《CSNA網(wǎng)絡(luò)分析認(rèn)證專家實(shí)戰(zhàn)案例》課件-第44章

44.1視頻會(huì)議故障描述44.2視頻會(huì)議故障分析44.3服務(wù)器的運(yùn)行分析44.4總結(jié)第44章某局視頻會(huì)議故障報(bào)告和服務(wù)器運(yùn)行分析

視頻會(huì)議應(yīng)用主要在于穩(wěn)定，在進(jìn)行視頻會(huì)議的時(shí)候如果出現(xiàn)利用率波動(dòng)過大、網(wǎng)絡(luò)流量占用過大的情況，那么視頻會(huì)議可能就會(huì)出現(xiàn)中斷、視頻反應(yīng)慢等故障。44.1視頻會(huì)議故障描述44.1.1網(wǎng)絡(luò)環(huán)境

如圖44-1所示，省局視頻會(huì)議室的視頻會(huì)議終端是連接在核心交換機(jī)上的，MCU通過一臺(tái)北電路由器與核心交換機(jī)相連，北電路由器連接國(guó)家局路由器，以便于與國(guó)家局進(jìn)行視頻會(huì)議；地市局的視頻會(huì)議通過地市局路由器與國(guó)家局路由器相連到MCU，地市局上網(wǎng)經(jīng)過地市局路由器到防火墻這條線路。

圖44-144.1.2故障現(xiàn)象

地市局到省局是通過2Mbps線路，省局在與地市局進(jìn)行視頻會(huì)議的時(shí)候，會(huì)出現(xiàn)動(dòng)作延時(shí)、視頻反應(yīng)慢、圖像沒反應(yīng)等現(xiàn)象；視頻會(huì)議信號(hào)差，Ping地市局視頻會(huì)議的IP地址時(shí)，延時(shí)比較大，還有丟包現(xiàn)象。

導(dǎo)致視頻會(huì)議延時(shí)的原因，可能是網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊或者是中間通信設(shè)備故障等。為了能夠找到造成故障的原因，我們對(duì)故障進(jìn)行以下的分析。44.2視頻會(huì)議故障分析44.2.1分析方法

對(duì)于這類網(wǎng)絡(luò)故障，我們可以利用數(shù)據(jù)包捕獲法來了解其數(shù)據(jù)包交互過程，通過捕獲到的數(shù)據(jù)包觀察網(wǎng)絡(luò)有沒有受到攻擊、主機(jī)有沒有中病毒、視頻會(huì)議的交互數(shù)據(jù)包有沒有丟包等。利用綜合信息來分析故障出現(xiàn)的原因，然后再結(jié)合相應(yīng)的解決辦法來解決該故障。44.2.2部署方式

從上面的介紹我們知道，所有的交互都要經(jīng)過核心交換機(jī)，所以我們將科來軟件部署在核心交換機(jī)上，鏡像不同的端口來捕獲各個(gè)交互的數(shù)據(jù)包，如圖44-2所示。

圖44-244.2.3具體分析

1．確定內(nèi)部網(wǎng)絡(luò)是否有攻擊行為

我們先將所有的端口都做鏡像，捕獲網(wǎng)絡(luò)中所有的交互流量，根據(jù)各交互數(shù)據(jù)查看網(wǎng)絡(luò)中是否有病毒主機(jī)、網(wǎng)絡(luò)是否受到攻擊等一些異常行為。我們從捕獲到的數(shù)據(jù)包觀察網(wǎng)絡(luò)的總體情況，如圖44-3所示。

圖44-3如上圖所示，在一個(gè)半小時(shí)的時(shí)間里總共有11.730GB的流量經(jīng)過核心交換機(jī)，我們從后面的端點(diǎn)流量等情況可以看到有重復(fù)捕獲的流量，所以產(chǎn)生的流量并不是特別大。

