第2章網(wǎng)絡(luò)測試、管理與分析

1、第2章網(wǎng)絡(luò)測試、管理與分析簡介C i s c o路由器中包含許多故障診斷和排除工具，但是本章集中討論網(wǎng)絡(luò)不能使用這些工具進(jìn)行分析的情況，其中包括在廣域網(wǎng)中檢測物理層的故障以及在局域網(wǎng)中對高層協(xié)議和報(bào)文的分析。本章將討論多種不同類型的測試工具。其中包括網(wǎng)絡(luò)管理工具以及如何使用網(wǎng)絡(luò)管理工具診斷、解決和避免網(wǎng)絡(luò)故障，并解釋網(wǎng)絡(luò)監(jiān)視和網(wǎng)絡(luò)管理的差別。值得一提的是，本章還將討論簡單網(wǎng)絡(luò)管理協(xié)議（ Simple Network Management Protocol，S N M P），以及基于這一協(xié)議的網(wǎng)絡(luò)管理軟件包和平臺。本章討論的問題覆蓋面比較廣，包括網(wǎng)絡(luò)管理和網(wǎng)絡(luò)分析。在介紹不同的問題時，筆者首先對

2、問題做簡單的介紹，使讀者能夠理解所討論問題的關(guān)鍵所在。有關(guān)于電纜測試、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)分析的詳細(xì)內(nèi)容已經(jīng)超出了本書的范圍，因?yàn)檫@些問題對于本書所討論的中心問題只起到輔助的作用。本章討論的主要內(nèi)容有： 介紹適用于不同類型的局域網(wǎng)和廣域網(wǎng)傳輸介質(zhì)的物理層測試設(shè)備。 學(xué)習(xí)如何使用S N M P和遠(yuǎn)程監(jiān)視（R M O N）來監(jiān)視和診斷網(wǎng)絡(luò)故障。 理解如何使用第三方網(wǎng)絡(luò)分析儀搜集報(bào)文的細(xì)節(jié)信息，并解釋收集的數(shù)據(jù)。2.2 物理層測試設(shè)備電纜測試儀銅纜測試儀電纜測試儀的種類繁多，有簡單的儀表也有十分專業(yè)的設(shè)備組件。最簡單的電纜測試儀是多功能數(shù)字儀表。它能夠測試的電纜參數(shù)有電阻、電容和感應(yīng)系數(shù)等。多功能儀表也可

3、用于測試物理層的連通性。例如，可將多功能儀表的探頭直接嵌入線路的兩端。通過儀表上顯示的電阻可以判斷線路是否連通。如果電阻為0歐姆（短路），則表明線路連通。如果電阻無窮大（開路），則表明多功能儀表的兩端所插入的線路不連通。市場上有大量的電纜測試儀可用于測試非屏蔽雙絞線（ U T P）、屏蔽雙絞線（ S T P）和同軸電纜。除了簡單的連通性測試外，這些測試儀還可以獲得其他電纜參數(shù)，比如： 衰減（A t t e n u a t i o n）信號丟失的數(shù)量稱為衰減，可以用分貝（ d B）來衡量，它用輸出信號與輸入信號比例的對數(shù)表示，這一參數(shù)表明信號在線路中傳輸時的丟失程度。 噪聲（N o i s e）

4、 線路信號中無用的信息稱為噪聲。噪聲的級別可以通過信噪比（ S R C）來衡量。這一參數(shù)越高越好，可以接受的值為1 08。 串?dāng)_（C r o s s t a l k） 串?dāng)_表示共享同一根電纜傳輸?shù)男盘栂嗷ジ蓴_的程度。干擾程度的級別與線路信號的電磁特性有關(guān)。通過測試這一參數(shù)，用戶可以確定干擾的程度是否可以接受。某些電纜測試儀還可以測試第二層和第三層的功能。其中包括鑒別M A C地址以及進(jìn)行網(wǎng)際協(xié)議（I P）的p i n g測試。光纖測試儀因?yàn)楣饫w的成本都非常高，大多數(shù)基本的光纖測試都在生產(chǎn)階段就已完成。光纖可以根據(jù)需求采取多種傳輸方式，短距離傳輸通常采用多模方式，而長距離傳輸一般采用單模方式。多

5、模方式在光纖中傳輸多個波長的光。當(dāng)信號通過光纖傳播時，多個波長的光將會發(fā)生一定程度的散射。光的散射將導(dǎo)致光的強(qiáng)度減弱，因此，多模傳輸適用于短距離傳輸。激光器或者發(fā)光二極管都可以產(chǎn)生多模信號。相反，單模光纖只對特定波長光的傳輸進(jìn)行了優(yōu)化，它的信號丟失率被降至最低。這些光的波長通常是8 0 0 n m或者1 5 0 0 n m，并與激光狹窄的光譜保持一致。光纖以單模方式傳輸時，可以過濾其他波長的光，從而降低了散射以及弱化程度。這一特征使單模方式非常適用于遠(yuǎn)距離傳輸單模方式通常采用同步激光源。光纜通常對特定的波長進(jìn)行了優(yōu)化，光纖的衰減可以通過傳輸特定波長的激光信號，使用相關(guān)儀器測試信息的丟失程度來測

