下载
第2章网络测试、管理与分析
2.1 简介
C i s c o路由器中包含许多故障诊断和排除工具,但是本章集中讨论网络不能使用这些工具
进行分析的情况,其中包括在广域网中检测物理层的故障以及在局域网中对高层协议和报文的
分析。
本章将讨论多种不同类型的测试工具。其中包括网络管理工具以及如何使用网络管理工具
诊断、解决和避免网络故障,并解释网络监视和网络管理的差别。值得一提的是,本章还将讨
论简单网络管理协议( Simple Network Management Protocol,S N M P),以及基于这一协议的网
络管理软件包和平台。
本章讨论的问题覆盖面比较广,包括网络管理和网络分析。在介绍不同的问题时,笔者首
先对问题做简单的介绍,使读者能够理解所讨论问题的关键所在。有关于电缆测试、网络管理
和网络分析的详细内容已经超出了本书的范围,因为这些问题对于本书所讨论的中心问题只起
到辅助的作用。
本章讨论的主要内容有:
• 介绍适用于不同类型的局域网和广域网传输介质的物理层测试设备。
• 学习如何使用S N M P和远程监视(R M O N)来监视和诊断网络故障。
• 理解如何使用第三方网络分析仪搜集报文的细节信息,并解释收集的数据。
2.2 物理层测试设备
电缆测试仪
铜缆测试仪电缆测试仪的种类繁多,有简单的仪表也有十分专业的设备组件。最简单的电
缆测试仪是多功能数字仪表。它能够测试的电缆参数有电阻、电容和感应系数等。典型的电缆
测试仪如图2 - 1所示。
多功能仪表也可用于测试物理层的连通性。例如,可将多功能仪表的探头直接嵌入线路的
两端。通过仪表上显示的电阻可以判断线路是否连通。如果电阻为0欧姆(短路),则表明线路
连通。如果电阻无穷大(开路),则表明多功能仪表的两端所插入的线路不连通。
市场上有大量的电缆测试仪可用于测试非屏蔽双绞线( U T P)、屏蔽双绞线( S T P)和同轴
电缆。除了简单的连通性测试外,这些测试仪还可以获得其他电缆参数,比如:
• 衰减(A t t e n u a t i o n)信号丢失的数量称为衰减,可以用分贝( d B)来衡量,它用输出信号
与输入信号比例的对数表示,这一参数表明信号在线路中传输时的丢失程度。
10排除Cisco网络互连与故障排除
下载
• 噪声(N o i s e) 线路信号中无用的信息称为噪声。噪声的级别可以通过信噪比( S R C)来
衡量。这一参数越高越好,可以接受的值为1 08。
• 串扰(C r o s s t a l k) 串扰表示共享同一根电缆传输的信号相互干扰的程度。干扰程度的级
别与线路信号的电磁特性有关。通过测试这一参数,用户可以确定干扰的程度是否可以
接受。
某些电缆测试仪还可以测试第二层和第三层的功能。其中包括鉴别M A C地址以及进行网际
协议(I P)的p i n g测试。
图2-1 典型的物理层电缆测试仪
光纤测试仪因为光纤的成本都非常高,大多数基本的光纤测试都在生产阶段就已完成。光
纤可以根据需求采取多种传输方式,短距离传输通常采用多模方式,而长距离传输一般采用单
模方式。多模方式在光纤中传输多个波长的光。当信号通过光纤传播时,多个波长的光将会发
生一定程度的散射。光的散射将导致光的强度减弱,因此,多模传输适用于短距离传输。激光
器或者发光二极管都可以产生多模信号。相反,单模光纤只对特定波长光的传输进行了优化,
它的信号丢失率被降至最低。这些光的波长通常是8 0 0 n m或者1 5 0 0 n m,并与激光狭窄的光谱保
持一致。光纤以单模方式传输时,可以过滤其他波长的光,从而降低了散射以及弱化程度。这
一特征使单模方式非常适用于远距离传输单模方式通常采用同步激光源。
第2章网络测试、管理与分析分析11
下载
光缆通常对特定的波长进行了优化,光纤的衰减可以通过传输特定波长的激光信号,使用
相关仪器测试信息的丢失程度来测量。通常情况下这一值应该小于0 . 1 d B / k m。对于多模光纤,
测试信号源可以采用普通的激光或者发光二极管( L E D )。
2.3 数字接口测试
测试数字链路物理层特征和质量的最常用的两种工具是:
• breakout box 这种设备通常用于检测D T E和D C E之间连接的完整性。breakout box(BOB)的
两个连接端可以分别连接D C E和D T E。它不但能够提供线路的状态信息,而且可以检测线
路中传输的数据。这种设备可以实时显示状态信息。其标准的类型如图2 - 2所示。B O B通
常采用电池作为电源。它包含进行缓存的电子线路,因此在测试时不需要与实际线路进行
连接。它可以用于测试线路的电压和电阻。
图2-2A breakout box
• 位错误率检测器(b i t - e r r o r-rate tester,B E RT) BERT的功能十分强大,可以准确测试数字
信号的错误率,而且可以测试线路的一部分以隔离故障。位错误率测试通常在新线路提交
使用前完成,以确认线路连接正常并为以后的性能测试提供基础。B E RT可以产生多种不
同的位输入频率以测试错误发生率。因此可以用于估计线路中延迟和噪声问题。根据配置,
可以定时对线路进行检测并分析错误。数字信号的位错误率应该小于1 0 - 9。B E RT也可以
用于测试线路的信噪比。
时域反射仪(T D R)
T D R是线路测试中比较复杂的一种方式,它检测线路的电磁特性和传输模式,既可以用于
铜缆也可以用于光缆。对于铜缆, T D R基于电缆断开将导致传输线路的阻抗不匹配这一原理进
行测试。阻抗不匹配至少导致一部分信号被反射回信号产生源。
测试信号由时域反射仪以一个固定的速率产生并发送;因此通过测试信号反射回产生源的
时间,就可以确定电缆断开的确切位置。这一原则也可以用于测试电缆长度。通过对比传输与
反射的信号的强度可以测试电缆衰减。除了故障检测外,衰减系数也在线路安装时测试,以便
估计线路的性能。
掌握电路基本原理的读者如电子工程师对于传输线路理论和电磁波特性有非常好的理解。
没有基础的读者应该了解设备使用了哪些原理,但不需要掌握这些原理的具体细节。
光T D R对于光缆可以采用光时域反射仪( O T D R),其基本原理与T D R相同。当光缆断开时,
断开处的折射率和反射率的变化将会使光反射回放射源。光传输的速率一定,因此可以确定光
缆断开的位置和光缆的长度。通过比较传输和反射信号的能量可以得到衰减系数。测试光纤的
反向散射波,同样可以得到衰减系数。在光缆中,测试整个端到端的衰减系数是十分重要的,
因为其中包含光缆的连接,在连接处的信号丢失往往是影响光缆衰减系数主要因素。
2.4 网络管理及其作用
无论多大规模的网络,都是需要进行网络管理。网络管理最简单的形式是使用网络设备的
某一个端口配置网络。通常使用t e l n e t会话与网络设备进行通信以执行管理功能。这些网络管理
功能包括排除网络中出现的故障,确定网络设备的性能如设备利用率,或者配置网络安全策略。
这种简单的管理方式适用于小型的网络或者管理员可以与用户直接联系的网络。然而,随着网
络的增长,必须以更为系统的网络管理方式取代这种反应式的管理方法。下面,我们首先了解
