基于協(xié)議分析儀的IP網(wǎng)絡(luò)應(yīng)用設(shè)計

引言

　　計算機網(wǎng)絡(luò)技術(shù)快速發(fā)展給我們帶來諸多驚喜的同時，其存在的各種問題也困擾著大家， 特別是網(wǎng)絡(luò)*蔓延和網(wǎng)絡(luò)黑客的攻擊， 使I n t r a n e t 網(wǎng)絡(luò)性能下降， 故障頻繁。對此，網(wǎng)絡(luò)工程技術(shù)人員與網(wǎng)絡(luò)管理人員需要借助各種網(wǎng)絡(luò)管理和維護的工具來加強對網(wǎng)絡(luò)的監(jiān)控、故障診斷和處理。在所有的工具中， 網(wǎng)絡(luò)協(xié)議分析儀P A ( p r o t o c o l a n a l y z e r )在網(wǎng)絡(luò)故障診斷方面具有不可替代的作用，隨著網(wǎng)絡(luò)精細化管理程度的提高，協(xié)議分析儀必將為越來越多的網(wǎng)絡(luò)工程技術(shù)員及人網(wǎng)絡(luò)管理員所廣泛運用。

　　1 IP 網(wǎng)絡(luò)維護與協(xié)議分析儀的特點

　　基于T C P / I P 的I n t r a n e t 成為當(dāng)今局域網(wǎng)組網(wǎng)技術(shù)的潮流，該協(xié)議在設(shè)計之初更多考慮的是網(wǎng)絡(luò)的開放性，其存在著不可靠性、不安全性、流量突發(fā)性等特點，使得對其進行管理維護也非常困難。當(dāng)前， 國內(nèi)對I P 網(wǎng)絡(luò)的管理維護手段盡管多種多樣， 但還沒有非常成熟的可以被普遍采用的方案。采用協(xié)議分析儀則為網(wǎng)絡(luò)故障診斷提供了一種“ 透視” 方案[ 3 ]。協(xié)議分析儀對網(wǎng)絡(luò)進行實時監(jiān)測， 對網(wǎng)絡(luò)中I P 數(shù)據(jù)包進行捕獲、解析， 從而了解網(wǎng)絡(luò)當(dāng)前的狀況， 準(zhǔn)確定位故障源節(jié)點的I P 或M A C ， 可以快速診斷網(wǎng)絡(luò)故障。協(xié)議分析儀工作在被動模式和透明狀態(tài)下，不會影響網(wǎng)絡(luò)的正常運行；同時協(xié)議分析儀又可以靈活部署在各種網(wǎng)絡(luò)環(huán)境中，在I P 網(wǎng)絡(luò)故障診斷中可以方便地應(yīng)用。

　　2 協(xié)議分析儀的工作原理

　　協(xié)議分析儀就是能夠C a p t u r e（ 捕獲） 分析網(wǎng)絡(luò)中傳輸數(shù)據(jù)的設(shè)備， 其硬件部分主要是處于混雜模式（ P r o m i s c u o u s） 的網(wǎng)卡， 其軟件部分包含數(shù)據(jù)包捕獲模塊和數(shù)據(jù)解碼分析模塊兩大部分。

　　2 . 1 數(shù)據(jù)包捕獲模塊的基本原理

　　數(shù)據(jù)包捕獲模塊由處于混雜模式的網(wǎng)卡、網(wǎng)卡驅(qū)動程序、中間程序、網(wǎng)絡(luò)協(xié)議程序、應(yīng)用程序以及網(wǎng)絡(luò)驅(qū)動接口規(guī)范組成， 其結(jié)構(gòu)如圖1 所示。

圖 1 數(shù)據(jù)包捕獲模塊的結(jié)構(gòu)圖

其中網(wǎng)絡(luò)驅(qū)動接口規(guī)范N D I S ( N e t w o r k D r i v e r I n t e r f a c e S p e c i f i c a t i o n ) 是數(shù)據(jù)包捕獲模塊的核心，它集成了多種數(shù)據(jù)包捕獲規(guī)則的操作函數(shù)，為還原I P 數(shù)據(jù)包提供服務(wù)，能將各種以太網(wǎng)網(wǎng)卡設(shè)置為混雜模式。N D I S 支持多種工作模式， 并提供一套 N D I S 庫( L i b r a r y ) 來完成各種規(guī)則下的數(shù)據(jù)包的捕獲。協(xié)議分析儀捕獲數(shù)據(jù)包的過程共分為網(wǎng)卡模式設(shè)置、接收網(wǎng)絡(luò)數(shù)據(jù)、數(shù)據(jù)分類、數(shù)據(jù)過濾、數(shù)據(jù)提交及關(guān)閉網(wǎng)卡等六大步驟。

　　2 . 2 數(shù)據(jù)解碼分析模塊原理

　　協(xié)議分析儀對捕獲的海量數(shù)據(jù)進行解碼分析，主要是基于各種網(wǎng)絡(luò)協(xié)議的不同特征并用協(xié)議定義數(shù)據(jù)結(jié)構(gòu)規(guī)則解析模塊來完成的。協(xié)議分析儀一般使用層次化的協(xié)議分析方法和插件技術(shù)來實現(xiàn)對捕獲數(shù)據(jù)的解碼分析。層次化分析方法是基于O S I 分層模型的思想，按照數(shù)據(jù)在發(fā)/收端的封裝與解包的過程對捕獲的數(shù)據(jù)流進行逐層處理還原重組解析。利用插件技術(shù)來擴展協(xié)議分析儀適應(yīng)網(wǎng)絡(luò)新的協(xié)議及應(yīng)用的解析。