再看數(shù)據(jù)包分布情況，大包和小包的數(shù)量比值相差不大，沒有過多的小包或過多的大包產(chǎn)生。因?yàn)椴《就ǔ?huì)產(chǎn)生大量的小包，而攻擊包可能是發(fā)送大量小包或者是利用大流量，造成網(wǎng)絡(luò)帶寬被過多占用致使網(wǎng)絡(luò)癱瘓，但是圖中沒有類似的數(shù)據(jù)包。對(duì)于TCP連接情況，我們可以通過它來發(fā)現(xiàn)網(wǎng)絡(luò)中有沒有基于TCP的網(wǎng)絡(luò)攻擊等行為。通常一個(gè)初始化TCP連接對(duì)應(yīng)一個(gè)成功建立連接，它們正常的比值應(yīng)該等于或者接近1∶1。如圖44-3所示，兩者相差不大，比值較為正常，所以TCP的連接情況應(yīng)該是正常的。

從圖44-4我們可以看到，流量排在第一位的是一個(gè)廣域網(wǎng)地址，通過了解我們知道該地址是煤監(jiān)局的出口地址，所以流量大屬于正常情況。至于后面幾個(gè)流量大的主機(jī)，通過分析可以發(fā)現(xiàn)它們?cè)谶M(jìn)行下載。

我們?cè)倏纯凑麄€(gè)網(wǎng)絡(luò)協(xié)議的使用情況，觀察是否有異常協(xié)議使用，是否有不常用協(xié)議的流量變大等，如圖44-5所示。

圖44-4

圖44-5從上圖可以看到，整個(gè)網(wǎng)絡(luò)的協(xié)議使用靠前的幾位分別是UDP-Other、HTTP、TCP-Other等，都是正常網(wǎng)絡(luò)中經(jīng)常出現(xiàn)的協(xié)議，UDP-Other和TCP-Other通常在我們進(jìn)行下載、在線視頻時(shí)出現(xiàn)。所以從使用的協(xié)議來看，網(wǎng)絡(luò)中協(xié)議使用量也是正常的。

綜合上面的總體分析我們可以得出結(jié)論：整個(gè)網(wǎng)絡(luò)是處于正常應(yīng)用的狀態(tài)，沒有異常攻擊或病毒，所以視頻會(huì)議慢不是網(wǎng)絡(luò)病毒攻擊造成的。

2．具體分析視頻會(huì)議故障

為了找到并解決問題，我們要在故障現(xiàn)場(chǎng)進(jìn)行觀察，抓取在視頻會(huì)議進(jìn)行時(shí)的數(shù)據(jù)包，分析具體的故障原因。

我們?cè)谧ト∫曨l會(huì)議的數(shù)據(jù)包時(shí)發(fā)現(xiàn)，屬于視頻會(huì)議網(wǎng)段的流量比較大，如圖44-6所示。

圖44-6從圖44-6中可以看到，該網(wǎng)在1分鐘左右的時(shí)間里一共產(chǎn)生了將近90MB的流量，其中77網(wǎng)段的流量將近47MB，78網(wǎng)段的流量將近21MB，74網(wǎng)段的流量將近7MB，而且這三個(gè)網(wǎng)段都是視頻會(huì)議所在的網(wǎng)段?？梢钥闯觯曨l會(huì)議所在的網(wǎng)段占用了一大半的網(wǎng)絡(luò)帶寬。

我們?cè)俨炜淳W(wǎng)絡(luò)的利用率是如何分布的，如圖44-7、圖44-8和圖44-9所示。

利用率(位)(77)

圖44-7

圖44-8

圖44-9從圖44-7和圖44-8可以看到，77和78網(wǎng)段的網(wǎng)絡(luò)利用率相對(duì)于它們的通信帶寬都比較大。因?yàn)楦鱾€(gè)視頻會(huì)議的通信帶寬都是2Mbps的，從上面的利用率我們可以看到，整個(gè)視頻會(huì)議的網(wǎng)絡(luò)利用率都非常的高，占用了大量的網(wǎng)絡(luò)使用帶寬。

