[第147期] 為你的企業網絡把脈,構建健康通暢企業網
原創隨著信息化和互聯網的普及發展網絡規模不斷擴張,使用網絡的人群越來越復雜,由此導致網絡環境也越來越繁雜,各種網絡故障以及網絡安全事件頻繁發生。另一方面,網管人員由于不了解網絡全景信息,不能全面掌握越來越多的網絡設備和產品應用,在網絡管理措施處理上比較盲目,由此嚴重影響了網絡健康維護。怎么樣快速有效的排查解決故障?怎么樣使網絡管理更具有時效性?怎么樣將網絡危害降低到最低點呢?歐美等成熟IT市場網絡管理方法特別值得借鑒。
技術門診是51CTO社區品牌欄目,每周邀請一位客座專家,為廣大技術網友解答疑問。從熱門技術到前沿知識,從技術答疑到職業規劃。每期一個主題,站在最新最熱的技術前沿為你引航!
本期門診特邀請科來軟件中國區技術總監高彥剛與我們大家分享解析如何更好的管理企業網絡、分析網絡環境的健康狀況等。
姓 名:高彥剛
擅長領域:網絡分析、網絡管理
科來軟件中國區技術總監。13年的金融、電信、政府等行業大客戶技術服務經驗與網絡及應用分析技術經驗,熟悉網絡分析技術的最新現狀與發展趨勢。曾任職于NetScout公司、Network General、清華紫光等IT企業。著有《實用網絡流量分析技術》。
查看本期門診精彩實錄:http://doctor.51cto.com/develop-160.html
參與最新技術門診:http://doctor.51cto.com/
精選本期網友提問與專家解答,以供網友學習參考。
Q:專家好,我們在實際工作中,網絡突然緩慢,在非常重要的時間段給我們響應時間只有寶貴的十幾分鐘。蠕蟲病毒對網絡速度的影響越來越嚴重,它們導致被感染的用戶只要一連上網就不停地往外發郵件,病毒選擇用戶PC中的隨機文檔附加在用戶的通訊簿上,通過隨機地址進行郵件發送。成百上千的這種垃圾郵件有的排著隊往外發送,有的又成批地被退回來堆在服務器上。造成網骨干線路出現明顯擁塞,甚至在蠕蟲泛濫的局域網中,癱瘓的事件屢有發生。 我們 這時候應該怎么妥善的處理與應急呢?
A: 你好!蠕蟲病毒泛濫確實會對網絡性能造成嚴重影響,感染蠕蟲病毒的主機會向網絡中大量發送數據包導致網絡性能下降,甚至造成網絡癱瘓。這些感染蠕蟲病毒的主機一般其網絡流量特征非常明顯,大多是大量發送數據包,和大量主機通訊,同時發包數遠遠高于收報數,在網絡性能嚴重下降的時候,我們可以通過流量分析工具快速找到具備這些流量特征的主機,從而迅速定位疑似感染蠕蟲病毒的主機進行隔離殺毒。另外,我們在實際的網絡管理工作中,建立日常的網絡分析機制是非常必要的,能做到及時發現行為異常的主機并處理,從而避免過多的異常流量主機造成網絡的性能嚴重下降甚至癱瘓。
Q:請問專家:一般遇到網絡過慢,流量過低的情況該如何入手,有那幾個步驟呢?另外為了保證公司網絡的通常我們應該做好那些的基礎工作?
A:一般說的造成網絡過慢原因非常多,很多網絡用戶把應用訪問慢、甚至客戶端本身反應慢都說成是網絡太慢。網絡技術人員遇到這種情況,首先要詳細了解慢的現象,就像醫生看病一樣,如果你指告訴醫生疼,他連你哪疼都不知道,診斷就無從談起。一般網絡過慢,我們應該了解運行什么應用的時候慢,訪問哪些服務慢、有多慢?等等。
在詳細了解慢的現象后,我們需要針對性的去分析,比如說對訪問一個web server慢進行分析,我們需要針對性的捕獲訪問數據,有的時候要在網絡中多點捕獲數據,通過訪問數據的特點來判斷是服務器響應慢還是網絡時延或者網絡丟包等原因造成的慢。
掌握好分析方法和分析技術是非常重要的,在這方面我們科來提供高級的分析技術認證培訓,能有效的提高技術人員的分析能力。
保證公司網絡需要做的基礎工作很多,尤其是一個大的關鍵的企業級網絡,但最基本的是我們的技術人員要對我們的網絡系統建立深層次的了解,不僅僅是網絡設備和拓撲,還要包括主要應用特點、流量特性等等,深入的了解是做好網絡管理的基礎。
Q:高老師:您好! 請問大型網絡一般用什么進行流量監控\分析\數據包分析等,流量\數據包等異常報警?
A:你好!大型網絡的流量監控分析需求比較復雜,針對核心網絡、廣域網、接入網、IDC網絡的流量分析需求都不一樣,目前的流量監控分析系統種類也很多,包括通過網絡設備本身提供的flow進行流量監控的,包括直接通過分析數據包進行監控分析的,有的設備分析針對性很強的比如專門的入侵檢測分析和行為審計分析等。一般來講,需要針對性的分析不同的需求,部署不同的分析設備來進行監控分析報警。
比如說在Internet出口鏈路上分析,那主要的需求就是分析帶寬的占用、有沒有異常流量、有沒有攻擊、主要的smtp、http等服務的運行質量等。這樣就需要專用的分析系統來做。如果是一些廣域網的,主要需求是監控統計帶寬的占用情況,做容量規劃,可以采用基于flow的方式來統計分析。
Q:高老師,你好,我最近在工作中遇到一個問題,想請您解惑。理論上網關設置錯誤應該不能和其他網段發生通信。但是我公司現在出現一種現象,就是網關設置錯誤,也照樣可以訪問局域網的其他網段和上互聯網。
例如,網絡設置是這樣 IP 192.168.3.1 子網掩碼是 255.255.255.0 網關應該是192.168.3.254,但是現在我就算設置成192.168.8.112都照樣沒有問題(我們公司有8網段,但是這個IP地址沒有任何設備使用)。如果網關空,則不能和其他網段發生通信,請問這會是什么問題?
