用sniffer排除网络故障

66118833

今天一早就接到客户电话，上网异常的慢，ping 外面的网站延时非常大，还有掉包现像。开完例会，就直去客户那里，网络出口用的是h3c 的防火墙，进入防火墙 dis cpu　 占用率99% ,dis mem　　 占用率100%，怪不得网络慢了。根据经验，怀疑是下面有PC中病毒了，还好客户的核心交换机是思科3560，对3560作端口镜像，开启sniffer ，查看matrix，呵呵，下面那些不正常的机子马上原形毕露。

　　好在客户，有IP地址用户分配记录（好习惯），马上把对方的电脑网线拔掉，网络恢复正常，由于是病毒感染，所以下面也有好几台电脑也出现类似情况，现象是一直跟外面的IP发起连接，并发送数据包。

　　问题是解决了，但有一点是，如果用户没做IP地址分配记录，那么就是你知道了那个IP有问题，或者用户的IP是通过DHCP分配的，那就麻烦了，下面是一个用户应用思科交换机环境下，我们怎么通过IP地址查找这个IP在那台交换机的接口下的例子。

　　假如，有问题的IP 是192.168.2.100

　　使用：

　　show arp | include 192.168.2.100 （在arp列表里查找到这个IP对应的mac地址）

　　显示出：

　　Internet 192.168.2.100 0 00df.984a.0c99 ARPA Vlan10

　　得到所连接交换机接口的mac地址：00df.984a.0c99

　　再用：

　　show mac-address-table dynamic add 00df.984a.0c99 （在mac地址列表里找出mac来源端口）

　　显示：

　　Unicast Entries

　　vlan mac address type protocols port

　　-------+---------------+--------+---------------------+--------------------　

　　10 00df.984a.0c99 dynamic ip FastEthernet0/12

　　连接的是0/12端口，但是不能保证目标就是接在这个端口

　　接下来用：

　　show cdp nei　 （查看跟这台交换机相链接的网络设备）

　　看到：

　　switch9 Fas 4/12 123 S I WS-C2960-2 Fas 0/24 这个端口连接的是交换机

　　用：

　　show cdp　ne de　 （查看跟这台交换机链接设备的详细信息）

　　得到该交换机的IP：192.168.1.214

　　telnet到192.168.1.214

　　重复上面动作，输入：

　　show mac-address-table dynamic 00df.984a.0c99

　　显示：

　　Mac Address Table

　　------------------------------------------

　　Vlan Mac Address Type Ports

　　---- ----------- ---- -----

　　10　　 00df.984a.0c99 DYNAMIC Fa0/5

　　Total Mac Addresses for this criterion: 1

　　看到接口为Fa0/5，而且只有一个动态的mac地址，说明就是这个接口了

　　目标最后被确定接在一台2950的5口上,这样目标IP与交换机链接的位置就找到了。

　　附件是交换机配置镜像端的资料与一份简单的sniffer 教程，有用到者可下载，希望对大家有帮助。