语音VLAN异常流量分析
现象描述:有线网络里,接入层交换机上,凡是被划入语音vlan的端口,都会呈现出相同的流量表现,而且瞬间流量都很大,30 - 40 MB级别,对有线网络的稳定性有很大的影响。
设备型号:
IP 电话:Avaya多种型号,以1608居多,call server型号不详,因为不是我负责call server。
接入层交换机:Cisco Catalyst-2960-48TT-L,IOS版本12.2(52)SE
从cacti的图上很明显的看到,所有被划入语音vlan的端口,只要它加了电,不管你终端连的是电话还是电脑,还是只连了电脑,没连电话,只要你划入了语音vlan,只要这个口up了,他就会收到一大堆包。

这使得当这种现象发生的时候,大量工位的有线网拥塞特别大,丢包严重,同时交换机CPU负载增高,进而还有一定程度的影响其他VLAN的正常运行。
抓包:
附件里是 .pcapng格式的抓包,可以看到大量的从10.19.90.30 或 10.19.90.35 发来的,去往10.19.107.x , 也就是去往某台电话的流量H.225重传流量,他的目的mac地址是特定的,所以不是广播,但是每台都会收到,这一点让我很疑惑。
需要解决的问题
1) 为什么每个划入语音VLAN的口上的设备都收到这样相同的包。
我自己的猜测是,Avaya的keep alive机制导致的,从附件里的Avaya文档的第4章4.1 里的 Keepalive Mechanisms 来看,如果使用TCP保活,那么CLAN发往phone的包里,源tcp port 是1720, 目的tcp port是随机的,这一点跟抓包内容相符。第二点,保活H.225的内容是empty,这点也是和抓包相符的。如图, 抓包和文档是符合的。



2) 如果第一种猜测成立的话,如何处理保活包堆积的情况,能不能减小窗口时间,对于不回复keep alive的电话,能不能快速踢出,然后让它强制重新注册,以减少重传的次数。
附上抓到的包:
第一次抓到的包,链接: http://pan.baidu.com/s/1qWuW2uS 密码: g15e
第二次抓到的包,链接: http://pan.baidu.com/s/1kTmZlUv 密码: 24gv
最终也没得到Avaya工程师的回复,但是听IT组的人说,Avaya的工程师做了一些操作,但是具体做的啥他们也不知道,这帮不专业的!
附上参考的Avaya官方文档:
https://downloads.avaya.com/css/P8/documents/100017348
主要在里面搜索看 “Keepalive Mechanisms”这一节就好了,讲保活机制的。
语音VLAN异常流量分析的更多相关文章
- openstack kilo版本控制节点异常流量分析
- 网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。科来做APT相关的安全分析
科来 做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security- ...
- #研发解决方案#基于Apriori算法的Nginx+Lua+ELK异常流量拦截方案
郑昀 基于杨海波的设计文档 创建于2015/8/13 最后更新于2015/8/25 关键词:异常流量.rate limiting.Nginx.Apriori.频繁项集.先验算法.Lua.ELK 本文档 ...
- web异常流量定位:iftop+tcpdump+wireshark
一个简单的运维小经验. 场景:web服务器出现异常流量,web集群内部交互出现大流量,需要定位具体的http请求,以便解决问题. 目的:找出产生大流量的具体http请求. 工具: ift ...
- 基于Apriori算法的Nginx+Lua+ELK异常流量拦截方案 郑昀 基于杨海波的设计文档(转)
郑昀 基于杨海波的设计文档 创建于2015/8/13 最后更新于2015/8/25 关键词:异常流量.rate limiting.Nginx.Apriori.频繁项集.先验算法.Lua.ELK 本文档 ...
- 开源流量分析系统 Apache Spot 概述(转)
原文地址http://blog.nsfocus.net/apache-spot/ Apache Spot 是一个基于网络流量和数据包分析,通过独特的机器学习方法,发现潜在安全威胁和未知网络攻击能力的开 ...
- openstack网络(四)-虚机流量分析
几种网络名词解释 使用LinuxBridge时虚机流量分析 VLAN FLAT Local VXLAN 使用OVS时虚机流量分析 几种网络名词解释 1.local网络:local网络是与其他网络和节点 ...
- CTF流量分析题大全(掘安攻防平台)
突然想做一下流量分析题,记得掘安攻防实验室上面有很多的流量分析题目,故做之 流量分析题一般使用的都是wireshark,(流量分析工具中的王牌 夺取阿富汗 说了分析http头,所以直接过滤http协议 ...
- 虚拟局域网(VLAN)__语音VLAN
1.语音VLAN特性使得访问端口能够携带来自IP电话的IP语音流量.当交换机连接到Cisco IP电话时,IP电话就用第3层IP优先级(precedence)和第2层服务级别(class of ser ...
随机推荐
- 小米8如何root
现身说法,实测有效,也踩坑很多. 0. 准备手机.数据线.windows系统的电脑.小米帐号,各一个. 手机需要装上sim卡:电脑需要能上网.最好是有wifi的环境,用来下载安装包. 注意提前备份数据 ...
- Ubuntu下Gradle环境配置
sudo gedit ~/.profile sudo source ~/.profile env # for java export JAVA_HOME=/home/cmm/jdk export CL ...
- IntelliJ Idea 配置Tomcat提示Port is not specified
修改Debug这里的端口就好了
- VS2017使用文档
参考链接:https://docs.microsoft.com/zh-cn/visualstudio/debugger/?view=vs-2017
- 根据id查询所有子节点/父节点,mysql 以及ssm前后台处理流程
1.所示案例数据表结构设计如下所示: 2.案例数据如下所示: 3.mysql查询语句可以查询出父级目录信息: 注意:自己的数据表表名称,切记手动修改,字段名称(特别注意id,parent_id字段名称 ...
- IPMI无法执行命令
IPMI无法执行命令 https://www.cnblogs.com/EricDing/p/8995263.html http://www.cnblogs.com/heidsoft/p/4014301 ...
- Not running in a hosted service or the Development Fabric
今天尝试在azure上发布网站后,无法正常访问 本地调试也提示: Not running in a hosted service or the Development Fabric 谷歌百度半天… 最 ...
- [转] meta标签的作用及整理
meta的标签的使用是我在前端学习中曾经困惑过一段时间的问题.一方面不是很了解meta标签的用途,另一方面是对于meta标签里的属性和值不是懂,也不知道从哪里冒出来的,所以这篇文章专门整理下meta标 ...
- nodeJS有多快
听说nodeJS适用于高并发的场景,一直想测试但是没找到机会 这几天新系统要上线了,老系统的数据需要割接到新的系统中 由于数据量很大,表的结构的发生了很大的改变,割接时间长达9个小时 其中一个模块有1 ...
- mysql 5.6.25编译安装详细步骤
简略步骤: mysql5.6.25编译安装步骤: 下载mysql准备用户和组yum安装依赖解压mysqlcmake编译mysqlmake && make install ----时间约 ...