一下网络管理的各个方面。本书的重点在于故障诊断与排除,它仅与网络管理的某些部分有关
(故障管理和性能管理),因此我们仅对其他方面作简单的讲解。
网络管理通常分为以下五个不同的部分:
• 故障管理这一部分与检测、报告和解决网络故障相关。一个成功的故障管理策略采用一种
有效的方式实现上述功能。对于中型或大型网络,故障报告机制是必不可少的。确保有足
够的技术支持以便有效的排除故障也是非常重要的。
• 配置管理这一部分包括监视和控制网络中所有网络设备的配置信息。有效的配置管理可以
使与配置相关的问题通过远程方式得到解决。
• 账号管理这一部分的功能是确定哪些网络工作站可以被相应用户使用并确定使用时间。账
号管理还包括对应用程序的管理。它对于需要记录日志以及需要对访问进行收费的网络是
十分重要的。
• 性能管理这一部分的功能包括搜集、存储和分析网络性能参数的统计数据。比如广域网链
路的利用率统计以及以太网网段的碰撞发生率。分析可以采用实时和非实时两种方式。性
能分析也被用于预测删除、添加和或者修改网络设备和应用程序对网络造成的影响。比如,
评估网络规模扩展对网络流量的影响,或者在网络中实现新的应用程序以及将多个用户加
入到网络时网络流量的变化。
• 安全管理实现网络安全策略时,不但要控制对网络设备的访问而且要控制对网络资源和对
应用程序的访问。对网络设备的访问控制可以通过静态口令实现,或限制用户只能在本地
登录或者通过某些设备登录;也可以使用安全服务器集中进行访问控制,比如,采用
TA C A C S。如果使用静态口令,应该对口令进行定时更新。对于网络资源的访问控制可以
12排除Cisco网络互连与故障排除
下载
在配置网络设备时实现,比如设置路由器访问列表。
2.4.1 SNTP概览
简单网络管理协议( S N M P )已经成为网络管理事实上的标准。S N M P的关键组成部分如下:
• 可管理设备这些设备支持S N M P,因而可管理。可管理的设备可以是路由器、交换机、集
线器或者服务器等等。
• 代理运行于可管理设备上的S N M P软件称为S N M P代理。S N M P代理的功能是搜集、存储和
传输管理信息。
• M I B管理信息库( M I B)是管理对象的集合。管理对象是指标识管理信息的特定参数。例
如,管理对象可以是路由表中的路由表项。管理对象(比如,单个路由器)的具体示例就
可以成为管理变量。
• 网络管理工作站( N M S)S N M P网络管理程序大多数位于S N M P服务器上,我们称这个服
务器为网络管理工作站。可管理设备使用S N M P向网络管理工作站发送管理对象的信息。
典型的N M S包括管理应用程序包,可以定制由S N M P提供的信息,以及通过图形用户界面
显示定制的信息。
S N M P不同组成部分的相互关系如图2 - 3所示。
图2-3 SNMP操作示意图
管理对象与N M S之间的S M T P通信类型主要有:
• Read Read消息在N M S与管理对象之间传输以便N M S搜集管理变量信息。SNMP Read操
作通常需要N M S发送G e t - R e q u e s t消息,而被管理对象响应G e t - R e p l y消息。G e t - N e x t消息
通常用于顺序请求一组管理变量,比如路由器的I P路由表。SNMP NMS控制台只能实现
R e a d,这说明它属于只读集合( read-only community)。这一集合是由口令保护的,作为
第2章网络测试、管理与分析分析13
下载
网络管理
应用程序
代理代理
管理对象管理对象
14排除Cisco网络互连与故障排除
下载
口令的只读集合字符串必须由管理对象以及S N M P服务器共同决定。
• Write SNMP Wr i t e消息的发送发式是由N M S服务器向管理对象发送S e t - R e q u e s t消息。这
些S e t消息用于修改管理变量的值或者状态。例如,可以通过发送S e t消息删除N M S服务器
上代表路由器不能响应的端口的G U I图标。可以执行SNMP Set的N M S控制台属于读写集
合。它的口令通过管理对象与S N M P服务器协商的读写集合字符串确定。
• Tr a v e r s a l操作N M S使用这一类型的操作确定管理对象上的哪一些变量需要搜集。例如,
可以使用这一操作收集路由器的整个I P路由表。
• Trap SNMP自陷是由管理对象产生并向N M S报告的信息,用以表明有特定的事件发生。
事件可以是某个管理变量超过了预先定义的报警阀值,例如以太网段上的报文冲突数量。
这些通信消息在S N M P版本1而不是版本2中进行了描述。SNMP v. 2是SNMP v. 1的增强版,
并且将逐步取代SNMP v. 1。但是二者有很多共同点,增强的部分主要在于协议的安全性。
2.4.2 Cisco路由器和交换机上的S N M P
路由器通常实现标准类型的S N M P配置。只读和读写集合由访问列表9保护,它指定了两台
N M S工作站。在示例中, 1 9 2 . 1 6 8 . 2 . 6属于只读集合,其集合字符串是J o e C o o n e y。1 7 2 . 2 4 . 1 0 . 2 3 5
属于读写集合,表明它可以实现对路由器的管理变量的SNMP Wr i t e或者S e t消息。
路由器的S N M P还包含一些十分有用的信息,比如站点信息以及设备I D等。
现在,让我们来看一看Catalyst 5000交换机上的S N M P。除了只读和读写集合外,交换机上
还存在完全读写集合,它不但有权限修改管理变量而且可以修改参数的设置。在本例中,模块
和设备的自陷被发送到读写集合中的1 3 3 . 1 . 1 . 9服务器上。缺省情况下不允许产生端口自陷;这
是为了防止服务器或者监视工作站因为自陷过载而崩溃。对于路由器,用户可以使用show snmp
命令检查其上的s n m p配置(如清单2 - 1所示)。
清单2 - 1
2.5 网络监视
区分网络监视与网络管理非常重要。网络监视需要搜集、整理和报告网络信息。至于如何
使用这些信息解决存在的网络故障,或者预测将来可能发生的网络问题,提高网络性能,加强
网络的安全性,以及决定网络账号管理策略都属于网络管理的范围。
在任何管理领域,信息报告是不可缺少的部分,网络管理也不例外。网络管理与网络监视
之间的区别在于网络监视可以看作网络管理的底层工具。除了报告故障外,网络监视的另一个
重要功能是确定基线,它与故障管理与性能管理密切相关。
在下一章中,我们将学习如何配置C i s c o路由器,使它自动向S y s l o g服务器发送日志信息并
且根据安全级别限制错误和事件信息的发送。
远程监视( R M O N)
R M O N是S N M P的扩充。两者的区别在于S N M P从单一类型的M I B中获取网络信息,而
R M O N定义而了9种M I B或者R M O N组。网络可以实现所有或者部分R M O N组的集合。R M O N远
