能ping通，没有arp，网页却只能显示文字，图片为红叉叉，请各位帮忙分析下

rsarew · 发表于 2008-8-4 20:54:32

能ping通，没有arp，网页却只能显示文字，图片为红叉叉
在baidu打开某一个链接的时候非常快的弹出无法找到页面，刷新一次或几次又能打开页面
几乎所有的网站都是这样的，163.sina等等
自己查看包。貌似很多校验和错误，而且被复位的tcp链接也超级多
请各位帮忙找找原因。

rsarew · 发表于 2008-8-4 20:56:56

其中的local和local1是抓的自己本机的包
monitor是抓的核心交换机的镜像口的包

rsarew · 发表于 2008-8-4 21:00:35

核心交换是h3c的s3600的交换机
防火墙是h3c的F100-M 做的是透明模式
路由器是h3c的msr 30-20
病毒网关是趋势科技的M系列
下面还接了n多傻瓜交换机的

[ 本帖最后由 rsarew 于 2008-8-4 21:01 编辑 ]

rsarew · 发表于 2008-8-4 21:10:05

mtu值我也查过了是1500，没有错
请各位帮帮忙

yucl_0 · 发表于 2008-8-5 00:39:35

打开ie ---工具--管理加载项
看看是否禁用了shock wave flash object，把它启用就好了。

rsarew · 发表于 2008-8-5 02:03:27

唉，大哥，要是有这么简单就好了
我都试过了，系统方面不存在原因，我在ubuntu，suse，vista，xp，2000，2003下面都试过了，极其郁闷。在人家公司里，机器很多，大家都是报这个错误。
恼火中......
好困好饿好冷（这破机房开这么大的空调，开关却在配电间，我要太阳这家公司了）
还没烟抽，伤神！

garyx · 发表于 2008-8-5 09:14:58

99那个节点有bt，电卢，是不是在上传资源？？
有的节点尽是在传小包！看看他们在运行什么程序！

rsarew · 发表于 2008-8-5 13:06:53

今天早上，整个都上不了网，没来的的及抓包
这是正常时的包，请帮忙看看

oldjiang · 发表于 2008-8-5 13:54:54

说一下拓扑，指出部署位置

rsarew · 发表于 2008-8-5 14:15:22

请各位查看
附件是拓扑图

old是就的top图
我抓包是在防火墙下的核心交换机上的总出口配的镜像
new是新的top图，抓包也是在核心交换上抓的

[ 本帖最后由 rsarew 于 2008-8-5 14:26 编辑 ]

徐徐渐进 · 发表于 2008-8-5 14:25:35

没有部署正确，请部署正确后捕包。

rsarew · 发表于 2008-8-5 14:33:20

大哥，我用科来有3年了，从她的6.0就开始了的，而且我每次部署前都会测试是否正确部署的
唉，头疼死了，就是一个家庭网络的拓扑图，我捣腾了好几天
今天早上人家公司的人发了通脾气

[ 本帖最后由 rsarew 于 2008-8-5 14:36 编辑 ]

rsarew · 发表于 2008-8-5 14:37:49

各位大大，我弱弱的问一句，会不会是新的设备带不起造成的啊？
新设备都是四五千的交换机
近十万的病毒网关，近万的防火墙和主路由器

徐徐渐进 · 发表于 2008-8-5 14:44:55

你确实没有部署正确的，可以通过矩阵来看；

支持12#的方法。

rsarew · 发表于 2008-8-5 15:05:27

我确定网内目前没有arp之类的病毒，而且，他现在的网络也在用thunder下载，很正常的。
问题是我一换到新的设备上就挂了。这个真的是很无奈了。我决定，待会只好一个个的替换设备来检测了。
都是在运行的下载啊，thunder啊qq啊，是事业单位。

[ 本帖最后由 rsarew 于 2008-8-5 15:07 编辑 ]

oldjiang · 发表于 2008-8-5 15:18:18

1#的monitor和8#的部署是正确的

徐徐渐进 · 发表于 2008-8-5 15:32:20

严重晕菜，我下的8#的，点了两个local，就没点monitor，
唉，中奖了，今天回家买彩票。

rsarew · 发表于 2008-8-5 21:01:03

理了下思路，请大家看看我准备这样改造可以吗？
机器数量大概有150-200台的样子
我这次决定不一口气全换新设备了，
而是一个个的上新的设备替换旧的设备下来
如果各位大大能有好的建议请一定要告诉我啊
小弟，先在此谢过了。

