1. 背景

某电气化局的用户反馈，近期视频系统在使用过程中出现频繁中断的情况，这种情况影响到用户的视频体验和工作效率。

针对此问题，我们将NetInside流量分析系统部署到电气化局机房，使用流量分析系统提供实时和历史原始流量。重点针对电气化局的视频系统进行故障分析，找出视频系统中断的具体原因。

2. 故障现象

通过用户反馈2023年2月8日7点20分出现视频中断情况，通过视频系统管理端看到视频流量有断开的情况，如下图：

3. 故障分析

针对此问题，我们来进行详细分析。

3.1. 分析设备流量采集图

与现场网络人员沟通，了解真实网络结构，以下是视频会议的流量采集图：

流量采集图主要为：1台视频系统客户端，1台视频系统服务器，1台核心交换机；

视频系统客户端和视频系统服务器下方标注显示对应的MAC地址；

核心交换机分别标注显示对应的两个口的MAC地址；

核心交换机通过镜像方式将流量给到流量分析系统。

3.2. 分析思路

1、流量分析系统里找到异常数据包，下载数据包。

2、打开数据包，找到异常时间点的数据包内容。

3、分析视频数据包的协议和详细内容。

3.3. 详细分析

数据包下载

根据流量分析系统迅速找到异常节点，对数据包进行下载。

流量分析

流量分析系统对镜像后的流量进行去重功能，所以分析系统仅获取XXX.XXX.106.11发送到核心交换机的流量，及XXX.XXX.30.106发送到核心交换机上的流量。

正常传输

通过数据包分析看到，客户端XXX.XXX.106.11发给服务器XXX.XXX.30.106的mac地址为：Src：HuaweiXX_XX:00:26   ————>   dst：HuaweiXX_XX:78:01。

通过数据包分析看到，服务器XXX.XXX.30.106发给客户端XXX.XXX.106.11的mac地址为：Dst：HuaweiXX_XX:78:0f   <————    src：EdgeXX_XX:12:a8。

数据包内的TTL为64。

同时数据包带有VLAN协议，VLAN ID为59。

异常传输

通过数据包分析看到，视频中断时间点发现RST，数据包MAC地址异常，服务器XXX.XXX.30.106发给客户端XXX.XXX.106.11的mac地址为：src：HuaweiXX_XX:78:01，dst：HuaweiXX_XX:00:26，正常应为src：EdgeXX_XX:12:a8，dst：HuaweiXX_XX:78:0f。

数据包内的TTL为127。

未发现VLAN协议。

以上对比发现，异常数据包MAC地址异常，没有VLAN协议，TTL跳数异常。

4. 分析结论

通过以上系统分析发现，出现视频中断时，网络里出现异常的RST的数据包，致使通信双方TCP连接中断。

5. 建议

通过对电气化局的视频数据分析，发现网络上存在异常报文，建议结合网络实际情况做进一步分析。