程管理特性发挥了现代网络设备智能管理的特性,监视和数据获取可以在单个远程设备和工作
站上执行,工作站通常称为RMON probe。在网络分析的下一节我们将详细讲解RMON probe。
网络分析的第一个阶段是收集和整理数据, R M O N提供了这种服务。RMON probe可以根据指定
的条件观察和捕获远程网段上传输的报文。
下面是9种R M O N组。可以使用这些组或者是其中S N M P部分分析网络故障。目前市场上大
多数支持R M O N的设备并没有全部支持以下所有的组。无论用户网络是否包含这些组,网络管
理员都应该对这些组提供的R M O N服务有清楚的认识。
• Statistics 组该组维护参数的底层统计信息,比如报文发送数量、报文的尺寸、广播、组
播以及错误检测等等。
• History 组该组使用从S t a t i s t i c s组获取的信息进行趋势分析。为一组不同的网络参数设置
计数器,并对计数器定时更新,以便提供趋势分析。
• A l a r m组该组允许用户为任何通过RMON probe观测到的管理变量定义采样间隔时间以及
错误阀值。
第2章网络测试、管理与分析分析15
下载
• E v e n t组该组提供三种基本的事件类型:上升阀值、下降阀值以及报文匹配。上升阀值可
以是局域网段C R C错误的数值。匹配报文可以是令牌环网中的令牌。
• H o s t组该组对网络中出现的不同M A C地址进行统计。同时也包括进出报文、报文的大小、
错误、广播和组播等信息。
• Top N Hosts组该组通过限制H o s t组的活动,例如将它限制在被监视网段上最为繁忙的N
台机器,使用户减少管理信息在网络上传输的流量。
• Packet Capture组该组允许网络管理员配置用于捕获报文的缓冲区的大小。该值可以在报
文捕获开始和暂停时设置。
• Tr a ffic Matrix组该组统计两个工作站之间的信息流量以及其他通信信息。比如,哪些工
作站间发送了信息,以及传输时间的长短。
• F i l t e r组该组使用户可以预先定义一组过滤器的类型,使用户可以捕获所需要的数据。过
滤器可以基于地址、协议类型或二者组合来定义。
2.6 网络分析
网络分析必须在网络监视的基础上进行。在收集到数据以后,用户可以对数据进行整理并
加以分析以解决网络故障,或预测将来可能发生的网络故障或者寻求提高网络性能的方法。在
上一节我们讨论R M O N时,可以发现其中的某些组已经不仅仅是简单的捕获数据,在一定程度
上它们也包含了数据分析的功能。
网络分析中有一个任何人都不能否定的原则:最重要和有效地分解工具是经验丰富的网络
工程师的知识和经验。没有丰富经验的网络工程师,任何投资于网络分析的方式都是一种浪费。
这虽然听起来有些奇怪,但从笔者多年的经验来看,到达这一程度的工程师的数量并不多。在
大量的网络监视工作站或者网络分析仪提供的数据涌向面前时,需要解决的关键问题是从这些
数据中找到与当前故障相关的部分。这些数据首先应进行预处理(比如,应该对比哪两个参数)。
然后对整理的数据进行解释。这一步工作需要相当丰富的经验和技能。正如下面讨论协议和报
文分析时将讲解到的,如果要完全理解分析仪协议分析仪捕获到的数据,必须对网络协议的细
节理解得非常清楚。尽管某些厂商声称其网络管理和分析工具的功能十分强大,但是这些工具
并不会自动地解决网络问题。之所以强调这一点是因为许多公司都将把重点放在投资网络分析
工具上,而忽略对职员的培训使它们能够充分的利用这些网络分析工具。
2.6.1 协议分析
网络分析可以分为两部分:协议分析和报文分析。协议分析是指收集和整理不同网段上运
行的协议信息,以及相应的流量和错误级别。通常协议分析用于性能基线、容量规划以及网络
的重新设计。在故障诊断与排除过程中,它属于高层方法。当解决复杂的网络故障时,通常需
要用到报文分析。
为了说明协议分析的使用方法,图2 - 4展示了使用Wi n d o w s下的Network Associates Sniff e r在以
太网段上捕获数据时的图形。该程序运行时间不到两分钟,收集了将近30 000字节的数据。所有
的这些数据都是基于I P的通信,绝大部分使用的是U D P协议。协议分布的详细统计如图2 - 5所示。
16排除Cisco网络互连与故障排除
下载
图2-4 协议分布直方图
图2-5 详细统计信息
第2章网络测试、管理与分析分析17
下载
2.6.2 报文分析与S n i ff e r
报文分析是指在报文以及帧这一级检查捕获的数据。通过这种类型的分析,每一个被捕获
的报文的物理层、数据链路层、网络层和传输层都将被检查。更为专业的分析仪报文分析仪还
提供更为详细的分析,其中包括对应用层数据的分析。
标准的分析仪局域网分析仪包含以太网、令牌环网或者F D D I端口,可以与需要监听的局域
网段上的集线器或者交换机上相应的端口连接。或者,分析仪局域网分析仪也可以以应用程序
的形式在工作站上运行,该工作站必须位于发生故障的局域网段上。许多模块分析仪都支持远
程管理,这类分析仪不但包含用于数据捕获的端口,还拥有一个配置了I P地址的通信端口。用
户可以通过通信端口远程访问分析仪。需要注意的是通信端口不应该与数据捕获端口在同一个
网段上。
网络分析仪也可以用于捕获广域网上的报文。要实现这一点,网络分析仪必须包含适当的
接口类型,比如帧中继、I S D N等。分析仪通常可以放置于D T E和D C E之间的广域网线路中,不
需要中断网络通信。
市场上有各种各样网络分析仪。为了说明报文分析仪的用法,我们以Network Associates
S n i ff e r为例举例说明。该产品的早期版本基于D O S运行,本例中的产品基于Wi n d o w s平台。我们
使用最简单的示例说明网络分析仪的功能和作用。我们需要检测工作站1 5 9 . 2 4 9 . 1 0 5 . 1 9到其局域
网路由器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的连通性,同时检测每一个工作站发送和接收的报文。为了避免S n i ff e r
接收不需要的数据而导致缓冲区溢出,我们首先定义捕获过滤器:选择“ Define Filter”,然后点
击“C a p t u r e”完成这一工作。过滤器可以基于以下参数定义:
• 网络层地址。
• M A C地址。
• 数据模式(比如,表示碰撞发生的A s或者5 s内的数据序列)。
• 协议(比如, I P、I P X、N e t B E U I、L AT等等)。在捕获过滤器中可以定义单个协议或者多
个协议。
• 报文类型报文类型可以分为正常报文以及由于C R C校验错、残缺或者发生碰撞而导致的
错误报文。在排除网络故障时,使用这一参数定义过滤器捕获某种错误类型的报文对于解
决问题十分有效。
图2 - 6显示了一个简单的基于I P地址的捕获过滤器。任何发往或者来自于1 5 9 . 2 4 9 . 1 0 5 . 1 9以及