[ 本帖最后由 rsarew 于 2008-8-5 21:06 编辑 ]

oldjiang · 发表于 2008-8-6 00:14:05

1# 的工程文件local，DNS协议，不管查询那个域名，应答和查询的时间差都是0.12秒；我自己抓包看了一下，则各种取值都有；不用局域网的DNS而用ISP的DNS试试呢？

oldjiang · 发表于 2008-8-6 00:25:19

1#的工程文件local
这三个会话成功下载图片，浏览器上也是红叉吗？换了我也不记得了

oldjiang · 发表于 2008-8-6 00:56:07

10#的new、19#的改造后，路由器和防火墙的位置不同，我觉得后者好，我自己的网络也是路由器在防火墙的前面。

rsarew · 发表于 2008-8-6 02:08:40

谢谢oldjiang帮忙分析，我当初想的是采用边缘防火墙模式，将防火墙放在最外面
因为对方是事业单位，也就是那种**局的那种，没人会这些东西，
我想一次采用最安全的方式给他们弄完，省的到时候路由器被外网打的受不了
后来，发现不行，他们这边的模式是isp给光纤到机房，给的是10.*。*。*这样的内网地址
实际上是isp那儿还做了nat的。他原有的huawei 2000的交换机上，在进口上绑定了两个mac
用科来抓包分析，我怀疑（之所以怀疑，是这里没网管，比较郁闷的事情）是做了端口汇聚的，
不然，科来上现实的怎么是最大下载20M/S，这么奇怪的带宽？
而且，我直接接一台笔记本（t61，全新，千兆口，装了六个系统vista，xp，2003，2000，ubuntu，suse，），
不管在哪个系统下，最高速度也就10M/S,同一文件，间隔也就拔网线，从huawei 2000换到华为 quidway上。
换上去后，下载就提升了一倍的速度。
有问题是dns也能正常解析，ping非常的正常，tracert也能正确的跟踪，而且thunder下载速度没变，
倒是交换机上抓包分析，icmp包非常多，5分钟有七、八千个，tcp连接复位动则两万多接近三万，
对这个我的理解是：很多人开了thunder，现在迅雷采用udp协议，就我自己觉得
thunder现在为了防封闭，采用*.sandai.net：8000这个域名和端口来伪造成qq的信息以逃避被封闭。
而且，thunder也大量采用dns的53端口来发送自己的信息。因为udp协议不像tcp协议那样，传送数据要先建立连接，而建立连接要三次握手，tcp这样的要求对穿透防火墙，应用层的拦截网关来说，太容易被屏蔽掉了，所以迅雷没采用，虽然udp的不稳定，但迅雷可以采用量的方式来提高速度，这样对isp来说，简直就是灾难了。
所以，我看到有的点有那么打的流量，看看端点细节，是udp协议，端口号又是上万的，那么高，
在矩阵里面，那个端点一链接就是好几百个点，从国内到国外都有，
就知道是迅雷，而thunder现在比较卑鄙的是：只要开着，它自己偷偷的上传。
因此我没管那些点，毕竟事业单位不是很好说话，你要他不要下载，他估计会说：你公司领导电话是多少的
相反我主要关心的是，有没有arp这样能引起群体性问题的病毒。观察了这两天三夜，很正常的。
而且每个vlan都是关闭了dhcp的，虽然没绑定mac，但不自己手动设置也不能上网的。
oldjiang说的dns解析间隔都是0.12s，我还没注意到，我觉得应该是某个设备带不起的样子，
不过今天晚上本来打算替换设备的，结果被这个局的领导说，要我把所有设备调好，然后给他看了
再上设备，晕死，一次全换设备，变量那么多，出问题，谁都不知道到底是哪台设备问题，还是软件配置问题？
郁闷，这会一个人坐在机房，头都是大的，辛辛苦苦的从深圳坐了近30个小时的火车过来，却是这样的结果。唉

