基於協議分析的IP網絡故障診斷應用研究

 

摘 要：協議分析儀作為網絡測試與故障診斷的主要工具，因其昂貴的價格而被披上了神秘的麵紗。針對協議分析儀目前在國內局域網管理與維護中應用較少的情況，分析了I P 網絡故障診斷的特點和協議分析儀的優勢， 詳細闡述了協議分析儀的工作原理、主要功能，較深入的分析研究了不同網絡環境下部署協議分析儀的策略，結合實際給出了協議分析儀在I P 網絡故障診斷中的應用方法。為網絡工程技術人員和網絡管理人員提供了一條提高網絡性能測試、故障診斷效率的捷徑。 　　0 引言 　　計算機網絡技術快速發展給我們帶來諸多驚喜的同時，其存在的各種問題也困擾著大家， 特彆是網絡蔓延和網絡黑客的攻擊， 使I n t r a n e t 網絡性能下降， 故障頻繁。對此，網絡工程技術人員與網絡管理人員需要借助各種網絡管理和維護的工具來加強對網絡的監控、故障診斷和處理。在所有的工具中， 網絡協議分析儀P A ( p r o t o c o l a n a l y z e r )在網絡故障診斷方麵具有不可替代的作用，隨著網絡精細化管理程度的提高，協議分析儀必將為越來越多的網絡工程技術員及人網絡管理員所廣泛運用。 　　1 IP 網絡維護與協議分析儀的特點 　　基於T C P ⁄I P 的I n t r a n e t 成為當今局域網組網技術的潮流，該協議在設計之初更多考慮的是網絡的開放性，其存在著不可靠性、不**性、流量突發性等特點，使得對其進行管理維護也非常困難。當前， 國內對I P 網絡的管理維護手段儘管多種多樣， 但還冇有非常成熟的可以被普遍采用的方案。采用協議分析儀則為網絡故障診斷提供了一種“ 透視” 方案[ 3 ]。協議分析儀對網絡進行實時監測， 對網絡中I P 數據包進行捕獲、解析， 從而了解網絡當前的狀況， 準確定位故障源節點的I P 或M A C ， 可以快速診斷網絡故障。協議分析儀工作在被動模式和透明狀態下，不會影響網絡的正常運行；同時協議分析儀又可以靈活部署在各種網絡環境中，在I P 網絡故障診斷中可以方便地應用。 　　2 協議分析儀的工作原理 　　協議分析儀就是能夠C a p t u r e（ 捕獲） 分析網絡中傳輸數據的設備， 其硬件部分主要是處於混雜模式（ P r 網卡， 其軟件部分包含數據包捕獲模塊和數據解碼分析模塊兩大部分。 　　2.1 數據包捕獲模塊的基本原理 　　數據包捕獲模塊由處於混雜模式的網卡、網卡驅動程序、中間程序、網絡協議程序、應用程序以及網絡驅動接口規範組成， 其結構如圖1 所示。

 

圖 1 數據包捕獲模塊的結構圖 　　其中網絡驅動接口規範N D I S ( N e t w o r k D r i v e r I n t e r f a c e S p e c i f i c a t i o n ) 是數據包捕獲模塊的核心，它集成了多種數據包捕獲規則的操作函數，為還原I P 數據包提供服務，能將各種以太網網卡設置為混雜模式。N D I S 支持多種工作模式， 並提供一套 N D I S 庫( L i b r a r y ) 來完成各種規則下的數據包的捕獲。協議分析儀捕獲數據包的過程共分為網卡模式設置、接收網絡數據、數據分類、數據過濾、數據提交及關閉網卡等六大步驟。

