背景介绍
最近,一家做外贸的中小公司遇到了件烦心事。他们的无线网络平稳运行了两年多,一直相安无事,可就在近期,无线网络突然大面积“罢工”。员工们普遍反映,刷视频卡顿、网页加载转圈,甚至直接打不开,严重影响了日常办公。
整网拓扑
先来看看这家公司的网络架构。他们采用的是典型的AC(无线控制器)+面板AP的组网方式,设备都来自某P品牌。整网通过一条千兆宽带接入,完成了覆盖部署。
分析思路
根据网管系统的统计,故障现象很有特点:每次异常持续时间很短,大概就两三分钟,但发生时间完全不固定,白天晚上都可能出现。这种“神出鬼没”的故障,往往最难抓现行。那么,面对这种情况,该如何着手排查呢?通常可以遵循以下三步走策略:
首先,在故障发生的时刻,立即检查异常终端的网络参数是否正确,并通过Ping测试验证内网和外网的连通性,同时进行测速,确认实际吞吐量是否达标。
如果第一步没找到明显问题,接下来可以尝试修改一些可能影响上网体验的参数,比如关闭IPv6功能、更换DNS服务器,然后观察情况是否改善。
倘若前两步都未能锁定问题,那就需要祭出“终极武器”了:通过Wireshark等工具进行长期抓包,对网络流量进行深度监控和分析。
排查分析
(1) 第一步:异常时间点,检查异常终端网络参数、连通性和吞吐量
经过一两天的观察,并请网管同事协助记录,在故障发生时,提取了上网异常终端的网络参数。
从参数看,IP地址、网关、DNS都获取正常,这基本可以排除私接非法DHCP服务器这类导致地址混乱的问题。参数没问题,那就继续做连通性诊断。我们分别Ping了几个关键节点:
• 路由器LAN口IP:检测无线终端到内网网关的质量。
• 路由器WAN口IP:检验路由器的NAT地址转换功能是否正常。
• 路由器上游网关(光猫):检查光猫设备的工作状态。
• 公网地址(如百度):验证运营商的外网链路是否通畅。
一轮测试下来,所有节点都没有出现明显的丢包或延时抖动。
当然,Ping通不代表网络就完全健康。这就好比道路畅通,但可能车道很窄,车流一大就堵。所以,还需要测速来确认实际带宽是否符合运营商提供的标准。
可以看到,即使用手机无线测速,也能跑到900Mbps以上,带宽是足够的。这就奇怪了:网络参数正常、内外网连通性正常、外网带宽也达标,那卡顿的根源到底在哪?
这时候,我们需要把目光转向影响上网体验的其他常见因素。通常有两个方向值得怀疑:
• IPv6:目前IPv6的建设和稳定性还在完善中,链路震荡或DNS解析错误都可能导致访问异常。
• DNS:本地运营商提供的DNS服务器有时可能存在劫持或响应慢的问题,导致域名无法正确解析。
接下来,我们就顺着这两个方向继续深挖。
(2) 第二步:修改可能影响上网的参数进行观察
首先,在主路由器上关闭了IPv6功能,确保所有流量都走IPv4通道,排除IPv6可能带来的干扰。
接着,修改DHCP服务器下发的DNS地址,将其从运营商默认的DNS,更换为公共DNS 114.114.114.114。
然而,参数调整后的几天里,网络卡顿现象依然断断续续地出现。看来,问题也不出在这里。常规手段用尽,只能进行更底层的流量监控了。
(3) 第三步:抓包确认NTP报文交互
于是,我们在路由器LAN口部署了流量监控。
等待问题再次复现后,很快就在抓包数据中锁定了异常时间点。发现内网一台IP为192.168.0.114的设备,正在持续不断地向外部地址58.22.100.216发起大量的TCP新建连接。
从流量图可以清晰看到,该设备使用持续递增的源端口,向目标地址发送SYN请求。根据路由器后台的统计,其建立的连接数瞬间达到了2500以上。
问题水落石出了。这家公司使用的是家庭规格的宽带,其并发连接数通常限制在4000以内。这台设备瞬间占用2500多个连接,几乎榨干了整条宽带的连接数资源,导致其他终端无法正常新建连接,网络卡顿也就不可避免了。
根据IP和MAC地址溯源,最终定位到罪魁祸首是一台办公室的台式电脑。
经过与公司网管进一步核实,结果让人有些哭笑不得。原来,这台电脑上自动运行着一个“网络测试”软件,它会不定时地自动进行吞吐量测试和连接数测试。正是这些突如其来的测试流量,在特定时刻冲垮了网络的正常连接,引发了全网的间歇性卡顿。关闭该软件后,网络立即恢复了正常。
原理及解决方案
问题原因:公司内一台台式电脑上自动运行的“网络测试”软件,不定期进行流量和连接数测试,耗尽了宽带连接的并发数资源,导致整网出现卡顿。
解决方案:
1. 立即处置:关闭该问题电脑上的测试软件,并告知公司网管需加强对终端软件安装和行为的监控,避免类似“内鬼”软件再次出现。
2. 预防措施:在路由器或网络管理设备上,为终端设置独立的流量和连接数限制策略。这是一种以预防为主的方法,即使某个终端出现异常行为,也能将其影响限制在局部,避免波及整个网络。
