网络环境
　　网吧大概有200台电脑，采用双WAN出口（电信和网通）访问互联网，网络结构较为简单，外网、路由器、主交换机、二层交换机、客户端。

　　故障详细描述
　　同时接上两个外网出口时，整个网络访问通讯出现异常，网络速度异常缓慢，很多用户甚至不能上网，在客户端进行ping包测试时发现，本地客户端严重丢包，断开网通的外网出口，网络却又恢复正常，ping包测试也无异常。

　　故障分析
　　由于在断开网通的线路后，网络访问正常，初步怀疑是网通线路问题，于是用笔记本单独接网通线路测试，一切正常，所以首先排除了网通线路的问题。在排除线路问题后，我们将问题重点放在了内网主机检查上。由于网络速度缓慢并且出现断网的情况，所以怀疑网络中有主机感染ARP或其他蠕虫病毒攻击导致网络瘫痪，于是决定用科来网络分析系统抓包分析，在中心交换机上做好端口镜像，在笔记本上安装科来网络分析系统，将笔记本接到中心交换机的端口上，启动科来网络分析系统开始捕获数据，约6分钟后停止捕获并分析捕获到的数据包。

　　点击下载：科来网络分析系统

　　我们首先了解网络的整体运行状态，在概要统计视图中可以看到：网络的总共流量为1.828GB，而利用率则达到了近80％，这是网络缓慢的一个重要指示参数。我们再看TCP的参数信息，此处，TCP的同步数据包与结束连接数据包分别是17796和9963个，由TCP的工作原理我们知道，TCP在工作时首先会通过三次握手建立连接，数据传输完成后，必须关闭连接，在建立握手的时候，会产生2个同步数据包，而关闭连接的时候，也会产生2个同步数据包，所以，理论情况下，1个TCP连接的同步数据包与结束连接数据包应该大致相等，如果二者的数据包相差较大，说明当前的网络传输不正常。如图1。

 
图1

　　选择端点视图，我们发现，IP地址为192.168.1.2这台主机的网络连接数较多，并且流量也比较大，所以，我们定位这个IP，单独对其分析。

　　在节点浏览器中选择192.168.1.2，打开矩阵连接视图，我们看到，该主机的通讯主机数达到了1000个，并且很大一部分为单向流量，如图2。

 
图2

　　打开图表视图，我们查看该主机的TCP连接情况。从中可以看到，该主机的TCP同步数据包、结束连接数据包以及复位数据包的比例，如图3。

 
图3