故障现象:XXX商城客户端ping 外网丢包
原因分析: 客户端打开网页出现暂时性不能打开现象,ping外网域名出现丢包的问题,初步判断:1、DNS设置问题 2、水晶头、网线问题 3、Arp欺骗 4、接入的三层交换机有问题,最终发现为HDCP服务问题。
故障处理:
一、首先判断是否是网线问题
1、在客户PC上查看故障现象后为防止是网线制作问题引起故障,在接入的三层交换机
上使用正常网线直连测试PC。经过现场确认,在网线及测试PC正常的情况下故障现象依旧,
排除网线问题,继续下面的排查。
二、判断是否是DNS设置问题
1、查看是否是由于DNS设置错误,导致域名解析不正常导致网页暂时性打不开,在电脑
运行中输入ipconfig/all,查看获取的DNS。DNS为:192.168.11.1 强制将测试PC的DNS
设置为本地运营商指定DNS。并通过ipconfig/all命令查看确认已修改成功,再次测试发现故障依旧。
三、抓包分析
1、使用Wireshark抓包分析,在使用ip.addr==192.168.1.1对数据包筛选查看时发现一个奇怪
现象,网关192.168.1.1在抓包中MAC为00:01:7a:b0:18:42(如图1)
(图1)
测试电脑的ARP表里为00-01-7a-b0-18-42(如下)。
C:\Users\jason>arp -a
接口: 192.168.1.137 --- 0xc
Internet 地址 物理地址 类型
1.1.168.192 00-01-7a-b0-18-42 动态
192.168.1.1 00-01-7a-b0-18-42 动态
192.168.1.76 bc-5f-f4-06-8b-97 动态
192.168.1.81 50-e5-49-b4-39-d6 动态
192.168.1.82 50-e5-49-b4-39-be 动态
192.168.1.255 ff-ff-ff-ff-ff-ff 静态
2、以往经验,怀疑是网关欺骗或者有两个DHCP服务器。继续在抓包里查找是否有00-01-7a-b0-18-42存在。果然在抓包中存在此MAC(如图),而且更具抓包发现应该是一个TP_LINK路由器的网关MAC。这与先去了解的DHCP配置应该在三层交换机上有悖。所以可以确定这个ping测试丢包是由网关欺骗引起的,而欺骗的源头应该就是这个TP_LINK路由器。
3、MAC地址,在交换机上通过查看MAC地址表发现这个MAC是在 Eth0/0/4端口上学习的。
[Quidway]dis mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
--------------------------------------------------------------------------
50e5-49b4-39d6 1 - - Eth0/0/24 dynamic -
50e5-49b4-39be 1 - - Eth0/0/24 dynamic -
00e0-4c03-95ef 1 - - Eth0/0/24 dynamic -
0026-9eb0-478c 1 - - Eth0/0/4 dynamic -
00e0-4c11-add9 1 - - Eth0/0/24 dynamic -
ec17-2f51-4a8c 1 - - Eth0/0/4 dynamic -
1c6f-657d-18c3 1 - - Eth0/0/2 dynamic -
a4ba-db97-1ede 1 - - Eth0/0/24 dynamic -
b897-5a00-4b60 1 - - Eth0/0/2 dynamic -
5489-9815-6e8f 1 - - Eth0/0/24 dynamic -
206a-8a3f-283a 1 - - Eth0/0/24 dynamic -
00e0-6618-3474 1 - - Eth0/0/2 dynamic -
----------------------------------------------------------------------------
Total matching items on slot 0 displayed = 27
[Quidway]
4、据网线标签查找,果然在另一楼层店铺内发现了一个家用TP_LINK路由器。并且这个路由器已开启HDCP服务而进线口连接lan口。通过关闭路由器DHCP服务,用户端故障现象消失。