Sniffer Pro帮网管准确的定位网络故障

　　故障分析

　　开始使用Sniffer Pro监控代理服务器VLAN的Internet连接情况。

　　然而，在Internet的接入速度忽然变慢后，再查看传输地图时，发现某些计算机的并发连接数量非常多。

　　将并发连接数量过多的计算机突出显示时，发现这些计算机竟然同时有几百个连接，如图4所示。

　　通常情况下，正常的用户连接地图应当如图5所示，只有几个至几十个连接，而且这些连接并不会同时并发访问。

　　通过查询相关文档中的IP地址分配列表，可知这些计算机只是一些的普通计算机，并没有提供任何网络服务。因此，如此众多的并发连接，显然是安装并使用了某个P2P软件，或者是遭遇了网络攻击。

　　根据故障计算机的IP地址找到这些计算机后，在检查这些计算机时，果然发现安装有PPLive软件正在在线使用，且修改了应用程序的默认端口。然而，应用于交换机的IP访问列表没有能够阻止这些连接。

　　故障解决

　　鉴于PPLive软件可以由用户任意指定端口号的情况，IP访问列表中只限制默认端口的方式已不再有效。因此，必须改变IP访问列表的设计策略。于是，我们将只拒绝特定端口的方式，改变为只允许特定端口的方式，从而基本杜绝了PPLive软件的大量使用。

　　P2P软件谋杀网络连接共享

　　故障现象

　　某局域网内有1200个计算机用户，采用两台ISA Server群集实现Internet连接共享。服务器硬件配置均为Intel Xeon 3.0 CPU、2GB内存、SCSI 72GB硬盘。然而，最近几天Internet接入速度变得非常缓慢，浏览普通网页都要等待很长一段时间，甚至还经常提示超时连接。

　　故障分析

　　查看ISA报告后发现，许多用户的上下行流量都很大。仅流量排名前15位的用户，每天的总流量就高达38.22GB，其中，输入流量32.41GB，输出流量5.81GB。而前3位用户的总输入流量为3.05GB，总输出流量为2.85GB。

　　由于代理服务器只为普通网络客户端提供Internet接入服务，因此，网络流量不应该如此之大，这说明在局域网中极可能有大量用户在使用P2P软件。