我正在查看一位客户的报告,报告称“网络”很慢。(从服务器访问/保存/加载文件所花的时间比平时要长)。
基本设置是 Windows Server 2012 R2 处理 DNS、DHCP 和 AD。我们有一个非托管的 24 端口交换机,它将建筑物的其余部分连接到地下室的服务器机房,还有一个 draytek 路由器。我尝试使用在 hyperV 主机上运行的 NetIO 来测试建筑物周围几个地方的网络吞吐量,其中一些报告就是从这些地方发出的,并注意到我们的千兆网络在某些区域的速度约为 8 Mb/s,而只有在某些点(我在 5 分钟内进行了 10 次测试),其他点的速度会达到 100+。我决定首先开始调查交换环路/arp 泛洪占用带宽,而路由器上的“数据流监视器”显示活动相对较低,当我查看 wireshark 时,我注意到了以下内容。 wireshark 截图
这是来自 wireshark 的截图,我注意到每隔一秒左右,网络上的 2 个不同主机就会出现大约 10-10 个这样的块。所请求的 IP 地址未在网络上使用,我检查了路由器的 ARP 缓存和 DHCP 表以确认。
这是否被认为是广播风暴,并且可能成为导致网速缓慢的原因,还是我在这里找错了方向?如果是后者,除了周末必须去现场并尝试进一步找出瓶颈所在之外,还有什么建议吗?
答案1
无论路由器上的“数据流监视器”是什么,它都不会显示 LAN 流量。LAN 流量不会经过路由器。只有发往远程网络(互联网)的流量才会经过路由器。所以...路由器在解决 LAN 问题方面真的没什么用。
是的,ARP 流量值得怀疑。除非有人运行网络扫描工具或主机感染了恶意软件,否则主机通常不会对子网中的每个潜在 IP 地址进行 ARP。我猜是您的计算机上有恶意软件,而这些机器是 ARP 流量的来源,这就是我首先要检查的地方。