《CSNA網(wǎng)絡(luò)分析認(rèn)證專家實(shí)戰(zhàn)案例》課件-第10章

第10章某應(yīng)用間歇性無(wú)法訪問(wèn)故障分析10.1故障描述10.2分析內(nèi)容10.3分析總結(jié)

10.1.1故障現(xiàn)象及環(huán)境

用戶內(nèi)部新上線一臺(tái)應(yīng)用服務(wù)器，上線后出現(xiàn)訪問(wèn)緩慢，有時(shí)可以登錄，有時(shí)無(wú)法登錄的情況。產(chǎn)品為B/S架構(gòu)，二層結(jié)構(gòu)，不涉及中間件。根據(jù)網(wǎng)絡(luò)拓?fù)涞弥蛻舳嗽L問(wèn)服務(wù)器要經(jīng)過(guò)防火墻，網(wǎng)關(guān)設(shè)在防火墻上，防火墻連接交換機(jī)有Trunk，詳情見(jiàn)拓?fù)鋱D10-1。10.1故障描述

圖10-1故障原因預(yù)測(cè)：

(1)首先懷疑是應(yīng)用系統(tǒng)本身的問(wèn)題，因?yàn)橥瑯拥牟渴穑渌到y(tǒng)沒(méi)有類似問(wèn)題。涉及應(yīng)用交互分析。

(2)還有可能是鏈路丟包，客戶端訪問(wèn)服務(wù)器經(jīng)過(guò)的鏈路涉及交換機(jī)和防火墻?？赡苌婕岸帱c(diǎn)抓包。

因此，客戶需要借助科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)進(jìn)行分析。10.1.2檢測(cè)描述

監(jiān)測(cè)系統(tǒng)：科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)3.1。

樣本文件：Colasoft.pkt。

采樣時(shí)間：2012年12月29日。

采樣時(shí)長(zhǎng)：7

×

24小時(shí)。

樣本說(shuō)明：防火墻前Trunk鏈路抓包。

10.2.1分析過(guò)程

(1)首先，使用鏈路測(cè)試法分析。在一個(gè)客戶端Ping服務(wù)器，結(jié)果顯示正常，但是Telnet服務(wù)器的應(yīng)用端口異常，有時(shí)無(wú)法建立連接。由鏈路測(cè)試法分析可知，客戶端Ping服務(wù)器沒(méi)有問(wèn)題，但Telnet有問(wèn)題。說(shuō)明問(wèn)題是發(fā)生在網(wǎng)絡(luò)層之上，屬于策略性問(wèn)題。因?yàn)槿龑右韵略O(shè)備出問(wèn)題，一般都是沒(méi)有策略性的，丟包都是隨機(jī)的，無(wú)法選擇上層應(yīng)用，具體表現(xiàn)為Ping的時(shí)候會(huì)出現(xiàn)丟包。10.2分析內(nèi)容

(2)客戶端和服務(wù)器連接同一交換機(jī)，訪問(wèn)正常，說(shuō)明單純的應(yīng)用層面是沒(méi)有問(wèn)題的。

(3)數(shù)據(jù)包分析。由于環(huán)境比較簡(jiǎn)單，而且很有可能是由于鏈路異常造成的訪問(wèn)異常。整個(gè)訪問(wèn)過(guò)程經(jīng)歷了3個(gè)設(shè)備：接入交換機(jī)、核心交換機(jī)和防火墻。首先選擇抓包位置，判斷是否需要多點(diǎn)抓包。按常理來(lái)說(shuō)，應(yīng)該是多點(diǎn)抓包分析判定故障點(diǎn)。但是通過(guò)觀察發(fā)現(xiàn)，由于防火墻和核心交換機(jī)之間有Trunk協(xié)議，且位于中間位置，只要在防火墻和核心交換機(jī)之間抓包，一個(gè)TCP連接只要抓到2次相同數(shù)據(jù)，就說(shuō)明鏈路沒(méi)有問(wèn)題；如果一個(gè)TCP連接我們只能抓到一次數(shù)據(jù)，那就說(shuō)明是防火墻的問(wèn)題。通過(guò)客戶端192.168.32.64做測(cè)試，訪問(wèn)服務(wù)器192.168.31.51，下面是具體數(shù)據(jù)分析過(guò)程。如圖10-2所示，正常登錄時(shí)整個(gè)TCP三次握手每一步都有重傳，為了證明是被重復(fù)抓到，而不是TCP重傳，只要看數(shù)據(jù)包的Identification即可。因?yàn)槿绻荰CP重傳的話，IP標(biāo)識(shí)是會(huì)變的。

圖10-2從圖10-3可以發(fā)現(xiàn)，每一次交互的身份標(biāo)識(shí)是不變的，說(shuō)明訪問(wèn)數(shù)據(jù)被重復(fù)抓到了2次，這個(gè)時(shí)候鏈路是沒(méi)有問(wèn)題的。

不正常登錄時(shí)，我們只抓到了TCP的3個(gè)SYN包，如圖10-4所示。

這是典型的TCP三次握手階段的重傳，間隔3秒和6秒重傳兩次SYN包。為了再次確認(rèn)，可以看一下身份標(biāo)識(shí)，見(jiàn)圖10-5。

圖10-3

圖10-4

圖10-5我們可以發(fā)現(xiàn)，序列號(hào)相同的數(shù)據(jù)包，IP標(biāo)識(shí)Idetifacation字段是變化的，說(shuō)明是TCP重傳；訪問(wèn)數(shù)據(jù)只被抓到一次，訪問(wèn)數(shù)據(jù)過(guò)了防火墻就被丟棄，否則即便是TCP重傳也應(yīng)該是被抓到2次。

10.2.2分析結(jié)果

通過(guò)以上的分析步驟，我們可以得出結(jié)論：數(shù)據(jù)在經(jīng)過(guò)防火墻時(shí)，發(fā)生了丟失的現(xiàn)象有可能是防火墻策略的問(wèn)題造成的。

10.2.3處理方法

根據(jù)以上分析結(jié)果，我們只要找到防火墻是否有相關(guān)的策略限制，修改相應(yīng)的策略即可排除故障?？梢圆扇∫韵聝蓚€(gè)措施解決問(wèn)題：

(1)仔細(xì)查看防火墻的策略，是否有針對(duì)服務(wù)器IP或端口的限制。

(2)如果防火墻策略沒(méi)有發(fā)現(xiàn)問(wèn)題，可以考慮讓訪問(wèn)路徑繞過(guò)防火墻。

通過(guò)本次故障分析我們發(fā)現(xiàn)，