1 5 9 . 2 4 9 . 1 0 5 . 2 5 3工作站的报文都将被捕获。第一条语句定义了由1 5 9 . 2 4 9 . 1 0 5 . 1 9发送或者接收的
报文都将被捕获,实际上不需要这条语句,因为它是第二条语句的特例。捕获过滤器的定义依
赖于问题的定义,不同的过滤器收集不同的信息。例如,如果故障被定义为“在一天的不同时
刻许多用户都不能正常使用多个不同的服务器”,这种定义方式是很不确切的。至少,应该提供
特定的客户和服务器的地址以及应用所使用的协议等信息。事实上,在问题被准确定义之前
(使用第1章的模型),不应该使用网络分析仪。有些时候最初的问题定义非常广泛,在这种情况
下,S n i ff e r可用于收集数据以便于更好地理解所发生的问题。何时以及怎样使用捕获过滤器很大
程度上取决于经验。
18排除Cisco网络互连与故障排除
下载
图2-6 基于I P地址定义捕获过滤器
定义捕获过滤器后,用户就可以开始数据捕获过程了,这个过程通常也称为跟踪过程。用
户可以通过选择“ C a p t u r e”或者“ S t a r t”启动跟踪。跟踪持续的时间根据问题的特性而变化。
如果问题是持续发生并且十分严重,比如连接失败,那么短时间的跟踪就可以提供足够多的数
据。相反,如果问题是间歇发生的,例如,响应时间比较慢,这需要长时间的跟踪才可以获取
相应的数据。
在跟踪过程中,S n i ff e r提供了观测帧和捕获帧的统计报告(如果没有设置捕获过滤器,则两
者是相同的),同时还提供严重错误的统计数据。在特定情况下,它可能导致停止或暂停跟踪。
当用户决定停止跟踪时,数据将自动显示。用户也可以根据定义捕获过滤器的方法定义显
示过滤器。否则,所有捕获的数据都将被显示出来。
图2 - 7以解码方式显示了捕获的数据。从显示的数据可以看出它记录了1 5 9 . 2 4 9 . 1 0 5 . 1 9到路由
器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的一次t e l n e t会话。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9发送了五个I C M P报文。需要指出
的是,这些步骤仅仅是为了说明S n i ff e r的使用方法,而不是故障排除的策略;故障排除将在后续
章节中详细讨论。数据的解码输出可以滚动显示。图2 - 7中显示的部分包含一个捕获报文的摘要
窗口。摘要窗口下面的细节窗口给出了每一个报文详细信息,其内容包括从数据链路层一直到
应用层的所有信息。但还可以提供一个以十六进制的窗口来显示报文内容。为了简明起见,图2 -
7未显示该窗口。
考虑被选中的报文(标记M):
• 它是第一个被捕获的报文,其源地址和目的地址如图所示。
• 摘要信息显示,在第二层的帧是6 0字节的以太网帧。E t h e r t y p e = 0 8 0 0表明I P是基于A R PA而
不是基于8 0 2 . 3实现,因为十六进制的8 0 0等于十进制的2 0 4 8,它超过以太网的最大帧长度。
因此,它是一个类型字段而不是一个长度字段。我们将在后续章节中讨论各种以太网之间
的区别。
第2章网络测试、管理与分析分析19
下载
20排除Cisco网络互连与故障排除
下载
第2章网络测试、管理与分析分析21
下载
22排除Cisco网络互连与故障排除
下载
• 除了I P地址外, T C P源和目的端口也顺序地列出来了。目的端口是2 3,它是t e l n e t端口,源
端口是随机产生的非保留T C P端口。
• 摘要和细节窗口可以用于跟踪T C P报文序列,如果有大量的T C P报文重传,这有可能与故
障有关。
• 需要注意的是,细节窗口中确认位为0。这表明我们观测的T C P会话并没有建立。
• 在TCP报文头中显示了TCP窗口的大小。它表明有多少字节的数据发送后未接收到确认信息。
• 图中细节窗口仅显示了TCP头的信息,其他细节信息可以通过点击窗口右边的滚动条显示。
根据用户的知识和经验, S n i ff e r所提供的数据起的作用将会完全不同。对于某些用户,可能
不十分理解这些数据。本书的后续章节将学习和讨论理解这些数据所需要的理论知识和实践经
验。上述示例仅仅是一简单的跟踪,在实际问题中,用户所面临的数据远比示例中的复杂。
图2 - 8显示了完整的细节窗口。在第二层中显示了以太网地址。第三层显示I P报文内容。它
是一个IP v. 4报文。在IP v. 4中不支持服务类型参数;因而所有这些字段的值都是0。I P封装的报
文的总长度是4 0字节(其中包括2 0字节的I P头)。其中D F (不分段)位被置1。如果介质的M T U小
于报文的长度,报文也不会分段。I P报文同样指明了传输层协议为T C P。如何区别图2 - 8的帧与
图2 - 7的帧的差别呢?我们可以通过T C P序号和确认号来判断。
图2 - 9同时显示了三个不同的窗口:摘要、细节和十六进制窗口。十六进制分析窗口通常用
于十分底层的故障排除分析,尤其是在S n i f f e r不能完全解释协议时使用。这种情况通常发生于使
用S n i f f e r分析新的协议或者具有新特性的协议的情形。厂商通过使用十六进制代码可以分析帧中
相关的部分。
在图中,两个I P地址间的I C M P回应和回应应答报文存在问题。摘要窗口中显示长度为11 4字
节的p i n g或者ICMP Echo报文从1 5 9 . 2 4 9 . 1 0 5 . 2 5 3发送到1 5 9 . 2 4 9 . 1 0 5 . 1 9,然后1 5 9 . 2 4 9 . 1 0 5 . 1 9发送
回应应答报文。细节窗口中显示了回应报文的I C M P头信息。同时也显示了I P头的一部分,包括
地址以及表明封装I C M P的协议标识。
在图2 - 1 0中,显示了跟踪的摘要统计信息。跟踪的持续时间大约为一分钟,它比一般的跟踪
时间要少。图中列出了捕获的报文和数据的总量以及以太网段的平均利用率,它在捕获过程中
并不是十分繁忙。其中还包括M A C层和网络层广播和组播报文。示例中的S n i ff e r只支持由I P和
I P X封装的报文,它不提供对其他协议类型的支持。对于I P,它还进一步支持对其上的T C P、
U D P和I C M P的分析。在示例中,并没有使用U D P的应用程序。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9发送了
1 0个I C M P报文和5个回应报文,并且接收到了5个对应的回应应答报文,图中可以看出这些p i n g
报文的长度为11 8字节。
在这一节中,我们简单介绍了网络分析仪,尤其是Network Associates Sniff e r的使用方法。
但是,这仅仅是最为基本的部分。S n i f f e r还包括许多用于捕获数据和分析数据的功能,用户
可以在实践中去掌握这些功能。这类工具不但功能越来越强大,而且界面也越来越友好。但是,
正如笔者一再强调的,解决问题的关键是对数据的分析。在使用这些工具捕获报文时,用户应
