快速处理校园网中的异常流量故障.pdf

1、责任编辑赵志远Trouble Shooting故障诊断与处理快速处理校园网中的异常流量故障I山东梁坤黄东编者按：针对局域网大量异常流量导致网络不稳定的问题，分享针对性的快捷处理办法。随着网络带宽的不断升级，病毒、木马、P2P等产生的异常流量对网络的影响越来越小。但笔者单位的局域网近期却产生了大量的异常流量，1000Mbps的带宽出口几乎被占满。单位各类用户接入点有1 0 0 0 个左右，大流量的暴涨会导致网络拥堵、丢包等问题。该故障对单位的影响范围很大，必须马上解决。笔者首先想到的是，网络内可能出现了蠕虫病毒或DDoS攻击。查看出口设备的监控信息，发现点对点的上传流量占到了整个应用流量的6 3

2、%，带宽被严重占用。笔者查看某个连接数最多的IP(10.16.5.7），发现无效的半链接数量占了一半以上。10.16.5.7的IP产生了1 0 7 6 条连接，并且多半是无效的UDP协议的半链接。由于正常的网页浏览连接一般不会超过1 0 0 条，即便正常的BT下载也不可能有如此多的半连接，因此基本可以判定，网络内出现了DDoS攻击或蠕虫病毒。众所周知，网络中的异常流量通常有网络层的DDoS攻击、应用层的DDoS攻击、二层攻击、蠕虫传播、P2P流量、Windows更新和各类插件程序流量等。传统的处理方法是：先查找，再分析，然后找到问题的源头设备，最后是采取对策。但此次故障的IP有十几个，对应的设

3、备就有十几个，且单位人员和设备又较为分散，有1 0 0 0 多个接入点。如果采用传统的处理方法，无疑将费时费力，影响了用户正常使用网络。如何快速有效地解决该问题，以下分享快捷处理办法。众所周知，三层以上网络设备（路由器、防火墙、上网行为管理等设备）对数据包的分析处理能力更强，一般能够计算出局域网内部每一个IP发起的会话数（也称为连接数），并且可以任意限制这些IP的会话数。超出会话限制的数据包，则会被直接丢奔。有了这项功能，就为网络带宽管理、异常流量的处理带来了极大的便利。BT、迅雷等下载工具发起的对外连接，少则几十个，多则成百上千。蠕虫、病毒等发起的对外连接更多，一般都在数百、数千条。此时，笔

4、者根据日常管理经验，将每个IP的对外连接数，根据协议的不同，设定为一个合理的值。针对TCP协议的连接设定为1 50 个，UDP协议的连接设定为3 0 个。其他协议不作限制。之所以这样设置，是因为网络中主要传输的应用协议是TCP协议的数据包，UDP协议主要是DNS、视频会议和即时通讯软件使用，使用场景不多。在有的网络中，网络管理员甚至会直接禁止UDP协议，只开放DNS下转第1 6 0 页】投稿信箱 2023.8159Trouble Shooting故障诊断与处理责任编辑赵志远Veeam复制时出现“远程主机强迫关闭了一个现有的连接”错误I石家庄薄鹏王春海编者按：在将Veeam11.0版本升级到1

5、2.0 后，虚拟机复制出错。经过分析，最后判断问题出在备份代理虚拟机。某企业用户使用Veeam对虚拟机进行备份和复制。近期，在将Veeam从9.5升级到1 1.0 版本时，虚拟机的备份和复制正常，但在将Veeam11.0版本升级到1 2.0 后，虚拟机复制出错。出错信息如图1所示。在备份出错期间，vCenterServer从6.7.0 U3升级到7.0 U3。E SX i版本为6.7.0 U3（准备升级到7.0U3还未开始)，vSAN架构。在出现图1 的错误后，笔者检查vCenter，显示正常。在查看虚拟机复制的错误信息时，发现读取虚拟机磁盘的速度为0。经过多次测试，发现在Veeam中禁用所有

6、的备份代理，虚拟机的复制可恢复正常。但只要启用Veeam备份代理，虚拟机的复制就会出错。通过分析得出，问题可能出在Veeam备份代理虚拟机中。打开备份代理虚拟机（操作系统为Windows上接第1 59 页对应IP的UDP协议。经过上述配置后，笔者发现，网络内的流量下降了三分之一。后续又观察了一段时间，网络基本恢复正常，问题得以解决。上述问题的解决办法只是针对大多数用户，但故障设备仍然存在。对此，笔者的办法是耐心等待。如果用户使用BT下载或者感染病毒，这些应用建立的会话连接较多，远超设定的1 50 个限定值，那么此时用户的正常网页浏览将受到影响，然后再进行针对性的处理。出口设备为华为ASG5520上网行为管理设备，查看该设备发现，在限定IP的会话数以后，设备的CPU、内存等资源占用率升高。因此，出口设备的应用过滤功能（用于区分正常上网和BT下载）没有再开启，毕竟这项功能占用的资源更多。经过一段时间的应用后，笔者在外网出口处又禁止了网络中的UDP协议，只开放UDP协议的DNS的53 号端口和视频会议应用端口，同时将每个IP发起的TCP连接控制在1 50 条以内。至此，网络稳定性得以恢复。 2023.8投稿信箱