随着网络的迅速发展,人们对网络的依赖愈来愈大,对网络的速度带宽要求越来越高。当然网络出现故障,网管能否快速定位病原体也成为关键的环节。今天我们来从流量来判断局域网中的问题,快速准确定位病原体。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

  局域网中常出现的问题

局域网中一般遇到的问题主要是个人PC感染病毒,导致不能正常使用;或者用户只有发包,没有收包;或者是由于arp病毒导致大面积不能上网;或者是一个VLAN不能正常访问internet;或者是一个楼层不能正常访问internet;或者是所有用户访问internet很慢,甚至不能访问,但能ping通网关;……

其实这问题,从个人pc到一个VLAN,到整个局域网,起都可以通过流量来判断,并快速定位。排除那种光纤断裂,或者是由于DDOS***导致信道堵塞,以及出口路有,楼层交换机,核心路由,以及出口防火墙出现硬件故障外。所有的网络问题基本上都可以用流量来判断,定位故障点。下面我们从这整个局域网流量判断和定位故障。

  长期流量分布图 ----- 养兵千日,用兵一时

上述问题会表现很多现象,比如核心路由管理地址ping不通;楼层交换机管理地址ping不通,或者是用户使用internet时断时续;……。其实这些问题我们都可以从局域网的流量来快速定位和处理。一下流量监控工具都是基于SNMP协议的。通过这个流量图我们可以看到我们网络中5分钟之内平均的流量分布,一周的平均流量,一年的平均流量。当我们的网络出现异常的时候,我们可以看我们的流量分布图。截取一部分流量图,如下图:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

通过上图我们可以看到我们的流量高峰期在每天的10点到下午6点,最高出流量是60M,入流量是47M。每周的高峰平均值也是56M 每月的平均流量也是60M。当我们的网络出现问题的时候,可能在一段时间流量远大于60M,这是我们就可以根据周跃年的平均值来判断是否有问题。并且可以看到属于那里来的流量比较大。

   实时流量查看 ------ 经验之关键

通过上面的流量图,我们可以看到我们的网络一年中,流量比较大的月份和其峰值;可以看到一月流量大的时段,以及流量峰值;可以看到一天的5分钟只内的流量;可以看到在那段时间里有异常流量,那段时间是正常状态。我们就可以预防其可能出现异常流量的时段;来预防局域网出现的问题。我也可以通过实时流量来实时判断我们的网络中的情况。如下图:它提示给我们的是楼层或者是出口的流量,只要有三层协议的地方都可以监控。它依旧是应用SNMP协议。

实时流量是一个关键监控手段,我们可以看到我们网络运行情况,可以看到各楼层的运行情况。并要做其判断。

    数据包协议分析 ----- 基础知识分析

通过实时的流量,我们可以快速判断是从哪里来的大流量,然后同过抓包工具来判断大流量的用户IP,通过路由器来判断用户是使用BT等下载工具还是由病毒导致堵塞通道流畅。抓包是一个关键的环节,分析数据包是重中之重。我能否准确判断就是要我们对TCP/IP协议特别了解才行。能解析数据包,能解析协议,能解析端口。当然对自己的网络流量,网络中常跑得业务也要熟悉,常跑得协议也要明白。比如如下用户的流量抓包图:

通过此用户流量,我们可以判断此用户很可能是用迅雷、BT、电驴等下载。他们的端口不固定,协议和包长都比较固定。如果说是小包,比如64的只有包头的数据包,或者是稍微大点的数据包,那病毒的概率相当之大。用流量监控并判断故障,方便快捷,准确。

在此,有人可能会疑问arp病毒如何通过流量判断,其实,arp病毒我们可以通过上面的抓包工具来处理。上图显示的是通过IP层来定位的,我们也可以通过物理层定位。就是只抓我们的MAC。当arp病毒出现的时候,会有大量的同样MAC发送数据包。然后通过交换机判断其数据上来的端口,隔离设备。

总结语

在网络中,流量观测和协议分析对于我们判断网络故障是非常有用的,也是快速定位的一个关键。在做网络维护,或者是网络安全管理以及分析,归根结底都是要分析协议,分析流量,快速定位病原体,隔离病原体。