高手帮我看看这个包

hanvey126 · 发表于 2008-6-24 19:13:19

如附件，看下我网络是不是有什么问题！

hanvey126 · 发表于 2008-6-24 19:15:27

不好意思传多了一个文件第一个跟第三个是一样的！

oldjiang · 发表于 2008-6-24 20:20:42

先把ARP搞清楚，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的相关部分。

hanvey126 · 发表于 2008-6-25 04:02:18

ARP请求风暴的是装科来分析软件的这台机，不知道是怎么回事！！！！

wastebaby · 发表于 2008-6-25 08:29:21

是不是设备过载,网络负荷太重.

oldjiang · 发表于 2008-6-25 08:35:09

1、"arp太多无请求应答”的是00:0B:2F:26:7B:3F，不是抓包的机器。
2、抓包机器扫描的地址范围，从192.168.8.0-192.168.12.0，而且是循环的、不断的，这也不像是mac地址扫描器做的。连一些非局域网的IP也扫描。

3、按3#引用的帖子，设ARP过滤器抓包、杀毒。

oldjiang · 发表于 2008-6-25 08:49:52

我觉得你没有正确部署
设过滤器如图

只有抓包的机器，有访问外网的流量，其他机器都没有。
抓到的大部分都是广播包

看看这些ARP请求包的时间间隔，你的网络应该跑不快

[ 本帖最后由 oldjiang 于 2008-6-25 08:58 编辑 ]

hanvey126 · 发表于 2008-6-25 18:54:55

重新抓的包！！看看！

climbber · 发表于 2008-6-25 19:08:16

应多一些这样的实例.

oldjiang · 发表于 2008-6-25 19:15:51

有些节点的ARP请求包的时间差达到小数点后4个0，你的网络究竟有什么问题？现象总可以说一下吧。IP子网范围呢？

hanvey126 · 发表于 2008-6-25 21:12:58

网吧在高峰期的时候会出现这样的故障：
网络突然无响应，检查无ARP，内网流量正常，ping外网通，但是打不开网页，网络游戏也无法运行！DNS没有任何问题！内网非常正常，路由工作正常，CPU使用2%，指示灯也正常！
这个时候重启路由器又好了，路由器到交换机的网线已经换过，用的6类线，交换机接路由的端口也换过！故障依旧！另外：在故障的时候从路由另外的端口单接一条线到PC，一样的问题！网吧用的是艾泰的4520NB路由！！！！请问下，是不是因为路由带不起呢，我网吧有389台机！
在主交换机上划分的VLAN，网吧用4个网段，子网为255.255.248.0！

[ 本帖最后由 hanvey126 于 2008-6-25 21:15 编辑 ]

oldjiang · 发表于 2008-6-25 22:07:20

这现象怎么这么眼熟呢，查看用户资料，才发现http://www.csna.cn/forum.php?mod=viewthread&tid=9334也是你的帖子。同一个问题最好只发一个贴，这样效果更好。我喜欢这种有难度的问题，明天再看。

hanvey126 · 发表于 2008-6-25 22:23:38

郁闷，在传一个今天出故障的时候的包！以及路由的一个冲突····

[ 本帖最后由 hanvey126 于 2008-6-25 22:45 编辑 ]

oldjiang · 发表于 2008-6-25 23:42:26

1、楼上的这个数据包和1#的数据包，ARP是不同的机器，看来网络上ARP病毒泛滥啊。这次是：

2、每隔10秒就疯狂发一次包

以0.000003秒的间隔发包，每秒30万个包，已经是百兆口包转发率的两倍
参考http://cnw2005.cnw.com.cn/email/cnw/tongxun/wlcs050921.htm
3、路由器开启了防ARP功能，每0.1秒一个包，关闭这个功能，应该可以解决IP地址冲突问题

4、下次抓包注意去掉过滤器，不然只能抓到ARP。

5、ARP要抓，其他数据也要抓，可以同时运行两个，点一下新建即可，第二个不设过滤器。

oldjiang · 发表于 2008-6-26 00:03:25

四个VLAN是怎么分的？
192.168.8.0-192.168.12.0，255.255.248.0的掩码，实际是一个子网。
金浪是三层交换机吗？型号？如果不是，我感觉vlan没有什么意义。
你的另外一个帖子，h3c s5024p交换机，划分了port base vlan下的user group，我不知道这些user group对跨交换机有意义吗？