A:這取決于你的三層交換機的工作原理,如果對不是本網段ip的arp請求也回應成網關的mac,那不管把網關地址設成什么(非本網段)都能通信。你可以用科來網絡通訊分析系統捕獲一下數據包,看看整個通訊流程是什么,是不是發出的arp請求不是本網段ip網關也會有回應。
Q:您好,最近公司的網絡經常出現ARP病毒,導致網絡質量下降,嚴重的影響了用戶的上網,因為本身用戶的IP就是和MAC綁定的,每次臨時解決的方法就是在網關把用戶的IP與MAC重新綁定,在用戶端把網關的ip和MAC綁定,或者找到與釋放ARP欺騙的MAC對應的IP,直接給T掉線,但是這樣解決不了根本的問題,現在用戶的上網方式又改成了PPPOE的方式,不用記錄用戶端的MAC,這樣更無從下手了,有沒有更好的辦法解決局域網中ARP欺騙的方法?
A:ARP病毒確實是比較讓網管人員頭疼的問題,當然最好的解決辦法是防止感染,裝防病毒軟件。
有些公司為了避免有人感染arp病毒導致網段內其他主機無法上網,采用每臺主機采用一個不同網段的方法,可以有效避免arp病毒影響他人,這需要交換機支持。
當出現arp病毒影響的時候,可以通過流量分析手段很容易定位哪些主機感染了病毒,通過查看交換機中的mac表、進出流量也能很容易定位主機,但都是時候處理。最好是先防毒!
Q:您好!最外層一臺思科PIX515E防火墻E0 接外網,E1(172.16.2.1)接核心三層交換機思科3560,DMZ區接了一個小交換機帶2臺內部服務器。3560交換機f0/1(172.16.2.2)轉為三層接口接防火墻f0/1,f0/1到f0/12 分別是12條vlan且端口帶寬限速1M,每條vlan接DLINK24口交換機帶整個局域網,大概有150臺機器。
現在的情況是:
1.我內部ping172.16.2.2延遲都是小于1ms,但是ping172.16.2.1時,延遲幾乎都在100ms以上,且有時候超時一下,但是整體上網
倒是沒有太大的影響。后來咨詢了一位NP的工程師,他說這個情況是正常的,因為內網所有數據都從172.16.2.1這個端口往外發送
數據負載大就會這樣,但是我覺得應該不會這么大,而且我ping172.16.2.2的時候是正常的,這個口也負載著所有vlan的數據包向
防火墻的傳送啊。
2.劃分每個vlan 后,vlan內部的共享文件訪問速度很快。但是訪問另外vlan 的共享文件就超慢,(我設置的是vlan可以互訪),
但是訪問外網速度就很正常。百思不得其解。
A: ping防火墻慢,但訪問外網不慢,最有可能是防火墻響應ping比較慢,可以通過網絡分析軟件捕獲交換機接防火墻的接口流量來驗證。
Vlan間的互訪是通過交換機路由的,不清楚你說的共享文件慢是查找主機慢還是文件傳輸慢,如果是查找主機慢可能是沒有dns和域服務器的原因,可以通過捕獲相關訪問數據包來判斷。
Q:作為一個小的公司,十幾個人,adsl共享上網,這樣的小型網絡采用什么樣的管理方式好?
A:一般的小公司,網絡主要功能是郵件收發和對外聯系通訊(msn、qq),以及上網瀏覽,在管理上的投入不會很大,一般采購一個實用的防火墻設備或一體化設備,能對應用和用戶的帶寬占用進行一定限制,能保證主要應用能正常運行,避免由于個別用戶大量占用帶寬導致其他人上網緩慢就行了。如果對安全要求高些可以采用分析設備進行實時監控或定期分析,另外,防病毒很重要。
Q:高老師你好,在企業網絡中流量管理非常重要,如何為客戶端分配流量,如何禁止某些員工上網看視頻,下載等等,這些很耗網絡資源,導致網速很慢,有沒有好的辦法更好的管理網絡流量啊?
A:你好!很多網絡設備都能夠有效的限制應用和用戶的網絡帶寬占用,管理帶寬,但我們做限制和管理時一般要進行深入分析,包括網絡中的客戶的網絡行為,主要關鍵的需要保障的應用和這些應用的帶寬需求,等等。有了更深入的了解才能夠有效的指定管理策略。當然,有的時候制度管理是很重要的,不一定是技術上的限制,技術上的限制也要在制度基礎之上,比如禁止利用公司的網絡看視頻,就可以作為一個制度,一旦發現有相應的處罰措施,這些通過流量分析手段是很容易發現的。有了制度和相應的手段是好的管理的基礎。
Q:高老師,你好.網絡分析很重要.但我覺得很多情況下還要理清整個網絡拓撲.因為只有全網各個地方都已理清才能定位出最容易出問題的地方.一直以來,個人感覺,網絡分析,拓撲是基礎.所有只有基于拓撲的情況下才能更好解決問題.而不是一味的一出問題就抓包的這種做法!也許是受以前老師的影響吧!當時只要一問問題,他們就讓我拿拓撲!
