1. 環境簡介
　　這是一個實際發生的網絡利用率異常導致網絡大量丟包的案例，用戶的網絡丟包現象很嚴重，給用戶造成了很大的困擾。
2. 網絡環境
　　用戶的網絡是一個省級網絡環境，包括局域網和廣域網，并同全國的廣域網絡相連。網絡拓撲如下：

3.網絡異常現象
    該網絡丟包現象嚴重，假如通過省局域網向地市網絡或全國網絡發包，每發出10個PING包將只能收到7個REPLY包，這樣，基于網絡的應用受到很大的影響。
4.找出產生網絡流量最大的主機
    我們同樣利用Sniffer的Host Table功能，將該網絡所有計算機產生的網絡流量按照發出數據包的包數多少進行排序，結果如下圖。

　　從上圖中我們看到，ip地址為10.22.0.25的主機發出數據包最多，遠遠超過了其他主機，相應產生的流量也最大。
5.分析這臺主機的網絡流量
　　首先我們分析該主機的網絡流量流向，也就是分析它在向誰發包，我們利用Sniffer的Matrix功能來監控。

    通過Sniffer的Matrix，我們發現IP地址為10.22.0.25的主機發出的數據包很分散，我們調查了一下，發現IP地址為10.22.0.25的主機為該網絡的網絡治理系統主機，而它發包的對象是該網絡中地市級路由器的IP地址，也就是說網絡的網管主機向地市路由器發出大量的網絡包，導致網絡流量異常并導致網絡大量丟包，使網絡處于不穩定狀態。
    在發現這個問題后，我們將該網管主機的網絡連接解除，發現網絡馬上恢復到了正常狀態，不在有丟包現象發生，看起來這個網絡的問題完全是由這臺網管主機引起的一樣，但這種現象非常難以理解，為什么網管主機會造成網絡問題呢。
    我們利用Sniffer的Decode功能將捕捉到的網絡流量解碼，來分析網管主機發出的數據包的內容，看看到底它發出了什么樣的數據包。

    我們通過Sniffer的Decode發現這臺網絡主機向網絡中地市路由器發送大量的ICMP Echo數據包，也就是Ping包，我們對其向10.22.127.246發送的ICMP Echo包進行分析，發現了希奇的現象。
    我們對我們捕捉的由10.22.0.25向10.22.127.246發送的ICMP Echo包其中相鄰的數據包進行解碼分析，圖19為其發出的第739個數據包，上圖為其發出的第740個數據包，我們發現這兩個包的IP Identification是一樣的，都是15633，每個IP包都會有一個特定的Identification來標志其唯一性，這說明我們捕捉到的這兩個數據包其實是同一個IP包。

　　而捕捉到的這個數據包的Time to live也就是TTL值一個為251，另一個為250，TTL為IP包的生存時間，每經過一個路由處理，TTL值就會被減一，直至到0后被路由器丟掉。
　　我們看到其他的數據包也是同樣的情況，這個IP ID為15663的數據包不斷在網絡中出現，直到TTL值減到0，這種現象清楚的表明，網絡里存在著路由環，發向10.22.127.246的數據包是在路由器間不斷的互相傳遞，最終被丟掉，這種現象也可以成為路由乒乓現象，出現路由環后，一個數據包將重復在網絡中傳送，而且瞬時流量會異常的大，造成網絡異常，這正和該網絡的網絡異常現象相吻合。
　　為什么會出現路由環呢，我們對其網絡進行了具體的了解，發現其在路由器中設置了大量的靜態路由，其路由設置如下圖所示。

　　從上圖中我們可以看出，假如二級網路由器同地市網絡路由器之間的DDN網絡連接一旦中斷，二級網路由器中所設的指向地市網絡路由器的靜態路由就會由于端口狀態問題而無效，而其到各地市網段的路由指向就會采用缺省路由指向而指回省局域網交換機，這樣路由的乒乓現象就形成了。
事實上當時的地市網絡并未調通，但網絡的路由都已經設置完成了，同時各地市路由器的IP地址已經添加到了網管系統中，網管系統在固定的時間間隔內向這些路由器發出ICMP包，驗證這些路由器是否能夠訪問到，而這些ICMP包卻在省局域網交換機和二級網路由器間被放大形成乒乓現象，造成網絡丟包現象嚴重。
　　這個案例告訴我們，在配置靜態路由時要非常小心，最好不要在網絡配置中采用靜態路由。