[ 本帖最后由 oldjiang 于 2008-6-26 00:05 编辑 ]

hanvey126 · 发表于 2008-6-26 00:45:07

那我把整体网络结构说一下吧
光纤→路由→金浪千兆交换机（两层交换机，端口镜像，划分两个VLAN，其中收银机跟数据库占两个端口为一个VLAN，然后另外7个端口除开数据库那个端口划为1个VLAN）→华为H3C千兆交换机（划分5个VLAN）→网吧客户交换机→客户机
这台机0007e90f9683是我网吧的游戏服务器，接的主交换机！麻烦帮我看下还有其他机发包吗？
001fc6157cbc这台也是游戏服务器！

补充一点：根据经验判断应该不是因为内网的ARP攻击造成的断线，因为重启路由以后马上就好，断线的时候ping内网跟外网均为一个包都不丢，即使是ARP，重启路由以后应该是问题依旧！不过小弟也不敢说的那么绝对，希望高手能多给点意见，只是个人觉得不是ARP！

[ 本帖最后由 hanvey126 于 2008-6-26 02:55 编辑 ]

hanvey126 · 发表于 2008-6-26 02:57:10

原帖由 oldjiang 于 2008-6-26 00:03 发表
四个VLAN是怎么分的？
192.168.8.0-192.168.12.0，255.255.248.0的掩码，实际是一个子网。
金浪是三层交换机吗？型号？如果不是，我感觉vlan没有什么意义。
你的另外一个帖子，h3c s5024p交换机，划分了port base ...

这种划分是网吧以前的一个技术员划分的，我刚接手这家网吧两个月，因此现在也说不上有什么意义！

oldjiang · 发表于 2008-6-26 10:24:24

“华为H3C千兆交换机（划分5个VLAN）”是指User-group-2到User-group-6吗？
Netgeat交换机都接在华为H3C上？

oldjiang · 发表于 2008-6-26 13:02:17

请你做个测试
如图，S5024P的端口1、2分属两个user-group，各接一个交换机。
问题：PC1和PC2能互相通讯吗？
用浏览网上邻居、ping测试单播，应该不通
用科来的mac地址扫描器测试广播，两个pc都装科来，一个扫描，一个抓包
我觉得这个user-group的概念，类似于Private Vlan里的community vlan，如果是这样的话，那是不能通讯的，单播、广播都不行。

顺便问一句，user-group做何用途？
如果没有特殊用途，并且上面的测试成功，不如：
把H3C的1-23口分成23个user-group
每个口接一个交换机比如netgear
24口同时属于这23个user-group
如此，如果客户机中了ARP病毒，只能影响到同一个netgear上的机器，其他netgear上的机器则不受影响，顺便也能防其他病毒。

至于游戏服务器的ARP，除了检查设置、杀毒，我也想不出别的办法。
艾泰的4520NB路由，在厂家网站看了，早期产品，已停产，但是有新的软件版本
是否还有其他机器有ARP，继续抓包

[ 本帖最后由 oldjiang 于 2008-6-26 13:31 编辑 ]

oldjiang · 发表于 2008-6-26 15:26:51

在H3C论坛http://forum.h3c.com/search.php搜索s5024p，以下是摘录：
http://forum.h3c.com/forum.php?m ... mp;highlight=s5024p说要打开流控；
http://forum.h3c.com/forum.php?m ... mp;highlight=s5024p说“流控的话路由器端口镜像端口收银服务器 GHOST服务器端口建议不要开”
S5024P是属于SOHO系列的产品，实为1000系列的，低端交换机
本人有一个S5024P，带机数在270台机（官方方案是带300台）

[ 本帖最后由 oldjiang 于 2008-6-26 17:49 编辑 ]

hanvey126 · 发表于 2008-6-26 19:01:27

原帖由 oldjiang 于 2008-6-26 10:24 发表
“华为H3C千兆交换机（划分5个VLAN）”是指User-group-2到User-group-6吗？
Netgeat交换机都接在华为H3C上？