A:你說的很對,網絡分析的基礎是對網絡的了解,網絡拓撲是非常重要的,除了網絡拓撲包括應用拓撲、應用邏輯拓撲、網絡行為模型等都是非常重要的信息。
網絡分析重要的是針對性的分析,針對不同問題要制定針對性的分析方案,而分析方案的制定是建立在詳細了解網絡和應用架構以及詳細問題現象基礎之上的。
這就像醫生看病,醫生給人看病診斷的基礎是對人體結構、機能、各系統運行原理、各種病理特性等等的了解基礎上的,網絡分析也一樣,不了解談不上分析。
Q:專家您好:我們公司局域網經常發生ARP的攻擊,雖然此前我們統計了一份全公司電腦IP地址和MAC地址對應表,但是有些客戶端電腦可能利用類似"網絡執法官"等軟件虛擬出幾個虛假的MAC地址,導致我們即使使用網絡分析(抓包)軟件也很難定位到發動ARP攻擊的地方,只能采用笨辦法,在交換機上拔網線來慢慢定位,但這種辦法太不高效,請問專家我們這種情況,有什么好的辦法?
A:出現arp攻擊后,最有效的發現可以通過交換機的端口mac表,端口進出流量來判斷,如果一個端口對應的mac、ip很多一般就不正常了,當然需要交換機支持了。防病毒很重要。
Q:專家好,我們公司內網經常有人通過BT或者電驢下載電影或者其他東西,導致整個網絡網速很慢,請問專家能否針對我們這種情況提出好的解決辦法?
A:通過網絡分析系統能很容易判別這些通過p2p軟件下載的主機,詳細的分析方法可以到科來論壇上去找,如何避免大量下載導致網絡很慢的發生,可以通過制度管理、以及采用相應的技術手段,如分析手段、帶寬控制手段來避免。
Q:科來的網絡分析軟件與其他網絡分析軟件相比有什么特色和優勢?比如sniffer.
A:科來網絡分析系統是我們科來自主研發的高性能全功能網絡分析軟件,我們在這個領域擁有多項專利技術,使分析性能遠遠高于同類產品。
同時融合了我們中國人的聰明才智,使功能、界面設置都更加的人性化,包括節點瀏覽器、端點分析功能、訪問日志分析、最新版本網絡分析方案和網絡檔案的設定等等,同時采用最新最流行的界面設計,更貼近于使用者的習慣,更貼合分析流程,使分析效率大大提高。
更關鍵的是我們在飛快的進步中,sniffer pro軟件從上個世紀90年代到現在就沒有什么變化和發展,目前來講從功能上和我們已經有了很大的差距。
我們一直在網絡分析技術方面不斷努力,也取得了很大成功,這也得益于廣大用戶的支持,我相信我們會在不遠的將來在技術和市場方面全面領先。
#p#
Q:我們公司的網絡里有幾百臺電腦,除了機房的核心交換機以外,在客戶端的分支還放有很多分支桌面級的交換機,但是經常發生客戶端分支交換機被人惡意造成環路的情況(即一根網絡插在了一個交換機的兩個端口上),請問針對這種情況,專家有什么好的解決方案?
A:防止惡意制造環路,采用有回環檢測功能的交換機最好。
Q:老師您好: 在日常網絡管理活動中有些困惑,望解答.一是網絡基線如何建立,特別是在一個多子網的環境下不知道如何入手,也就是想問問網絡基線的建立有沒有規范?如果有,必須按照什么規范建立.二是在多子網的環境下如何進行網絡監控?謝謝!
A:網絡基線一般指網絡中一些重要流量參數在正常條件下運行的數值,當然每個網絡有自己的流量特點,其基線特點也不同,有些網絡流量不會出現明顯的規律,這和網絡上的應用特點是相關的。
一般來說,網絡層面,網絡中的bps和pps參數是重要的建立基準的參數,可以將一段時間內的這兩個參數進行統計,一般按相應的應用運行規律來確定基線的確定方式,時間規律很重要,如有的網絡中是按每天時間特點規律明顯,有的是按每星期的運行規律明顯,如星期一和下星期一的有可比性,這都是計算基線時應該考慮的。
多子網環境下可以采用多點部署的方式進行監控,當然如果都在一個物理交換機上的多子網可以集中做鏡像進行監控。
Q:1.我的網絡股票軟件挺正常啊,可是網頁有時候不能瀏覽
2. 網速特別慢,重啟有一定作用,怎么用科來分析啊
3.我能嗅探到內網的用戶系統或者郵箱的密碼嗎:
4.前段時間在測試一款設備的時候發現,由其發出來的UDP包(大于1500Bytes),會被分片(fragment)。
5.84這臺機向194發送 ack 包,但所有的 序列號都相同?這是為什么
一幫84向194發一個包,194回應三個包,在第三個包中 置PUSH位為1
請幫忙,分析一個這個數據包到底存在哪些問題,謝謝!
6.局域網的IP如下設置,有個問題很有趣,望大家共同解決為感:
網關:218.219.220.2子網掩碼:255.255.255.248如此設置的話,還有 5 個IP可用,218.219.220.1
218.219.220.3
218.219.220.4
218.219.220.5
218.219.220.6
218.219.220.2已經設為網關,余下 5 個ip地位相等,分給5個機子,理論上5個機子都能上網才對,
偏偏出現這個問題,IP設置為218.219.220.3 的機子上不了網,這是為什麼?
問題補充:
電腦沒問題,操作系統都一樣【XP】,四臺機子連在5口的交換機上,網關218.219.220.2的機子用星空極速聯網并共享出來【Windows本身的共享功能】,218.219.220.3的IP換在任何機子上則該機無法上網,現象很奇怪,剩下的IP都能用。
A:1.這要具體抓取數據包來分析,確定是網絡服務問題還是應用服務問題。
2.可以通過捕獲相關流量,分析是由于網絡丟包、延遲造成的慢還是由于應用響應慢造成的慢。
3.如果內網用戶的口令采用明文傳輸,并且你能捕獲到相應數據包,可以解碼查看用戶和口令。
4.以太網最大的幀是1518bytes,ip包超過一定長度,會被fragment成多個幀,才能在網絡中傳輸。
5.如果只是ack包,沒有有效的載荷,序列號是不會增加。tcp傳輸數據時會分成多個分段(最大1460bytes)發送,一般最后一個分段push位為1,提示傳輸層將數據提交應用層處理。看你說的這種情況不存在什么傳輸問題。
6.這個問題很奇怪啊,訪問不了其他的主機還是不能通過共享上網呢?可以用科來網絡分析系統抓個包看看。
Q:高老師你好:在網速非常慢的情況下,怎么對客戶端進行實時監控?
