在网络日益发展的今天,网络数据的监测分析已经成为企业用户解决网络问题,保障网络安全的重要手段。然而,由于受到网络结构、网络技术、网络设备、传输线路和用户应用等多种条件的限制,如何将监测和分析工具在不影响网络应用的前提下,快速、准确、安全地连接到被测网络中,成为网络维护人员面对的挑战。
现在的网络几乎全部采用交换技术,交换机每个端口上的设备独享10M/100M、甚至1000M的带宽,它们之间的通信需要经过交换机依据ARP表进行数据转发。交换机各端口上的设备只能收到符合自己MAC地址的数据包、组播和广播包。在这种工作方法下,将分析工具直接接入交换机的某个端口,是根本无法看到同*台交换机上其他端口间的数据通讯的,只能获取到广播数据以及分析工具主动查询的应答单播数据。这些数据不足以为网络监测和故障诊断提供必要的分析数据。在这种情况下,有三种方式可以帮助网络维护人员利用分析工具获取到足够的数据包进行分析:集线器(HUB),镜像(SPAN),在线分路器(TAP)。
在交换技术出现之前,通过集线器(HUB)是*早获取网络数据的方法。HUB是共享带宽,每个端口具有相同的数据流量。这样把分析工具接到集线器上任意端口,就可以获取到所需的数据进行分析了。测试仪借助HUB接入网络分析数据的结构图如下图所示:
HUB方法实现简单,成本低,但是在目前交换网络环境下,网络中几乎不存在HUB这种设备了,所以在使用这种方法的时候,需要注意以下几点:
-
第*,HUB只适合获取桌面*网络的数据,例如10M,100M网络;
-
第二,需要把HUB串接到需要捕获数据包的通路上,在串接的过程中,会中断网络;
-
第三,HUB无千兆及光纤接口,所以不能获取千兆及光纤网络的数据;
-
第四,HUB工作在半双工模式,把HUB连接到网络中,必须把对端交换机接口也设置为半双工模式。
HUB适合低速的网络,获取少量的数据包时可以使用。那么在获取高速及大量数据的时候就需要使用SPAN和TAP方法。镜像是交换机支持的*种功能,它可以将流经指定端口的所有数据都复制到交换机上的另外*个端口,即镜像端口,然后把分析工具接在镜像端口,分析工具就获取到所需的数据了。镜像实现起来也很简单,只要在交换机上配置几条命令就可以了。测试仪通过连接镜像端口分析数据的结构图如下图所示:
SPAN这种方法是通过交换机本身功能帮助网络维护人员获取了所需的数据,不需要任何投资,而在使用SPAN时,又需要注意哪些事项呢?第*,保证镜像端口的线速等于或高于被监测端口的线速,防止数据过载,造成数据包丢失。第二,SPAN功能会增加交换机的负荷,占用交换机的CPU,内存等系统资源,致使交换机性能下降,所以在获取到足够的数据后,需要去除SPAN功能。第三,由于不同交换机转发机制不同,有的交换机SPAN功能会自动丢弃错误的数据包,致使无法获取到错误的数据包,而错误的数据包能为解决网络问题提供重要依据。
HUB和SPAN方法在获取网络数据上都存在缺陷,针对这些缺陷,在线分路器(TAP)方法表现出了它独特的*势,给网络监测分析提供了*种全新的视角,被广泛的采用,是目前*流行的*种获取网络数据的方法。TAP是容错设计的硬件设备,使用TAP时,需要预*串接到被监测的链路中,TAP会把网络数据复制到它的另外*个或多个端口上供不同分析工具进行分析;即使在断电的情况下TAP也不会影响运行的网络;分析工具与TAP之间的连接即插即用,监测方便;同时TAP提供多个电口(10/100/1000M)和光口(1000M单模和多模)以及光电组合的接口来适应不同的网络结构。
目前,TAP主要有以下几种类型,来实现不同的监测需求。
在线TAP:安装于两台网络设备之间的 LAN 或 WAN 链路上,用于即时分析网络流量。当分析工具接入TAP端口进行实时分析时,不占用任何网络资源,但在同*时间只能监测单向(上行或下行)的数据流量。测试仪通过在线TAP分析网络数据的结构图如下图所示:
汇聚TAP:安装方法类似在线TAP。然而,汇聚TAP可以将*条或多条链路的全双工数据合并到单*数据流中供分析工具分析,这样避免了在线TAP只能分析单向数据的缺点。测试仪通过汇聚TAP分析网络数据的结构图如下图所示:
过滤汇聚TAP:为全双工多链路流量分析提供线速端口*过滤。采用基于硬件的过滤,只转发相关的数据,消除了全双工链路中数据超载的可能性,通过自定义过滤条件,获取*关心的数据。 测试仪通过过滤汇聚TAP分析网络数据的结构图如下图所示:
在借助TAP分析网络数据的时候,需要注意以下三点:第*,TAP主要用于对骨干链路数据的获取(当然也可以用于其他链路),但使用时需要预*布放到链路中,避免监测骨干链路时再串接TAP而引起中断网络的情况发生;第二,被监测的链路流量不要超过TAP端口的线速,防止数据包过载而丢失。第三,不同的TAP组合起来使用,可以实现更高要求的数据监测,这*点往往容易被网络维护人员所忽视。
HUB和SPAN的方法,几乎所有的网络维护人员都能熟练使用了,在这里就不多说了。下面举*个关于TAP方法的案例:
某数据中心拥有两条Trunk链路,*条链路用于客户端到服务器的上行通信,*条用于服务器到客户端的下行通信。*近有客户反映访问服务器很慢,网络管理员对网络带宽,协议,利用率等分析,没有发现异常。于是该数据中心网络管理员需要获取客户端与服务器的通信数据来分析,但他遇到的困难是:利用交换机的镜像功能,只能获取到客户端与服务器之间的上行或下行的数据,不能同时获取,于是向安恒网络测试服务中心寻求帮助。安恒网络测试服务中心提供的方案是:把*个多端口千兆汇聚TAP串接在两条链路上,把经过两条链路的所有数据汇聚到TAP上另外*个端口上供OptiView分析。通过这种方法,很快解决了访问慢的问题。其测试仪接入网络分析数据的网络结构如下图:
通过上面的分析,网络维护人员在使用测试仪分析网络数据的接入方式上,可以结合实际的网络环境,选择适合的方式进行监测分析,如有需要,也可以联系安恒公司寻求产品或技术支持,达到解决网络问题,保障网络安全的目的。
欢迎致电安恒公司:010-88018877