故障地点：上海某某百货局域网
故障现象：严重通讯障碍，客户机之间ping包掉包严重，甚至POS机也不能正常通讯，用户很难完成付款操作。
详细描述：
 整个网络间断性出现网络通讯中断，造成经常性的客户机应用延迟和上网缓慢。在主机房中进行ping包测试时发现，主机房客户机对主交换机的管理地址的ping包也会发生间隙性掉包。主机房客户机对各个楼面交换机通讯的通讯中断情况更加严重。

初步经验性问题判断为：可能性

    1）ARP表更新问题
    2）广播故障
    3）路由表更新故障
    4）病毒攻击及其他安全状况
需要获取的进一步信息是，1) ARP表信息  2) 交换机负载  3) 通讯数据捕获

进行了简单的ARP测试，发现更新ARP正常; 由于交换机反应缓慢，操作超时，无法准确获得当前负载数据。
选择主交换上一网络端口接入测试用笔记本，启动协议分析工具。
接入端口没有做镜像，接入后发现每秒钟接收到数据报文数量平均8000个，最高达到每秒14000个。按此推算，每台交换机背板每秒可能交换336000多个封包，这可能是造成交换机处理器被严重占用，造成间歇性丢包的直接原因。

由于交换机端口没有做镜像，可以认为当前的接收到的数据主要为广播通讯。利用协议分析工具捕获解码后，可以得到以下结果。

 主要的协议通讯都是广播通讯。包括ARP 广播、SMB广播和Name SVC广播。
 
几乎所有的封包大小都小于255字节。所以尽管封包数量很大，但是总体字节数不多，吞吐量较小，在一些只记录流量的软件系统中，不能准确发现这个问题的危害。

转载地址：http://www.net130.com/CMS/Pub/network/network_manage/2005_10_15_8242.htm