1 抓包环境
在用户处的抓包环境如下图所示:
说明:
1 、在核心交换机上做端口镜像抓取进出互联网的数据包;
2 、监听端口为一台
服务器接入端口 ,在
服务器上开启科来网络分析系统抓取数据包。
2 问题现象描述
在抓取数据包,并对数据包进行分析时,我们发现了一些问题,主要是以下几点:
1 、数据包中有很多长度超过1518 字节的数据帧,其字节分布从1600-8880 字节不等。如下图所示:
这是正常的吗?是什么原因导致的呢?
2 、存在较多的ip标识一致但是长度大小不一致的数据包,如下图所示:
3 问题分析
3.1 关于超长帧问题的分析
1 、一般以太网环境中数据链路层能够传输的最大数据为1518字节,有些网卡在故障时会发送一写超长帧,但是这种帧一般都会被中间设备或捕获数据包的网卡丢弃,抓包工具一般无法正常显示 ,但是,在此次所捕获的数据包中,这些超长帧都能正常显示,而且通过分析其数据包通讯过程,也能够确定其通讯正常。可以排除设备网卡故障的可能。
2 、在网上查找了一些关于超长帧的文档,发现其是一种专门为千兆以太网而设计的厂商标准的超长帧格式,其长度从9000 字节~64000 字节不等。采用jumboFrame 能够令千兆以太网性能充分发挥,使数据传输效率提高50% ~100% ,超长帧一般在内部网络的存储环境中应用较多 。 jumboFrame需要在相互通讯的2个通讯端口 交换机端口或网卡端口 上同时支持,而且与以前的以太网产品不兼容,因此主要会应用于千兆主干的端口之间以及服务器端口接入到网络主干的链路。交换机把jumboFrame 格式的数据转发向不兼容jumboFrame 的端口时应进行帧格式的转换,即把 jumboFrame帧格式的数据转换成标准以太网的帧格式,从而保证其正常工作。相反,从不兼容jumboFrame 的端口向支持jumboFrame的端口转发数据时,交换机可以把多个标准以太网帧合并成超长jumboFrame帧,从而提高传输效率。
3 、通过对数据包的分析,结合相关的资料,我们基本 可以推断出网络中的相关服务器和交换机支持jumboFrame ,并且服务器正在使用超长帧与交换机进行相应的数据交互。
4 、验证:可以在相应的服务器与交换机上查看它们对超长帧支持的相关设置。
3.2 关于ip标识一样但数据包大小不一样问题的分析
1 、我们知道 ip标识一样,说明属于同一数据包,如果在网络中同一数据包出现多次的话,说明网络中存在ip分片或网络中存在环路,但是,我们在数据包中未发现ip 分片数据包,并且,如果是环路的话,其TLL值肯定会逐渐减小至0但通过对数据包的分析,也未发现其 TLL为1 或 0的数据包,因此可以排除网络环路或IP分片的问题。
2 、我们在仔细对比分析了相应的数据包后,发现IP标识一样的数据包除了长度大小不一样外,还存在以下几点异同:
(1)源MAC地址不一样;
(2)TLL值不一样;
(3)tcp序列号一致。
具体如下图所示:
TLL值由 128变成127 了,说明经过了一跳路由,MAC 地址变了就是经过路由的证据,为什么会经
最新报道 