[ 本帖最后由 rsarew 于 2008-8-6 06:50 编辑 ]

wastebaby · 发表于 2008-8-6 08:37:54

这个一般是物理网路设备或配置上有问题,不是病毒之类的,

12楼的方法很值的一试,即然你在最上看不出问题来为什么不一级一级排查呢.

rsarew · 发表于 2008-8-6 08:49:45

唉，现在的问题是，该局意见巨大，要求一次把新设备调好后，直接上到机架上。
我现在想用新设备一个个替换旧设备也不行了
xx，他们非要h3c的工程师过来，h3c过来又要收钱，公司不想给
再说，就是h3c的工程师来了，也得这样来一步步的来啊。
而且，h3c的设备，偶也不是第一次玩了

[ 本帖最后由 rsarew 于 2008-8-6 08:51 编辑 ]

oldjiang · 发表于 2008-8-6 20:34:59

今天有何进展？

oldjiang · 发表于 2008-8-6 20:44:17

8#的工程，定位流量大的UDP-other和DNS协议，会话，随处可见的15000端口，确实是迅雷。还有BT，这个网络能用吗？不如测试一下，只开放80端口，看看状况如何。

rsarew · 发表于 2008-8-6 22:04:06

oldjiang，今天没进展，一直在等该局领导，要说明原因，在领导办公室前的秘书室，看了他秘书一天。结果告诉我领导不来了。
oldjiang，这个网络（我指的是19#的改造前的拓扑图）真的很多下载的，明天我再去抓包给你看，问题是这么大的流量，它居然能正常的用。我真的好好奇了。
我明天找个流量大的时候，抓包给你看，你就明白了，都开着迅雷，带宽用满了，居然一点都不影响看看网页什么，qq，skype都很正常，我要是开thunder，也能有最少120-150k/s的速度，我非常好奇的。
我也想测试下，只开某一个端口，或者是关闭udp协议，不过，要等等，请示该局领导再说吧。
脾气，都是惯出来的。

wwek · 发表于 2008-8-11 17:50:59

关注。
楼上的。比如我现在这里的。 4m的移动光纤。

某些时候瞬间能达到 1m/s 迅雷。

4mbps的网。不可能吧。最多500多kb

当下载 500多kb  同时有10多台电脑开网页并不卡··。

因为移动给多来的光纤线路极限不是4m的。  虽然移动isp限制了。但是有时候会出现短暂的封值。
从而下载满了网页还不卡··。

100 多台电脑  4m带宽。无任何限制。还有人下bt的。
一样的网页不卡。 ·····

·

晕菜了吧·

wwek · 发表于 2008-8-11 17:56:50

以前还有个网络 100m 1000多人。

做单ip限速。上传 30kb 下载 50kb

试验结果是。网页还一般。不能说快。也不能说慢的那种感觉。

开网页有延迟。那种就带宽塞满了。

当不做限速模式。最顶层的网络设备都是 100m 满负荷。很容易就死机了·。

只是一个神话 · 发表于 2008-8-11 18:48:09

数据流量并不算大，不足以会堵塞网络成这样，当然，不知道你内部有多少PC平常是会开着使用的，科来有50节点限制，有可能你抓的包不全。
个人认为设备出问题的可能性比较大，可能是配置问题，也可能是硬件性能问题。现在LZ给了4张图，不知道现在网络对应的图是哪张，是new、old还是改造前或是改造后的那张？另外MAIL\DNS是不是MAIL\DNS服务器呢？如果是的话，建议放在防火墙的DMZ区域。
另外，从你给的信息看，你的网络其实也是处于内部网络的，是ISP那给的一个内部地址，ISP那做了NAT，也就是说公网IP只有一个，NAT后的地址有几个呢？或许也给了某公司一个地址？

12楼的方法很不错，如果是我，肯定会一步一步查，不会在数据包中分析原因，查完了，找出故障了，在通过数据包结合故障去分析、学习。
可以用单台PC直连外网，用那个ISP给的地址上，可以排除外网问题
在连于防火墙后，排除防火墙问题，
一级一级，逐一排除。

PS：如果还没解决，希望LZ不要烦躁，这样只会对你不利，心乱了，就什么事都做不好了！如果领导有脾气，那就让他发去，就当没听见，你要做的是解决问题！

能ping通，没有arp，网页却只能显示文字，图片为红叉叉，请各位帮忙分析下

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源