　　2.2 數據解碼分析模塊原理 　　協議分析儀對捕獲的海量數據進行解碼分析，主要是基於各種網絡協議的不同特征並用協議定義數據結構規則解析模塊來完成的。協議分析儀一般使用層次化的協議分析方法和插件技術來實現對捕獲數據的解碼分析。層次化分析方法是基於O S I 分層模型的思想，按照數據在發/收端的封裝與解包的過程對捕獲的數據流進行逐層處理還原重組解析。利用插件技術來擴展協議分析儀適應網絡新的協議及應用的解析。 　　3 協議分析儀的主要功能 　　協議分析儀的主要功能有網絡數據的采集、數據的解碼分析、網絡狀況的統計、故障的診斷等， 綜合這些信息來完成對網絡運行情況的分析與故障診斷。

　　協議分析儀能實時監測各個網絡節點和每條指定鏈路的連接情況、流量、負載率、數據收發的錯誤率、數據包S i z e 分布情況等， 並且可以用統計圖或者表格的形式顯示。可以提供非常詳細的網絡狀況的統計信息， 包括對全局數據的統計和針對關鍵信息的統計。

　　可以提供非常準確的網絡故障診斷結果（ E x p e r t S y s t e m 專家係統）， 能智能地對網絡通信情況進行故障診斷，提供對網絡故障的原因分析，以及如何處理等。這對快速定位網絡故障極其重要， 可以極大地提高網絡故障診斷的效率。 　　4 協議分析儀在IP 網絡故障診斷中的應用模型 　　實際I P 網絡中部署協議分析儀的策略隨網絡的拓撲、組網設備的不同而異， 主要有以下三種應用模型： 　　4.1 共享式網絡環境 　　基於H U B 集線器組網的共享式網絡，數據包以廣播的方式傳送，在網絡中任一節點部署協議分析儀都可以捕獲到網絡中的全部數據信息。 　　4.2 有鏡像功能的交換式網絡環境 　　基於交換機組網的網絡環境，由於其每個端口隻轉發與本端口直接相連設備的數據包以及廣播包和組播包，協議分析儀要捕獲其他端口的數據包則要對有端口鏡像功能的交換機配置起用其鏡像功能， 將協議分析儀接入鏡像端口上實現抓包， 如圖2 所示。

圖2 端口鏡像方式部署協議分析儀 　　這種方式協議分析儀僅能監測到被鏡像端口的數據， 而且配置起來也比較麻煩。

　　4.3 無鏡像功能的交換式網絡環境 　　對於無端口鏡像功能的交換機組網， 可以采用在被監測的鏈路（ 關鍵鏈路） 串接H U B或者分接器（ T A P ） 的方式部署協議分析儀。TA P 方式如圖3 所示。

圖3 T A P 方式部署協議分析儀 　　T A P 對被監測鏈路來說是完全透明的，但是成本較高，且要求協議分析儀具有雙網卡。

　　H U B 方式是在需要監測的鏈路中串聯一個多端口的H U B 集線器， 對協議分析儀的要求低，實現容易， 缺點是在高速鏈路中會影響到網絡的性能。

　　5 協議分析儀在Intranet 軟故障診斷中的應用案例 　　在I n t r a n e t 環境下， 協議分析儀在網絡故障診斷中的流量監測、故障定位、原因分析等方麵得到廣泛的應用。 　　5.1 網絡流量分析 　　常用的網絡流量監控工具是基於S N M P 的軟件， 而采用協議分析儀對網絡流量監控則可以了解更多的細節。協議分析儀可以生成網絡節點連接M A P 、分析各網絡節點的流量、各種協議的流量及比例等等。表1 所示為各網絡節點的通信流量。

　　5.2 網絡攻擊/查找 　　通常，網絡中受到攻擊或者感染的主機與外界的其他站點的通信流量、特定的端口連接、網絡響應速度等會有異常， 協議分析儀可以快速而且很準確的找出這樣的主機。

　　表2 所示為 a r p 異常請求分析。

　　6 結束語 　　協議分析儀的靈活運用可以完成很多網絡故障診斷的工作，大大提高網絡管理與維護的智能程度和工作效率，隨著協議分析軟件開發的不斷深入，功能的不斷完善，以及成熟產品價格的逐步下降， 其在今後網絡管理與維護中必將廣泛運用。

 

基於協議分析的IP網絡故障診斷應用研究