6、量。通常情況下這一值應(yīng)該小于0 . 1 d B / k m。對于多模光纖，測試信號源可以采用普通的激光或者發(fā)光二極管( L E D )。2.3 數(shù)字接口測試測試數(shù)字鏈路物理層特征和質(zhì)量的最常用的兩種工具是： breakout box 這種設(shè)備通常用于檢測D T E和D C E之間連接的完整性。breakout box(BOB)的兩個連接端可以分別連接D C E和D T E。它不但能夠提供線路的狀態(tài)信息，而且可以檢測線路中傳輸?shù)臄?shù)據(jù)。這種設(shè)備可以實(shí)時顯示狀態(tài)信息。其標(biāo)準(zhǔn)的類型如圖2 - 2所示。B O B通常采用電池作為電源。它包含進(jìn)行緩存的電子線路，因此在測試時不需要與實(shí)際線路進(jìn)行連接。它可以

7、用于測試線路的電壓和電阻。 位錯誤率檢測器（b i t - e r r o r-rate tester，B E RT) BERT的功能十分強(qiáng)大，可以準(zhǔn)確測試數(shù)字信號的錯誤率，而且可以測試線路的一部分以隔離故障。位錯誤率測試通常在新線路提交使用前完成，以確認(rèn)線路連接正常并為以后的性能測試提供基礎(chǔ)。B E RT可以產(chǎn)生多種不同的位輸入頻率以測試錯誤發(fā)生率。因此可以用于估計(jì)線路中延遲和噪聲問題。根據(jù)配置，可以定時對線路進(jìn)行檢測并分析錯誤。數(shù)字信號的位錯誤率應(yīng)該小于1 0 - 9。B E RT也可以用于測試線路的信噪比。時域反射儀（T D R）T D R是線路測試中比較復(fù)雜的一種方式，它檢測線路的電磁

8、特性和傳輸模式，既可以用于銅纜也可以用于光纜。對于銅纜， T D R基于電纜斷開將導(dǎo)致傳輸線路的阻抗不匹配這一原理進(jìn)行測試。阻抗不匹配至少導(dǎo)致一部分信號被反射回信號產(chǎn)生源。測試信號由時域反射儀以一個固定的速率產(chǎn)生并發(fā)送；因此通過測試信號反射回產(chǎn)生源的時間，就可以確定電纜斷開的確切位置。這一原則也可以用于測試電纜長度。通過對比傳輸與反射的信號的強(qiáng)度可以測試電纜衰減。除了故障檢測外，衰減系數(shù)也在線路安裝時測試，以便估計(jì)線路的性能。掌握電路基本原理的讀者如電子工程師對于傳輸線路理論和電磁波特性有非常好的理解。沒有基礎(chǔ)的讀者應(yīng)該了解設(shè)備使用了哪些原理，但不需要掌握這些原理的具體細(xì)節(jié)。光T D R對于光

9、纜可以采用光時域反射儀（ O T D R），其基本原理與T D R相同。當(dāng)光纜斷開時，斷開處的折射率和反射率的變化將會使光反射回放射源。光傳輸?shù)乃俾室欢ǎ虼丝梢源_定光纜斷開的位置和光纜的長度。通過比較傳輸和反射信號的能量可以得到衰減系數(shù)。測試光纖的反向散射波，同樣可以得到衰減系數(shù)。在光纜中，測試整個端到端的衰減系數(shù)是十分重要的，因?yàn)槠渲邪饫|的連接，在連接處的信號丟失往往是影響光纜衰減系數(shù)主要因素。2.4 網(wǎng)絡(luò)管理及其作用無論多大規(guī)模的網(wǎng)絡(luò)，都是需要進(jìn)行網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理最簡單的形式是使用網(wǎng)絡(luò)設(shè)備的某一個端口配置網(wǎng)絡(luò)。通常使用t e l n e t會話與網(wǎng)絡(luò)設(shè)備進(jìn)行通信以執(zhí)行管理功能。這些

10、網(wǎng)絡(luò)管理功能包括排除網(wǎng)絡(luò)中出現(xiàn)的故障，確定網(wǎng)絡(luò)設(shè)備的性能如設(shè)備利用率，或者配置網(wǎng)絡(luò)安全策略。這種簡單的管理方式適用于小型的網(wǎng)絡(luò)或者管理員可以與用戶直接聯(lián)系的網(wǎng)絡(luò)。然而，隨著網(wǎng)絡(luò)的增長，必須以更為系統(tǒng)的網(wǎng)絡(luò)管理方式取代這種反應(yīng)式的管理方法。下面，我們首先了解一下網(wǎng)絡(luò)管理的各個方面。本書的重點(diǎn)在于故障診斷與排除，它僅與網(wǎng)絡(luò)管理的某些部分有關(guān)（故障管理和性能管理），因此我們僅對其他方面作簡單的講解。網(wǎng)絡(luò)管理通常分為以下五個不同的部分： 故障管理這一部分與檢測、報(bào)告和解決網(wǎng)絡(luò)故障相關(guān)。一個成功的故障管理策略采用一種有效的方式實(shí)現(xiàn)上述功能。對于中型或大型網(wǎng)絡(luò)，故障報(bào)告機(jī)制是必不可少的。確保有足夠的技術(shù)支

