广电EoC网络常见故障处理思路
文/洪黔华EoC （Ethernet over COAX）是在同轴电缆上传输以太网数据的技术统称，本文所讲的广电EoC网络指的是基于HomePlug AV标准的有源EoC技术进行广电双向改造的同轴分配网络，该技术在华三公司被称为EPCN技术，它使用OFDM 调制方式，工作在7.5 -65MHz 频段，而传统的有线电视信号一般工作在111MHz频段以上，所以两者信号传输一般互不影响，同时由于该技术为共享介质访问，所以采用半双工方式传输以太网数据。由于该网络的传输介质与传统双绞线传输有较大的区别，原广电维护有线电视网络的人员没有数通知识基础，而原维护数通网络的人员又没有同轴分配网的知识基础，这往往给基层维护人员带来了比较大的困难和挑战，本文将简述广电EoC网络常见故障的处理思路，让维护人员能够清晰的建立针对EoC网络的故障处理思路，便于快速高效的找到故障根源并解决。首先我们来介绍下广电EoC网络所处的网络层次及基本组成部分，如图1所示，图1广电EPON+EoC组网示意图图中红框内部分即为EoC网络，上行通常为EPON网络，专门传输IP数据，下行即为家庭网络。其中EoC网络中存在有常见的分支分配器，光节点处的EoC头端设备， EoC终端设备，和Cable网络中的其他一些有源器件，比如单、双向放大器，寻址器等，数据信号和CATV（有线电视）信号通过头端混合后输出到Cable网络，入户后，再通过终端将数据信号和CATV信号分离后传输。了解上述这些内容，对我们理解广电EoC网络和排查该网络的故障有比较大的帮助。接下来，我们来介绍下广电EoC网络常见故障的处理思路。网络故障诊断以网络原理、网络配置和网络运行的知识为基础，从故障的实际现象出发，以网络诊断工具配合设备的诊断功能为手段获取诊断信息，沿着OSI七层模型从物理层开始依次向上进行，逐步确定网络故障点，查找问题的根源，排除故障，恢复网络的正常运行。故障排查步骤如图2所示：图2常见的EoC网络排障思路大体如下：第一步：识别故障现象的真面目：分析网络故障时，最重要的是清楚故障现象是什么。有很多时候我们会被一些非故障、或者其他表面现象所蒙蔽而看不清楚什么是故障的真正现象。比如"上不了网"，我们需要进一步了解是网页打不开还是打开慢，是全部网页打不开还是个别网页打不开，网页打不开时QQ等即时聊天工具是否能打开，网页是一直打不开还是上网高峰期打不开，这些都是由于不同原因引起的。这个时候就需要我们尽可能多的收集故障现象，并进行统计区分，找出故障的共性来判断什么是真正的故障现象。特别当多个故障同时存在的时候，要通过系统的办法来区分各个故障并逐个解决。第二步：故障相关信息收集：应该尽可能多的收集故障信息，这些信息应该是尽可能的全面详细。除了向受影响的用户、网络人员或其他关键人员提出问题，了解故障信息外，更要详细了解现场有线电视传输网（Cable网络）的组网情况，了解每个光节点所在位置及输出情况、放大器的所在位置及参数，了解线路上各个分支分配器的参数情况等等。对于典型的EoC网络，由于Cable线路的老化和前期业务部署存在的不合理等情况，往往网络中存在各式各样的元器件问题，以及环境问题造成的网络故障。比较典型的例如，线路质量问题，分支分配器质量问题，环路问题，噪声问题，其他还有多头端共揽串扰问题、设备接地问题、低频信号反向放大问题、寻址器未跨接造成电视信号受干扰等等。EoC网络上的情况有时候不像其他组网情况有现成可利用的网络结构图，很多详细的组网信息需要到现场亲身查找才能了解到。记录故障发生时候的所有信息（时间、地点、版本、设备状态、型号、已经进行的操作等等）。有时候时间地点等等看起来和故障完全无关的信息很有可能是解决故障的关键所在。在收集故障相关信息时，也要根据故障描述的性质，使用各种工具搜集情况。除了利用ping、tracert、Debug、Display等其他常用工具收集网络信息外，在EoC网络的故障解决上，特别要用场强测试仪器检查当前线路质量信息，并及时捕捉和保存EoC设备上的诊断、日志、配置和Cable网络状态信息等。第三步：根据现象及收集的信息，制定系统的诊断方案根据上面收集的故障现象和故障信息，对故障信息进行统计分析，找出可能的原因或者通过一定的故障排除方法，设计诊断方案来确定故障原因。