Wireshark网络分析实战笔记以太网LAN交换及无线LAN
Posted nceuaprsf
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Wireshark网络分析实战笔记以太网LAN交换及无线LAN相关的知识,希望对你有一定的参考价值。
发现广播风暴:
查明广播风暴的步骤:
1.询问用户是整个网络有问题,还是分支有问题
2.可能的三种情况:
是生成树问题?
是某台设备触发广播风暴?
是路由环路问题?
提示:正常网络每台设备每分钟制造1-2个广播包(最多不超过4-5个),若网络中有100个设备,则每秒广播包数不应超过9-10个
某台设备触发广播风暴特征:
1.广播包速率极高(数千甚至上万个/秒)
2.广播包都发自一个源头
3.广播包速率恒定
IP网络常见的广播包:
1.配合TCP/IP协议运行的广播包,比如ARP请求数据包,DHCP请求数据包
2.某些应用层协议产生,比如,NetBios名字服务查询数据包(NBNS),NetBIOS服务器信息通告数据包(SMB),网络时间协议(NTP)
3.某些应用程序,比如,Dropbox,microsofe network load balancing,某些证券期贷类应用
配置交换机上广播风暴控制特性:
开启广风暴控制特性:storm-control broadcast/multicast level
广播风暴配置参数:strorm-control action [shutdown|trap]
生成树协议分析:
BPDU格式:
802.1d与802.1w的标志位格式:
| 位 | 功能 |
| 7 | 拓扑变更(TC) |
| 6 | 未启用 |
| 5 | 未启用 |
| 4 | 未启用 |
| 3 | 未启用 |
| 2 | 未启用 |
| 1 | 未启用 |
| 0 | 拓扑变更确认(TCA) |
| 位 | 功能 |
| 7 | 拓扑变更(TC) |
| 6 | 提议 |
| 4-5 | 端口功能: 00:未知 01:替代端口 10:根端口 11:指定端口 |
| 3 | 学习状态 |
| 2 | 转发状态 |
| 1 | 协定状态 |
| 0 | 拓扑变更确认(TCA) |
BPDU各字段含义以及显示过滤参数:
| 字段名 | 长度(单位:字节) | 描述 | 值 | 显示过滤器参数 |
| 协议ID | 2 | 协议标识符 | 始终为0 | stp.protocol |
| 版本 | 1 | STP版本 | STP=0 RSTP=2 MST=3 | stp.vertion |
| 消息类型 | 1 | BPDU类型 | STP=0 RSTP=2 MST=2 | stp.type |
| 标记 | 1 | 协议标记 | 见上两表 | stp.flags |
| 根网桥ID | 8 | 根网桥标识符 | 根网桥优先级+根网桥的MAC地址 | stp.root.prio stp.root.ext stp.root.hw |
| 通往根网桥的路径开销 | 4 | 将数据帧转发到根网桥的成本 | 由STP计算而得 | stp.root.cost |
| 网桥ID | 8 | 网桥标识符 | 网桥的优先级+网桥的MAC地址 | stp.bridge.prio stp.bridge.ext stp.bridge.hw |
| 端口ID | 2 | 端口标识符 | 发出BPDU交换机端口的标识符 | stp.port |
| 消息寿命 | 2 | 由当前BPDU判断出由根桥生成的原始BPDU的寿命 | 由根网桥生成的BPDU的消息寿命为0,BPDU只要被其他网桥转发一次,消息寿命字段加一 | stp.msg_age |
| 最长寿命 | 2 | BPDU可在网络中存活的最长时间 | 通常=20 | stp.max_age |
| Hello时间 | 2 | 网桥定期发送BPDU的时间间隔 | 通常=2s | stp.hello |
| 转发延迟 | 2 | 交换机端口在侦听和学习状态逗留的时间 | 通常=15s | stp.forward |
生成树的基本概念:
STP的端口状态:
禁用(Disabled):不会转发数据帧,也不会侦听BPDU
阻塞(Blocking):不会转发数据帧,但会侦听BPDU
侦听(Listening):只能收发BPDU,不能转发数据,也不能获悉MAC地址
学习(Learning):不能转发数据帧,但能解析收到的数据帧,且能根据获悉的的MAC地址构建MAC地址表
转发(Forwarding):能收发BPDU,正常构建MAC地址表,正常转发数据
从禁用到监听=20s
从监听到学习=15s
从学习到转发=15s
RSTP/MSTP端口状态:
丢弃(Discarding):丢弃所有数据帧
学习(Learning):不能转发数据帧,但可解析数据帧,且能根据获悉的MAC地址构建MAC地址表
转发(Forwardin:g):正常收,发BPDU,正常构建MAC地址表,正常转发数据帧
提示:运行RSTP/MSTP的交换机端口从丢弃到转发一般只需几秒
VLAN分析:
在交换机上配置端口镜像,把vlan10的流量重定向给wireshark:
monitor session 1 source vlan 10
monitor session 1 destintion interface fastethernet 0/4
vlan标记:数据帧头内一块4字节的数据
| 标签协议ID字段 | 802.1q 0x8100 802.1ad 0x8a88 |
| 优先级字段值 | 8种优先级(0-7) |
| CFI标记位 | 总是置0 |
| VLAN ID字段值 |
无线LAN:
无线信号强弱:
-60dBm及以上:无线信号质量上佳
-80dBm到-60dBm:无线信号质量尚可
-80dBm到-90dBm:无线信号较弱
-90dBm及以下:无线信号弱
提示:无线网络承载标准企业级应用程序,信号不能低于-75dBm
想跑VoIP流量,信号至少-65dBm以上
推荐一个无线信号强弱查看工具:WirelessMon
无线标准的演化:
802.11a
802.11b
802.11g
802.11n(如今最常见的无线LAN标准)
802.11ac
802.11ad
以上是关于Wireshark网络分析实战笔记以太网LAN交换及无线LAN的主要内容,如果未能解决你的问题,请参考以下文章
Wireshark网络分析实战笔记基本信息统计工具的使用方法