丢包 - 蚂蚁网-多维人生，三实而立！

欢迎关注:1，欢迎关注本博客，你可点击右手边的【QQ邮件订阅】订阅本博客！2，本博客推出江湖救急计划，主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析，如有需要，请在江湖救急计划页面给我留言！

网页打开慢但HTTP下载快故障分析案例

作者：易隐者发布于：2012-10-10 16:06 Wednesday 分类：网络分析

【说在之前】：

1，用到了疑难杂症网络分析过程中最基本、最核心的两个分析方法：对比分析法和关联分析法；

2，该案例涉及到的知识点主要有SYN重传、连接数限制等，大家可参考本博客中相关知识点的文章。

【我的案例】：

故障环境

某单位大体的网络结构如下图所示：

内部办公人员通过交换机到流控设备，再通过防火墙做NAT访问互联网。

故障现象

1，在地矿局进行互联网时，打开网页的速度非常的慢，有的网页要刷新几次才可以正常显示；
2，但是使用下载工具或是基于HTTP的下载速度却很快。

故障分析

1 确认故障原因

我们找一台主机，访问互联网的某网站，发现的确比较慢，我们抓取故障时的交互数据包，如下图所示：

通过上图，我们可以发现，客户端在与服务器建立TCP连接时，其SYN请求报文被客户端重传了一次，这个重传导致了2.88秒的延时。TCP重传一般是中间设备丢包导致的，那么到底是在什么地方丢包的呢？我们首先需要界定一下可能丢包的故障关键点。

2 选择故障关键点

该故障环境相对简单，在办公用户访问互联网时，数据包只通过了交换机、流控设备和防火墙，而交换机主要负责转发数据，不会对数据包进行深度的检测和过滤等操作，所以在该环境下主要的关键故障点是流控设备和防火墙，如下图所示：

3分析流控设备是否丢包

关键故障点确定之后，我们首先在流控设备的前后同时抓包做对比分析，以确定是否是流控设备丢包，如下图所示：

通过我们还原故障现象时，在流控设备前后抓取数据包的对比分析，结论显示，流控设备前后数据包交互的过程是一样的（这个对比分析通过五元组关联同一会话之后，对比查看数据交互过程的差异即可，由于流控设备前后的数据交互过程完全一样，在此不做具体详细的分析说明），这说明，在打开页面较慢时，流控设备并未丢弃任何交互的数据报文。

4 分析防火墙是否丢包

同样，我们再在防火墙的进出口同时抓包，通过比较防火墙前后数据包的交互情况来确定造成故障的原因，部署图如下所示：

1，在访问某网站出现缓慢现象时，在防火墙前后同时抓取数据包，并保存，为下面的对比分析提供原始的数据报文。
2，我们先分析防火墙内网口抓取的数据，在科来网络分析系统的“TCP会话”视图，我们发现了一个web连接持续的时间为6秒，并且其在三次握手过程中，存在重传现象，如下图所示：

这个TCP会话的源端口是1124，目的地址为58.30.236.11，目的端口是80
3，我们通过关联分析法，在进行网页访问时，我们在防火墙前后同时进行抓包，下图就是在防火墙出口处抓取到的数据包：

我们知道防火墙在网络运行中起到防护作用，会将未经授权的报文过滤，但是防火墙一般不会阻止正常的数据包，我们在比较上面两张图发现，在防火墙后捕获到的数据包第一次发送同步请求没有成功，然后又重传了一次同步数据包，才成功建立了连接；而在防火墙前面抓取到的数据包却没有看到重传的数据包（黑框标记的部分），这很清晰的说明，第一个SYN报文被防火墙丢弃了。