该对多种不同的协议有清楚的了解。这样,在解决实际问题时,网络分析仪才可能发挥更重要
的作用。
第2章网络测试、管理与分析分析23
下载
图2-10 Sniff e r跟踪轨迹的统计信息
注意:
使用与S n i ff e r类似的工具时,最主要是掌握这些数据所表示的信息。掌握这种知识
的有效方法是使用这些工具检测正常的网络并检查捕获的数据。
2.7 网络管理软件包和平台
2.7.1 CiscoWo r k s网络管理软件
C i s c o Wo r k s是一种注册的网络管理软件,它基于S N M P 对C i s c o路由器提供管理服务。
C i s c o Wo r k s既可以支持Wi n d o w s平台,也可以支持U N I X平台,但是运行于后一种平台性能更加
优越。像大多数管理应用程序一样,它有许多种不同的版本,它们分别适用于从中型到大型的
网络。用户可以从C i s c o产品目录的硬拷贝或者主页上找到关于这些产品的详细说明。从笔者的
经验来看, C i s c o Wo r k s的最有用的特性有以下两点:
• 备份配置信息对于任何规模的网络,这个管理功能都是十分必要的。C i s c o Wo r k s可以备
份多个配置信息,同时提供比较这些配置信息的功能。
• 嵌入式管理器这一功能允许同时配置网络中的一组路由器。例如,当公司的总裁由于
某种安全上的原因需要修改网络中每一个路由器的口令时,可以使用这一功能。而不需
逐一的去修改每一个路由器的配置信息。如果网络中有2 5 0个路由器,则可以减少巨大
的工作量。
• C i s c o Works 还包括一个辅助的图形软件包,称为C i s c o Vi e w。它对网络上的每一个设备都
提供一个图形显示。它同时还在一定程度上支持基于图形的配置。因为这些内容超出了本
24排除Cisco网络互连与故障排除
下载
书的范围,用户可以从C i s c o的主页上查询所需要的信息。
2.7.2 CiscoWorks for Switched Internetworks
C i s c o Works for Switched Internetworks (C W S I)是应用于C i s c o的局域网交换机上基于
S N M P的管理应用程序。它支持多种操作系统,包括Windows NT、S o l a r i s、H P - U X以及A I X。
同时它还包括独立的软件组件,以提供配置和流量管理、V L A N管理以及AT M和L A N E管理和配
置功能。
这些管理软件包与其他C i s c o的产品一样,随着网络技术的不断发展而不断的发展和更新。
C i s c o的下一代N M S解决方案是C i s c o Wo r k s 2 0 0 0,它集成了路由器和交换机的管理,为企业
级网络管理提供解决方案。C i s c o Wo r k s 2 0 0 0家族正向基于浏览器的管理移植。
复习思考题
1. 列出除了连通性外,可以用电缆测试器测量的三种参数。
2. 估计可接受的信噪比。
3. 估计可接受的位出错率。
4. 光缆通常在安装时测试。这是正确还是错误的?
5. 时域反射仪通常仅用于测试光缆的特性。这是正确还是错误的?
6. 网络管理通常分为哪5个部分?
7. 列出并解释S N M P4个基本的组成部分。
8. 列出并解释S N M P的4种消息或操作。
9. RMON中的9种M I B是什么?
10. 分析网络监视和网络管理的区别。
11. 分析协议分析与报文分析的区别。
12. 如何使用S n i ff e r捕获特定的数据?
13. Sniff e r可以解释报文中第三层的内容。这是正确还是错误的?
14. 分析在局域网和广域网中, S n i ff e r嵌入到网络的方式之间的差别。
15. 为什么C i s c o Wo r k是一种非常有效的网络管理应用程序(至少5种原因)?
第2章网络测试、管理与分析分析25
下载
第2章网络测试、管理与分析
2.1 简介
C i s c o路由器中包含许多故障诊断和排除工具,但是本章集中讨论网络不能使用这些工具
进行分析的情况,其中包括在广域网中检测物理层的故障以及在局域网中对高层协议和报文的
分析。
本章将讨论多种不同类型的测试工具。其中包括网络管理工具以及如何使用网络管理工具
诊断、解决和避免网络故障,并解释网络监视和网络管理的差别。值得一提的是,本章还将讨
论简单网络管理协议( Simple Network Management Protocol,S N M P),以及基于这一协议的网
络管理软件包和平台。
本章讨论的问题覆盖面比较广,包括网络管理和网络分析。在介绍不同的问题时,笔者首
先对问题做简单的介绍,使读者能够理解所讨论问题的关键所在。有关于电缆测试、网络管理
和网络分析的详细内容已经超出了本书的范围,因为这些问题对于本书所讨论的中心问题只起
到辅助的作用。
本章讨论的主要内容有:
• 介绍适用于不同类型的局域网和广域网传输介质的物理层测试设备。
• 学习如何使用S N M P和远程监视(R M O N)来监视和诊断网络故障。
• 理解如何使用第三方网络分析仪搜集报文的细节信息,并解释收集的数据。
2.2 物理层测试设备
电缆测试仪
铜缆测试仪电缆测试仪的种类繁多,有简单的仪表也有十分专业的设备组件。最简单的电
缆测试仪是多功能数字仪表。它能够测试的电缆参数有电阻、电容和感应系数等。典型的电缆
测试仪如图2 - 1所示。
多功能仪表也可用于测试物理层的连通性。例如,可将多功能仪表的探头直接嵌入线路的
两端。通过仪表上显示的电阻可以判断线路是否连通。如果电阻为0欧姆(短路),则表明线路
连通。如果电阻无穷大(开路),则表明多功能仪表的两端所插入的线路不连通。
市场上有大量的电缆测试仪可用于测试非屏蔽双绞线( U T P)、屏蔽双绞线( S T P)和同轴
电缆。除了简单的连通性测试外,这些测试仪还可以获得其他电缆参数,比如:
• 衰减(A t t e n u a t i o n)信号丢失的数量称为衰减,可以用分贝( d B)来衡量,它用输出信号
与输入信号比例的对数表示,这一参数表明信号在线路中传输时的丢失程度。
10排除Cisco网络互连与故障排除
下载
• 噪声(N o i s e) 线路信号中无用的信息称为噪声。噪声的级别可以通过信噪比( S R C)来
衡量。这一参数越高越好,可以接受的值为1 08。
• 串扰(C r o s s t a l k) 串扰表示共享同一根电缆传输的信号相互干扰的程度。干扰程度的级
别与线路信号的电磁特性有关。通过测试这一参数,用户可以确定干扰的程度是否可以
接受。
某些电缆测试仪还可以测试第二层和第三层的功能。其中包括鉴别M A C地址以及进行网际
协议(I P)的p i n g测试。
图2-1 典型的物理层电缆测试仪
光纤测试仪因为光纤的成本都非常高,大多数基本的光纤测试都在生产阶段就已完成。光
纤可以根据需求采取多种传输方式,短距离传输通常采用多模方式,而长距离传输一般采用单
模方式。多模方式在光纤中传输多个波长的光。当信号通过光纤传播时,多个波长的光将会发