A:是訪問internet很慢嗎,如果是internet出口分析主要可以通過流量分析手段監控哪些主機的流量比較大,如bps、發送接收字節數或發送接收數據包數以及ip會話數量及tcp會話數量等,如有主機占用的帶寬很大,可進一步分析其網絡行為,是否是由于下載或上傳大量流量導致帶寬擁塞。如果是發送大量的數據包,或存在大量的ip會話或短時間內建立大量的tcp連接,則要分析是否存在網絡攻擊的行為導致網絡性能下降。
Q:專家你好!我想問一下使用科來軟件能實現網絡的實時監控嗎?這個軟件是不是能實現問題發現并給出相應的應對策略呢?
A:你好,科來的網絡分析系統就是實時的網絡流量分析系統,能夠對網絡進行實時的監控,提供網絡的可視性。
這種監控是基于對網絡中的數據包的分析來實現的,不僅僅能夠對網絡的運行情況進行分析監控,還能對網絡行為、應用行為進行監控分析。
科來網絡分析系統2010能根據網絡和應用的異常流量特征進行智能診斷分析,提供相應的對策,同時,我們也提供專業的分析技術培訓,提高技術人員的網絡問題分析能力。
Q:高老師,你好!提一個實際中遇到的一個問題.我們宿舍里公司給配的是無線路由,每次只要我一回去,打開無線連接,很快我們的網絡就慢下來了.我看了下數據包的發送與接收.正常情況下,每次都是成三位數的跳動!開機時就開了一個卡巴斯基,就想是不是它的原因.可是將卡巴退了以后,數據包發送數還是以四三位數跳動!感覺是不是有什么可疑進程,進去看了以后,也沒有什么問題?
A: 可能有進程在向網絡發送數據包。可以裝一個軟件捕獲一下網絡流量,分析一下在向外面發送那種流量,和什么主機通訊。進一步可以分析哪個進程在進行這種通訊。用 netstat -abn命令可以看到哪些進程在通訊。
Q:除了用端口鏡像,hub欺騙的的方式,還有沒有別的方法去截取網絡上的報文啊?
A: 網絡上物理流量的獲取,除了端口鏡像和采用hub外,還可以采用分路器(TAP)的方式。
Q:請教高老師:我們公司開視頻會議的時候莫名其妙的斷了,屏幕上,整個會場都不顯示了,但是視頻系統顯示五個視頻地點也都是連接的,網絡連接顯示正常。重新建立網絡視頻會議又能重新顯示,不知道可能是什么原因?請幫忙分析一下。我們用的是公網IP。
A:視頻會議系統本身有問題或當時網絡傳輸有問題都有可能是問題發生的原因,具體的分析可以采用分析系統在開視頻會議的時候進行流量捕獲,一旦發生問題,分析當時的數據流是否正常,才能真正判定問題發生的原因。
Q:您上面提到的"歐美等成熟IT市場網絡管理方法"是指什么?
A: IT管理在歐美的發展比在國內要早,在一些管理體系建立方面相對成熟,至于網絡管理的方法不同類型,不同規模的企業也完全不同,根據自身特點建立一個以業務保障為核心的網絡管理的服務體系是核心關鍵。網絡目前支撐的是業務,這里面需要圍繞保障業務持續、高效、安全運行建立完整的網絡管理體系,網絡管理體系的組成是專業人員、策略、流程、手段和方法的集合體,核心是人員,根據自身特點來采用合理的手段和方法很重要。
Q:我的一個使用無線路由器、交換機、在網微機23臺的網絡環境突然全部不能打開http網頁,但是qq、msn可以正常使用。將全部微機關機,一臺一臺開,發現就全部都恢復正常了。這是不是網絡風暴,是病毒引起的還是什么別的原因?該怎么確定?請專家幫忙分析分析!!!
A:通過你講的現象,可能的原因會很多,網絡擁塞、DNS解析問題等都有可能造成這樣的原因,最好的分析方法就是利用網絡分析工具捕獲當時的網絡流量,分析相關訪問的過程,是否是由于擁塞或其他原因引起,能夠準確的定位問題的原因。
Q:最近半年網絡經常斷線,重啟路由就好一會就斷了。PING 網關不通,PING別的IP通。這是什么原因啊?請專家幫忙分析一下。
A: 你說的現象是路由器無法正常工作,或稱拒絕服務的現象,造成這種問題的可能原因包括網絡DoS攻擊、大量的會話無法處理(路由器本身是否具備防火墻的功能?),路由器本身性能問題(在流量大或數據包多的時候無法正常運行),ARP攻擊行為等等,你可以下載一個科來的技術交流版,出問題時捕獲一下網絡流量,分析一下具體原因。
Q:CISCO-1841路由器,串口模塊啟用后一直向局域網內發送ARP包,用抓包工具抓包,結果顯示路由器向同一網段的大部分IP請求應答,不知道是什么原因?應該要怎么解決?請專家幫忙解答一下。
A:路由器會和局域網內所有的主機通訊,發送向局域網段主機ARP包也是正常現象,關鍵要分析網絡層和應用層的數據通訊是否異常,如果是在短時間內大量發送ARP請求可能是廣域網上有主機對局域網內主機進行掃描所致,可以分析一下主機的會話,有沒有外部單臺主機和大量局域網主機試圖建立連接。
Q:HTTP服務器慢響應是怎么回事兒?還有就是:TCP什么重復嘗試,我的網絡監測到很多這種東西。
A:Http服務器慢響應是指服務器處理客戶端的應用交易處理請求的響應時間超過了分析系統設定的閥值,比如你請求一個網頁,客戶端會向服務器發送一個"get"請求,服務器收到后會處理響應,這個響應時間是服務器的響應時間。
TCP重復的嘗試是指客戶端重復發送連接請求數據包,一般是在第一次連接服務器沒有得到響應后,再次試圖發起連接的過程。可能由于服務器性能下降或網絡丟包引起。
Q:你好,我的2950接到核心交換機是通過光電轉換器接的,接光電轉換器的端口燈是橙色的,但是鏈路和協議都是起來的,就是不通是怎么回事?
