44.1視頻會議故障描述44.2視頻會議故障分析44.3服務器的運行分析44.4總結第44章某局視頻會議故障報告和服務器運行分析

視頻會議應用主要在于穩定，在進行視頻會議的時候如果出現利用率波動過大、網絡流量占用過大的情況，那么視頻會議可能就會出現中斷、視頻反應慢等故障。44.1視頻會議故障描述44.1.1網絡環境

如圖44-1所示，省局視頻會議室的視頻會議終端是連接在核心交換機上的，MCU通過一臺北電路由器與核心交換機相連，北電路由器連接國家局路由器，以便于與國家局進行視頻會議；地市局的視頻會議通過地市局路由器與國家局路由器相連到MCU，地市局上網經過地市局路由器到防火墻這條線路。

圖44-144.1.2故障現象

地市局到省局是通過2Mbps線路，省局在與地市局進行視頻會議的時候，會出現動作延時、視頻反應慢、圖像沒反應等現象；視頻會議信號差，Ping地市局視頻會議的IP地址時，延時比較大，還有丟包現象。

導致視頻會議延時的原因，可能是網絡病毒、網絡攻擊或者是中間通信設備故障等。為了能夠找到造成故障的原因，我們對故障進行以下的分析。44.2視頻會議故障分析44.2.1分析方法

對于這類網絡故障，我們可以利用數據包捕獲法來了解其數據包交互過程，通過捕獲到的數據包觀察網絡有沒有受到攻擊、主機有沒有中病毒、視頻會議的交互數據包有沒有丟包等。利用綜合信息來分析故障出現的原因，然后再結合相應的解決辦法來解決該故障。44.2.2部署方式

從上面的介紹我們知道，所有的交互都要經過核心交換機，所以我們將科來軟件部署在核心交換機上，鏡像不同的端口來捕獲各個交互的數據包，如圖44-2所示。

圖44-244.2.3具體分析

1．確定內部網絡是否有攻擊行為

我們先將所有的端口都做鏡像，捕獲網絡中所有的交互流量，根據各交互數據查看網絡中是否有病毒主機、網絡是否受到攻擊等一些異常行為。我們從捕獲到的數據包觀察網絡的總體情況，如圖44-3所示。

圖44-3如上圖所示，在一個半小時的時間里總共有11.730GB的流量經過核心交換機，我們從后面的端點流量等情況可以看到有重復捕獲的流量，所以產生的流量并不是特別大。

再看數據包分布情況，大包和小包的數量比值相差不大，沒有過多的小包或過多的大包產生。因為病毒通常會產生大量的小包，而攻擊包可能是發送大量小包或者是利用大流量，造成網絡帶寬被過多占用致使網絡癱瘓，但是圖中沒有類似的數據包。對于TCP連接情況，我們可以通過它來發現網絡中有沒有基于TCP的網絡攻擊等行為。通常一個初始化TCP連接對應一個成功建立連接，它們正常的比值應該等于或者接近1∶1。如圖44-3所示，兩者相差不大，比值較為正常，所以TCP的連接情況應該是正常的。

從圖44-4我們可以看到，流量排在第一位的是一個廣域網地址，通過了解我們知道該地址是煤監局的出口地址，所以流量大屬于正常情況。至于后面幾個流量大的主機，通過分析可以發現它們在進行下載。

我們再看看整個網絡協議的使用情況，觀察是否有異常協議使用，是否有不常用協議的流量變大等，如圖44-5所示。

圖44-4

圖44-5從上圖可以看到，整個網絡的協議使用靠前的幾位分別是UDP-Other、HTTP、TCP-Other等，都是正常網絡中經常出現的協議，UDP-Other和TCP-Other通常在我們進行下載、在線視頻時出現。所以從使用的協議來看，網絡中協議使用量也是正常的。

