1. 背景
某电气化局的用户反馈,近期视频系统在使用过程中出现频繁中断的情况,这种情况影响到用户的视频体验和工作效率。
针对此问题,我们将NetInside流量分析系统部署到电气化局机房,使用流量分析系统提供实时和历史原始流量。重点针对电气化局的视频系统进行故障分析,找出视频系统中断的具体原因。
2. 故障现象
通过用户反馈2023年2月8日7点20分出现视频中断情况,通过视频系统管理端看到视频流量有断开的情况,如下图:
3. 故障分析
针对此问题,我们来进行详细分析。
3.1. 分析设备流量采集图
与现场网络人员沟通,了解真实网络结构,以下是视频会议的流量采集图:
流量采集图主要为:1台视频系统客户端,1台视频系统服务器,1台核心交换机;
视频系统客户端和视频系统服务器下方标注显示对应的MAC地址;
核心交换机分别标注显示对应的两个口的MAC地址;
核心交换机通过镜像方式将流量给到流量分析系统。
3.2. 分析思路
1、流量分析系统里找到异常数据包,下载数据包。
2、打开数据包,找到异常时间点的数据包内容。
3、分析视频数据包的协议和详细内容。
3.3. 详细分析
数据包下载
根据流量分析系统迅速找到异常节点,对数据包进行下载。
流量分析
流量分析系统对镜像后的流量进行去重功能,所以分析系统仅获取XXX.XXX.106.11发送到核心交换机的流量,及XXX.XXX.30.106发送到核心交换机上的流量。
正常传输
通过数据包分析看到,客户端XXX.XXX.106.11发给服务器XXX.XXX.30.106的mac地址为:Src:HuaweiXX_XX:00:26 ————> dst:HuaweiXX_XX:78:01。
通过数据包分析看到,服务器XXX.XXX.30.106发给客户端XXX.XXX.106.11的mac地址为:Dst:HuaweiXX_XX:78:0f <———— src:EdgeXX_XX:12:a8。
数据包内的TTL为64。
同时数据包带有VLAN协议,VLAN ID为59。
异常传输
通过数据包分析看到,视频中断时间点发现RST,数据包MAC地址异常,服务器XXX.XXX.30.106发给客户端XXX.XXX.106.11的mac地址为:src:HuaweiXX_XX:78:01,dst:HuaweiXX_XX:00:26,正常应为src:EdgeXX_XX:12:a8,dst:HuaweiXX_XX:78:0f。
数据包内的TTL为127。
未发现VLAN协议。
以上对比发现,异常数据包MAC地址异常,没有VLAN协议,TTL跳数异常。
4. 分析结论
通过以上系统分析发现,出现视频中断时,网络里出现异常的RST的数据包,致使通信双方TCP连接中断。
5. 建议
通过对电气化局的视频数据分析,发现网络上存在异常报文,建议结合网络实际情况做进一步分析。