路由器一般故障到特殊故障的解决13

路由器一般故障到特殊故障的解决13

　. 48181:49641(1460) ack 0 win 16336 (DF)

　　15:57:17.518043 IP 220.198.22.202.3196 > 222.222.222.99.8882:

　　. 137236:138676(1440) ack 260501 win 64800 (DF)

　　15:57:17.518162 IP 218.79.246.212.64627 > 222.222.222.191.16881:

　　S 2898301189:2898301189(0) win 64240 (DF)

　　15:57:17.518558 IP 209.24.79.200> 218.79.246.212: icmp 36:

　　host 222.222.222.191 unreachable (DF)

　　………..

　　（上面的记录已做过筛选。第一句的参数“-N”表示IP地址或者端口号转换为主机名或端口名，第二句表示windump开始在所选网卡上监听，第三句开始就是WINDUMP记录的信息。）

　　同样在计算机B上也运行WINDUMP：

　　 C:> WINDUMP –N

　　windump30alpha: listening on DeviceNPF_{911DB410-C01E-49E8-B524-50132C6A56B4}

　　…………

　　15:57:54.695935 arp who-has 222.222.222.191 tell 222.222.222.1

　　15:57:55.191475 arp who-has 222.222.222.136 tell 222.222.222.1

　　15:57:57.033354 arp who-has 222.222.222.210 tell 222.222.222.1

　　15:57:57.039057 arp who-has 222.222.222.69 tell 222.222.222.1

　　…………（已作筛选）

　　查看路由器上的日志，我任意找到其中一条关于ICMP的记录：

　　Jul 09 15:51:50 %ACL_LOG-I-PERMIT, ACL [out]

　　on "uplink" ICMP 210.29.42.70 -> 218.79.246.212

　　经查，在计算机A上采集的数据中，有几条记录（最后两条）包含“218.79.246.212”的IP和此记录匹配。从这两句的记录来看，第一行表明从218.79.246.212的tcp端口64627向222.222.222.191的16881端口发送报文。S标志表明设置了SYN标志，报文的流序号是2898301189，没有数据，有效的接收窗口是4096字节，最大段大小(max-segment-size)的选项，请求设置mss为1452字节。很明显，这是一个请求报文。而第二句表明路由器给218.79.246.212返回了一个“unreachable（主机不可达）”ICMP 信息。这说明在这个网段中没有找到IP地址为“222.222.222.191”的计算机。