A:你可以用臺主機直接連光電轉換器看是不是通的,這樣可以排除是不是光電轉換器的問題,然后換臺交換機試試,有可能是不匹配的問題。
Q:如果一個大型網絡中出現大面積的arp病毒,應該如何著手進行處理。
A: 最好是全面部署防病毒軟件,分析arp病毒。
Q:專家您好,我想問一下,對于一般中小型網絡,有沒有根據流量自動限制帶寬的方案?因為出口帶寬不足,我經常遇到這樣的困擾。
A:現在很多為中小型企業設計的多功能防火墻、路由器都有帶寬限制功能,能限制單臺主機、應用的帶寬占用。
Q:當發現公司網絡突然變慢 在看arp和網絡有沒有P2P之外 還要從哪里入手呢?想知道專家一般在查看局域網的時候用什么網絡分析軟件 而且抓包后查看數據包那些重點?
A:首先要了解是什么慢,是訪問internet慢還是內部訪問慢。是所有的訪問都慢還是部分訪問慢。
如果是訪問internet慢,可能的原因主要有帶寬擁塞(p2p下載)、連接數量過多防火墻路由器處理慢等,可以對出口流量進行捕獲,查看帶寬的擁塞情況(bps)和數據包收發情況(pps),如果擁塞,分析是哪些主機的流量較大,造成擁塞,并進一步分析其網絡行為特點,訪問情況,采用協議等。
Q:高老師您好,有時企業網絡進/出流量突然增高,有可能是哪些方面原因導致?
A:可能的原因很多,流量是主機的應用引起的,要分析是哪些主機的流量突然增高導致進出流量的突然增高,然后針對性分析這些主機的流量來確定其應用,從而確定是否正常。
Q:你好,我是在電信做客戶端維護工作的人員,最近在處理一個故障時碰到了問題,網絡結構是這樣的電信bras----匯聚層交換機8512在---(單模單芯光纖)DLINK的3628小區中心---3226小區樓層交換機,現在在3628上測試iptv有馬賽克,但是斷開所有下聯3226樓層,單單看iptv是正常的,而且測試光路正常,中心交換機流量在30M左右,屬于正常范圍,中心設備收發器及局端收發器都更換過,而且下聯每個用戶使用的一個vlan,邏輯上流量應該是隔離的,請問能否通過抓包分析故障嗎?
A: iptv有馬賽克本身可能是由于傳輸丟包或傳輸時延過大所致,造成丟包的主要原因包括帶寬擁塞、交換機路由器處理性能下降等,可以捕獲3628上聯端口的流量來判斷是否是由于丟包所致,如果是的話,在什么情況下造成的丟包,是否是流量到達一定程度開始丟包。另外分析iptv對帶寬的需求是什么,在沒有其他流量的時候分析iptv的帶寬占用情況,一般流媒體應用要保證穩定的帶寬,可以在匯聚交換機上設定QoS保證iptv的帶寬。
Q:專家你好,我們的CIO經常讓我們使用基于Linux下的網絡監測軟件,我們常用MRTG ,ntop等,覺得效果不錯,和那樣花錢買的專用的軟件相比,功能一點不差,節省了成本,我知科來也做網絡監測,科來的軟件與上述的基于Linux下的開放軟件有優勢嗎?或者說和它們有什么不通之處?
A: 開放的軟件由于不是商業化開發,在產品功能上不可能做到非常完善,當然根據自身的網絡管理需求的不同采用開源的軟件也是無可厚非的。你說的mrtg和ntop能夠提供流量的統計監控,但功能相對簡單,缺乏應用層分析能力和會話分析能力,視圖相對也簡單,如果只是做簡單的流量監測是非常實用的工具了。但是我們在實際工作中網絡管理非常復雜,不只是要做好流量監測,需要及時采取措施,更需要及時的進行匯報和總結。
科來網絡通訊分析系統功能非常完善,包括全面的圖形化流量監測功能,實時監控和告警,多角度的分析能力,使操作管理非常方便。如我們僅僅對ip端點的數據分析就能提供30多個參數,智能化分析,能根據流量特征智能化提供從數據鏈路層到應用層以及網絡安全方面的多種診斷分析,還有數據包級的分析能力,更為有可視化的統計工具,便于進行工作匯報…這些都是mrtg類軟件所無法提供的,你可以下載一個技術交流版實際體驗一下,切身感受一下與他們的區別。
Q:局域網中有很多不必要的程序占用網速,并且用戶還不知情,比如一些軟件在后臺自動升級,還有就是中了木馬,導致占用很多流量,怎樣才能避免這種情況呢,我知道避免木馬就是用殺毒軟件,但是一些常用軟件就不行了,還有好多windows的自動更新都是默認開啟的,可是用戶并不知道,,主要就是怎么避免不必要的流量丟失。
A:確實是這樣,網絡中很多的流量并不是實際真正需要發生的流量,但能大量占用網絡資源,不同類型的網絡行為可能需要不同的手段去進行管理,如病毒可能要采用防病毒系統、自動升級可以進行設置或采用內部的升級服務器避免大量占用互聯網帶寬等。這就要我們能更加了解我們的網絡系統,在這方面,網絡分析是非常好的手段,利用網絡分析不但能看到所有的網絡行為,并加以歸類分析,發現異常現象,分析各種網絡行為對網絡的影響,從而能夠根據不同的問題指定不同的管理策略,采用不同的網絡管理手段來避免。你可以去科來官網下載一個交流版的網絡分析軟件,做個評估檢測。
Q:我們公司接入2M的網通和2M的ADSL,上網還會很慢?問可不可以把這兩條線合成4M?