生一定程度的散射。光的散射将导致光的强度减弱,因此,多模传输适用于短距离传输。激光
器或者发光二极管都可以产生多模信号。相反,单模光纤只对特定波长光的传输进行了优化,
它的信号丢失率被降至最低。这些光的波长通常是8 0 0 n m或者1 5 0 0 n m,并与激光狭窄的光谱保
持一致。光纤以单模方式传输时,可以过滤其他波长的光,从而降低了散射以及弱化程度。这
一特征使单模方式非常适用于远距离传输单模方式通常采用同步激光源。
第2章网络测试、管理与分析分析11
下载
光缆通常对特定的波长进行了优化,光纤的衰减可以通过传输特定波长的激光信号,使用
相关仪器测试信息的丢失程度来测量。通常情况下这一值应该小于0 . 1 d B / k m。对于多模光纤,
测试信号源可以采用普通的激光或者发光二极管( L E D )。
2.3 数字接口测试
测试数字链路物理层特征和质量的最常用的两种工具是:
• breakout box 这种设备通常用于检测D T E和D C E之间连接的完整性。breakout box(BOB)的
两个连接端可以分别连接D C E和D T E。它不但能够提供线路的状态信息,而且可以检测线
路中传输的数据。这种设备可以实时显示状态信息。其标准的类型如图2 - 2所示。B O B通
常采用电池作为电源。它包含进行缓存的电子线路,因此在测试时不需要与实际线路进行
连接。它可以用于测试线路的电压和电阻。
图2-2A breakout box
• 位错误率检测器(b i t - e r r o r-rate tester,B E RT) BERT的功能十分强大,可以准确测试数字
信号的错误率,而且可以测试线路的一部分以隔离故障。位错误率测试通常在新线路提交
使用前完成,以确认线路连接正常并为以后的性能测试提供基础。B E RT可以产生多种不
同的位输入频率以测试错误发生率。因此可以用于估计线路中延迟和噪声问题。根据配置,
可以定时对线路进行检测并分析错误。数字信号的位错误率应该小于1 0 - 9。B E RT也可以
用于测试线路的信噪比。
时域反射仪(T D R)
T D R是线路测试中比较复杂的一种方式,它检测线路的电磁特性和传输模式,既可以用于
铜缆也可以用于光缆。对于铜缆, T D R基于电缆断开将导致传输线路的阻抗不匹配这一原理进
行测试。阻抗不匹配至少导致一部分信号被反射回信号产生源。
测试信号由时域反射仪以一个固定的速率产生并发送;因此通过测试信号反射回产生源的
时间,就可以确定电缆断开的确切位置。这一原则也可以用于测试电缆长度。通过对比传输与
反射的信号的强度可以测试电缆衰减。除了故障检测外,衰减系数也在线路安装时测试,以便
估计线路的性能。
掌握电路基本原理的读者如电子工程师对于传输线路理论和电磁波特性有非常好的理解。
没有基础的读者应该了解设备使用了哪些原理,但不需要掌握这些原理的具体细节。
光T D R对于光缆可以采用光时域反射仪( O T D R),其基本原理与T D R相同。当光缆断开时,
断开处的折射率和反射率的变化将会使光反射回放射源。光传输的速率一定,因此可以确定光
缆断开的位置和光缆的长度。通过比较传输和反射信号的能量可以得到衰减系数。测试光纤的
反向散射波,同样可以得到衰减系数。在光缆中,测试整个端到端的衰减系数是十分重要的,
因为其中包含光缆的连接,在连接处的信号丢失往往是影响光缆衰减系数主要因素。
2.4 网络管理及其作用
无论多大规模的网络,都是需要进行网络管理。网络管理最简单的形式是使用网络设备的
某一个端口配置网络。通常使用t e l n e t会话与网络设备进行通信以执行管理功能。这些网络管理
功能包括排除网络中出现的故障,确定网络设备的性能如设备利用率,或者配置网络安全策略。
这种简单的管理方式适用于小型的网络或者管理员可以与用户直接联系的网络。然而,随着网
络的增长,必须以更为系统的网络管理方式取代这种反应式的管理方法。下面,我们首先了解
一下网络管理的各个方面。本书的重点在于故障诊断与排除,它仅与网络管理的某些部分有关
(故障管理和性能管理),因此我们仅对其他方面作简单的讲解。
网络管理通常分为以下五个不同的部分:
• 故障管理这一部分与检测、报告和解决网络故障相关。一个成功的故障管理策略采用一种
有效的方式实现上述功能。对于中型或大型网络,故障报告机制是必不可少的。确保有足
够的技术支持以便有效的排除故障也是非常重要的。
• 配置管理这一部分包括监视和控制网络中所有网络设备的配置信息。有效的配置管理可以
使与配置相关的问题通过远程方式得到解决。
• 账号管理这一部分的功能是确定哪些网络工作站可以被相应用户使用并确定使用时间。账
号管理还包括对应用程序的管理。它对于需要记录日志以及需要对访问进行收费的网络是
十分重要的。
• 性能管理这一部分的功能包括搜集、存储和分析网络性能参数的统计数据。比如广域网链
路的利用率统计以及以太网网段的碰撞发生率。分析可以采用实时和非实时两种方式。性
能分析也被用于预测删除、添加和或者修改网络设备和应用程序对网络造成的影响。比如,
评估网络规模扩展对网络流量的影响,或者在网络中实现新的应用程序以及将多个用户加
入到网络时网络流量的变化。
• 安全管理实现网络安全策略时,不但要控制对网络设备的访问而且要控制对网络资源和对
应用程序的访问。对网络设备的访问控制可以通过静态口令实现,或限制用户只能在本地
登录或者通过某些设备登录;也可以使用安全服务器集中进行访问控制,比如,采用
TA C A C S。如果使用静态口令,应该对口令进行定时更新。对于网络资源的访问控制可以
12排除Cisco网络互连与故障排除
下载
在配置网络设备时实现,比如设置路由器访问列表。
2.4.1 SNTP概览
简单网络管理协议( S N M P )已经成为网络管理事实上的标准。S N M P的关键组成部分如下:
• 可管理设备这些设备支持S N M P,因而可管理。可管理的设备可以是路由器、交换机、集
线器或者服务器等等。
• 代理运行于可管理设备上的S N M P软件称为S N M P代理。S N M P代理的功能是搜集、存储和
传输管理信息。
• M I B管理信息库( M I B)是管理对象的集合。管理对象是指标识管理信息的特定参数。例
如,管理对象可以是路由表中的路由表项。管理对象(比如,单个路由器)的具体示例就
可以成为管理变量。
• 网络管理工作站( N M S)S N M P网络管理程序大多数位于S N M P服务器上,我们称这个服
务器为网络管理工作站。可管理设备使用S N M P向网络管理工作站发送管理对象的信息。
典型的N M S包括管理应用程序包,可以定制由S N M P提供的信息,以及通过图形用户界面
显示定制的信息。
S N M P不同组成部分的相互关系如图2 - 3所示。
图2-3 SNMP操作示意图
管理对象与N M S之间的S M T P通信类型主要有:
• Read Read消息在N M S与管理对象之间传输以便N M S搜集管理变量信息。SNMP Read操
