最近公司網絡環境發生一次異常狀況,這裡和大家分享一下本人當時的排障思路和步驟,和大家一起探讨一下。
網絡拓撲結構大緻如下:
故障現象:
電腦網絡訪問非常慢,打開網頁顯示很慢。
排障步驟:
1. 電腦主機ping外網地址,延遲非常大,ping 192.168.10.254網關地址,延遲也非常大,大于1000ms。
2.出口防火牆上ping外網地址延遲正常。
3.這時基本可以鎖定是局域網内部哪裡出現了問題,而不是互聯網鍊路的原因。再繼續ping局域網其他主機延遲正常,ping IPS設備延遲也正常。
4.此時可以定位到是IPS或者防火牆哪裡出現了問題,登錄到IPS上發現IPS CPU狀态非常高,達到90%以上,接口狀态也提示有丢包現象。
5.懷疑是否存在攻擊現象,查看IPS告警中心入侵防護事件沒有發現可疑攻擊現象,繼續查看IPS狀态,查看流量狀态正常,當查看到IP會話數時發現了異常,一台主機産生了大量的會話數,達到1w 的會話,高于這台IPS可支持的最大會話數了,從而導緻IPS運行不穩定,CPU飙升,從而經過IPS的網絡流量産生延遲丢包現象。
6.最後根據IPS上監控的IP會話數,把産生大量異常會話的主機找到并且斷網後,一切立刻都恢複正常了。
其實,這個網絡問題解決很簡單,因為我們的網絡環境中有IPS和防火牆這種專業的網絡安全設備,當發現有異常情況時,第一時間就可以登錄到這些設備上,一般都可以查看到一些蛛絲馬迹,然後順藤摸瓜解決問題。
但是,如果沒有這種網絡安全設備,發生網絡異常時難道隻能兩眼一抹黑了,這時候其實我們可以依靠一些工具來解決問題,強烈推薦的就是Wiresharke這款網絡抓包分析工具了,網絡問題其實它都源于數據包層面,我們隻需進入到數據包層次,就沒有任何東西能逃出我們的視線範圍,我們隻需通過Wiresharke工具捕獲網絡中傳輸的數據包加以分析,基本上就可以判定問題所在了,比如這次是大量會話引起的網絡故障,我們就可以通過Wiresharke信息統計功能,哪個IP地址産生了大量會話一目了然。
所以有興趣的小夥伴可以關注一下本人寫的《Wireshark數據包分析入門到實戰》這份專欄哈~
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