A:很多多功能路由設備具備廣域網鏈路合并功能。
增加帶寬會改善上網速度,決定"上網速度"的不僅僅是帶寬,還有流量。打個比方,一條四車道的路和一條單車道的路比,當然按理說四車道的比單車道的要好走,但北京的西二環也是四車道的,由于車太多,基本上都很擁堵,但一條單車道的鄉間小路,車流很少,反而可能更好走。這就需要我們具體對流量進行分析,同時要增加管理手段,才能保證正常的上網質量。
Q:為什么我的CPU和網速很差我用的網卡是2M的CPU是雙核64MM的。
A:可能原因很多,如果是cpu利用率高,你可以用資源管理器查查哪些進程占用cpu資源。如果是上網速度慢,你可以用我們的網絡分析系統分析一下上網的流量。
#p#
Q:您好!我想請教下.現在我的電腦的CPU在20-100怎么辦?聽別人說360殺軟很雞肋.是真的嗎?那我該用什么殺軟比較好?我的電腦是兩臺在一起用的2M 怎么一臺電腦沒工作.另一臺電腦的網速很差?打開個網頁有時都要級分鐘甚至十幾分鐘?太浪費時間了.
A:我對防病毒軟件也沒有很深研究,上網速度慢的可能原因很多,有可能是網絡性能差、應用慢、主機本身性能慢都有可能,最好用網絡分析系統捕獲一下上網的流量數據,分析一下問題原因。
Q:我的問題是,h3c 3100的交換機光口和思科的交換機光口無法連接時說明原因,怎么才能解決?謝謝!
A: 先檢查光纖,如果光纖沒問題,可能是兩個交換機不能自動協商的原因,檢查兩個交換機互聯的端口配置,可以手工設定端口配置,如全雙工等參數。
Q:您好,我們公司內網經常有人通過BT或者電驢下載電影或者其他東西,導致整個網絡網速很慢,流量過低,請問專家能否針對我們這種情況提出好的解決辦法?
A: 你好!這是很多網絡經常遇到的問題,一方面還是網絡管理策略定制的問題,其實不光是BT和電驢會占據大量帶寬會影響網絡性能,包括一些視頻應用、qq傳文件甚至一些股票信息軟件都可能消耗大量帶寬,導致網絡性能下降,在這種情況下需要我們的網絡管理人員具備網絡監控分析能力,借助網絡分析軟件能夠清晰地觀察到網絡內的所有應用變化。由于網絡應用和用戶的網絡行為都是動態的,不是一直不變的,要根據實際情況指定網絡管理策略,包括制定相應規章制度,另外現在很多網絡設備都有帶寬管理控制的功能,可以根據實際情況來定制規則控制相關流量。
Q:高老師,我是一個大型制造企業的網管,前段時間由于我的管理不慎,導致生產部的員工私自操作交換機。將一根網線的兩頭插在一個交換機上,造成回路廣播風暴。讓我花了很多時間進行排查,主要是查看交換機的指示燈。我想請教一下高老師,如何高效地防范和檢測回路或者廣播風暴的產生。
A:物理環路造成廣播風暴會造成網絡直接宕機,交換機都無法訪問,一般只能通過物理方法來判定環路在哪,你可以采用具備防止環路功能的交換機,如果你的交換機支持這個功能,可以啟用,能有效防止回路的出現。
Q:高老師,你好!個人是搞接入網的,對snffier不是太過了解。但聽說過很多的無線破解技術,個人感覺,它們的原理是不是相同.都是通過截取數據包后,通過分析數據包中的相關字節.從而讀出無線的密碼?比如TCP包中的第8個字節有數據包的VLAN ID.而后面字節中相應會有信息的內容.不知道這樣理解,對嗎?
A:你好!網絡分析技術主要是通過分析網絡中的數據包來提供對網絡運行情況、網絡行為、網絡應用的分析,你的理解沒錯,網絡中傳輸的數據都是按照相關的規則,也就是我們所說的網絡協議來進行封裝,在網絡中傳輸的,因此我們也叫協議分析,根據協議規則將網絡中傳輸的數據報文進行分析,分析網絡中的各層流量,達到網絡分析的目的。
Q:您好,我現在碰到一個問題,描述如下:單位所在網絡為政府集中辦公大樓,所有設備都統一放在機房當中,辦公室和會議室都是通過信息產業部門統一部署的網絡直接訪問互聯網。現在需要在市區的某個單位(也是直接連接的互聯網),將視頻監控傳輸到會議室,并投放到大屏幕上;同時在辦公室的pc上也可以看到視頻,并能控制視頻監控。此種情況,該如何實現?謝謝!
A:理論上網絡能通就何以,可以具體咨詢提供視頻系統的技術人員。
Q:如果做企業網管,需要哪些知識?
A:不同企業的網管需要的知識會有很大區別,即使是同一個企業的網管,根據工作不同,需要的具體知識也不一樣,要看你的實際工作需要。當然,作為一個網絡管理人員,網絡基礎知識、TCP/IP基礎知識是必須的。
Q:專家您好!有一局域網(有近100臺計算機),都同時接入到了互聯網,網絡結構也比較簡單,外網進來接的是俠諾路由器,路由器下接的是俠諾三層交換機,在交換機上做了VLAN劃分,192.168.0.0/24為服務器群,其中,192.168.0.3同時提供DHCP、DNS以及AD域控服務,其他的VLAN有192.168.10.0/24、192.168.20.0/24等共5個VLAN,局域網網絡運行一直比較穩定。由于最近網絡做了改造,采用了雙WAN口訪問,所以重新配置了路由器,網絡產生了一些異常故障,具體現象為:某VLAN內的主機突然發生網絡傳輸中斷故障,不能連接192.168.0.3服務器,但是一段時間后(幾分鐘或幾小時)又自動恢復正常,產生這種故障的主機不確定是某一臺,偶爾是這臺,偶爾又是另外一臺,在故障發生的時候,ping服務器192.168.0.3,均能夠ping通IP地址,但卻不能ping通域名,檢查DNS服務器,未發現任何錯誤。請問如何分析解決?
