查看: 9268|回复: 13

网络速度变慢,线路丢包率上升现象小析

[复制链接]
论坛徽章:
5
授权会员
日期:2005-10-30 17:05:33管理团队2006纪念徽章
日期:2006-04-16 22:44:45会员2006贡献徽章
日期:2006-04-17 13:46:34
发表于 2003-11-26 18:37 | 显示全部楼层 |阅读模式
最近很多朋友都在问这个问题:为什么速度变慢了,线路质量不行了?其实这些大多由于路由器的资源被消耗过多引起的,造成这种状况的原因很多,顺便发个帖子给大家些意见。

如发现异常情况,首先show process cpu和show process mem,通常会发现IP input process占用过多资源(正常情况下没有这么高)

接着我们检查有无以下情况:
1.Fast switching 在大流量的外出接口上是否被disabled.可以用 show interfaces switching 命令察看接口流量.然后在接口上重新 Re-enable fast switching .记住 fast switching是配置在output 接口.
2.Fast switching on the same interface是否被disabled. 如一个接口配有多个网段(secondary addresses )并且在这些网段间流量很大时 路由器工作在process-switches方式 .这种情况下要在接口上enable ip route-cache same-interface
(这里不能被fast switched的包有:switching cache没有entry的包、目的地是路由器的包、需要协议转换的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、压缩和加密的包目的地是router的包)

接下来,用 show interfaces 和show interfaces switching命令识别大量包进出的端口;一旦你确认进入端口后,打开 ip accounting on the outgoing interface看其特征.如果是攻击, 源地址会不断变化但是目的地址不变.可以用access list暂时解决此类问题 (最好在接近攻击源的设备上配置), 最终解决办法是停止攻击源。

【举例:】
1.路由更新信息(取决于路由协议)过快的更新值显示网络不稳定并增加了CPU utilization. 可以用show ip route检查路由表
2.其它人登录运行命令导致大量log输出
3.Spoof 攻击.用show ip traffic 命令确认,可发现大量到本地的包.

【附加:】
几种不能被fast switched的包
1.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routed packets不能被 fast switched. IOS version 11.3 以后允许 policy-routed packets to be fast switched.使用接口命令ip route-cache policy。
2.通过X.25封装的包,因为有 flow control 在Open System Interconnection (OSI) layer第二层.
3.Compressed traffic,如果路由器里没有Compression Service Adapter (CSA)卡, compressed packets 只能被process-switched.
4.Encrypted traffic. 如果路由器里没有 Encryption Service Adapter (ESA)卡, encrypted packets 只能被process-switched.

应用中遇到的其他可能情况:
1.大量的User Datagram Protocol (UDP) 流量. 可以用解决 spoof attack的步骤解决.
2.大量组播流穿越路由器。可以enable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default).
3.大量广播包。 Check the number of broadcast packets in the show interfaces command output.
4.路由器被 over-used 不能处理amount of traffic, 可以用 load among other routers 或者 考虑另购买high-end router.
5.路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain Name System) 包穿越 router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT.


无论是什么原因导致high CPU utilization in the IP Input process, 都可以用 debugging IP packets察看.因为 CPU utilization已经较高, debugging产生的许多信息只能通过 logging buffered而不能 Logging to a console。 debugging过程不要超过 3-5秒。如果发现可疑的源可以断掉其设备的连接或者用ACL过滤到目的地的包
论坛徽章:
14
网络板块每日发贴之星
日期:2005-04-21 01:01:53ITPUB元老
日期:2005-04-25 12:12:39授权会员
日期:2005-10-30 17:05:33管理团队2006纪念徽章
日期:2006-04-16 22:44:45会员2006贡献徽章
日期:2006-04-17 13:46:34
发表于 2003-11-26 20:57 | 显示全部楼层
加精阿。鱼儿写得东西不错。

使用道具 举报

回复
论坛徽章:
5
ITPUB元老
日期:2005-02-28 12:57:00授权会员
日期:2005-10-30 17:05:33网络板块每日发贴之星
日期:2006-03-14 01:01:58管理团队2006纪念徽章
日期:2006-04-16 22:44:45会员2006贡献徽章
日期:2006-04-17 13:46:34
发表于 2003-11-27 09:53 | 显示全部楼层
收藏,多谢

使用道具 举报

回复
论坛徽章:
2
授权会员
日期:2005-10-30 17:05:33管理团队2006纪念徽章
日期:2006-04-16 22:44:45
发表于 2003-11-27 13:30 | 显示全部楼层
DNS 这么多请求是什么原因?我在苏州也碰到过一台机一直在发DNS的请求包,我们的路由器的DDNS服务给这种请求包发到外网的返回包给干死了,都收到些invalid packets,我用tcpdump监控小于46的包,全是内网发的请求,之后,外网的响应,不知道是什么回事?可能的原因1.病毒 2.内网的PC装有什么DNS服务。   不知道各位有没有碰到这种问题,给偶一个解释!

使用道具 举报

回复
论坛徽章:
5
授权会员
日期:2005-10-30 17:05:33管理团队2006纪念徽章
日期:2006-04-16 22:44:45会员2006贡献徽章
日期:2006-04-17 13:46:34
 楼主| 发表于 2003-11-27 23:12 | 显示全部楼层
这种情况的确没有遇到过,不过更具你说的过多的小于46字节的包来看,很有可能是病毒,当然不排除黑客攻击。在发送源茬茬有没有木马或者其他的蠕虫病毒

使用道具 举报

回复
论坛徽章:
2
授权会员
日期:2005-10-30 17:05:33管理团队2006纪念徽章
日期:2006-04-16 22:44:45
发表于 2003-11-29 11:27 | 显示全部楼层
偶做的只能这么多,据他们的网络管理员(兼职),在这个PC上没有装别的服务,可能原因是病毒,偶对病毒不是很了解,不能判断是否是病毒或是木马。偶只能用ACL解决这个问题。

使用道具 举报

回复
论坛徽章:
7
网络板块每日发贴之星
日期:2005-04-07 01:01:55网络板块每日发贴之星
日期:2005-10-03 01:02:11授权会员
日期:2005-10-30 17:05:33网络板块每日发贴之星
日期:2006-01-13 01:07:29操作系统板块每日发贴之星
日期:2006-01-14 01:05:31操作系统板块每日发贴之星
日期:2006-02-03 01:04:54会员2006贡献徽章
日期:2006-04-17 13:46:34
发表于 2003-12-3 09:28 | 显示全部楼层
@@@@@@@@@@@@@@@非常支持@@@@@@@@@@@@@@@@@@

使用道具 举报

回复
论坛徽章:
0
发表于 2003-12-7 16:17 | 显示全部楼层
鱼儿写的东西,当然要UP了!

使用道具 举报

回复
论坛徽章:
0
发表于 2005-9-6 10:21 | 显示全部楼层
不错啊

使用道具 举报

回复
论坛徽章:
0
发表于 2005-9-7 09:49 | 显示全部楼层
物理询问:
我们前段时间用的内部局域网,在上网的时候,大家把电脑的网卡物理地址都改成相同的时候
为什么长期出现有时间不能上网,电脑的网络发出很少,但是有很多收到,比例大概是
1:10以上,学习下原因

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表