4 分析结论

通过上面的分析，我们可以得出如下结论：

由于防火墙在转发数据包时，随机丢弃了客户端发送的SYN报文而造成的。可能是防火墙配置不当（连接数限制）或防火墙BUG（在处理TCP新建连接时不稳定）导致的。

总结

经过分析知道是由于防火墙不规律丢弃SYN报文导致的网页打开慢现象，但是为什么HTTP下载的速度却很快？这是因为防火墙仅随机丢弃SYN报文，而HTTP下载在刚开始建立TCP连接时，防火墙有可能会丢弃其SYN报文，但是下载行为决定其会不断发起SYN报文进行连接建立的尝试，而一旦连接建立成功，则防火墙不会丢包，给用户的感觉就是速度也非常快。

阅读全文>>

标签: TCP 对比分析法关联分析法丢包 SYN 防火墙重传 BUG NAT 连接数限制 SYN报文

评论(4) 引用(0) 浏览(11874)

疑难网络故障的分析方法和原理之对比分析法

作者：易隐者发布于：2012-7-4 12:04 Wednesday 分类：网络分析

有一些故障，特别是业务应用的故障，客户端与服务器端在进行业务数据流交互时，中间会经过各种链路和中间设备。当客户端反馈业务应用存在故障，我们仅仅在某一个点（客户端、服务器端或者其他中间链路处）进行抓包，是无法真正反映故障真实面貌的，我们需要多点同步抓包，这样才能完整的反馈业务数据流在网络中交互的全部过程。在这个完整交互的过程中，我们通过对比分析，可以发现故障发生的位置和原因。

对比分析法的定义

对比分析法就是在中间设备两端（数据包的进口、数据包转发口）同时抓包，并对进出口处所抓取到的数据包做相应的对比，从而发现中间设备对相应数据包的处理情况，包括更改、丢弃、转发以及经过中间设备后的延时等。

对比分析法的原理

网络中间设备的主要功能是对数据包的转发，当一个目的地址不是中间设备的数据包进入一个中间设备时，它必然会被中间设备转发到其某一个出口。如下图所示：

阅读全文>>

标签: 对比分析法延时丢包中间设备对数据包的更改

评论(0) 引用(0) 浏览(10310)

疑难杂症分析案例-启明星辰竟然用的是我08年制作的PPT

作者：易隐者发布于：2012-7-3 18:04 Tuesday 分类：案例讨论

下班后，在网上查找启明防火墙的命令行手册，没想到竟然在百度文档里发现了下面这个系列的培训PPT，这个是我08年写的疑难杂症分析案例培训PPT，哈哈，启明基本上没做改动。如有人对原PPT有兴趣，可给我留言。

阅读全文>>

标签: 疑难杂症丢包 icmp差错分片 sack 可选择性确认 tcpdump

评论(7) 引用(0) 浏览(6458)

Juniper 交换机端口镜像设置

作者：易隐者发布于：2012-5-12 17:25 Saturday 分类：参考资料

Juniper M 系列和 T 系列

     特点：
                ●每交换机只能有一个监听端口
                ●只能镜像 IPv4 的流量
                ●只能镜像发送（transit only）的流量，不能镜像接收的流量

Juniper M 系列和 T 系列端口镜像配置方法

usen@router# show forwarding-options port- mirroring { input {family inet; rate ; run- length ;} output interface {next-hop

;} no-filter-check;} }

选择将抽样的流量发送到哪个目的端口

user@router# show firewall filter mirror-sample from {...} then {sample; accept;}

定义抽样过滤器，选择感兴趣的流量

user@router# show interface unit 0 family inet filter {input mirror-sample;}

选择将抽样的过滤器应用到某个端口
端口镜像的风险
加重交换机负载，造成设备不稳定
在某些情况下会丢包，不能保证 100% 镜像流量。例如，由于多个源端口镜像到一个目的端口，目的端口无法处理造成丢包

Juniper EX交换机

端口镜像是将特定端口的报文复制一份到镜像目的端口，镜像目的端口会与数据监测设备相连，用户利用这些数据监测设备来分析复制到目的端口的报文，进行网络监控和故障排除。 Juniper EX 交换机支持本地端口镜像以及远程端口镜像，同时支持多对一的端口镜像。其中可以支持多个VLAN 镜像到一个VLAN。端口镜像可以通过策略来匹配相应的流量。
配置命令：