A:1. 網絡是否能通,捕獲客戶端和服務器端兩端的ping流量,查看其是否正常,服務器是否能收到ping,服務器是否能回應ping,是否存在arp欺騙。
2. 服務是否正常,服務器是否能收到dns請求,服務器收到dns請求后是否有正確響應,客戶端是否收到dns響應,客戶端是否存在arp欺騙。
Q:高老師,你好,我是一個技術愛好者,對網絡分析也非常感興趣,前一陣再論壇看到一個帖子,地址:http://bbs.51cto.com/thread-653506-1.html,大致說的是交換機端口內環導致網絡不通的情況,我想問一下交換機端口內環或者說就針對帖子里的問題,如何通過網絡分析來查原因并找到故障點,謝謝解答!
A: 你好!這個帖子上也看不出具體的問題原因是什么,如果交換機出現物理環路,通過網絡分析手段能夠看到大量的廣播風暴數據包。不過具體是哪里形成環路一般要通過人工方式排查,如果廣播風暴不是非常厲害可以通過查看交換機端口狀態來判斷形成環路的端口,一般打環的 端口必定收到大量的數據包。
Q:專家好!現在有個網絡環境:一臺cisco3560交換機;局域網內有8臺服務器,其中4臺是UNIX系統,另外4臺是Windows 2003系統。出現故障:1、內部關鍵業務響應很慢,信息處理不流暢;2、服務器和交換機的CPU和內存利用率低;3、無法定位查找到網絡響應慢的原因。請問如何現場診斷?
A:這需要利用網絡分析軟件進行交易處理級的分析,即捕獲相關的響應慢的交易處理數據包,分析整個交易處理過程,來判斷是哪個服務響應慢,是那個交易處理響應慢,或是數據傳輸出現問題。如果在同一個交換機上,網絡出現問題的幾率較小,但也不是不可能,比如端口速率不匹配,線纜質量差導致傳輸差等都可能造成傳輸性能很差。
Q:請問專家:如何用科來查找出局域網中的Skiller或幻境網盾的使用者(一些人濫用這軟件,致使它對局域網的安全穩定性造成極壞影響)?
A:沒有接觸過類似軟件,但這些軟件一般是通過arp欺騙或發送連接重置數據包組織他人訪問網絡,可以通過分析軟件捕獲相應流量,分析是哪些主機在做,同時可以通過查看交換機端口狀態和mac、ip列表來確定運行這些軟件的主機接在哪些物理端口上。
Q:專家您好!最近有一客戶網吧發生網絡故障,而網吧的網絡結構很普通,通過電信和網通雙出口訪問外網,在近一段時間,網絡時常中斷,拔掉網通的外網出口,網絡又恢復正常,插上后,一會便又斷線。請問這主要是怎么引起的?如何排查解決?
A:這種現象的排查需要用網絡分析軟件捕獲一下外網口的流量來分析一下,看當時的數據流來進行分析,一般路由環路、地址欺騙攻擊、DoS攻擊甚至網絡設備問題等都有可能。
Q:高總好!請教一個網絡方面的問題,我們公司是一個中小型公司,我全面負責公司的網絡。雖然是個小公司,但是網絡結構還是蠻復雜的,我們主要應用了遠程桌面技術把整個公司從最底層的服務器到外網切成了三個網段,員工在中間的網段,如果要上網就要通過遠程桌面登陸到外網的網段服務器訪問外網,如果要訪問內網服務器就要使用遠程桌面登陸到內網訪問服務器。最近發生了一個奇怪的現象,無法確定是服務的問題還是網絡的問題,就是遠程桌面到服務器的過程中斷開鏈接兩秒鐘又自動連上,沒有規律,不一定什么時候就發生這種現象。
還有一個問題就是平時我們級聯交換機都是使用一根網線鏈接兩個交換機。如果兩個交換機之間使用兩個網線相互鏈接會發生那些危險?
A:1、你好!一般我們需要在網絡中長時間捕獲訪問服務器的相關訪問流量,出現問題的時候針對性的分析當時的流量數據,判斷是由于當時服務器沒有響應還是網絡傳輸問題導致的連接中斷。
2、兩個網線連兩個交換機可能會出現物理環路的情況,如國spanning tree配置有問題或工作不正常有可能出現物理環路從而引起廣播風暴。
Q:專家您好,我想問一下一般網絡環境下ip地址沖突問題怎么解決,再就是怎么樣才能杜絕用戶端私自修改ip地址和mac地址造成的沖突。在交換機上實現DHCP Snooping+IPSG+DAI是否可行?
A: 采用DHCP Snooping+IPSG+DAI當然是可行的,但要交換機支持。但如果是對付私自修改mac地址的行為,就要通過管理手段來制止了。
Q:高老師你好,我經常用科來軟件,有一次我用科來軟件制作了一個ARP的假數據包(目的設為網關,源我隨便用了一個和內網同一網段的地址),這樣發廣播包,模擬ARP病毒。我想問的是這樣做,我沒法查找ARP的源了,除了監測網絡中的流量,還有更好的辦法嗎?
