隨着互聯網多層次性、多樣性的發展,網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用,擴展成爲運行大量在線遊戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和複雜性,因此,這些應用對我們的網絡服務質量要求更爲嚴格和苛刻。
硬件環境(網吧):
100M網絡環境下,92臺終端數量,主交換採用D-LINK(友訊)DES-3226S二層交換機(支持端口鏡像功能),級聯普通傻瓜型交換機。光纖10M接入,華爲2620做爲接入網關。
軟件環境:
操 作系統Windows2003 Server企業標準版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI協議分析軟件-Sniffer Portable 4.75(本文選用網絡上較容易下載到的版本做爲測試)
環境要求:
1、如果需要監控全網流量,安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機,網卡接入端需要位於主交換鏡像端口位置。(監控所有流經此網卡的數據)
2、Snffier pro 475僅支持10M、100M、10/100M網卡,對於千M網卡,請安裝SP5補丁,或4.8及更高的版本
網絡拓撲:
圖 |
監控目的:通過Sniffer Pro實時監控,及時發現網絡環境中的故障(例如病毒、***、流量超限等非正常行爲)。對於很多企業、網吧網絡環境中,網關(路由、代理等)自身不具備流 量監控、查詢功能,本文將是一個很好的解決方案。Sniffer Pro強大的實用功能還包括:網內任意終端流量實時查詢、網內終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時,我們將數據包捕獲後, 通過Sniffer Pro的專家分析系統幫助我們更進一步分析數據包,以助更好的分析、解決網絡異常問題。
以DES-3226S二層交換機爲例,我們來通過WEB方式配置端口鏡像(也可用CLI命令行模式配置)。如果您的設備不支持WEB方式配置,請參考相關用戶手冊。
1.DES-3226S默認登陸IP爲:10.90.90.90 因此,需要您配置本機IP爲相同網段纔可通過瀏覽器訪問WEB界面。
如圖(1)所示:
圖1 |
3.如圖(2)所示,主界面上方以圖形方式模擬交換機界面,其中綠色燈亮起表示此端口正在使用。下方文字列出交換機的一些基本信息。
圖2 |
圖3 |
此時所有的端口數據都將複製一份到Port-1。(如圖4)
圖4 |
Sniffer Pro 安裝過程與其它應用軟件沒有什麼太大的區別,在安裝過程中需要注意的是:
①Sniffer Pro 安裝大約佔用70M左右的硬盤空間。
②安裝完畢Sniffer Pro後,會自動在網卡上加載Sniffer Pro 特殊的驅動程序(如圖5)。
③安裝的最後將提示填入相關信息及序列號,正確填寫完畢,安裝程序需要重新啓動計算機。
④對於英文不好的管理員可以下載網上的漢化補丁。
圖5 |
具體位於:File->Select Settings->New
名稱自定義、選擇所在網卡下拉菜單,點擊確定即可。(如圖6)
圖6 |
下面以圖文的方式介紹,如何查詢網關(路由、代理:219.*.238.65)流量,這也是最爲常用、重要的查詢之一。
1. 掃描IP-MAC對應關係。這樣做是爲了在查詢流量時,方便判斷具體流量終端的位置,MAC地址不如IP地址方便。
選 擇菜單欄中Tools->Address Book 點擊左邊的放大鏡(autodiscovery 掃描)在彈出的窗口中輸入您所要掃描的IP地址段,本例輸入:219.*.238.64-219.*.238.159點擊OK,系統會自動掃描IP- MAC對應關係。掃描完畢後,點擊DataBase->Save Address Book 系統會自動保存對應關係,以備以後使用。(如圖7)
圖7 |
圖8 |
圖9 |
219.*.238.65(網關)流量TOP-10 此圖爲實時流量圖。在此之前如果我們沒有做掃描IP(Address Book)的工作,右邊將會以網卡物理地址-MAC地址的方式顯示,現在轉換爲IP地址形式(或計算機名),現在很容易定位終端所在位置。流量以3D柱形 圖的方式動態顯示,其中最左邊綠色柱形圖與網關流量最大,其它依次減小。本圖中219.*.238.93與網關流量最大,且與其它終端流量差距懸殊,如果 這個時候網絡出現問題,可以重點檢查此IP是否有大流量相關的操作。
如圖(10)所示,網關與內網間的所有流量都在這裏動態的顯示。
圖10 |
綠色線條狀態爲:正在通訊中
暗藍色線條狀態爲:通信中斷
線條的粗細與流量的大小成正比
如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小(包括接收、發送)、並自動計算流量佔當前網絡的百分比。
PIE:餅圖的方式顯示TOP 10的流量佔用百分比。
Detail:將Protocol(協議類型)、From Host(原主機)、in/out packets/bytes(接收、發送字節數、包數)等字段信息以二維表格的方式顯示。
1.爲了進一步分析219.*.238.93的異常情況,我們切換至基於IP層的流量統計圖中看看。
點擊菜單欄中的Monitor->Host Table,選擇Host Table界面左下角的MAC-IP-IPX中的IP。
圖11 |
圖12 |
圖13 |
圖14 |
圖15 |
現在,協議類型大部分都轉換爲bitcom,這樣我們就可以斷定,此終端正在用bitcomet做大量上傳、下載行爲。
1.什麼是端口鏡像?
把交換機一個或多個端口(VLAN)的數據鏡像到一個或多個端口的方法。
交換機的工作原理與HUB有很大的不同,HUB組建的網絡數據交換都是通過廣播方式進行的,而交換機組建的網 絡是根據交換機內部CAM表(通常也稱IP-MAC表)進行數據轉發,因此需要通過配置交換機來把一個或多個端口(VLAN)的數據轉發到某一個端口來實 現對網絡的監聽。
①Port Mirroring 通常指允許把一個端口的流量複製到另外一個端口,同時這個端口不能再傳輸數據。
②Monitoring Port 監控端口
③panning Port 通常指允許把所有端口的流量複製到另外一個端口,同時這個端口不能再傳輸數據。
④PAN Port 在 Cisco 產品中,SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 端口不支持傳輸數據。