11、持以便有效的排除故障也是非常重要的。 配置管理這一部分包括監(jiān)視和控制網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的配置信息。有效的配置管理可以使與配置相關(guān)的問題通過遠(yuǎn)程方式得到解決。 賬號管理這一部分的功能是確定哪些網(wǎng)絡(luò)工作站可以被相應(yīng)用戶使用并確定使用時間。賬號管理還包括對應(yīng)用程序的管理。它對于需要記錄日志以及需要對訪問進(jìn)行收費(fèi)的網(wǎng)絡(luò)是十分重要的。 性能管理這一部分的功能包括搜集、存儲和分析網(wǎng)絡(luò)性能參數(shù)的統(tǒng)計(jì)數(shù)據(jù)。比如廣域網(wǎng)鏈路的利用率統(tǒng)計(jì)以及以太網(wǎng)網(wǎng)段的碰撞發(fā)生率。分析可以采用實(shí)時和非實(shí)時兩種方式。性能分析也被用于預(yù)測刪除、添加和或者修改網(wǎng)絡(luò)設(shè)備和應(yīng)用程序?qū)W(wǎng)絡(luò)造成的影響。比如，評估網(wǎng)絡(luò)規(guī)模擴(kuò)展對網(wǎng)絡(luò)流量的影響，或

12、者在網(wǎng)絡(luò)中實(shí)現(xiàn)新的應(yīng)用程序以及將多個用戶加入到網(wǎng)絡(luò)時網(wǎng)絡(luò)流量的變化。 安全管理實(shí)現(xiàn)網(wǎng)絡(luò)安全策略時，不但要控制對網(wǎng)絡(luò)設(shè)備的訪問而且要控制對網(wǎng)絡(luò)資源和對應(yīng)用程序的訪問。對網(wǎng)絡(luò)設(shè)備的訪問控制可以通過靜態(tài)口令實(shí)現(xiàn)，或限制用戶只能在本地登錄或者通過某些設(shè)備登錄；也可以使用安全服務(wù)器集中進(jìn)行訪問控制，比如，采用TA C A C S。如果使用靜態(tài)口令，應(yīng)該對口令進(jìn)行定時更新。對于網(wǎng)絡(luò)資源的訪問控制可以在配置網(wǎng)絡(luò)設(shè)備時實(shí)現(xiàn)，比如設(shè)置路由器訪問列表。2.4.1 SNTP概覽簡單網(wǎng)絡(luò)管理協(xié)議( S N M P )已經(jīng)成為網(wǎng)絡(luò)管理事實(shí)上的標(biāo)準(zhǔn)。S N M P的關(guān)鍵組成部分如下： 可管理設(shè)備這些設(shè)備支持S N M P

13、，因而可管理?？晒芾淼脑O(shè)備可以是路由器、交換機(jī)、集線器或者服務(wù)器等等。 代理運(yùn)行于可管理設(shè)備上的S N M P軟件稱為S N M P代理。S N M P代理的功能是搜集、存儲和傳輸管理信息。 M I B管理信息庫（ M I B）是管理對象的集合。管理對象是指標(biāo)識管理信息的特定參數(shù)。例如，管理對象可以是路由表中的路由表項(xiàng)。管理對象（比如，單個路由器）的具體示例就可以成為管理變量。 網(wǎng)絡(luò)管理工作站（ N M S）S N M P網(wǎng)絡(luò)管理程序大多數(shù)位于S N M P服務(wù)器上，我們稱這個服務(wù)器為網(wǎng)絡(luò)管理工作站。可管理設(shè)備使用S N M P向網(wǎng)絡(luò)管理工作站發(fā)送管理對象的信息。典型的N M S包括管理應(yīng)用程

14、序包，可以定制由S N M P提供的信息，以及通過圖形用戶界面顯示定制的信息。S N M P不同組成部分的相互關(guān)系如圖2 - 3所示。管理對象與NMS之間的SMTP通信類型主要有： Read Read消息在N M S與管理對象之間傳輸以便N M S搜集管理變量信息。SNMP Read操作通常需要N M S發(fā)送Get -Request消息，而被管理對象響應(yīng)Get-Reply消息。Get-Next消息通常用于順序請求一組管理變量，比如路由器的I P路由表。SNMP NMS控制臺只能實(shí)現(xiàn)Read，這說明它屬于只讀集合（ read-only community）。這一集合是由口令保護(hù)的，作為下載口令的

