《CSNA網(wǎng)絡分析認證專家實戰(zhàn)案例》課件-第37章

第37章廣東省某學院網(wǎng)絡測試分析報告37.1故障描述37.2故障分析37.3分析總結

37.1.1故障環(huán)境

據(jù)該學院相關負責老師反映：

(1)該校園網(wǎng)學生用戶是通過電信Portal認證進行撥號上網(wǎng)，有些學生用戶在進行觀看視頻等網(wǎng)絡行為時會經(jīng)常被服務端踢下線。37.1故障描述

(2)每個學生用戶網(wǎng)絡帶寬限制為512Kbps，有部分學生用戶感覺上網(wǎng)速度較慢。

(3)有些學生用戶裝了一些軟件，如Photoshop等，會造成Portal認證強制下線。

37.1.2網(wǎng)絡部署示意圖

針對該校園網(wǎng)的網(wǎng)絡部署如圖37-1所示。

圖37-137.1.3測試目標

測試系統(tǒng)：科來網(wǎng)絡分析系統(tǒng)2010。

采樣數(shù)據(jù)大?。?03MB。

測試方法：在28棟學生宿舍樓層核心交換機上對下聯(lián)接口配置鏡像，對內(nèi)網(wǎng)流量抓包分析。

37.2.1網(wǎng)絡承載性能分析

1．流量統(tǒng)計趨勢分析

如圖37-2所示，利用率等于在測試期間當前網(wǎng)絡使用的每秒速率除以1000Mbps以太網(wǎng)速率，可以證明當前校園網(wǎng)絡使用每秒位速率已達到12.431Mbps。37.2故障分析在網(wǎng)絡測試期間，從流量趨勢圖來看，流量峰值為1.877MB，網(wǎng)絡中并未出現(xiàn)規(guī)律性的大流量突發(fā)現(xiàn)象；從數(shù)據(jù)包大小分布情況來看，網(wǎng)絡中產(chǎn)生的1024～1517B的大包占用較多，為46.817MB，說明網(wǎng)絡存在大數(shù)據(jù)量的傳輸。

圖37-2

2．TCP連接會話趨勢分析

如圖37-3和圖37-4所示，在測試期間，客戶端發(fā)起的連接請求數(shù)為824次，TCP連接會話峰值為37次/秒，出現(xiàn)小規(guī)律性的突發(fā)。由于TCP會話數(shù)量較少，說明網(wǎng)絡中不存在DDoS(DistributedDenialofService，分布式拒絕服務)攻擊或TCP掃描現(xiàn)象。服務器“同步確認”響應了577次，“結束連接”會話為757次，數(shù)量變化趨勢基本相同，這說明網(wǎng)絡性能良好，對大部分連接請求都能快速響應。

以上網(wǎng)絡各項統(tǒng)計指標分析顯示，網(wǎng)絡運行屬于正常狀態(tài)，無網(wǎng)絡擁塞、攻擊等行為。

圖37-3

圖37-4

3．TopIP地址總流量分析

通過圖37-5可以直觀地看出網(wǎng)絡中使用流量最大的前十位主機名和其使用流量的大小，往往造成網(wǎng)絡問題的就是這些使用流量大的主機，后面可以針對這些產(chǎn)生大流量的主機進行深入分析。

TopIP地址總流量(字節(jié))

圖37-537.2.2Top應用層協(xié)議分析

通過圖37-6可以直觀地得出網(wǎng)絡中應用的情況，主要使用UDP-Other、HTTP、TCP-Other等應用協(xié)議，可以進一步分析哪些主機地址使用了這些應用。

Top應用層協(xié)議(字節(jié))

圖37-637.2.3網(wǎng)絡用戶IP流量占用分析

根據(jù)IP對網(wǎng)絡流量占用情況從大到小排名：

23每秒位網(wǎng)絡使用率為5.854Mbps，已超出流控策略(512Kbps)

00每秒位網(wǎng)絡使用率為1.377Mbps，已超出流控策略(512Kbps)

32每秒位網(wǎng)絡使用率為1.394Mbps，已超出流控策略(512Kbps)

07每秒位網(wǎng)絡使用率為985.24Kbps，已超出流控策略(512Kbps)

其他IP用戶均在流控策略(512Kbps)范圍內(nèi)，如圖37-7所示。

圖37-7以上4個已超出流控策略的IP用戶使用流量情況還需進一步分析確認，弄清楚每一個IP用戶與哪些IP進行了會話傳輸。

根據(jù)已超出流控策略的IP用戶23的分析我們發(fā)現(xiàn)，該主機每秒產(chǎn)生5.854Mb的大流量數(shù)據(jù)，是通過UDP協(xié)議與外網(wǎng)IP之間進行通信，大多產(chǎn)生超過1480B的大包并且出現(xiàn)數(shù)據(jù)包分段傳輸?shù)默F(xiàn)象，端口號為13634，經(jīng)確認是視頻服務端口，如圖37-8所示。

對IP用戶23進行具體定位，可以直觀地判斷出該用戶主機產(chǎn)生UDPOther流量，RTP協(xié)議語音視頻流量也較多，與167臺服務端地址進行連接會話，說明該用戶在進行P2P視頻下載，見圖37-9和圖37-10。

圖37-8

圖37-9

圖37-10使用同樣方法對其他幾個超出流控策略的IP主機逐一進行分析，可以判斷這些IP都有相似的流量特征，均在進行P2P下載及音、視頻通信。

37.3.1分析結果

根據(jù)以上測試分析現(xiàn)象及分析，總結出以下問題：

(1)校園網(wǎng)用戶23主機存在惡意程序，可能會使內(nèi)網(wǎng)的機器相互被感染，導致網(wǎng)絡癱瘓或Portal認證撥號上網(wǎng)強制被踢下線，造成用戶無法訪問網(wǎng)絡。37.3分析總結

(2)網(wǎng)絡中有幾臺主機在進行P2P大數(shù)據(jù)視頻流下載，導致主機訪問其他外網(wǎng)資源速度緩慢或無法訪問。

(3)由于學校在放假期間校園網(wǎng)用戶相對較少，在測試期間客戶端發(fā)起的連接請求數(shù)為824次，TCP連接會話峰值為37次/秒，出現(xiàn)小規(guī)律性的突發(fā)。由于TCP會話數(shù)量較少，說明網(wǎng)絡中不存在DDoS攻擊或TCP掃描現(xiàn)象。假如在開學期間學生用戶上網(wǎng)較多或受到黑客DDoS攻擊，如不采取應急措施，網(wǎng)絡會話連接數(shù)過多，網(wǎng)關設備處理轉發(fā)響應數(shù)據(jù)時CPU高負荷，導致網(wǎng)絡癱瘓。3