立足网络层 轻松排除网络故障

    
    从图5可知，使用Telnet命令访问192.168.2.100主机时，两主机间共有6个数据包通信，仔细查看数据包及其解码，发现1,3,5这三个数据包是从客户端发往192.168.2.100主机的，这三个数据包的确认号是0，TCP标记是同步位置1，表明三个数据包都是TCP三次握手的第一步，即TCP同步数据包。2,4,6这三个数据包是从192.168.2.100主机发往客户端的，这三个数据包的确认号是确认号2643478089，TCP标记是确认位和重置位同时置1，表示这三个数据包都是192.168.2.100对客户端的确认数据包，同时它拒绝了客户端的建立连接的TCP同步请求，告诉客户端当前主机(这里是192.168.2.100)没有打开客户端请求的服务，并中断这个连接。

　　注意：我们发现在图4和图5中，客户端都向服务器(这里是192.168.2.10和192.168.2.100)发送了三次相同的TCP SYN请求，这是为什么呢?其实这是TCP的协议规定造成的，当客户端使用TCP SYN向服务器发起三方握手的第一步后，如果没有收到服务器的SYN/ACK响应，就会在等待一段时间后再次尝试对服务器进行连接，如果连接三次后仍然失败，则不会再重复此操作，所以我们在图中看到了三次完全一样的TCP SYN数据包。

　　通过对上面两种情况的抓包分析，我们可知道，192.168.2.10主机不能访问的原因是两台主机之间的物理链路不通，可能是不存在192.168.2.10这台机器，或者192.168.2.10处于关机状态等。而192.168.2.100不能访问的原因是192.168.2.100这台机器没有提供客户端请求的Telnet服务，即没有打开TCP 23端口。

　　总结

　　当然，笔者列举的两个应用案例只是个案。其实这种方法适用于中所有的TCP服务，用户在遇到不能访问某服务器(各种TCP应用的服务器)时，便可使用这种方法对数据包进行跟踪分析，帮助用户对故障进行排查。这样，管理员从网络层把握网络故障，就能够不受故障表象的影响，从而尽快排除故障，利于提高工作效率。

上一页  [1] [2] [3] [4] [5] 

【责编:Zenghui】