故障排除-丢包严重的抓包解决

简介：

群里一个群友，新装环保局车牌检车功能，要求国五以上的车才能进厂区。就装了一个摄像头，一个多功能显示屏一体机。

基本结构就是摄像头识别车牌传给显示屏，显示屏上一个什么设备联网查询车管所还是哪里的数据库，给出排放是否符合标准。

但是接入群友企业网络后，该显示屏丢包，大概20多个包就丢1-2个。

若网线直连该设备，则不丢包。

解决思路：

1.疑似嵌入式设备中毒，连接互联网后被木马控制，挖矿控制导致高负荷丢包。

2.怀疑网路环路。

3.怀疑……

尝试让群友另外创建临时互联网链路，由于企业网络环境复杂群友搞不定。约定第二天上门解决。

网络环境：

企业使用光猫路由一体设备上网，lan ip: 192.168.1.1/24  该一体猫还有个副lan，设置的192.168.2.1/24。

在没有三层交换划分vlan的情况下，居然又分了一个192.168.100.0/24给各个摄像头，录像机。

可能还有个192.168.101.0/24，据说是给道闸用的。

结果在门卫房的这个操作机上来就是5-6个IP地址。还有弃用的IP段。

从中心接入点到门卫房操作机有2-3个交换机

从门卫房到多功能显示屏一体机还有2-3个交换机。

门卫房还有几台别的网络设备，地磅，操作机等。

解决方案：

1.由于企业环境导致现在已经是这样了，大修大改并不能快速解决问题。

2.先找到从中心接入点到门卫房的主网线。

3.找到从门卫房进入道闸，再进入显示屏一体机的网线。

4.故障重现：

　　从门卫房操作机ping 显示屏一体机，丢包率5-10%。

　　拔掉中心接入点到门卫房的主网线，丢包率0%。

5.基本判断是企业网内部的问题。又没什么好办法来快速排查。抓包

　　在门卫房到显示屏一体机的网线上接上带网络监听的网管交换机，我的是网件Ts108t V2

　　将网管交换机接入门卫房的交换机。

　　配置交换机监听其中一个端口到指定端口G8.

　　将G8 接入自己的笔记本电脑，打开wireshark并监听端口。

　　头痛啊，这里还有摄像头、道闸……

　　过滤条件，监听和显示屏一体机mac相关的流量。

　　eth.addr==94:98:a2:03:f8:ce

　　

　　并观察ping的反应情况。

　　经过10分钟左右观察，

　　发现一体机会连接一个固定的IP，对ping并无影响，猜测应该是它的服务器，不管它。

　　继续观察发现有几个IP会发送奇怪的包给一体机，每次发送这个包以后，ping就会丢包。

　　大概是192.168.1.182-192.168.1.185，发送目的竟然是255.255.255.255，udp。当时没截图，就这么描述吧。

　　仅仅是排除故障，又没办法加防火墙，又没办法上三层。和群友聊聊，找到这4个IP的设备，关机再说，现在环保多牛啊，跟消防一个级别了。

　　兜兜转转，进了一个办公室，有四个大屏，每个大屏后面连的不知道是什么设备，有个带控制软件的电脑显示四个IP，就是我怀疑的182-185。

　　简单断电，回门卫房测试。

　　丢包消失。故障排除。

 

 

猜几种可能：

具体原因就不认真分析了。

1.第三方监控设备配置了活动监测，又错误设置或IP从摄像头转给一体屏，导致监控设备给一体屏发心跳包。

2.第三方监控设备正常轮询本地网络。但是一体屏对轮询包响应的代码没写好？导致内部bug？

随便是什么问题吧，深圳是出了一些奇奇怪怪的设备，便宜，能解决一些小的需求，但是由于开发能力不足，导致bug频出。

这回就不考虑是谁家产品的bug了，我只是去解决丢包，两家设备谁厉害，就开谁的，关另一家的。

好在监控设备是厂区自己的，关了就行了。不是消防的。

要是消防的设备和环保的设备冲突了，还真得网络大改造，上vlan隔离。

干了2小时，外加上门，你们猜我收了多少服务费？