常用网络数据包丢失的分析与处理

网络管理维护过程中，经常会遇到数据包丢失的情况。用Ping命令进行连接测试，会发现Ping包的延迟远远超过正常值，甚至无法到达，同时伴随着网络服务应用的障碍，比如打开网站的速度太慢，严重时甚至无法打开网页，在线浏览视频或召开视频会议时语音中断，图像马赛克，断线等等。

丢包率是网络中常见的故障之一，它会导致网络速度下降，甚至造成网络中断，本文就日常网络管理工作中出现的几种丢包率故障现象进行分析讨论，并提出解决办法。

当我们使用ping命令(检测出某一系统是否正常工作)来询问目标站时，就是网络丢包了，因为各种原因而出现了一种现象。Ping命令使用ICMP回送请求和回送应答消息。ICMP回送请求消息是主机或路由器对特定目标主机的查询，接收到该查询的机器必须将ICMP回送答复消息发送给源主机。这一问题被询问信息用于测试目的站是否可以到达以及了解其状态。注意到ping命令是直接使用网络层ICMP协议的一个例子，它不通过传输层的UDP或TCP协议。

常见的网络数据包丢失故障分析及处理方法

出现网络故障是不可避免的，但如何快速地隔离并排除故障是网络管理者必须具备的基本素质。下面列出了几种常见的网络丢包故障现象和解决办法。

失效原因1：网络数据包在发送时通断，丢失严重。

失效现象：

在正常情况下，该方向的网络会出现震荡中断。通过Ping命令进行测试，发现在某段时间内的分组发送延迟比正常值稍高，间隔一段时间的分组再次全部丢失，丢包率超过60%，丢包率曲线呈规律性，网络服务基本不可用。

失效分析：

当网络发生振荡时，造成网络断时通，这通常是由于在互连的交换机中，某两个交换机之间出现环路，或某两个端口直接连接造成的。因此，在局域网中构建生成树协议失败，在局域网中不断重复检查和尝试构建新的生成树网络，导致网络的振荡通断，同时交换机之间又不断重复发送广播包，从而形成“广播风暴”，使交换机负荷过重，网络传输通道严重阻塞，无法正常处理通信数据。某些接入交换机可能出现环路，但它会影响到以三层交换机为核心的整个局域网的稳定运行。

失败处理：

如果发现网络数据包在发送时通断，丢包严重，尤其是整个单元或整个楼层出现振荡中断，则可判定为该单元某交换机发生环路故障。身为网络管理员首先应该观察各个接入交换机的指示灯闪烁状态，通常出现环路情况会显示灯闪烁很快，每秒钟闪烁4次以上，所环交换机更是突出。每拨一次交换机就将其串联接入网线，同时实时监测交换机的状态，在拨完某个端口的网线之后，交换机指示灯就恢复正常，再进一步查找，就会发现该连接接线的末端有一条形成环形的线路，清理该网线后，网络恢复畅通。

第二：网络数据包发送超时现象严重，经常出现不规则丢包。

失效现象：

因特网突然严重阻塞，日常办公程序无法正常运行，打开网页速度慢，有时会因超时而中断。没有发现任何网络设备问题，该网络中的几台计算机在进入网络后明显变慢，在禁用网卡或中断网络后恢复正常。

失效分析：

第一，在一个用户终端上ping网关进行测试，结果可以ping通网关，但数据包发送超时严重，丢包率约30%，丢包率无规律性。

第二，登陆用户开关，运行arp。

A命令，发现网关的IP和网关的MAC地址指向正确。经过以上测试基本排除了网络设置错误以及ARP欺骗，丢包表现出一定的随机性，没有连续和振荡通断，基本排除了网络环问题，初步判断这种现象可能是由于病毒攻击等原因造成的。因此需要进一步获取ARP信息、网络上传输的原始数据包等。

再一次部署抓包分析。交换机上配置了镜像端口，并将维护终端连接到该端口，启动网络协议分析工具(sniffer)，用于捕获分析网络的数据通信，大约10分钟后停止。发现节点浏览器在网络分析系统主界面左侧存在伪造IP地址攻击或自动扫描攻击。选取连接视图，发现在10分钟内，网络上已发起超过12000个连接，且状态大多为客户端请求同步。由此得出网络中存在自动扫描攻击的结论。

最终，详细查看连接信息，发现这些连接大部分是由同一个主机发起，选中任意一个连接，选择数据包视图，查看原始的传输数据解码信息，发现这台计算机在网络中主动与其他主机进行TCP。

端口445进行扫描攻击，可能是主机被病毒感染，或有人正在使用扫描软件。并通过对图表视图的分析，进一步确定主机肯定存在自动扫描攻击。

失败处理：

找出问题根源后，对主机进行隔离，经过一段时间的测试，网络包丢失现象得到了缓解，但并未从根本上解决问题。因此重新启动网络协议分析系统进行捕获和分析，发现另一台主机也有类似情况。由此基本可以断定，两台主机均被病毒感染，并且病毒将主动扫描网络上的其它主机以确定是否打开TCP。

端口是445，如果一个主机打开这个端口，它就会攻击并感染这个主机。这样一个循环，就会触发上述网络故障。新发现感染病毒的两台主机立即物理隔离，网络通信立即恢复正常，再对终端进行杀毒处理。

第三：网络数据包出现严重的延迟现象，下载、浏览等服务无法正常使用。

失效现象：

日常局域网内的数据共享是正常的，但出局后浏览外网和下载数据的速度明显下降，使用Ping命令发现到某一个方向的网络时延特别大，甚至有少量的丢包。

失效分析：

交换机一般是通过telnet远程登陆这个方向，以华为系列交换机为例，输入以下命令：

displaycpu查看开关CPU的使用情况，

displaymemory查看内存的使用情况，

找到了两个非常高的，再次通过输入命令。

#Display

interface端口号，检查每个端口下的数据流量，发现其中两个端口的数据流量特别大，远远高于正常使用的网络流量。通过对数据流的抓包分析，发现该网站存在多线程指向某个电影栏目，为了避免影响整个网络的通畅，对交换机进行了处理。

失败处理：

在这个端口配置界面，输入Shutdown命令，强制关闭这个端口，让它断网，联系终端的使用者，让它在停止下载进程后，再次恢复网络。

导致网络数据丢失的因素很多，既有随机又有偶然。所以，作为网络管理者，必须综合考虑各种因素，掌握网络的排故技巧，积累实际经验，才能快速定位和排除网络故障。

了解更多网络相关知识关注：http://www.vecloud.com/article/20200714212752.html