作通常需要N M S发送G e t - R e q u e s t消息,而被管理对象响应G e t - R e p l y消息。G e t - N e x t消息
通常用于顺序请求一组管理变量,比如路由器的I P路由表。SNMP NMS控制台只能实现
R e a d,这说明它属于只读集合( read-only community)。这一集合是由口令保护的,作为
第2章网络测试、管理与分析分析13
下载
网络管理
应用程序
代理代理
管理对象管理对象
14排除Cisco网络互连与故障排除
下载
口令的只读集合字符串必须由管理对象以及S N M P服务器共同决定。
• Write SNMP Wr i t e消息的发送发式是由N M S服务器向管理对象发送S e t - R e q u e s t消息。这
些S e t消息用于修改管理变量的值或者状态。例如,可以通过发送S e t消息删除N M S服务器
上代表路由器不能响应的端口的G U I图标。可以执行SNMP Set的N M S控制台属于读写集
合。它的口令通过管理对象与S N M P服务器协商的读写集合字符串确定。
• Tr a v e r s a l操作N M S使用这一类型的操作确定管理对象上的哪一些变量需要搜集。例如,
可以使用这一操作收集路由器的整个I P路由表。
• Trap SNMP自陷是由管理对象产生并向N M S报告的信息,用以表明有特定的事件发生。
事件可以是某个管理变量超过了预先定义的报警阀值,例如以太网段上的报文冲突数量。
这些通信消息在S N M P版本1而不是版本2中进行了描述。SNMP v. 2是SNMP v. 1的增强版,
并且将逐步取代SNMP v. 1。但是二者有很多共同点,增强的部分主要在于协议的安全性。
2.4.2 Cisco路由器和交换机上的S N M P
路由器通常实现标准类型的S N M P配置。只读和读写集合由访问列表9保护,它指定了两台
N M S工作站。在示例中, 1 9 2 . 1 6 8 . 2 . 6属于只读集合,其集合字符串是J o e C o o n e y。1 7 2 . 2 4 . 1 0 . 2 3 5
属于读写集合,表明它可以实现对路由器的管理变量的SNMP Wr i t e或者S e t消息。
路由器的S N M P还包含一些十分有用的信息,比如站点信息以及设备I D等。
现在,让我们来看一看Catalyst 5000交换机上的S N M P。除了只读和读写集合外,交换机上
还存在完全读写集合,它不但有权限修改管理变量而且可以修改参数的设置。在本例中,模块
和设备的自陷被发送到读写集合中的1 3 3 . 1 . 1 . 9服务器上。缺省情况下不允许产生端口自陷;这
是为了防止服务器或者监视工作站因为自陷过载而崩溃。对于路由器,用户可以使用show snmp
命令检查其上的s n m p配置(如清单2 - 1所示)。
清单2 - 1
2.5 网络监视
区分网络监视与网络管理非常重要。网络监视需要搜集、整理和报告网络信息。至于如何
使用这些信息解决存在的网络故障,或者预测将来可能发生的网络问题,提高网络性能,加强
网络的安全性,以及决定网络账号管理策略都属于网络管理的范围。
在任何管理领域,信息报告是不可缺少的部分,网络管理也不例外。网络管理与网络监视
之间的区别在于网络监视可以看作网络管理的底层工具。除了报告故障外,网络监视的另一个
重要功能是确定基线,它与故障管理与性能管理密切相关。
在下一章中,我们将学习如何配置C i s c o路由器,使它自动向S y s l o g服务器发送日志信息并
且根据安全级别限制错误和事件信息的发送。
远程监视( R M O N)
R M O N是S N M P的扩充。两者的区别在于S N M P从单一类型的M I B中获取网络信息,而
R M O N定义而了9种M I B或者R M O N组。网络可以实现所有或者部分R M O N组的集合。R M O N远
程管理特性发挥了现代网络设备智能管理的特性,监视和数据获取可以在单个远程设备和工作
站上执行,工作站通常称为RMON probe。在网络分析的下一节我们将详细讲解RMON probe。
网络分析的第一个阶段是收集和整理数据, R M O N提供了这种服务。RMON probe可以根据指定
的条件观察和捕获远程网段上传输的报文。
下面是9种R M O N组。可以使用这些组或者是其中S N M P部分分析网络故障。目前市场上大
多数支持R M O N的设备并没有全部支持以下所有的组。无论用户网络是否包含这些组,网络管
理员都应该对这些组提供的R M O N服务有清楚的认识。
• Statistics 组该组维护参数的底层统计信息,比如报文发送数量、报文的尺寸、广播、组
播以及错误检测等等。
• History 组该组使用从S t a t i s t i c s组获取的信息进行趋势分析。为一组不同的网络参数设置
计数器,并对计数器定时更新,以便提供趋势分析。
• A l a r m组该组允许用户为任何通过RMON probe观测到的管理变量定义采样间隔时间以及
错误阀值。
第2章网络测试、管理与分析分析15
下载
• E v e n t组该组提供三种基本的事件类型:上升阀值、下降阀值以及报文匹配。上升阀值可
以是局域网段C R C错误的数值。匹配报文可以是令牌环网中的令牌。
• H o s t组该组对网络中出现的不同M A C地址进行统计。同时也包括进出报文、报文的大小、
错误、广播和组播等信息。
• Top N Hosts组该组通过限制H o s t组的活动,例如将它限制在被监视网段上最为繁忙的N
台机器,使用户减少管理信息在网络上传输的流量。
• Packet Capture组该组允许网络管理员配置用于捕获报文的缓冲区的大小。该值可以在报
文捕获开始和暂停时设置。
• Tr a ffic Matrix组该组统计两个工作站之间的信息流量以及其他通信信息。比如,哪些工
作站间发送了信息,以及传输时间的长短。
• F i l t e r组该组使用户可以预先定义一组过滤器的类型,使用户可以捕获所需要的数据。过
滤器可以基于地址、协议类型或二者组合来定义。
2.6 网络分析
网络分析必须在网络监视的基础上进行。在收集到数据以后,用户可以对数据进行整理并
加以分析以解决网络故障,或预测将来可能发生的网络故障或者寻求提高网络性能的方法。在
上一节我们讨论R M O N时,可以发现其中的某些组已经不仅仅是简单的捕获数据,在一定程度
上它们也包含了数据分析的功能。
网络分析中有一个任何人都不能否定的原则:最重要和有效地分解工具是经验丰富的网络
工程师的知识和经验。没有丰富经验的网络工程师,任何投资于网络分析的方式都是一种浪费。
这虽然听起来有些奇怪,但从笔者多年的经验来看,到达这一程度的工程师的数量并不多。在
大量的网络监视工作站或者网络分析仪提供的数据涌向面前时,需要解决的关键问题是从这些
数据中找到与当前故障相关的部分。这些数据首先应进行预处理(比如,应该对比哪两个参数)。
然后对整理的数据进行解释。这一步工作需要相当丰富的经验和技能。正如下面讨论协议和报
