1、责任编辑赵志远Trouble Shooting故障诊断与处理快速处理校园网中的异常流量故障I山东梁坤黄东编者按:针对局域网大量异常流量导致网络不稳定的问题,分享针对性的快捷处理办法。随着网络带宽的不断升级,病毒、木马、P2P等产生的异常流量对网络的影响越来越小。但笔者单位的局域网近期却产生了大量的异常流量,1000Mbps的带宽出口几乎被占满。单位各类用户接入点有1 0 0 0 个左右,大流量的暴涨会导致网络拥堵、丢包等问题。该故障对单位的影响范围很大,必须马上解决。笔者首先想到的是,网络内可能出现了蠕虫病毒或DDoS攻击。查看出口设备的监控信息,发现点对点的上传流量占到了整个应用流量的6 3
2、%,带宽被严重占用。笔者查看某个连接数最多的IP(10.16.5.7),发现无效的半链接数量占了一半以上。10.16.5.7的IP产生了1 0 7 6 条连接,并且多半是无效的UDP协议的半链接。由于正常的网页浏览连接一般不会超过1 0 0 条,即便正常的BT下载也不可能有如此多的半连接,因此基本可以判定,网络内出现了DDoS攻击或蠕虫病毒。众所周知,网络中的异常流量通常有网络层的DDoS攻击、应用层的DDoS攻击、二层攻击、蠕虫传播、P2P流量、Windows更新和各类插件程序流量等。传统的处理方法是:先查找,再分析,然后找到问题的源头设备,最后是采取对策。但此次故障的IP有十几个,对应的设
3、备就有十几个,且单位人员和设备又较为分散,有1 0 0 0 多个接入点。如果采用传统的处理方法,无疑将费时费力,影响了用户正常使用网络。如何快速有效地解决该问题,以下分享快捷处理办法。众所周知,三层以上网络设备(路由器、防火墙、上网行为管理等设备)对数据包的分析处理能力更强,一般能够计算出局域网内部每一个IP发起的会话数(也称为连接数),并且可以任意限制这些IP的会话数。超出会话限制的数据包,则会被直接丢奔。有了这项功能,就为网络带宽管理、异常流量的处理带来了极大的便利。BT、迅雷等下载工具发起的对外连接,少则几十个,多则成百上千。蠕虫、病毒等发起的对外连接更多,一般都在数百、数千条。此时,笔
4、者根据日常管理经验,将每个IP的对外连接数,根据协议的不同,设定为一个合理的值。针对TCP协议的连接设定为1 50 个,UDP协议的连接设定为3 0 个。其他协议不作限制。之所以这样设置,是因为网络中主要传输的应用协议是TCP协议的数据包,UDP协议主要是DNS、视频会议和即时通讯软件使用,使用场景不多。在有的网络中,网络管理员甚至会直接禁止UDP协议,只开放DNS下转第1 6 0 页】投稿信箱 2023.8159Trouble Shooting故障诊断与处理责任编辑赵志远Veeam复制时出现“远程主机强迫关闭了一个现有的连接”错误I石家庄薄鹏王春海编者按:在将Veeam11.0版本升级到1
5、2.0 后,虚拟机复制出错。经过分析,最后判断问题出在备份代理虚拟机。某企业用户使用Veeam对虚拟机进行备份和复制。近期,在将Veeam从9.5升级到1 1.0 版本时,虚拟机的备份和复制正常,但在将Veeam11.0版本升级到1 2.0 后,虚拟机复制出错。出错信息如图1所示。在备份出错期间,vCenterServer从6.7.0 U3升级到7.0 U3。E SX i版本为6.7.0 U3(准备升级到7.0U3还未开始),vSAN架构。在出现图1 的错误后,笔者检查vCenter,显示正常。在查看虚拟机复制的错误信息时,发现读取虚拟机磁盘的速度为0。经过多次测试,发现在Veeam中禁用所有
6、的备份代理,虚拟机的复制可恢复正常。但只要启用Veeam备份代理,虚拟机的复制就会出错。通过分析得出,问题可能出在Veeam备份代理虚拟机中。打开备份代理虚拟机(操作系统为Windows上接第1 59 页对应IP的UDP协议。经过上述配置后,笔者发现,网络内的流量下降了三分之一。后续又观察了一段时间,网络基本恢复正常,问题得以解决。上述问题的解决办法只是针对大多数用户,但故障设备仍然存在。对此,笔者的办法是耐心等待。如果用户使用BT下载或者感染病毒,这些应用建立的会话连接较多,远超设定的1 50 个限定值,那么此时用户的正常网页浏览将受到影响,然后再进行针对性的处理。出口设备为华为ASG5520上网行为管理设备,查看该设备发现,在限定IP的会话数以后,设备的CPU、内存等资源占用率升高。因此,出口设备的应用过滤功能(用于区分正常上网和BT下载)没有再开启,毕竟这项功能占用的资源更多。经过一段时间的应用后,笔者在外网出口处又禁止了网络中的UDP协议,只开放UDP协议的DNS的53 号端口和视频会议应用端口,同时将每个IP发起的TCP连接控制在1 50 条以内。至此,网络稳定性得以恢复。 2023.8投稿信箱