15、只讀集合字符串必須由管理對象以及S N M P服務(wù)器共同決定。 Write SNMP Write消息的發(fā)送發(fā)式是由NMS服務(wù)器向管理對象發(fā)送Set-Request消息。這些S e t消息用于修改管理變量的值或者狀態(tài)。例如，可以通過發(fā)送Set消息刪除NMS服務(wù)器上代表路由器不能響應(yīng)的端口的GUI圖標(biāo)?？梢詧?zhí)行SNMP Set的NMS控制臺屬于讀寫集合。它的口令通過管理對象與SNMP服務(wù)器協(xié)商的讀寫集合字符串確定。 Traversal操作N M S使用這一類型的操作確定管理對象上的哪一些變量需要搜集。例如，可以使用這一操作收集路由器的整個I P路由表。 Trap SNMP自陷是由管理對象產(chǎn)生并向N

16、 M S報(bào)告的信息，用以表明有特定的事件發(fā)生。事件可以是某個管理變量超過了預(yù)先定義的報(bào)警閥值，例如以太網(wǎng)段上的報(bào)文沖突數(shù)量。這些通信消息在SNMP版本1而不是版本2中進(jìn)行了描述。SNMP v.2是SNMP v.1的增強(qiáng)版，并且將逐步取代SNMP v.1。但是二者有很多共同點(diǎn)，增強(qiáng)的部分主要在于協(xié)議的安全性。2.4.2 Cisco路由器和交換機(jī)上的SNMP路由器通常實(shí)現(xiàn)標(biāo)準(zhǔn)類型的SNMP配置。只讀和讀寫集合由訪問列表9保護(hù)，它指定了兩臺NMS工作站。在示例中，192.168.2.6屬于只讀集合，其集合字符串是JoeCooney。172.24.10.235屬于讀寫集合，表明它可以實(shí)現(xiàn)對路由器的管理

17、變量的SNMP Write或者Set消息。路由器的SNMP還包含一些十分有用的信息，比如站點(diǎn)信息以及設(shè)備ID等?，F(xiàn)在，讓我們來看一看Catalyst 5000交換機(jī)上的S N M P。除了只讀和讀寫集合外，交換機(jī)上還存在完全讀寫集合，它不但有權(quán)限修改管理變量而且可以修改參數(shù)的設(shè)置。在本例中，模塊和設(shè)備的自陷被發(fā)送到讀寫集合中的133.1.1.9服務(wù)器上。缺省情況下不允許產(chǎn)生端口自陷；這是為了防止服務(wù)器或者監(jiān)視工作站因?yàn)樽韵葸^載而崩潰。對于路由器，用戶可以使用show snmp命令檢查其上的s n m p配置(如清單2 - 1所示)。清單2 - 12.5 網(wǎng)絡(luò)監(jiān)視區(qū)分網(wǎng)絡(luò)監(jiān)視與網(wǎng)絡(luò)管理非常重要。

18、網(wǎng)絡(luò)監(jiān)視需要搜集、整理和報(bào)告網(wǎng)絡(luò)信息。至于如何使用這些信息解決存在的網(wǎng)絡(luò)故障，或者預(yù)測將來可能發(fā)生的網(wǎng)絡(luò)問題，提高網(wǎng)絡(luò)性能，加強(qiáng)網(wǎng)絡(luò)的安全性，以及決定網(wǎng)絡(luò)賬號管理策略都屬于網(wǎng)絡(luò)管理的范圍。在任何管理領(lǐng)域，信息報(bào)告是不可缺少的部分，網(wǎng)絡(luò)管理也不例外。網(wǎng)絡(luò)管理與網(wǎng)絡(luò)監(jiān)視之間的區(qū)別在于網(wǎng)絡(luò)監(jiān)視可以看作網(wǎng)絡(luò)管理的底層工具。除了報(bào)告故障外，網(wǎng)絡(luò)監(jiān)視的另一個重要功能是確定基線，它與故障管理與性能管理密切相關(guān)。在下一章中，我們將學(xué)習(xí)如何配置C i s c o路由器，使它自動向S y s l o g服務(wù)器發(fā)送日志信息并且根據(jù)安全級別限制錯誤和事件信息的發(fā)送。遠(yuǎn)程監(jiān)視（ R M O N）R M O N是S N

19、M P的擴(kuò)充。兩者的區(qū)別在于S N M P從單一類型的M I B中獲取網(wǎng)絡(luò)信息，而R M O N定義而了9種M I B或者R M O N組。網(wǎng)絡(luò)可以實(shí)現(xiàn)所有或者部分R M O N組的集合。R M O N遠(yuǎn)程管理特性發(fā)揮了現(xiàn)代網(wǎng)絡(luò)設(shè)備智能管理的特性，監(jiān)視和數(shù)據(jù)獲取可以在單個遠(yuǎn)程設(shè)備和工作站上執(zhí)行，工作站通常稱為RMON probe。在網(wǎng)絡(luò)分析的下一節(jié)我們將詳細(xì)講解RMON probe。網(wǎng)絡(luò)分析的第一個階段是收集和整理數(shù)據(jù)， R M O N提供了這種服務(wù)。RMON probe可以根據(jù)指定的條件觀察和捕獲遠(yuǎn)程網(wǎng)段上傳輸?shù)膱?bào)文。下面是9種R M O N組?？梢允褂眠@些組或者是其中S N M P部分分析

