网络故障诊断案例分析用FLUKECaseStudy-F683(1).pdf

网络故障诊断案例分析用 FLUKE 683 诊断出病毒造成的网络故障安恒-Fluke 网络维护学院
用 FLUKE 683 诊断出病毒造成的网络故障
大庆石油管理局物资公司信息中心
王道广
8 月 5 日星期天下面单位有人打电话反映网络不通让其用 ping 命令测试发现故障在我公司三
楼主机房的核心交换机上这是 FORE 公司的带三层交换功能的核心交换机 POWER HUB 7000 PH7K 估
计是宕机了只等周一上班重启 PH7K 是通过 ATM 上联油公司骨干网其下划分了八九个子网以双
绞线和光纤下联了十多个单位几百台机器
8 月 6 日周一上班重启 PH7K 后网络开始恢复正常但不到半个小时网络又陷入了瘫痪状态用 ping
测试网关时 time 值有时超过 1000 ms 并且时常有断点 reboot 软启动和关电冷起几次仍是这种现象
网络时通时断有时甚至 PH7K 自动重启此时推断可能是 PH7K 硬件故障因此设备没有备件只能看
着网络瘫在那里后想起 FLUKE 683 网络测试仪可以查网络下三层的故障死马当活马医看看具体是
什么问题
首先把 FLUKE 683 接在了信息中心子网段的中心交换机上此交换机用双绞线上联至 FH7K
work Stats 察看 Util 1-5% Bcast 90-100%
用 Error Stats 察看没有错误
以上两项说明本网段硬件可能没有问题
用 MAC Matrix 察看前几个流量最大的 MAC 地址都是 Broadcast 而且还在不断迅速增加
用 Protocal Mix 察看 ARP 协议占 95-99% 进一步察看发送 ARP 的具体 MAC 地址发现前三个流
量最大约占 80%
记下地址用 TCP/IP 中的 Segment Discovery 察看
Problems None Seen 没有问题
Local Hosts 查 3 个 MAC 的 IP 一个 IP 是网关即 PH7K 另两个 IP 是信息中心软件二室的机器软
件二室的所有机器是通过一个 HUB 上联至信息中心的一个交换机断掉软二的 HUB 后整个网络有明显好转
以上工作说明核心路由 PH7K 的硬件没有问题造成网络瘫痪是由于某些机器发出大量数据包所至
PH7K 发出的大量广播包也是转发其他机器的数据所至因此工作重心开始由 PH7K 转向其下的各个子网
用 NIC/Hub Tests 测试软二两台机器的网卡结果网卡没问题同时软二的机器之间通过 HUB 仍能
相互通信
这说明故障出现在软件方面而非硬件一种可能是系统进程出了问题但不应该两台以上的机器同
时出了毛病另一种可能是病毒
用瑞星杀毒软件 版杀毒没有发现病毒上瑞星网站察看最新版仍是 也没有发布
新病毒!"#$%&''()**+++,-.&/.0,123最后重新启动两台机器用 FLUKE 683 再测 ARP 已明显减少此时只能怀疑进程出了问题
这就是第一天的检查结果接下来的工作就是用 FLUKE 683 查找其他网段发送大量 ARP 的机器这时的
网络仍是时好时坏运行很不稳定
8 月 7 日星期二 PH7K 下的各个子网有的是用双绞线与其上联有的是用单