您所在的位置:网络安全 > 嗅探扫描 > 用Sniffer和ARP分析网络问题(1)

用Sniffer和ARP分析网络问题(1)

2007-08-19 14:24 洪晶 网管员世界 字号:T | T
一键收藏,随时查看,分享好友!

通过使用Sniffer抓包工具,结合对ARP协议的理解,分析故障的真正原因,解决了问题。这个分析解决问题的思路本人自己觉得有归纳总结的必要,所以成文推荐给大家,共同学习。

AD:

电信网络内部一套112测试系统,涉及到一系列服务器和测试头(具有TCP/IP三层功能的终端),原有的拓扑在电信内网(DCN)中。由于测试范围的扩大,有些机房没有内网接入点,变通的方案是在城域网上建立一个VPN,将那些没有DCN接入点的测试头设备接在此VPN上,然后此VPN通过一个防火墙(PIX)与DCN做接口。可以将这些测试头看作一些提供测试服务的服务器,使用NAT静态转换将这些测试头映射为DCN内网网段上的IP地址,内网的一些客户端使用这些映射后的地址访问测试头。
方案实施后,用DCN内网设备访问有些测试头,时通时不通,对这些局点的112测试工作带来了极大的困扰。通过使用Sniffer抓包工具,结合对ARP协议的理解,逐步分析出了故障的真正原因,解决了问题。
故障现象说明
112系统的部分网络拓扑图如图1所示。

 
图1 网络拓扑图

故障现象
1.DCN中的112CLIENT有时访问不到测试头A。112CLIENT ping 不通测试头A,网关F上也ping 不通测试头A。
2. F上始终有ARP记录:例如嘉兴某NPORT测试头A
Internet 10.0.2.70 118 0090.e809.b82f ARPA FastEthernet0/1
3. 如果F上clear arp,则112CLIENT再ping,可以ping通。
4. 如果不采取步骤3,用DCN内机器telnet 134.100.200.10(测试头B),再用B来ping 10.0.2.70(测试头A),能ping通。再用112CLIENT ping A,能ping通。
5. 将测试头换下,换上同IP地址笔记本电脑,没有任何问题。
对问题的预先判断中,有两种倾向性猜测,如下:
◆ A:NPORT测试头的TCP/IP实现不规范。测试头是厂家应局方要求加工组装的,其TCP/IP协议簇的实现是建立在NPORT MOXA卡上的,主要是为了实现TCP/IP与SERIAL协议之间的转换。而这种实现的可靠性并没有100%的把握。如果是这个原因,需厂家解决。
◆ B:宽带交换机的设置不科学。交换机的ARP条目失效时间对其ARP对照表有很大影响,设的太短,很快就失效,包过来后就会不知道流向哪个端口,会被交换机丢弃。宽带交换机属于数据部门维护,一般情况下不会提供给我们口令,没有确实的判断,他们一般不愿意改交换机设置。
所以确实的定位问题的所在,是我们解决故障的先决条件。

内容导航
 第 1 页:故障现象说明  第 2 页:查找故障源



分享到:

热点职位

更多>>

热点专题

更多>>

读书

Visual C# 2005从入门到精通
Microsoft Visual C#功能强大、使用简单。本书全面介绍了如何利用Visual Studio2005和NET Framework来进行C#编程。作者将C#的各

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院