近期，应北京某高校的邀请，安恒公司对该校的校园网络进行了系统性测试。在测试过程中碰巧遇到网络控制中心某网段出现故障，我们利用Fluke OptiView网络综合协议分析仪及时帮助发现并排除了故障。

故障网段拓扑： 运行控制中心网络设备为两台交换机3300以10Mbps速率级连，为便于区分，分别以3300A和3300B命名，其中，3300A级连中心路由器。网管服务器及众多服务器连接于3300B上，控制中心的控制平台则连接于3300A上。

故障现象： Console访问网管服务器和其他所有设备的速度极慢，PING其它设备几乎都没有回应。如果将3300B脱离3300A，则上述现象全部消失，恢复连接后现象又重复出现。

测试与分析： 根据上述故障现象，我们初步判断问题可能同3300B及其所连接的设备有关。

为了进一步判断故障是由硬件造成还是由于带宽阻塞造成，我们将一个10M的Hub串在3300A和3300B之间，然后将测试仪OptiView接入Hub，这样可以通过仪器来监测两台交换机之间的流量。

控制中心网络拓扑图

当仪器一接入Hub，流量指示灯立刻显示网络的带宽利用率达到了100%，但没有报告任何帧错误，也没发现过多碰撞。利用测试仪Fluke OneTouch测试3300A和3300B互连的两个端口，未发现任何错误帧和冲突，可见Hub的连接状态是正确的。

由此看来，故障可能是由网络拥塞造成的。为了得到准确的答案，我们又进行了下述测试：

1. 将连接3300B到Hub的跳线去掉，利用OptiView中的协议分析功能捕捉从3300A过来的流量并进行解码分析发现，大部分帧都是ICMP Request帧。还有少部分帧为TCP SYN（同步请求帧），其它帧的数量很少，不存在异常流量。此时的带宽利用率为3%左右。

2. 恢复3300B到Hub的跳线，将连接3300A到Hub的跳线去掉，利用OptiView中的协议分析功能捕捉从3300B过来的流量并进行解码分析发现，大部分帧（84%）都是从网管服务器发出到不同设备的ICMP Request帧和SNMP GET帧。经网络管理员核实，这些目的地址都是合法的网络设备。同时还有ARP广播包解析默认网关的MAC。ARP占到了总帧数的5%。此时带宽利用率也仅为2%左右。

3. 将两台交换机都连接到Hub，同时将测试仪OptiView接入Hub。这样就可以通过仪器捕捉二者之间的流量。

故障显示图

问题出现了：所有帧都是TCP SYN（同步请求帧），并且目的地址都是同一个，而源地址则不同，并且来自不同IP地址的TCP流量发到目的地址的TCP端口号却是从低到高非常有序的递增。直觉告诉我们这是网络病毒在捣鬼。

目的地址经查证确认为路由器，而通过测试仪OptiView的网管功能，找到源地址为服务器上的一块网卡。把它的网线拔掉后，网络恢复了正常。