跳转至主要内容

很多时候,当我在处理一个问题时,我会要求人们给我发送一个网络跟踪。网络跟踪通常会指出问题的根本原因。 至少,它可以将问题空间缩小到可以管理的程度。例如,当一台网络打印机开始打印垃圾时,我们花了好几天的时间来研究TTP;当我们最终得到网络跟踪时,我们发现我们发送的文本非常好;问题出在打印机上。在另一个案例中,相隔几千英里的模块之间的OSL性能问题似乎是一个网络问题,但跟踪结果清楚地显示,问题出在服务器模块上。 如果不是因为网络跟踪,我还会继续处理这两个问题。

如何获得网络跟踪?有三种可能。

包监测器

VOS的packet_monitor命令,有一些限制,允许你监控模块向网络发送和接收的所有东西。参见http://community。stratus.com/blog/openvos/getting-most-out-packetmonitor和http://stratadoc。stratus.com/vos/17.0.1/r419-09/wwhelp/wwhimpl/js/html/wwhelp.htm?context=r419-09&file=ch9r419-09i.html了解更多信息。

packet_monitor 命令有几个限制。您不能100%确定一个被报告为已发送的帧确实被发送了。例如,适配器上的错误可能会阻止帧的发送。此外,接收到的有错误的帧,如CRC错误,将不会被发送到上游,以便packet_monitor可以看到它们。因为packet_monitor不会将适配器置于混杂模式,所以只有那些发送到适配器或广播地址的帧才会被上传到上游。一条链路可能有90%的繁忙,而packet_monitor每秒只报告1个帧,因为这是唯一指向适配器或广播地址的帧。

一般来说,基于主机的监控器,如packet_monitor,只作为其他形式的跟踪的补充,或者当没有其他形式的网络跟踪时才有用。
端口镜像又名SPAN(Switch Port for ANalysis)端口

镜像或跨端口是交换机上的一个端口,它可以复制在交换机的一个或多个端口(甚至在VLAN上)上看到的所有流量。镜像端口必须连接到网络监控设备。这个设备可以是一个特殊用途的设备,也可以是一台运行Linux或Microsoft Windows的PC,并带有基于主机的监视器,如Wireshark(http://www.wireshark.org/)或tcpdump。镜像端口的设置非常简单,只需要在交换机上输入几个命令即可。

不幸的是,使用镜像端口有几个主要的缺点。首先,必须正确配置端口。配置不正确的端口可能会导致网络跟踪中漏掉或重复的帧。第二,交换机不会复制任何类型错误的帧,所以这些帧不会被追踪。第三,繁忙的交换机可能会丢弃帧,而不是将它们复制到镜像端口。第四,一个镜像端口如果接受来自整个VLAN的帧,或者来自多个交换机端口的帧,甚至只是一个全双工端口的帧,可能会过载,从而丢掉一些帧。第五,交换机和主机之间引入的错误,连接在完全不同的交换机端口上的网络监控应用无法看到。同样的道理,在镜像端口和网络应用之间引入的错误将使网络应用歪曲主机从交换机实际接收到的信息。
网络窃听

分路器是连接在交换机和主机之间的无源设备;它们从字面上看是接入网络连接。与镜像端口一样,它们必须连接到网络设备,但它们的缺点比镜像端口少。

首先,一般不需要配置,只要插上电源就可以使用。其次,更高级的分路器只依靠电源将帧复制到监控端口.并有双电源以确保复制活动的可靠性。 如果它们的电源发生故障,这些分路器将继续在网口之间转发帧,只是复制活动停止。第三,一个分路器只有1个功能,就是复制和转发帧给网络监控应用。一个tap被大量流量淹没的可能性要小得多。另外,汇聚分路器有缓冲空间,因此可以在全双工链路上转发大量流量而不掉帧。当然.持续的高速率仍然可能会使缓冲区不堪重负。聚合分路器还可以让你组合多个输入。例如,一个双端口设备可以让你同时监控一对双工适配器的活动和备用适配器。这样可以确保即使在适配器出现故障切换时也能持续监控。最后,通过将分路器连接到主适配器上,您可以最好地保证网络监控应用将看到离开主适配器的所有帧和从交换机到达主适配器的所有帧。

很多分路器与镜像端口有一个共同的缺点,就是会掉落损坏的帧。由于许多网络监控设备,特别是那些只是带有现成以太网硬件的PC,也会掉落损坏的帧,所以分路器的制造商并不认为这是一个严重的故障。

关于分路器与交换机端口的更多评论,请查看 http://www.lovemytool.com/blog/2007/08/span-ports-or-t.htmlhttp://taosecurity.blogspot.com/2009/01/why-network-taps.html或在您喜欢的搜索引擎中输入"网络分路器和跨端口"。
监控的挑战

第一个挑战是何时监控和监控多长时间。理想情况下,生产系统中的关键网络链路应该被持续监控。在问题发生的第一时间捕捉到问题,并掌握网络跟踪,比遇到问题,设置监控,并试图复制它或等待它再次发生要快得多。跟踪文件可能很大,在千兆链路上50%的负载,每秒大约会产生62.5兆字节或每分钟3.75兆字节的跟踪文件。跟踪文件的保存时间不必超过最坏情况下的响应时间。如果您可以在一小时内对报告的问题做出响应,那么您只需要保存一小时的跟踪数据。你保存的跟踪数据越多,你就有更多的余地来做出响应,或者认识到有一个问题需要调查。 大型磁盘的价格相当便宜,至少与中断的成本相比是如此,所以可以考虑购买一个或多个TB大小的磁盘驱动器来保存跟踪数据。

当使用跨端口时,保持这种级别的监控可能是困难的。在一个复杂的网络中,网络管理员会被拉到很多方向,而维持一个跨端口和持续的监控,以防出现问题,可能是很困难的。

另一方面,安装在主机旁边的网络窃听器是专门用于该主机的。你可以购买一个复杂的网络监控设备,或者你可以使用一台基本的PC,配备一个1TB的硬盘,运行Linux或Windows,并运行tshark程序(wireshark的非GUI界面)。这个设置将为你提供266分钟的跟踪数据(假设数据传输速率为500 mbps),完全可以满足大多数目的。 如果你四处购买的话,你可以用不到100美元的价格购买一个1TB的硬盘。

底层网络的健康状况对持续可用的应用程序至关重要。 努力在日常基础上准确地跟踪网络活动。 当问题出现时,您将能够快速解决它们,而无需等待它们再次出现。 作为额外的奖励,您还可以分析跟踪数据,并了解有关您的网络的事情,这是以前隐藏的数据包。

© 2024Stratus Technologies.