Wireshark网络分析实战笔记（六）以太网,LAN交换及无线LAN

以太网,LAN交换及无线LAN

发现广播风暴：

查明广播风暴的步骤：

1.询问用户是整个网络有问题，还是分支有问题
2.可能的三种情况：
是生成树问题？
是某台设备触发广播风暴？
是路由环路问题？
提示：正常网络每台设备每分钟制造1-2个广播包（最多不超过4-5个），若网络中有100个设备，则每秒广播包数不应超过9-10个

某台设备触发广播风暴特征：

1.广播包速率极高（数千甚至上万个/秒）
2.广播包都发自一个源头
3.广播包速率恒定

IP网络常见的广播包：

1.配合TCP/IP协议运行的广播包，比如ARP请求数据包，DHCP请求数据包
2.某些应用层协议产生，比如，NetBIOS名字服务查询数据包(NBNS)，NetBIOS服务器信息通告数据包(SMB)，网络时间协议(NTP)
3.某些应用程序,比如，Dropbox,microsofe network load balancing,某些证券期贷类应用

配置交换机上广播风暴控制特性：

开启广风暴控制特性：storm-control broadcast/multicast level
广播风暴配置参数：strorm-control action [shutdown|trap]

生成树协议分析

BPDU格式：

802.1d与802.1w的标志位格式：

802.1d标志位格式

位	功能
7	拓扑变更(TC)
6	未启用
5	未启用
4	未启用
3	未启用
2	未启用
1	未启用
0	拓扑变更确认(TCA)

802.1w标志位格式

位	功能
7	拓扑变更(TC)
6	提议
4-5	端口功能： 00：未知 01：替代端口 10：根端口 11：指定端口
3	学习状态
2	转发状态
1	协定状态
0	拓扑变更确认(TCA)

BPDU各字段含义以及显示过滤参数：

字段名	长度（单位：字节）	描述	值	显示过滤器参数
协议ID	2	协议标识符	始终为0	stp.protocol
版本	1	STP版本	STP=0 RSTP=2 MST=3	stp.vertion
消息类型	1	BPDU类型	STP=0 RSTP=2 MST=2	stp.type
标记	1	协议标记	见上两表	stp.flags
根网桥ID	8	根网桥标识符	根网桥优先级+根网桥的MAC地址	stp.root.prio stp.root.ext stp.root.hw
通往根网桥的路径开销	4	将数据帧转发到根网桥的成本	由STP计算而得	stp.root.cost
网桥ID	8	网桥标识符	网桥的优先级+网桥的MAC地址	stp.bridge.prio stp.bridge.ext stp.bridge.hw
端口ID	2	端口标识符	发出BPDU交换机端口的标识符	stp.port
消息寿命	2	由当前BPDU判断出由根桥生成的原始BPDU的寿命	由根网桥生成的BPDU的消息寿命为0，BPDU只要被其他网桥转发一次，消息寿命字段加一	stp.msg_age
最长寿命	2	BPDU可在网络中存活的最长时间	通常=20	stp.max_age
Hello时间	2	网桥定期发送BPDU的时间间隔	通常=2s	stp.hello
转发延迟	2	交换机端口在侦听和学习状态逗留的时间	通常=15s	stp.forward

生成树的基本概念：

STP的端口状态：
禁用(Disabled):不会转发数据帧，也不会侦听BPDU
阻塞(Blocking):不会转发数据帧，但会侦听BPDU
侦听(Listening):只能收发BPDU,不能转发数据，也不能获悉MAC地址
学习(Learning):不能转发数据帧，但能解析收到的数据帧，且能根据获悉的的MAC地址构建MAC地址表
转发(Forwarding):能收发BPDU,正常构建MAC地址表，正常转发数据

从禁用到监听=20s
从监听到学习=15s
从学习到转发=15s

RSTP/MSTP端口状态：
丢弃(Discarding):丢弃所有数据帧
学习(Learning):不能转发数据帧，但可解析数据帧，且能根据获悉的MAC地址构建MAC地址表
转发(Forwardin:g)：正常收，发BPDU，正常构建MAC地址表，正常转发数据帧
提示：运行RSTP/MSTP的交换机端口从丢弃到转发一般只需几秒

VLAN分析

在交换机上配置端口镜像，把vlan10的流量重定向给wireshark：

monitor session 1 source vlan 10
monitor session 1 destintion interface fastethernet 0/4

vlan标记：数据帧头内一块4字节的数据

标签协议ID字段	802.1q   0x8100 802.1ad 0x8a88
优先级字段值	8种优先级（0-7）
CFI标记位	总是置0
VLAN ID字段值

无线LAN

无线信号强弱：

-60dBm及以上:无线信号质量上佳
-80dBm到-60dBm:无线信号质量尚可
-80dBm到-90dBm:无线信号较弱
-90dBm及以下：无线信号弱
提示：无线网络承载标准企业级应用程序，信号不能低于-75dBm
          想跑VoIP流量，信号至少-65dBm以上
推荐一个无线信号强弱查看工具：WirelessMon

无线标准的演化：

802.11a
802.11b
802.11g
802.11n(如今最常见的无线LAN标准)
802.11ac
802.11ad