某单位网页打开慢故障分析报告 colasoft

IT小欧

故障环境
网络结构如下图所示：

工作人员上网时，中间经过一台网康的流控设备，并且在出口处有一台防火墙。

故障描述
连接互联网时，打开网页的速度非常的慢，有的网页要刷新几次才可以正常显示，但是进行下载的速度却很快。

故障分析
故障点分析
在访问互联网时，数据包只通过了交换机、流控设备和防火墙，交换机只是用来转发数据，所以我们可以推测出以下几个故障点：


部署科来网络分析系统
起先我们怀疑是流控设备导致的故障，但是我们通过在流控设备前后同时捕包作比较，并没有发现异常的情况。
然后，我们再在防火墙的进出口同时抓包，通过比较防火墙前后数据包的不同来确定造成故障的原因，部署图如下所示：


数据包分析
根据故障描述，我们通过访问网页进行故障还原，如下图所示就是我们进行访问时，在防火墙后捕获的数据包：


防火墙后数据包
在进行网页访问时，我们在防火墙前后同时进行抓包，下图就是在防火墙出口处抓取到的数据包：


防火墙前数据包
我们知道防火墙在网络运行中起到防护作用，会将不安全的信息过滤，但是防火墙一般不会阻止正常的数据包，我们在比较上面两张图发现，在防火墙后捕获到的数据包第一次发送同步请求没有成功，然后又重传了一次同步数据包，才成功建立了连接；而在防火墙前面抓取到的数据包却没有看到重传的数据包！ （红线标记的部分）

分析结论
通过上面的分析，我们可以得出原因是由于防火墙在转发数据包时，丢失了客户端发送的同步请求包而造成的。可能是防火墙的性能或者配置不当导致的。

总结
经过分析知道是由于防火墙丢包导致的访问慢，但是为什么下载的速度却很快？这是因为访问网页和下载使用的协议不同，访问网页使用的时TCP协议，需要进行同步请求连接；而下载一般使用的都是UDP协议，在建立连接前并不需要发送连接请求。
不仅如此，我们在做测试时，发现网页只有在建立连接时才会出现慢的情况，一旦连接建立成功，网页打开的速度却非常快。所以为了确定问题，需要防火墙厂商配合，具体定位出是什么原因造成的。案例来自CSNA论坛

zhouxincool

好东西