20、網(wǎng)絡(luò)故障。目前市場上大多數(shù)支持R M O N的設(shè)備并沒有全部支持以下所有的組。無論用戶網(wǎng)絡(luò)是否包含這些組，網(wǎng)絡(luò)管理員都應(yīng)該對這些組提供的R M O N服務(wù)有清楚的認(rèn)識。 Statistics 組該組維護(hù)參數(shù)的底層統(tǒng)計(jì)信息，比如報(bào)文發(fā)送數(shù)量、報(bào)文的尺寸、廣播、組播以及錯誤檢測等等。 History 組該組使用從S t a t i s t i c s組獲取的信息進(jìn)行趨勢分析。為一組不同的網(wǎng)絡(luò)參數(shù)設(shè)置計(jì)數(shù)器，并對計(jì)數(shù)器定時更新，以便提供趨勢分析。 A l a r m組該組允許用戶為任何通過RMON probe觀測到的管理變量定義采樣間隔時間以及錯誤閥值。 E v e n t組該組提供三種基本的事件類

21、型：上升閥值、下降閥值以及報(bào)文匹配。上升閥值可以是局域網(wǎng)段C R C錯誤的數(shù)值。匹配報(bào)文可以是令牌環(huán)網(wǎng)中的令牌。 H o s t組該組對網(wǎng)絡(luò)中出現(xiàn)的不同M A C地址進(jìn)行統(tǒng)計(jì)。同時也包括進(jìn)出報(bào)文、報(bào)文的大小、錯誤、廣播和組播等信息。 Top N Hosts組該組通過限制H o s t組的活動，例如將它限制在被監(jiān)視網(wǎng)段上最為繁忙的N臺機(jī)器，使用戶減少管理信息在網(wǎng)絡(luò)上傳輸?shù)牧髁俊?Packet Capture組該組允許網(wǎng)絡(luò)管理員配置用于捕獲報(bào)文的緩沖區(qū)的大小。該值可以在報(bào)文捕獲開始和暫停時設(shè)置。 Tr a ffic Matrix組該組統(tǒng)計(jì)兩個工作站之間的信息流量以及其他通信信息。比如，哪些工作站間

22、發(fā)送了信息，以及傳輸時間的長短。 F i l t e r組該組使用戶可以預(yù)先定義一組過濾器的類型，使用戶可以捕獲所需要的數(shù)據(jù)。過濾器可以基于地址、協(xié)議類型或二者組合來定義。2.6 網(wǎng)絡(luò)分析網(wǎng)絡(luò)分析必須在網(wǎng)絡(luò)監(jiān)視的基礎(chǔ)上進(jìn)行。在收集到數(shù)據(jù)以后，用戶可以對數(shù)據(jù)進(jìn)行整理并加以分析以解決網(wǎng)絡(luò)故障，或預(yù)測將來可能發(fā)生的網(wǎng)絡(luò)故障或者尋求提高網(wǎng)絡(luò)性能的方法。在上一節(jié)我們討論R M O N時，可以發(fā)現(xiàn)其中的某些組已經(jīng)不僅僅是簡單的捕獲數(shù)據(jù)，在一定程度上它們也包含了數(shù)據(jù)分析的功能。網(wǎng)絡(luò)分析中有一個任何人都不能否定的原則：最重要和有效地分解工具是經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)工程師的知識和經(jīng)驗(yàn)。沒有豐富經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師，任何投資

23、于網(wǎng)絡(luò)分析的方式都是一種浪費(fèi)。這雖然聽起來有些奇怪，但從筆者多年的經(jīng)驗(yàn)來看，到達(dá)這一程度的工程師的數(shù)量并不多。在大量的網(wǎng)絡(luò)監(jiān)視工作站或者網(wǎng)絡(luò)分析儀提供的數(shù)據(jù)涌向面前時，需要解決的關(guān)鍵問題是從這些數(shù)據(jù)中找到與當(dāng)前故障相關(guān)的部分。這些數(shù)據(jù)首先應(yīng)進(jìn)行預(yù)處理（比如，應(yīng)該對比哪兩個參數(shù)）。然后對整理的數(shù)據(jù)進(jìn)行解釋。這一步工作需要相當(dāng)豐富的經(jīng)驗(yàn)和技能。正如下面討論協(xié)議和報(bào)文分析時將講解到的，如果要完全理解分析儀協(xié)議分析儀捕獲到的數(shù)據(jù)，必須對網(wǎng)絡(luò)協(xié)議的細(xì)節(jié)理解得非常清楚。盡管某些廠商聲稱其網(wǎng)絡(luò)管理和分析工具的功能十分強(qiáng)大，但是這些工具并不會自動地解決網(wǎng)絡(luò)問題。之所以強(qiáng)調(diào)這一點(diǎn)是因?yàn)樵S多公司都將把重點(diǎn)放在投資

