下为什么出现这样的现象
2008-4-23 10:58:54  开始监控交换机
2008-4-23 11:19:03交换机工作不正常0次
2008-4-23 11:19:19交换机工作不正常1次
2008-4-23 11:19:31交换机工作不正常2次
2008-4-23 13:36:52交换机工作不正常3次
2008-4-23 13:36:52开始重启交换机
2008-4-23 14:06:10  停止监控
2008-4-23 14:06:11  开始监控
2008-4-23 14:11:17恢复交换机完成!
2008-4-23 14:18:24交换机工作不正常0次
2008-4-23 14:18:30交换机工作不正常1次
2008-4-23 14:18:36交换机工作不正常2次
2008-4-23 14:18:42交换机工作不正常3次
2008-4-23 14:18:42开始重启交换机
2008-4-23 14:21:31恢复交换机完成!
2008-4-23 14:23:20交换机工作不正常0次
2008-4-23 14:23:26交换机工作不正常1次
2008-4-23 14:23:29  停止监控
2008-4-23 14:23:32交换机工作不正常2次
2008-4-23 14:32:11  开始监控
2008-4-23 14:33:14交换机工作不正常3次
2008-4-23 14:33:14开始重启交换机
2008-4-23 14:33:55  停止监控
2008-4-23 14:41:28  开始监控交换机
2008-4-23 15:58:15交换机工作不正常0次
2008-4-23 16:11:23交换机工作不正常1次
2008-4-23 16:43:37交换机工作不正常2次
2008-4-23 18:07:07交换机工作不正常3次
2008-4-23 20:54:09交换机工作不正常4次
2008-4-23 20:58:51  开始监控交换机
2008-4-23 21:37:17交换机工作不正常0次
2008-4-23 22:32:46交换机工作不正常1次
2008-4-23 22:32:51交换机工作不正常2次
2008-4-23 22:33:06交换机工作不正常3次
2008-4-23 22:33:26交换机工作不正常4次
2008-4-23 22:34:01交换机工作不正常5次
2008-4-24 8:15:50交换机工作不正常6次
2008-4-24 10:18:22  开始监控交换机
2008-4-24 10:47:29交换机工作不正常0次
2008-4-24 11:09:16交换机工作不正常1次
2008-4-24 12:50:51交换机工作不正常2次
2008-4-24 13:15:59交换机工作不正常3次
2008-4-24 13:16:05交换机工作不正常4次
2008-4-24 13:16:11交换机工作不正常5次
2008-4-24 13:16:17交换机工作不正常6次
2008-4-24 13:16:23交换机工作不正常7次
2008-4-24 13:16:29交换机工作不正常8次
2008-4-24 13:16:35交换机工作不正常9次
2008-4-24 13:16:41交换机工作不正常10次
2008-4-24 13:16:41开始重启交换机
2008-4-24 13:17:48恢复交换机完成!
2008-4-24 15:24:15  开始监控交换机
2008-4-24 15:24:22交换机工作不正常0次
2008-4-24 15:24:28交换机工作不正常1次
2008-4-24 15:24:34交换机工作不正常2次
2008-4-24 15:24:40交换机工作不正常3次
2008-4-24 15:24:46交换机工作不正常4次
2008-4-24 15:24:52交换机工作不正常5次
2008-4-24 15:24:58交换机工作不正常6次
2008-4-24 15:25:04交换机工作不正常7次
2008-4-24 15:25:10交换机工作不正常8次
2008-4-24 15:25:16交换机工作不正常9次
2008-4-24 15:25:22交换机工作不正常10次
2008-4-24 15:25:22开始重启交换机
2008-4-24 15:26:33恢复交换机完成!
2008-4-24 15:28:15  开始监控交换机
2008-4-24 15:28:39  开始监控交换机
2008-4-24 16:43:39  开始监控交换机
2008-4-24 17:25:29  开始监控交换机
2008-4-24 17:43:32交换机工作不正常0次
2008-4-24 20:55:32交换机工作不正常0次
2008-4-24 20:55:38交换机工作不正常1次
2008-4-24 20:55:44交换机工作不正常2次
2008-4-24 20:55:50交换机工作不正常3次
2008-4-24 20:55:56交换机工作不正常4次
2008-4-24 20:56:02交换机工作不正常5次
2008-4-24 20:56:08交换机工作不正常6次
2008-4-24 20:56:14交换机工作不正常7次
2008-4-24 20:58:22交换机工作不正常0次
2008-4-24 20:58:28交换机工作不正常1次
2008-4-24 20:58:34交换机工作不正常2次
2008-4-24 20:58:40交换机工作不正常3次
2008-4-24 20:58:46交换机工作不正常4次
2008-4-24 20:58:52交换机工作不正常5次
2008-4-24 20:58:58交换机工作不正常6次
2008-4-24 20:59:04交换机工作不正常7次
2008-4-24 20:59:10交换机工作不正常8次
2008-4-24 21:01:16交换机工作不正常0次
2008-4-24 21:01:22交换机工作不正常1次
2008-4-24 21:01:28交换机工作不正常2次
2008-4-24 21:01:34交换机工作不正常3次
2008-4-24 21:01:40交换机工作不正常4次
2008-4-24 21:01:46交换机工作不正常5次
2008-4-24 21:01:52交换机工作不正常6次
2008-4-24 21:01:58交换机工作不正常7次
2008-4-24 21:04:06交换机工作不正常0次
2008-4-24 21:04:12交换机工作不正常1次
2008-4-24 21:04:18交换机工作不正常2次
2008-4-24 21:04:24交换机工作不正常3次
2008-4-24 21:04:30交换机工作不正常4次
2008-4-24 21:04:36交换机工作不正常5次
2008-4-24 21:04:42交换机工作不正常6次
2008-4-24 21:04:48交换机工作不正常7次
2008-4-24 21:06:58交换机工作不正常0次
2008-4-24 21:07:06交换机工作不正常0次
2008-4-24 21:07:12交换机工作不正常1次
2008-4-24 21:07:20交换机工作不正常0次
2008-4-24 21:07:26交换机工作不正常1次
2008-4-24 21:07:32交换机工作不正常2次
2008-4-24 21:07:38交换机工作不正常3次
2008-4-24 21:07:44交换机工作不正常0次
2008-4-25 7:42:32交换机工作不正常0次
2008-4-25 7:49:04交换机工作不正常0次
2008-4-25 8:27:53交换机工作不正常0次
2008-4-25 8:27:59交换机工作不正常1次
2008-4-25 8:28:05交换机工作不正常2次
2008-4-25 8:28:11交换机工作不正常3次
2008-4-25 8:28:17交换机工作不正常4次
2008-4-25 8:28:23交换机工作不正常5次
2008-4-25 8:28:29交换机工作不正常6次
2008-4-25 8:28:35交换机工作不正常7次
2008-4-25 8:28:41交换机工作不正常8次
2008-4-25 8:28:47交换机工作不正常9次
2008-4-25 8:28:53交换机工作不正常10次
2008-4-25 8:28:53开始重启交换机
2008-4-25 8:30:04恢复交换机完成!