常用的系统地、逻辑地分析问题方法主要有：由底向上、由顶向下 按用户侧、Cable网络、光节点分段排查 逐步简化配置 隔离与替换 根据每一个有可能的原因实施排错方案，观察故障排除结果来确定故障原因。通过系统、逻辑的分析方法找出故障点和通过分析找出可能的原因并逐个排除这两种手段是相辅相成，互相促进来定位问题。第四步：确定修改方案，排除故障找出故障原因后，排除故障其实已经是整个故障排除中最简单的一步了。在确定故障排除的方案后，最重要的是在保证老故障解决的同时不要引入新的故障。尽可能多的考虑和验证。分析两例特殊的网络丢包排错,运维管理知识,运维管理教程
　　　　　本站短域名：珠江路.cn、zjlu.net
　　　　　　　　
　　　　　
：　　　　　　
：　　　　
您的位置： &&
运维管理 && 分析两例特殊的网络丢包排错
分析两例特殊的网络丢包排错
远程商业窃密引发丢包
中天设计院是甘肃省建设厅直属单位，网络规模不大&&。152台主机根据单位职能部门分为5个子网，分别由Hub连接到交换机&&。由于公司内部的协同办公比较频繁，除了一个在线视频系统外还部署了一台文件服务器，单独为一个子网提供数据的共享和交流&&。单位对外的Internet需求不是很大，通过路由器连接到Internet&&。故障现象
某天，该单位的网络突然出现严重堵塞，主机间的数据频频中断导致协同办公不能正常进行，在线视频系统经常掉线&&。另外，无论是从文件服务器上传还是下载文件都异常缓慢，有时会因超时而中断&&。主机能够连接到Internet，但是网速缓慢&&。
首先在一台主机上用ping命令测试到网关的连通性，输入命令“ping 192．168．2．1 -n 1000”发送1000个Ping包测试网关&&。测试结果是可以ping通网关，但是掉包现象很严重：1000个包有720个包丢了，丢包率为72%，持续掉包时间也很长&&。运行arp -a命令，发现网关IP和网关MAC地址指向正确&&。通过上面的测试基本排除网络设置错误以及ARP欺骗&&。
于是在核心交换机上做镜像，用Sniffer对整个内网（五个子网）进行监控&&。首先进入“dashboard”（仪表面板），发现网络利用率达到了97%，这是很不正常的现象&&。笔者判断以该单位的网络规模以及日常业务量，网络利用率应该在20%'30%之间，有较大的网络冗余&&。这样我们可以断定，造成网络丢包的根源应该是异常流量占用大量的网络带宽所致&&。那这些异常流量来自何处呢？
切换到“matrix”（矩阵面板），发现MAC为00-0A- E6-98-84-B7的主机占了整个网络流量的57．87%&&。于是初步把目标锁定在该主机上，然后切换到“hosttable”（主机列表）继续分析&&。从该面板中，没有发现大量的广播包，因此完全排除了广播风暴影响&&。找到00-0A-E6-98-84-B7，对此主机分析，发现该主机的网络活动非常可疑，进入该主机的数据包才700多个，而出去的数据包在10多分钟内就有了几十万个包&&。
为了确认上述主机在进行什么网络活动，笔者在交换机上对它单独抓包分析&&。对数据包解码后发现，该主机通过UDP协议项向外网的一个IP为60．164．82．185主机进行数据拷贝&&。这个IP怎么这么眼熟，这不是本地的一个IP吗？另外，还发现该主机与文件服务器的连接也十分频繁&&。笔者根据网段和MAC地址，在交换机上对该主机隔离，断开其网络连接，整个网络马上就恢复了正常，丢包故障排除&&。
至此，我们通过层层排错找到了造成这次网络丢包的原因――该主机被黑客植了木马，然后远程控制通过8888端口向远程拷贝文件&&。另外，该主机正在从文件服务器上下载大量文件，估计攻击者正在通过该主机窃取文件夹服务器上的资料&&。
该主机本来安装了杀毒软件，但不报毒应该是攻击者做了免杀处理&&。手工清除木马，将该主机连接到网络，网络丢包再也没有发生&&。事后机主回忆可能是中了移动硬盘中的木马，因为当天他曾经将工程规划书拷贝到客户的移动硬盘中&&。丢包排错中引出商业窃密这是大家都没有想到的&&。
循环自动扫描攻击引起丢包