A: 你好,如果是采用假的源mac地址的數據包,僅通過檢測網絡中的流量還不夠,要配合分析交換機端口的mac表來斷定發送偽造數據包的物理端口。
Q:公司上外網是有有線和無線兩種方式。都需要通過輸入用戶名密碼及當天的附加碼才能接通。當用戶遇到有線接口不夠電腦又沒有無線上網卡時,常通過上無線的人共享出無線網卡,利用交叉線來連接兩機,就可繞過認證直接連通外網了。請問,怎么阻止這種通過共享繞過認證的非法接入?
A:像沒有太好的技術手段,只能加強管理了。
Q:網絡做了nat后,有個問題,上網用戶都說上網慢了,打開門戶網站 總是解析還是下載好長時間,半分鐘吧。單獨下載速度還可以。不知道問題出在什么地方啊內網分析需要隨時 實時分析 還是 抽空啟動分析呢?
A:有可能是連接數不足或dns解析問題,可以捕獲當時的流量,查看是否存在dns解析慢的現象,以及是否存在tcp連接無響應的現象。
Q:高老師好,目前客戶針對科來產品的評價還是不錯的,但是還是有些客戶更傾向于硬件產品的購買,請問科來有沒有做一下硬件上的策略呢?謝謝
A: 你好!的確很多客戶希望能購買一體化的設備,在這方面我們正在努力,會很快推出相應的硬件化產品供客戶選擇。
Q:同一個網段的兩臺機器為什么ping不通呢?
linux機器:
IP:192.168.1.202
netmask:255.255.255.0
GW:192.168.1.1
linux機器自己能ping通自己(127.0.0.1,192.168.1.202),但ping不通其他的機器
網線和網口都試過了,沒有問題。
window機器:
IP:192.168.1.114
netmask:255.255.255.0
GW:192.168.1.1
這臺機器能ping通其他的機器。什么原因啊?
A: 在linux服務器上執行service network start,另外檢查linux的網卡配置文件是否正常,這個很明顯是linux主機有問題。
#p#
Q:高老師!你好ARP主要使用什么協議和端口號呢?
A:ARP全名為Address resolution protocol,地址解析協議,主要是解析ip地址對應的mac地址,不是tcp層協議,沒有端口號。
Q:三分技術,七分管理,在我們的網絡中,最大的問題還是內部員工不遵守紀律,胡亂上網,導致網絡出現重大故障,很多時候根據協議分析抓出了故障源泉,但我們還是沒有嚴格的執法力度,導致,只是能抓出禍根,卻處罰不了禍根,這我非常郁悶。
A:需要建立良好的企業管理制度。
Q:你好,高老師!我想問一下,一般的網絡設備都支持通過snmp進行管理,那么我想問一下,除了通過snmp查詢網絡設備的運行狀態之外,能否通過SNMP對網絡設備直接進行的操作,例如直接通過snmp在路由器的mac緩存列表中添加ip-mac的綁定,或者說snmp有沒有提供相應的接口對路由器進行直接的操作(除了查詢之外)?謝謝!
A:你好!我也不是這方面的專家,但snmp是可以支持寫入的,理論上是可以直接做操作的,具體要看你用的網絡設備是否支持。
Q:高老師,你好,我是在一家酒店做網絡維護,首先我先說一下酒店目前的網絡情況,我們酒店的是電信的10M光纖接入,核心交換機是華為3552的三層交換機,各樓層交換機也是華為的。在核心交換機上劃分有共9個VLAN,其中行政辦公區和酒店客房歸屬于不同的VLAN,現在就是存在一個這樣的問題,酒店的網絡時快時慢,而且網絡的實際使用情況也沒有辦法檢測,所以想問下高老師,有沒有一個很好的辦法,謝謝!
A: 首先你要有能力分析慢的原因,一般來說需要在出口部署分析系統,通過分析出口的流量,能夠直觀的看到看網絡慢的原因,是由于網絡擁塞引起的還是由于丟包引起的,找到了慢的原因,才可以針對性的采取相應措施去應對。
Q:高老師,我是一個剛出道的新人,我想問問該怎么樣去做好一個IDC數據中心的網絡流量的監控和分析呢??希望高老師百忙中能給個詳細的方法。剛畢業的新人,謝謝老師了!
A:IDC數據中心主要對外提供各種應用服務,流量特點和數據中心中的應用服務類型相關,在IDC數據中心進行流量監控和分析,主要是面向應用服務的流量監控和分析。
一般來說在總體流量方面,要監控網絡利用率和數據包率,以及數據包分布情況,另外對每個應用的bps、pps都要有監控分析,通過長期監控分析能建立網絡正常運行狀態下的流量模型,也就是我們常說的基準線,能幫助我們快速發現異常。
另外要建立對TCP連接狀態的監控,包括tcp syn數量、tcp syn ack數量等,通過這些數據指標可以發現是否出現DDoS攻擊現象。
流量監控和分析不是簡單幾句話能說清楚的,如果你感興趣可以參加我們的專業技術培訓,能在網絡分析原理、實用網絡分析技術方面得到很大提高。
Q:高老師,你好.有兩臺客戶機A,B。系統都是XP,安裝殺毒軟件也一樣。
A:ip地址10.102.20.39/255.255.255.224;
B:ip地址10.102.20.40/255.255.255.224;
A,B網關都一樣。
現象是:A拼不通B,B能拼通A。
謝謝老師解答。可你說的"通過分析系統在兩臺主機上分別捕獲兩臺主機互相ping的流量。"請問用什么分析系統呢?你指的是利用Sniffer之類嗎?謝謝。
A: 你好!可以通過分析系統在兩臺主機上分別捕獲兩臺主機互相ping的流量,重點確定如下數據:
1. A是否發出icmp echo報文
2. B是否收到從A發出的icmp echo報文
3. B是否向A發出了icmp reply報文
如A發出了,B沒有收到,可能是網絡問題,如有arp欺騙,或地址沖突。如A發出了,B收到了,但B沒有回應,可能是B的防火墻策略設置或其他配置問題。
查看更多精彩門診:http://doctor.51cto.com/
【編輯推薦】