oldjiang · 发表于 2008-4-29 22:27:34

"联想的3508共8口，全1000M口，其中8口接100M防火墙，是出口，为什么总是出现8口死机"，是不是端口速率、双工不匹配的原因？如果是思科的交换机，不匹配用超级终端可以看到端口一会UP一会DOWN。“交换机工作不正常”有具体的错误代码吗？挺有规律的，大约6秒一次。

oldjiang · 发表于 2008-4-29 23:03:16

今天看了数据包里的ICMP-Time Exceed协议的包。
http://www.csna.cn/forum.php?mod=viewthread&tid=437 里说：
类型：11
代码：0 = 传送超时
如果网关在处理数据报时发现生存周期域为零，此数据报必须抛弃。网关同时必须通过超时信息通知源主机。
查看跟10.113.13.19有关的三个包

1、有两个目标MAC地址如上图
2、原始数据包的TTL=1如下图

建议在VLAN13或者15上抓包，TTL=1的包-->端口-->进程，2924F支持端口镜像（mirror）。
你是在3508GF上做镜像抓包的吗？只用VLAN13或15做源端口呢？
注意Ingress和Egress都抓。

孤独的意尹者 · 发表于 2008-4-30 08:35:33

"现在在交换机里的路由表中出现了192.168网段的信息"这句话不怎么明白，是指路由表中自动多了一个192段的路由表项吗？能否贴下交换机路由表呢？

孤独的意尹者 · 发表于 2008-4-30 09:00:32

仔细看了下数据包，发现目的地址为192段的数据包，其不管源IP地址是那些，其源MAC都一样的，都为源地址:00:09:CA:07:C9:11 (imaxnetworks(shenzhen)limited).
这意味着：这些192网段的流量主要来自于这个MAC，根据这个MAC可以定位出异常VLAN。

[ 本帖最后由孤独的意尹者于 2008-4-30 09:05 编辑 ]

孤独的意尹者 · 发表于 2008-4-30 09:11:46

少量的icmp包,提示生存周期过短，说明可能存在环路。交换机上有启用生成树协议吗？

只是一个神话 · 发表于 2008-4-30 14:05:34

先从192.168.0.0网段对应的MAC入手,找到所有与192.168.0.0网段相对应的MAC(比如LZ所抓数据包里Dasan:0A:A8:16下面就有很多192.168.0.0段的IP地址).
找出MAC后再根据MAC地址找出相应的设备,是普通PC机或是服务器或是2924设备亦或是3508.
找出了这些IP地址对应的设备,然后根据设备的信息进行排错.如果是3508的,那就重点从3508入手.3508上做了什么设置啊,3508有什么功能啊.一些功能会带来一些什么问题啊等等.
这么大一个网络,通过一个数据包,几张图是很难判断出具体原因所在的,只能精确到某个点上.然后再进行排查.
还有LZ抓包的时候最好一个个VLAN的抓,这样信息比较全一点.

yagqfhd · 发表于 2008-5-12 23:07:09

使用中断网，内外网都断，感觉二层工作应该正常，内一网段内机子可以互访，不同VLAN不能互访，重启交换机正常，在重启以前，在交换机内用SHOW ARP 可以看到，有两个VLAN的主机地址，从1－254，其实有好多IP是不存在的，MAC地址显示为全00
这是什么病毒还是其它原因？

网络中出现的现象，不能理解，请高手帮忙看看

网络中出现的现象，不能理解，请高手帮忙看看

谢谢版主，问题如下

结构图

附图放在了原贴上

还有个问题

icmp问题

你好，现在有出现一个现象