24、網(wǎng)絡(luò)分析工具上，而忽略對職員的培訓(xùn)使它們能夠充分的利用這些網(wǎng)絡(luò)分析工具。2.6.1 協(xié)議分析網(wǎng)絡(luò)分析可以分為兩部分：協(xié)議分析和報(bào)文分析。協(xié)議分析是指收集和整理不同網(wǎng)段上運(yùn)行的協(xié)議信息，以及相應(yīng)的流量和錯誤級別。通常協(xié)議分析用于性能基線、容量規(guī)劃以及網(wǎng)絡(luò)的重新設(shè)計(jì)。在故障診斷與排除過程中，它屬于高層方法。當(dāng)解決復(fù)雜的網(wǎng)絡(luò)故障時，通常需要用到報(bào)文分析。為了說明協(xié)議分析的使用方法，圖2 - 4展示了使用Wi n d o w s下的Network Associates Sniff e r在以太網(wǎng)段上捕獲數(shù)據(jù)時的圖形。該程序運(yùn)行時間不到兩分鐘，收集了將近30 000字節(jié)的數(shù)據(jù)。所有的這些數(shù)據(jù)都是基于I

25、P的通信，絕大部分使用的是U D P協(xié)議。協(xié)議分布的詳細(xì)統(tǒng)計(jì)如圖2 - 5所示。2.6.2 報(bào)文分析與S n i ff e r報(bào)文分析是指在報(bào)文以及幀這一級檢查捕獲的數(shù)據(jù)。通過這種類型的分析，每一個被捕獲的報(bào)文的物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和傳輸層都將被檢查。更為專業(yè)的分析儀報(bào)文分析儀還提供更為詳細(xì)的分析，其中包括對應(yīng)用層數(shù)據(jù)的分析。標(biāo)準(zhǔn)的分析儀局域網(wǎng)分析儀包含以太網(wǎng)、令牌環(huán)網(wǎng)或者F D D I端口，可以與需要監(jiān)聽的局域網(wǎng)段上的集線器或者交換機(jī)上相應(yīng)的端口連接。或者，分析儀局域網(wǎng)分析儀也可以以應(yīng)用程序的形式在工作站上運(yùn)行，該工作站必須位于發(fā)生故障的局域網(wǎng)段上。許多模塊分析儀都支持遠(yuǎn)程管理，這類分

26、析儀不但包含用于數(shù)據(jù)捕獲的端口，還擁有一個配置了I P地址的通信端口。用戶可以通過通信端口遠(yuǎn)程訪問分析儀。需要注意的是通信端口不應(yīng)該與數(shù)據(jù)捕獲端口在同一個網(wǎng)段上。網(wǎng)絡(luò)分析儀也可以用于捕獲廣域網(wǎng)上的報(bào)文。要實(shí)現(xiàn)這一點(diǎn)，網(wǎng)絡(luò)分析儀必須包含適當(dāng)?shù)慕涌陬愋停热鐜欣^、I S D N等。分析儀通?？梢苑胖糜贒 T E和D C E之間的廣域網(wǎng)線路中，不需要中斷網(wǎng)絡(luò)通信。市場上有各種各樣網(wǎng)絡(luò)分析儀。為了說明報(bào)文分析儀的用法，我們以Network AssociatesS n i ff e r為例舉例說明。該產(chǎn)品的早期版本基于D O S運(yùn)行，本例中的產(chǎn)品基于Wi n d o w s平臺。我們使用最簡單的示例說

27、明網(wǎng)絡(luò)分析儀的功能和作用。我們需要檢測工作站1 5 9 . 2 4 9 . 1 0 5 . 1 9到其局域網(wǎng)路由器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的連通性，同時檢測每一個工作站發(fā)送和接收的報(bào)文。為了避免S n i ff e r接收不需要的數(shù)據(jù)而導(dǎo)致緩沖區(qū)溢出，我們首先定義捕獲過濾器：選擇“ Define Filter”,然后點(diǎn)擊“C a p t u r e”完成這一工作。過濾器可以基于以下參數(shù)定義： 網(wǎng)絡(luò)層地址。 M A C地址。 數(shù)據(jù)模式（比如，表示碰撞發(fā)生的A s或者5 s內(nèi)的數(shù)據(jù)序列）。 協(xié)議（比如， I P、I P X、N e t B E U I、L AT等等

28、）。在捕獲過濾器中可以定義單個協(xié)議或者多個協(xié)議。 報(bào)文類型報(bào)文類型可以分為正常報(bào)文以及由于C R C校驗(yàn)錯、殘缺或者發(fā)生碰撞而導(dǎo)致的錯誤報(bào)文。在排除網(wǎng)絡(luò)故障時，使用這一參數(shù)定義過濾器捕獲某種錯誤類型的報(bào)文對于解決問題十分有效。圖2 - 6顯示了一個簡單的基于I P地址的捕獲過濾器。任何發(fā)往或者來自于1 5 9 . 2 4 9 . 1 0 5 . 1 9以及1 5 9 . 2 4 9 . 1 0 5 . 2 5 3工作站的報(bào)文都將被捕獲。第一條語句定義了由1 5 9 . 2 4 9 . 1 0 5 . 1 9發(fā)送或者接收的報(bào)文都將被捕獲，實(shí)際上不需要這條語句，因?yàn)樗堑诙l語句的特例。捕獲過濾器