綜合上面的總體分析我們可以得出結論：整個網絡是處于正常應用的狀態，沒有異常攻擊或病毒，所以視頻會議慢不是網絡病毒攻擊造成的。

2．具體分析視頻會議故障

為了找到并解決問題，我們要在故障現場進行觀察，抓取在視頻會議進行時的數據包，分析具體的故障原因。

我們在抓取視頻會議的數據包時發現，屬于視頻會議網段的流量比較大，如圖44-6所示。

圖44-6從圖44-6中可以看到，該網在1分鐘左右的時間里一共產生了將近90MB的流量，其中77網段的流量將近47MB，78網段的流量將近21MB，74網段的流量將近7MB，而且這三個網段都是視頻會議所在的網段。可以看出，視頻會議所在的網段占用了一大半的網絡帶寬。

我們再察看網絡的利用率是如何分布的，如圖44-7、圖44-8和圖44-9所示。

利用率(位)(77)

圖44-7

圖44-8

圖44-9從圖44-7和圖44-8可以看到，77和78網段的網絡利用率相對于它們的通信帶寬都比較大。因為各個視頻會議的通信帶寬都是2Mbps的，從上面的利用率我們可以看到，整個視頻會議的網絡利用率都非常的高，占用了大量的網絡使用帶寬。

我們同時進行了Ping測試，發現77和78網段會經常出現丟包、延時大的故障現象，而74網段則比較正常。視頻會議主要是通過中間設備MCU來控制和組織各視頻會議終端的，通過后期的了解發現，所有的視頻會議終端都要跟MCU交互，然后才能在視頻會議的大屏中彼此進行交流。因此，我們針對各個視頻會議終端地址與MCU地址的數據進行分析，可以看到整個視頻會議過程中的平均流量情況，如圖44-10所示。

圖44-10從上圖我們可以看到，黑框標識的IP地址就是視頻會議的IP地址，視頻會議平均每秒的流量在1Mb左右，所以視頻會議所需要的帶寬在1Mb左右就行了，但是整個77和78網段的流量使用很大，占用了過多的視頻會議帶寬，所以導致丟包、延時等現象。

網絡中有對外開放的Web服務器，根據負責人介紹，Web服務器可能受到了外部攻擊或者本身中了病毒，所以我們對服務器的交互數據包進行捕獲，分析其是否異常，如圖44-11所示。44.3服務器的運行分析

圖44-11如圖44-11所示，服務器的流量不是很大，TCP連接數有點異常。通常TCP連接異常可能會是TCP攻擊或中了TCP端口病毒，但是通過圖44-12所示的會話視圖可以看到，造成TCP初始化和成功建立連接比值差異的主要原因是由于在進行TCP三次握手時出現了數據包重傳，而不是基于TCP的攻擊或病毒。

圖44-12

圖44-13我們通過觀察該服務器使用的協議可以發現，它使用的主要協議是HTTP協議和CIFS協議。我們知道，該服務器的主要作用就是對外提供Web服務，所以HTTP協議的流量大是正常的；CIFS協議也是微軟自帶的共享協議，通過分析發現，使用該協議時它有數據交互(見圖44-14)，所以該協議也是正常應用，并不是病毒造成的。

圖44-14我們再看該服務器的流量情況，如圖44-15所示，可以發現其收發包比值接近1∶1，因為它提供的是Web服務，所以它發送的數據包數量會大于接收的數量，這是處于正常的交互中。圖44-15綜合上面的分析我們可以得出結論：該服務器是處于正常的運行狀態，并沒有受到網絡攻擊，也沒有中病毒。

通過上面的分析可知，造成視頻會議延時的主要原因就是視頻會議網段的網絡流量過大，進而造成了視頻會議正常的應用流量被占用，從而導致問題的出現。44.4總結根據負責人的介紹我們了解到，下面地市都是通過視頻會議的2Mbps線路實現上網功能的，一旦網絡中有人進行下載、在線看視頻等大流量的操作，就會占用大量的網絡帶寬。所以要解決此類故障，可以將除了視頻會議應用以外的所有應用排除出去，使視頻會議獨占2Mbps的網絡，這樣就可以保證在進行視頻會議時網絡利用率處于一