我們同時(shí)進(jìn)行了Ping測(cè)試，發(fā)現(xiàn)77和78網(wǎng)段會(huì)經(jīng)常出現(xiàn)丟包、延時(shí)大的故障現(xiàn)象，而74網(wǎng)段則比較正常。視頻會(huì)議主要是通過中間設(shè)備MCU來控制和組織各視頻會(huì)議終端的，通過后期的了解發(fā)現(xiàn)，所有的視頻會(huì)議終端都要跟MCU交互，然后才能在視頻會(huì)議的大屏中彼此進(jìn)行交流。因此，我們針對(duì)各個(gè)視頻會(huì)議終端地址與MCU地址的數(shù)據(jù)進(jìn)行分析，可以看到整個(gè)視頻會(huì)議過程中的平均流量情況，如圖44-10所示。

圖44-10從上圖我們可以看到，黑框標(biāo)識(shí)的IP地址就是視頻會(huì)議的IP地址，視頻會(huì)議平均每秒的流量在1Mb左右，所以視頻會(huì)議所需要的帶寬在1Mb左右就行了，但是整個(gè)77和78網(wǎng)段的流量使用很大，占用了過多的視頻會(huì)議帶寬，所以導(dǎo)致丟包、延時(shí)等現(xiàn)象。

網(wǎng)絡(luò)中有對(duì)外開放的Web服務(wù)器，根據(jù)負(fù)責(zé)人介紹，Web服務(wù)器可能受到了外部攻擊或者本身中了病毒，所以我們對(duì)服務(wù)器的交互數(shù)據(jù)包進(jìn)行捕獲，分析其是否異常，如圖44-11所示。44.3服務(wù)器的運(yùn)行分析

圖44-11如圖44-11所示，服務(wù)器的流量不是很大，TCP連接數(shù)有點(diǎn)異常。通常TCP連接異?？赡軙?huì)是TCP攻擊或中了TCP端口病毒，但是通過圖44-12所示的會(huì)話視圖可以看到，造成TCP初始化和成功建立連接比值差異的主要原因是由于在進(jìn)行TCP三次握手時(shí)出現(xiàn)了數(shù)據(jù)包重傳，而不是基于TCP的攻擊或病毒。

圖44-12

圖44-13我們通過觀察該服務(wù)器使用的協(xié)議可以發(fā)現(xiàn)，它使用的主要協(xié)議是HTTP協(xié)議和CIFS協(xié)議。我們知道，該服務(wù)器的主要作用就是對(duì)外提供Web服務(wù)，所以HTTP協(xié)議的流量大是正常的；CIFS協(xié)議也是微軟自帶的共享協(xié)議，通過分析發(fā)現(xiàn)，使用該協(xié)議時(shí)它有數(shù)據(jù)交互(見圖44-14)，所以該協(xié)議也是正常應(yīng)用，并不是病毒造成的。

圖44-14我們?cè)倏丛摲?wù)器的流量情況，如圖44-15所示，可以發(fā)現(xiàn)其收發(fā)包比值接近1∶1，因?yàn)樗峁┑氖荳eb服務(wù)，所以它發(fā)送的數(shù)據(jù)包數(shù)量會(huì)大于接收的數(shù)量，這是處于正常的交互中。圖44-15綜合上面的分析我們可以得出結(jié)論：該服務(wù)器是處于正常的運(yùn)行狀態(tài)，并沒有受到網(wǎng)絡(luò)攻擊，也沒有中病毒。

通過上面的分析可知，造成視頻會(huì)議延時(shí)的主要原因就是視頻會(huì)議網(wǎng)段的網(wǎng)絡(luò)流量過大，進(jìn)而造成了視頻會(huì)議正常的應(yīng)用流量被占用，從而導(dǎo)致問題的出現(xiàn)。44.4總結(jié)根據(jù)負(fù)責(zé)人的介紹我們了解到，下面地市都是通過視頻會(huì)議的2Mbps線路實(shí)現(xiàn)上網(wǎng)功能的，一旦網(wǎng)絡(luò)中有人進(jìn)行下載、在線看視頻等大流量的操作，就會(huì)占用大量的網(wǎng)絡(luò)帶寬。所以要解決此類故障，可以將除了視頻會(huì)議應(yīng)用以外的所有應(yīng)用排除出去，使視頻會(huì)議獨(dú)占2Mbps的網(wǎng)絡(luò)，這樣就可以保證在進(jìn)行視頻會(huì)議時(shí)網(wǎng)絡(luò)利用率處于一