29、的定義依賴于問題的定義，不同的過濾器收集不同的信息。例如，如果故障被定義為“在一天的不同時刻許多用戶都不能正常使用多個不同的服務(wù)器”，這種定義方式是很不確切的。至少，應(yīng)該提供特定的客戶和服務(wù)器的地址以及應(yīng)用所使用的協(xié)議等信息。事實(shí)上，在問題被準(zhǔn)確定義之前（使用第1章的模型），不應(yīng)該使用網(wǎng)絡(luò)分析儀。有些時候最初的問題定義非常廣泛，在這種情況下，S n i ff e r可用于收集數(shù)據(jù)以便于更好地理解所發(fā)生的問題。何時以及怎樣使用捕獲過濾器很大程度上取決于經(jīng)驗(yàn)。定義捕獲過濾器后，用戶就可以開始數(shù)據(jù)捕獲過程了，這個過程通常也稱為跟蹤過程。用戶可以通過選擇“ C a p t u r e”或者“ S t

30、a r t”啟動跟蹤。跟蹤持續(xù)的時間根據(jù)問題的特性而變化。如果問題是持續(xù)發(fā)生并且十分嚴(yán)重，比如連接失敗，那么短時間的跟蹤就可以提供足夠多的數(shù)據(jù)。相反，如果問題是間歇發(fā)生的，例如，響應(yīng)時間比較慢，這需要長時間的跟蹤才可以獲取相應(yīng)的數(shù)據(jù)。在跟蹤過程中，S n i ff e r提供了觀測幀和捕獲幀的統(tǒng)計(jì)報(bào)告（如果沒有設(shè)置捕獲過濾器，則兩者是相同的），同時還提供嚴(yán)重錯誤的統(tǒng)計(jì)數(shù)據(jù)。在特定情況下，它可能導(dǎo)致停止或暫停跟蹤。當(dāng)用戶決定停止跟蹤時，數(shù)據(jù)將自動顯示。用戶也可以根據(jù)定義捕獲過濾器的方法定義顯示過濾器。否則，所有捕獲的數(shù)據(jù)都將被顯示出來。圖2 - 7以解碼方式顯示了捕獲的數(shù)據(jù)。從顯示的數(shù)據(jù)可以看出

31、它記錄了1 5 9 . 2 4 9 . 1 0 5 . 1 9到路由器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的一次t e l n e t會話。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9發(fā)送了五個I C M P報(bào)文。需要指出的是，這些步驟僅僅是為了說明S n i ff e r的使用方法，而不是故障排除的策略；故障排除將在后續(xù)章節(jié)中詳細(xì)討論。數(shù)據(jù)的解碼輸出可以滾動顯示。圖2 - 7中顯示的部分包含一個捕獲報(bào)文的摘要窗口。摘要窗口下面的細(xì)節(jié)窗口給出了每一個報(bào)文詳細(xì)信息，其內(nèi)容包括從數(shù)據(jù)鏈路層一直到應(yīng)用層的所有信息。但還可以提供一個以十六進(jìn)制的窗口來顯示報(bào)文內(nèi)容

32、。為了簡明起見，圖2 -7未顯示該窗口?？紤]被選中的報(bào)文（標(biāo)記M）： 它是第一個被捕獲的報(bào)文，其源地址和目的地址如圖所示。 摘要信息顯示，在第二層的幀是6 0字節(jié)的以太網(wǎng)幀。E t h e r t y p e = 0 8 0 0表明I P是基于A R PA而不是基于8 0 2 . 3實(shí)現(xiàn)，因?yàn)槭M(jìn)制的8 0 0等于十進(jìn)制的2 0 4 8，它超過以太網(wǎng)的最大幀長度。因此，它是一個類型字段而不是一個長度字段。我們將在后續(xù)章節(jié)中討論各種以太網(wǎng)之間的區(qū)別。 除了I P地址外， T C P源和目的端口也順序地列出來了。目的端口是2 3，它是t e l n e t端口，源端口是隨機(jī)產(chǎn)生的非保留T C P

33、端口。 摘要和細(xì)節(jié)窗口可以用于跟蹤T C P報(bào)文序列，如果有大量的T C P報(bào)文重傳，這有可能與故障有關(guān)。 需要注意的是，細(xì)節(jié)窗口中確認(rèn)位為0。這表明我們觀測的T C P會話并沒有建立。 在TCP報(bào)文頭中顯示了TCP窗口的大小。它表明有多少字節(jié)的數(shù)據(jù)發(fā)送后未接收到確認(rèn)信息。 圖中細(xì)節(jié)窗口僅顯示了TCP頭的信息，其他細(xì)節(jié)信息可以通過點(diǎn)擊窗口右邊的滾動條顯示。根據(jù)用戶的知識和經(jīng)驗(yàn)， S n i ff e r所提供的數(shù)據(jù)起的作用將會完全不同。對于某些用戶，可能不十分理解這些數(shù)據(jù)。本書的后續(xù)章節(jié)將學(xué)習(xí)和討論理解這些數(shù)據(jù)所需要的理論知識和實(shí)踐經(jīng)驗(yàn)。上述示例僅僅是一簡單的跟蹤，在實(shí)際問題中，用戶所面臨的數(shù)

