故障现象

单位工作环境中有两套网络，互联网和业务纯内网两套网络物理隔离。近期发现，业务网中的趋势杀毒软件客户端无法连接到服务器更新升级病毒库。代理商到现场查看情况后发现杀毒软件客户端配置无异常，而且在网络上与服务器也能正常通讯。重新删除安装客户端也不行，解决问题的思路到这里卡住了，我们决定抓包试一试。

故障排查

代理商指出，趋势客户端是通过TCP的8080、32307端口进行通信的（8080端口负责下发配置，32307端口负责病毒库的更新）。

实际的网络结构如图1所示，趋势杀毒客户端与趋势服务器为两个不同网段，中间通过三层核心交换机进行转发。客户端地址为192.168.20.254，服务器端地址为192.168.111.2。

图1 网络拓扑结构

我们在客户机上做了如下步骤的操作，并进行抓包。

1.在 客户 端 上Ping趋势防毒服务器192.168.111.2，访问正常。

2.在客户端上telnet趋势防毒服务器的192.168.111.2 的 8080、32307端口，访问正常。

至此，验证了之前的结论，可以排除是两端网络不通造成的故障。

接下来分析抓取的数据包。首先筛选出客户端IP地址192.168.20.254与趋势防毒服务器192.168.111.2的数据包。在分析数据包时，发现趋势客户端192.168.20.254与趋势防毒服务器192.168.111.2 的 8080、32307端口的数据包，但是数据包的数量只有两个。根据数据包时间判断，是之前客户端测试与服务器的连通性手工telnet端口产生的。

抓包看到的现象是不正常的，没有看到客户端与服务器之间的正常通讯包。那么趋势杀毒软件客户端与趋势杀毒服务器的通讯包去哪了呢？

在抓到的数据包中筛选出趋势客户端192.168.20.254端 口号为8080的数据包，发现客户端的请求发给了192.168.120.2这个地址。后经查实，这个地址是外网趋势服务器的地址，由于内外网隔离该地址无法访问。

故障解决

分析到这里我们恍然大悟。两套网络分别部署了两套趋势杀毒软件，而在客户端使用的安装文件是包含服务器IP配置的打包程序。如果装错了安装文件，趋势是无法连接服务器更新病毒库的。桌面运维人员在客户端安装趋势杀毒软件是搞混了两个网络对应的安装文件，导致大量终端无法更新病毒库。更换安装对应的杀毒软件。客户端问题解决了。

经验总结

通过解决这个问题，真心觉着当遇到稀奇古怪的问题时，可以抓包分析一下，本来半天才能解决的问题，抓包半小时就能解决了。

以上只是抓包解决问题的一个简单应用，当遇到网络性能问题时，根据协议的特点进行数据包分析，会让我们收获更多。