　　3 協(xié)議分析儀的主要功能

　　協(xié)議分析儀的主要功能有網(wǎng)絡(luò)數(shù)據(jù)的采集、數(shù)據(jù)的解碼分析、網(wǎng)絡(luò)狀況的統(tǒng)計、故障的診斷等， 綜合這些信息來完成對網(wǎng)絡(luò)運行情況的分析與故障診斷。

　　協(xié)議分析儀能實時監(jiān)測各個網(wǎng)絡(luò)節(jié)點和每條指定鏈路的連接情況、流量、負載率、數(shù)據(jù)收發(fā)的錯誤率、數(shù)據(jù)包S i z e 分布情況等， 并且可以用統(tǒng)計圖或者表格的形式顯示?？梢蕴峁┓浅Ｔ敿毜木W(wǎng)絡(luò)狀況的統(tǒng)計信息， 包括對全局?jǐn)?shù)據(jù)的統(tǒng)計和針對關(guān)鍵信息的統(tǒng)計。

　　可以提供非常準(zhǔn)確的網(wǎng)絡(luò)故障診斷結(jié)果（ E x p e r t S y s t e m 專家系統(tǒng)）， 能智能地對網(wǎng)絡(luò)通信情況進行故障診斷，提供對網(wǎng)絡(luò)故障的原因分析，以及如何處理等。這對快速定位網(wǎng)絡(luò)故障極其重要， 可以極大地提高網(wǎng)絡(luò)故障診斷的效率。

　　4 協(xié)議分析儀在IP 網(wǎng)絡(luò)故障診斷中的應(yīng)用模型

　　實際I P 網(wǎng)絡(luò)中部署協(xié)議分析儀的策略隨網(wǎng)絡(luò)的拓撲、組網(wǎng)設(shè)備的不同而異， 主要有以下三種應(yīng)用模型：

　　4 . 1 共享式網(wǎng)絡(luò)環(huán)境

　　基于H U B 集線器組網(wǎng)的共享式網(wǎng)絡(luò)，數(shù)據(jù)包以廣播的方式傳送，在網(wǎng)絡(luò)中任一節(jié)點部署協(xié)議分析儀都可以捕獲到網(wǎng)絡(luò)中的全部數(shù)據(jù)信息。

　　4 . 2 有鏡像功能的交換式網(wǎng)絡(luò)環(huán)境

　　基于交換機組網(wǎng)的網(wǎng)絡(luò)環(huán)境，由于其每個端口只轉(zhuǎn)發(fā)與本端口直接相連設(shè)備的數(shù)據(jù)包以及廣播包和組播包，協(xié)議分析儀要捕獲其他端口的數(shù)據(jù)包則要對有端口鏡像功能的交換機配置起用其鏡像功能， 將協(xié)議分析儀接入鏡像端口上實現(xiàn)抓包， 如圖2 所示。

圖2 端口鏡像方式部署協(xié)議分析儀

　　這種方式協(xié)議分析儀僅能監(jiān)測到被鏡像端口的數(shù)據(jù)， 而且配置起來也比較麻煩。4 . 3 無鏡像功能的交換式網(wǎng)絡(luò)環(huán)境

　　對于無端口鏡像功能的交換機組網(wǎng)， 可以采用在被監(jiān)測的鏈路（ 關(guān)鍵鏈路） 串接H U B或者分接器（ T A P ） 的方式部署協(xié)議分析儀。TA P 方式如圖3 所示。

圖3 T A P 方式部署協(xié)議分析儀

　　T A P 對被監(jiān)測鏈路來說是完全透明的，但是成本較高，且要求協(xié)議分析儀具有雙網(wǎng)卡。

　　H U B 方式是在需要監(jiān)測的鏈路中串聯(lián)一個多端口的H U B 集線器， 對協(xié)議分析儀的要求低，實現(xiàn)容易， 缺點是在高速鏈路中會影響到網(wǎng)絡(luò)的性能。

　　5 協(xié)議分析儀在Intranet 軟故障診斷中的應(yīng)用案例

　　在I n t r a n e t 環(huán)境下， 協(xié)議分析儀在網(wǎng)絡(luò)故障診斷中的流量監(jiān)測、故障定位、原因分析等方面得到廣泛的應(yīng)用。

　　5 . 1 網(wǎng)絡(luò)流量分析

　　常用的網(wǎng)絡(luò)流量監(jiān)控工具是基于S N M P 的軟件， 而采用協(xié)議分析儀對網(wǎng)絡(luò)流量監(jiān)控則可以了解更多的細節(jié)。協(xié)議分析儀可以生成網(wǎng)絡(luò)節(jié)點連接M A P 、分析各網(wǎng)絡(luò)節(jié)點的流量、各種協(xié)議的流量及比例等等。表1 所示為各網(wǎng)絡(luò)節(jié)點的通信流量。

　　5 . 2 網(wǎng)絡(luò)攻擊/*查找

　　通常，網(wǎng)絡(luò)中受到攻擊或者感染*的主機與外界的其他站點的通信流量、特定的端口連接、網(wǎng)絡(luò)響應(yīng)速度等會有異常， 協(xié)議分析儀可以快速而且很準(zhǔn)確的找出這樣的主機。

　　表2 所示為 a r p 異常請求分析。

　　6 結(jié)束語

　　協(xié)議分析儀的靈活運用可以完成很多網(wǎng)絡(luò)故障診斷的工作，大大提高網(wǎng)絡(luò)管理與維護的智能程度和工作效率，隨著協(xié)議分析軟件開發(fā)的不斷深入，功能的不斷完善，以及成熟產(chǎn)品價格的逐步下降， 其在今后網(wǎng)絡(luò)管理與維護中必將廣泛運用。