设有一个VLAN包含端口号为：1——24号，VLAN1下包含有五个USER-GROUP，分别是USER-GROUP2（包含端口为：1、2、3、4、19、20、21、22、23、24），USER-GROUP3（包含端口为：5、6、7、8、19、20、21、22、23、24），USER-GROUP4（包含端口为：9、10、11、19、20、21、22、23、24），USER-GROUP5（包含端口为：12、13、14、19、20、21、22、23、24），USER-GROUP6（包含端口为：15、16、17、18、19、20、21、22、23、24）。其中19——24号为公共端口，其它的只能访问本用户组的终端计算机。
Netgeat交换机接在华为H3C上！

hanvey126 · 发表于 2008-6-26 20:52:53

回19#
1，2两个user-group同属1个VLAN，经测试能够通信！
用科来软件抓包仍然只能抓到该VLAN下的广播包！
user-group是一组电脑，从H3C出来接普通24口交换机，再从24口交换机到客户机！

hanvey126 · 发表于 2008-6-26 20:55:01

原帖由 oldjiang 于 2008-6-26 15:26 发表
在H3C论坛http://forum.h3c.com/search.php搜索s5024p，以下是摘录：
http://forum.h3c.com/forum.php?m ... mp;highlight=s5024p说要打开流控；
http://forum.h3c.com/forum.php?m ... 7935&highlight= ...

我网吧有客户机+服务器一共410台左右，请问会不会交换机带不起呢？
并且H3C全部没有开启流控，我抓不到单播流量会不会是这个原因呢？

oldjiang · 发表于 2008-6-26 21:40:04

流控跟单播流量没有关系，你应该在金浪交换机上做镜像抓包，源端口是接路由器的口。

oldjiang · 发表于 2008-6-26 21:43:14

我今天看了一天的H3C论坛，感觉s5024p是一款失败的产品：soho交换机，不足以担当重任；卡、掉线；不开流控拷贝比百兆还慢；做镜像要划分两个vlan还要拿一根网线把两个vlan连起来，不伦不类。建议你咨询售后服务，当前最新的软件版本是什么，升级一下看看是否有改善。

[ 本帖最后由 oldjiang 于 2008-6-26 21:46 编辑 ]

hanvey126 · 发表于 2008-6-27 00:53:14

今天抓到了流量，传上来帮我看看，今天早上把路由恢复了出厂设置，重新配置了一下，今天晚上居然没有出现掉线的情况！
但是11点的时候网络突然延迟很厉害，还丢包，抓了个工程传上来帮我分析分析，谢谢了！！！

hanvey126 · 发表于 2008-6-27 00:58:19

跟着上一楼帖的，继续传！

oldjiang · 发表于 2008-6-27 08:10:52

原帖由 hanvey126 于 2008-6-26 20:52 发表
回19#
1，2两个user-group同属1个VLAN，经测试能够通信！
用科来软件抓包仍然只能抓到该VLAN下的广播包！
user-group是一组电脑，从H3C出来接普通24口交换机，再从24口交换机到客户机！

手册说：
Port-based VLAN提供了用户分组的功能，用户通过配置可以隔离同一个 VLAN内
的不同用户，满足了更丰富的组网需求。
Port-based VLAN可以通过创建不同的 user-group来实现，一个端口可以属于多个
user-group。不属于同一个 user-group的端口不能相互通信。
19#的图，端口1、2是我发贴问别人而举的例子，你选来测试的两个端口是否分别属于两个user-group？比如端口1、5分属user-group2和user-group3

oldjiang · 发表于 2008-6-27 08:26:27

part02解压失败，重新压缩、上传

oldjiang · 发表于 2008-6-27 09:31:13

原帖由 hanvey126 于 2008-6-26 20:55 发表

我网吧有客户机+服务器一共410台左右，请问会不会交换机带不起呢？
并且H3C全部没有开启流控，我抓不到单播流量会不会是这个原因呢？

带不带的起，建议咨询
H3C SOHO产品授权服务中心（ASC）联系表 http://forum.h3c.com/thread-35899-1-1.html
服务电话和邮件 http://forum.h3c.com/thread-35835-1-1.html

高手帮我看看这个包

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 8# 的帖子

本帖子中包含更多资源

本帖子中包含更多资源

回复 11# 的帖子

回复 16# 的帖子

本帖子中包含更多资源

回复 23# 的帖子

本帖子中包含更多资源

本帖子中包含更多资源

回复 26# 的帖子

浏览过的版块