34、據(jù)遠(yuǎn)比示例中的復(fù)雜。圖2 - 8顯示了完整的細(xì)節(jié)窗口。在第二層中顯示了以太網(wǎng)地址。第三層顯示I P報(bào)文內(nèi)容。它是一個IP v. 4報(bào)文。在IP v. 4中不支持服務(wù)類型參數(shù)；因而所有這些字段的值都是0。I P封裝的報(bào)文的總長度是4 0字節(jié)（其中包括2 0字節(jié)的I P頭）。其中D F (不分段)位被置1。如果介質(zhì)的M T U小于報(bào)文的長度，報(bào)文也不會分段。I P報(bào)文同樣指明了傳輸層協(xié)議為T C P。如何區(qū)別圖2 - 8的幀與圖2 - 7的幀的差別呢？我們可以通過T C P序號和確認(rèn)號來判斷。圖2 - 9同時顯示了三個不同的窗口：摘要、細(xì)節(jié)和十六進(jìn)制窗口。十六進(jìn)制分析窗口通常用于十分底層的故障排除

35、分析，尤其是在S n i f f e r不能完全解釋協(xié)議時使用。這種情況通常發(fā)生于使用S n i f f e r分析新的協(xié)議或者具有新特性的協(xié)議的情形。廠商通過使用十六進(jìn)制代碼可以分析幀中相關(guān)的部分。在圖中，兩個I P地址間的I C M P回應(yīng)和回應(yīng)應(yīng)答報(bào)文存在問題。摘要窗口中顯示長度為11 4字節(jié)的p i n g或者ICMP Echo報(bào)文從1 5 9 . 2 4 9 . 1 0 5 . 2 5 3發(fā)送到1 5 9 . 2 4 9 . 1 0 5 . 1 9，然后1 5 9 . 2 4 9 . 1 0 5 . 1 9發(fā)送回應(yīng)應(yīng)答報(bào)文。細(xì)節(jié)窗口中顯示了回應(yīng)報(bào)文的I C M P頭信息。同時也顯示了

36、I P頭的一部分，包括地址以及表明封裝I C M P的協(xié)議標(biāo)識。在圖2 - 1 0中，顯示了跟蹤的摘要統(tǒng)計(jì)信息。跟蹤的持續(xù)時間大約為一分鐘，它比一般的跟蹤時間要少。圖中列出了捕獲的報(bào)文和數(shù)據(jù)的總量以及以太網(wǎng)段的平均利用率，它在捕獲過程中并不是十分繁忙。其中還包括M A C層和網(wǎng)絡(luò)層廣播和組播報(bào)文。示例中的S n i ff e r只支持由I P和I P X封裝的報(bào)文，它不提供對其他協(xié)議類型的支持。對于I P，它還進(jìn)一步支持對其上的T C P、U D P和I C M P的分析。在示例中，并沒有使用U D P的應(yīng)用程序。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9發(fā)送了1 0個I

37、C M P報(bào)文和5個回應(yīng)報(bào)文，并且接收到了5個對應(yīng)的回應(yīng)應(yīng)答報(bào)文，圖中可以看出這些p i n g報(bào)文的長度為11 8字節(jié)。在這一節(jié)中，我們簡單介紹了網(wǎng)絡(luò)分析儀，尤其是Network Associates Sniff e r的使用方法。但是，這僅僅是最為基本的部分。S n i f f e r還包括許多用于捕獲數(shù)據(jù)和分析數(shù)據(jù)的功能，用戶可以在實(shí)踐中去掌握這些功能。這類工具不但功能越來越強(qiáng)大，而且界面也越來越友好。但是，正如筆者一再強(qiáng)調(diào)的，解決問題的關(guān)鍵是對數(shù)據(jù)的分析。在使用這些工具捕獲報(bào)文時，用戶應(yīng)該對多種不同的協(xié)議有清楚的了解。這樣，在解決實(shí)際問題時，網(wǎng)絡(luò)分析儀才可能發(fā)揮更重要的作用。圖2-10 Sniff e r跟蹤軌跡的統(tǒng)計(jì)信息注意：使用與S n i ff e r類似的工具時，最主要是掌握這些數(shù)據(jù)所表示的信息。掌握這種知識的有效方法是使用這些工具檢測正常的網(wǎng)絡(luò)并檢查捕獲的數(shù)據(jù)。2.7 網(wǎng)絡(luò)管理軟件包和平臺2.7.1 CiscoWo r k s網(wǎng)絡(luò)管理軟件C i s c o Wo r k s是一種注冊的網(wǎng)絡(luò)管理軟件，它基于S N M P 對C i s c o路由器提供管理服務(wù)。C i s c o Wo r k s既可以支持Wi n d o w s平臺，也可以支持U N I X平臺，但是運(yùn)行于后一種平臺