ftp传输不正常，请教tcpdump截取的一段ftp包所表达的意思

metalsky

100M局域网中有两台SUSE LINUX的机器，通过一个sisco的交换机互联\r\n故障：两台机器通过ftp接收数据很慢，只有20K，已经经过检查确认系统，网线，网卡驱动，双工状态均无问题，没有启用iptables防火墙。\r\n想通过tcpdump看是否能发现一些问题：\r\n14:57:19.661899 IP hostA.54163 > hostB.site.ftp-data: . 77976:79344(136 ack 1 win 32832 <nop,nop,timestamp 1187914877 1356043487>\r\n14:57:19.661995 IP hostB.site.ftp-data > hostA.54163: . ack 76608 win 32832 <nop,nop,timestamp 1356043493 1187914877>\r\n\r\n同时找两台正常的机器用tcpdump抓包，显示如下：\r\n15:07:06.948980 IP hostA.60297 > hostB.ftp: P 6:26(20) ack 50 win 5840 <nop,nop,timestamp 620660113 965202703>\r\n15:07:06.969877 IP hostB.ftp > hostA.60297: P 50:72(22) ack 26 win 5792 <nop,nop,timestamp 965202725 620660113>\r\n\r\n以上hostA 和hostB是假设的两台主机名，红字部分是有区别的地方，不知道是什么意思，是不是问题所在？\r\n之所以往这方面考虑，是因为在网上看到一片ARP错误的文章，也不太懂，在这里也顺便把内容摘抄如下，希望高手也能解释解释，谢谢了！\r\n＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃\r\n(2)网络安全中的ARP协议的故障\r\n　　先看故障现象，局域网中的一台采用solaris操作系统的服务器A-SERVER网络连接不正常，从任意主机上都无法ping通该服务器。排查：首先检查系统，系统本身工作正常，无特殊进程运行，cpu，内存利用率正常，无挂接任何形式的防火墙，网线正常。此时我们借助tcpdump来进行故障定位，首先我们将从B-CLIENT主机上执行ping命令，发送icmp数据包给A-SERVER，如下：\r\n[root@redhat log]# ping A-SERVER\r\nPING A-SERVER from B-CLIENT : 56(84) bytes of data.\r\n此时在A-SERVER启动tcpdump，对来自主机B-CLIENT的数据包进行捕获。\r\nA-SERVER# tcpdump host B-CLIENT\r\ntcpdump: listening on hme0\r\n16:32:32.611251 arp who-has A-SERVER tell B-CLIENT\r\n16:32:33.611425 arp who-has A-SERVER tell B-CLIENT\r\n16:32:34.611623 arp who-has A-SERVER tell B-CLIENT\r\n　　我们看到，没有收到预料中的ICMP报文，反而捕获到了B-CLIENT发送的arp广播包，由于主机B-CLIENT无法利用arp得到服务器A-SERVER的地址，因此反复询问A-SERVER的MAC地址，由此看来，高层的出问题的可能性不大，很可能在链路层有些问题，先来查查主机A-SERVER的arp表：\r\nA-SERVER# arp -a \r\nNet to Media Table\r\nDevice IP Address Mask Flags Phys Addr \r\n------ -------------------- --------------- ----- ---------------\r\nhme0 netgate 255.255.255.255 00:90:6d:f2:24:00\r\nhme0 A-SERVER 255.255.255.255 S 00:03:ba:08:b2:83\r\nhme0 BASE-ADDRESS.MCAST.NET 240.0.0.0 SM 01:00:5e:00:00:00\r\n　　请注意A-SERVER的Flags位置，我们看到了只有S标志。我们知道，solaris在arp实现中，arp的flags需要设置P标志，才能响应ARP requests。\r\n手工增加p位\r\nA-SERVER# arp -s A-SERVER 00:03:ba:08:b2:83 pub \r\n此时再调用arp -a看看\r\nA-SERVER# arp -a \r\nNet to Media Table\r\nDevice IP Address Mask Flags Phys Addr \r\n------ -------------------- --------------- ----- ---------------\r\nhme0 netgate 255.255.255.255 00:90:6d:f2:24:00\r\nhme0 A-SERVER 255.255.255.255 SP 00:03:ba:08:b2:83\r\nhme0 BASE-ADDRESS.MCAST.NET 240.0.0.0 SM 01:00:5e:00:00:00\r\n　　我们看到本机已经有了PS标志，此时再测试系统的网络连接恢复正常，问题得到解决。\n\n[ 本帖最后由 metalsky 于 2007-8-18 16:25 编辑 ]