笔者所在地某中学的局域网约有电脑1000台，通常情况下同时在线的有600台左右，网络一直很稳定&&。期末放假前网络出现异常，具体症状为：整个校园网突然出现网络通信中断，内部用户均不能正常访问互联网&&。在机房中进行ping包测试时发现，中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包，主机房客户机对二级交换机的通信丢包情况更加严重&&。
笔者初步判断这种现象可能是交换机ARP表更新问题、广播或路由环路故障、病毒攻击等引起的&&。为此，需要进一步获取ARP信息、交换机负载、网络中传输的原始数据包等信息&&。
配置抓包&&。在中心交换机上做好端口镜像配置操作，并将分析用笔记本电脑接到此端口上，启动网络分析工具捕获分析网络的数据通信，约10分钟后停止捕获并分析捕获到的数据包&&。
查看连接，定位攻击源&&。在停止捕获后，笔者在网络分析系统主界面左边的节点浏览器中发现，内部网络同时在线的IP主机达到了6515台，这表示网络存在许多伪造的IP主机，网络中可能存在伪造IP地址攻击或自动扫描攻击&&。选择连接视图，发现在10分钟内，网络中共发起了12108个连接，且状态大多都是客户端请求同步&&。据此，我们断定校园网中存在自动扫描攻击&&。
详细查看连接信息，发现这些连接大多都是由192．168．5．119主机发起，即连接的源地址是192．168．5．119&&。选中源地址是192．168．5．119的任意一个连接，单击鼠标右键，在弹出的右键菜单中选择“定位浏览器节点→ 端点1 IP”，这时节点浏览器将自动定位到192．168．5．119主机&&。
通过协议，确定攻击方式&&。选择数据包视图查看 192．168．5．119传输数据的原始解码信息，我们发现192．168．5．119这台机器正在主动对网络中主机的TCP 445端口进行扫描攻击，原因可能是192．168．5．119主机感染病毒程序，或者是人为使用扫描软件进行攻击&&。通过分析图表视图，进一步确定192．168．5．119主机肯定存在自动扫描攻击&&。
找到问题的根源后，对192．168．5．119主机进行隔离，经过一段时间的测试，网络丢包现象有所缓解，但没有从根本上解决问题&&。难道，还有漏网之鱼仍在兴风作浪？于是再次启动网络分析系统捕获并分析网络的数据通信，在网络中又发现了3台与192．168．5．119相似情况的主机&&。通过这个情况，我们可以肯定192．168．5．119和新发现的三台主机都是感染了病毒，且该病毒会主动扫描网络中其他主机是否打开TCP 445端口，如果某主机打开该端口，就攻击并感染这台主机&&。如此循环，即引发了上述的网络故障&&。
立即对新发现感染病毒的3台主机进行隔离，网络通信立刻恢复正常&&。另外，在分析中笔者还发现，192．168．101．57主机占用的流量较大，其通信数据包的源端和目的端都使用UDP 6020端口，且与192.168.101.57通信的地址227.1.2.7是一个组播IP地址&&。鉴于此，我们推测192．168．101．57可能在使用在线视频点播之类的应用，因此耗费了网络资源&&。定位到该主机原来是学校机房的一台服务器被配置成了一个在线视频服务器为客户端提供视频服务，而该主机正在用P2P软件下载视频――难怪会有这么大的流量&&。
其实引起网络丢包的原因有很多，除了上述网络攻击和病毒感染之外，连接线路、网卡、交换机、路由器等硬件故障也会造成网络的延迟、丢包&&。因此，网络管理人员掌握丢包排错方法是非常重要的&&。
授人以鱼不如授人以渔，希望上述网络丢包排故障思路对大家有所帮助&&。
数据库开发
产品库推荐
All Rights Reserved.
珠江路在线版权所有
　|　　|　　|　君，已阅读到文档的结尾了呢~~
网络排错,网络故障检测与维护,网络故障,网络排错案例,gns3,网络排错命令,网络排错专家,网络排错步骤,h3c认证,联机排错
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
有线通PC维修之故障诊断和排障介绍
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口