作為網工，網絡故障和傢常便飯一樣滲透進生活。論處理方法，可能見仁見智，人人不同，但善於復盤和整理，讓自己高效提升，卻不是人人都懂。

很多人疲於應對工作，別說復盤，睡覺時間都不夠。

但領導會讓你寫點報告、總結、匯報，強制性讓你和復盤來一個親密接觸。

網絡故障怎麼分析，然後分析報告又怎麼寫，就是老楊今天想和你聊的東西。

01 網絡故障怎麼分析？

一般來說，網絡故障排除思路，你可以參考這張圖：

1. 定位故障范圍

①全網性網絡故障：可定位故障源在出口或核心區域；

②小范圍網絡故障：可定位故障源在離故障源最近的相應設備或鏈路；

③單點性網絡故障：可定位故障源在故障源自身。

2. 排除故障

①總體上思路為“鏈路”à“配置”。

②首先確認網絡或相關設備是否出現人為變更；

③其次檢查物理鏈路、設備是否正常；

④最後檢查網絡設備的相關屬性或配置。

排障思路還需要結合具體的案例來分析才更生動、易理解。老楊之前整理的這篇文章，很適合在這裡作為補充閱讀：《這6個網絡故障，每位網絡工程師都曾遇到過》

網絡故障分析報告，怎麼寫合適？

網絡故障分析報告，其實很多網上都有模板，你隨意一搜，五花八門啥都有。

3f68927348b69fcc5053d9ee6d14a3b8

但從今以後，你寫報告的時候，老楊希望你能思考2個問題：

1. 你在國企還是私企？

2. 你想應付還是真的想寫的有點價值？

如果你在國企，你寫報告更多是形式上的文件形式，你需要格外註重格式和措辭，這個時候，你能發揮的空間不大。

如果你在私企，想寫的有點價值，在上級面前表現表現，也能在年終給自己復盤時找點看頭，完全可以寫的隨意一些。

下面這份網絡故障報告，就可以作為參考。寫的很生動形象，也能給他人借鑒和學習。

01 故障描述及部署位置

周五上午去用戶處瞭解故障現象，並詢問網絡基本情況，瞭解情況如下：

如上圖，用戶網絡出口帶寬為 20M，兩臺交換機下聯 30 多個用戶主機與服務器。從本周一開始出現網內用戶訪問互聯網時出現時斷時續的狀態，打開頁面速度非常緩慢，而且經常存在不能打開網頁的情況。

於交換機 1 和交換機 2 分別配置鏡像端口，部署科來網絡分析系統，抓取上聯接口的流量進行分析。

02 故障分析

交換機 1：在交換機 1 抓取瞭二十分鐘，並未發現異常情況與流量突發，所以懷疑本次問題可能是由於交換機 2 下聯主機存在問題所致。

交換機 2：抓取 10:55:28-10:55:38 的數據包，短短十秒鐘我們就發現瞭網絡中存在的問題，如下圖：

6208243b2e882709d413f60a30c70964

不難看出，短短十秒鐘的總流量達到瞭 272MB ，基本全部是 512-1023字節的數據包，並且 TCP 同步包達到瞭 50 餘萬個，沒有收到任何的 TCP 同步確認包，存在明顯的異常情況。

查看TC 會話，發現所有的TCP會話行為一致，全部是111.xx.xx.xx 向183.xx.xx.xx 的 80 端口發送TCP 數據包。

數據包的同步位置：

SYN數據包是 TCP/IP 建立連接時使用的握手請求數據包，不應存在任何應用層數據，但是在上圖中看到該數據包中還有512字節的 HTTP 數據，並且數據內容全部為0，該數據包為明顯的偽造數據包。

因為偽造數據包為互聯網地址，所以會通過互聯網出口向外發送。由於本網絡互聯網出口為 20Mbps ，而偽造數據包卻達到瞭 261Mbps ，明顯超過瞭最大處理能力。

此時內網主機在訪問互聯網時就會出現連接十分緩慢，甚至不能訪問互聯網的情況。

03 故障定位

如上圖，通過查看MAC地址我們得知發送大量數據包的MAC地址為XX:XX:XX:XX:11:57，掌握瞭發起攻擊的MAC 地址後，通過查看交換機MAC 地址表，找到相應端口，如下圖：

該 MAC 地址對應的交換機 2 端口為 G1/0/18 口，通過斷掉該接口的方式來排查，斷掉該端口後網絡恢復正常，能夠正常流暢的瀏覽網頁。

04 總結

通過排查，發現交換機 2 的 G1/0/18 接口發送大量互聯網地址偽造數據報，通過大量發送此類數據包擁塞網絡的互聯網出口，達到 DOS 攻擊作用。

通過排查發現 G1/0/18 口為郵件網關連接端口，建議用戶聯系郵件網關設備廠商，對設備進行問題排查。

9298192e0d1af06fbacb0a7482ae1afc

看到這裡，一定是真愛粉。老楊最後想和你提提，要搞定網絡故障，你需要掌握三個維度的技術：

1. 熟悉OSI七層模型與TCP/IP協議棧

2. 瞭解網絡通信的基礎設備和其對應的OSI層次

3. 清楚知道網絡排錯的一個重要原則-數據走向

像交換機、三層交換機、路由器、防火墻這些最基本的網絡設備應該要有些瞭解，尤其是它們對應的OSI層次以及作用。這些都是基礎和經驗堆起來的。

內行人都知道，隻要你的網絡基礎足夠紮實，你才能更好的在網工生涯裡提升和進步。

如果你也想鞏固你的網絡基礎，梳理網工重要技術的底層邏輯，系統學習技術，提升自我，可以考慮找老楊來瞭解學習方法。

添加老楊微信，發送暗號“學習”即可。每周，我都會選取10名粉絲進行1v1的深度答疑解析。

整理：老楊丨9年資深網絡工程師，更多網工提升幹貨，請關註公眾號：網絡工程師俱樂部