ssffzz1

1、看看交换机有没有限速。\r\n2、FTP软件本身有没有限速。\r\n3、别的传输方式如NFS也慢吗？

metalsky

1。交换机检测到的是100M半双工，speed auto；且用一个笔记本替换ftp正常\r\n2。多台liunx和AIX机器用ftp试过，所以说软件应该没有问题\r\n3。其他传输方式也慢\r\n请问截取的那段tcpdump信息有没有问题？！\r\n14:57:19.661899 IP hostA.54163 > hostB.site.ftp-data: . 77976:79344(136 ack 1 win 32832 <nop,nop,timestamp 1187914877 1356043487>\r\n14:57:19.661995 IP hostB.site.ftp-data > hostA.54163: . ack 76608 win 32832 <nop,nop,timestamp 1356043493 1187914877>

ssffzz1

如果其他方式也慢，同时有确信软件无问题。那么从网卡开始换吧。

metalsky

因为是正式上线的系统，重启可能不太方便，而且同样问题的机器还不少。\r\n以前只是起iptables转发，所以没有影响，现在要接收数据，问题就发现了。\r\n另外，用netstat -i 可以发现RX-ERR错误包很多，而TX-DRP没有错误包\r\nIface   MTU Met   RX-OK RX-ERR RX-DRP RX-OVR   TX-OK TX-ERR TX-DRP TX-OVR Flg\r\neth0   1500       835011     73454      0       657107      5245656      0      0 BMNRU\r\n所以才想检查一下数据包的。

ssffzz1

如果错误包很多的话可以考虑如下：\r\n1、接口的双工模式正确吗？可以强制一下看看。\r\n2、线缆合格吗？\r\n3、附近有大的干扰吗？\r\n4、接口的硬件问题。

metalsky

网络周边环境已经检查，再次说明我的主要问题是：\r\n\r\n请问截取的那段tcpdump信息有没有问题，为何与正常ftp所截取的包在标志位有不同？谢谢！\r\n14:57:19.661899 IP hostA.54163 > hostB.site.ftp-data: . 77976:79344(136 ack 1 win 32832 <nop,nop,timestamp 1187914877 1356043487>\r\n14:57:19.661995 IP hostB.site.ftp-data > hostA.54163: . ack 76608 win 32832 <nop,nop,timestamp 1356043493 1187914877>

ssffzz1

P标志代表PUSH，指示协议栈将数据立即提交给应用程序，而不管缓存中是否有后续的数据。当缓存中的数据发送完毕时会有此标志出现，但是各种版本的协议栈处理的不一样。\r\n\r\n单凭这几个包不能确定原因。你两台机器有没有调整过协议栈参数的地方。\r\n有很多的RX ERROR表明链路层及以下存在问题。

chinese_ys

你确定suse的网卡的工作模式和交换一样吗？最好确认一下。\r\n从你抓的包来看，P就是push，相应的包需要优先处理。有丢报重传发生，换网线再试试。还有你最好能把交换机的配置贴出来看看。

metalsky

交换机是一个cisco的普通2层交换机，上面没有配置，故障出现时才对相关网口检查并设置了工作模式。当时的情况是：SUSE自动检测的是eth0: 100 Mbit, half duplex, link ok，交换机上是100M ,AUTO。更改suse为全双工和交换机全双工等都没有用，最后保持在两边手工100M半双工。同时，又找了台笔记本接入，发现ftp发，收均正常5M/s，不过仍然有很多RX ERROR。\r\n   现在把交换机换了，全部正常了，应该是交换机出现故障。\r\n   问题虽然解决，但是事后思考：能不能通分析数据包方式来主动定位故障点，既然接收主机报数据包错，肯定是收到的数据有问题！