文分析时将讲解到的,如果要完全理解分析仪协议分析仪捕获到的数据,必须对网络协议的细
节理解得非常清楚。尽管某些厂商声称其网络管理和分析工具的功能十分强大,但是这些工具
并不会自动地解决网络问题。之所以强调这一点是因为许多公司都将把重点放在投资网络分析
工具上,而忽略对职员的培训使它们能够充分的利用这些网络分析工具。
2.6.1 协议分析
网络分析可以分为两部分:协议分析和报文分析。协议分析是指收集和整理不同网段上运
行的协议信息,以及相应的流量和错误级别。通常协议分析用于性能基线、容量规划以及网络
的重新设计。在故障诊断与排除过程中,它属于高层方法。当解决复杂的网络故障时,通常需
要用到报文分析。
为了说明协议分析的使用方法,图2 - 4展示了使用Wi n d o w s下的Network Associates Sniff e r在以
太网段上捕获数据时的图形。该程序运行时间不到两分钟,收集了将近30 000字节的数据。所有
的这些数据都是基于I P的通信,绝大部分使用的是U D P协议。协议分布的详细统计如图2 - 5所示。
16排除Cisco网络互连与故障排除
下载
图2-4 协议分布直方图
图2-5 详细统计信息
第2章网络测试、管理与分析分析17
下载
2.6.2 报文分析与S n i ff e r
报文分析是指在报文以及帧这一级检查捕获的数据。通过这种类型的分析,每一个被捕获
的报文的物理层、数据链路层、网络层和传输层都将被检查。更为专业的分析仪报文分析仪还
提供更为详细的分析,其中包括对应用层数据的分析。
标准的分析仪局域网分析仪包含以太网、令牌环网或者F D D I端口,可以与需要监听的局域
网段上的集线器或者交换机上相应的端口连接。或者,分析仪局域网分析仪也可以以应用程序
的形式在工作站上运行,该工作站必须位于发生故障的局域网段上。许多模块分析仪都支持远
程管理,这类分析仪不但包含用于数据捕获的端口,还拥有一个配置了I P地址的通信端口。用
户可以通过通信端口远程访问分析仪。需要注意的是通信端口不应该与数据捕获端口在同一个
网段上。
网络分析仪也可以用于捕获广域网上的报文。要实现这一点,网络分析仪必须包含适当的
接口类型,比如帧中继、I S D N等。分析仪通常可以放置于D T E和D C E之间的广域网线路中,不
需要中断网络通信。
市场上有各种各样网络分析仪。为了说明报文分析仪的用法,我们以Network Associates
S n i ff e r为例举例说明。该产品的早期版本基于D O S运行,本例中的产品基于Wi n d o w s平台。我们
使用最简单的示例说明网络分析仪的功能和作用。我们需要检测工作站1 5 9 . 2 4 9 . 1 0 5 . 1 9到其局域
网路由器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的连通性,同时检测每一个工作站发送和接收的报文。为了避免S n i ff e r
接收不需要的数据而导致缓冲区溢出,我们首先定义捕获过滤器:选择“ Define Filter”,然后点
击“C a p t u r e”完成这一工作。过滤器可以基于以下参数定义:
• 网络层地址。
• M A C地址。
• 数据模式(比如,表示碰撞发生的A s或者5 s内的数据序列)。
• 协议(比如, I P、I P X、N e t B E U I、L AT等等)。在捕获过滤器中可以定义单个协议或者多
个协议。
• 报文类型报文类型可以分为正常报文以及由于C R C校验错、残缺或者发生碰撞而导致的
错误报文。在排除网络故障时,使用这一参数定义过滤器捕获某种错误类型的报文对于解
决问题十分有效。
图2 - 6显示了一个简单的基于I P地址的捕获过滤器。任何发往或者来自于1 5 9 . 2 4 9 . 1 0 5 . 1 9以及
1 5 9 . 2 4 9 . 1 0 5 . 2 5 3工作站的报文都将被捕获。第一条语句定义了由1 5 9 . 2 4 9 . 1 0 5 . 1 9发送或者接收的
报文都将被捕获,实际上不需要这条语句,因为它是第二条语句的特例。捕获过滤器的定义依
赖于问题的定义,不同的过滤器收集不同的信息。例如,如果故障被定义为“在一天的不同时
刻许多用户都不能正常使用多个不同的服务器”,这种定义方式是很不确切的。至少,应该提供
特定的客户和服务器的地址以及应用所使用的协议等信息。事实上,在问题被准确定义之前
(使用第1章的模型),不应该使用网络分析仪。有些时候最初的问题定义非常广泛,在这种情况
下,S n i ff e r可用于收集数据以便于更好地理解所发生的问题。何时以及怎样使用捕获过滤器很大
程度上取决于经验。
18排除Cisco网络互连与故障排除
下载
图2-6 基于I P地址定义捕获过滤器
定义捕获过滤器后,用户就可以开始数据捕获过程了,这个过程通常也称为跟踪过程。用
户可以通过选择“ C a p t u r e”或者“ S t a r t”启动跟踪。跟踪持续的时间根据问题的特性而变化。
如果问题是持续发生并且十分严重,比如连接失败,那么短时间的跟踪就可以提供足够多的数
据。相反,如果问题是间歇发生的,例如,响应时间比较慢,这需要长时间的跟踪才可以获取
相应的数据。
在跟踪过程中,S n i ff e r提供了观测帧和捕获帧的统计报告(如果没有设置捕获过滤器,则两
者是相同的),同时还提供严重错误的统计数据。在特定情况下,它可能导致停止或暂停跟踪。
当用户决定停止跟踪时,数据将自动显示。用户也可以根据定义捕获过滤器的方法定义显
示过滤器。否则,所有捕获的数据都将被显示出来。
图2 - 7以解码方式显示了捕获的数据。从显示的数据可以看出它记录了1 5 9 . 2 4 9 . 1 0 5 . 1 9到路由
器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的一次t e l n e t会话。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9发送了五个I C M P报文。需要指出
的是,这些步骤仅仅是为了说明S n i ff e r的使用方法,而不是故障排除的策略;故障排除将在后续
章节中详细讨论。数据的解码输出可以滚动显示。图2 - 7中显示的部分包含一个捕获报文的摘要
窗口。摘要窗口下面的细节窗口给出了每一个报文详细信息,其内容包括从数据链路层一直到
应用层的所有信息。但还可以提供一个以十六进制的窗口来显示报文内容。为了简明起见,图2 -
7未显示该窗口。
考虑被选中的报文(标记M):
• 它是第一个被捕获的报文,其源地址和目的地址如图所示。
• 摘要信息显示,在第二层的帧是6 0字节的以太网帧。E t h e r t y p e = 0 8 0 0表明I P是基于A R PA而
不是基于8 0 2 . 3实现,因为十六进制的8 0 0等于十进制的2 0 4 8,它超过以太网的最大帧长度。
因此,它是一个类型字段而不是一个长度字段。我们将在后续章节中讨论各种以太网之间
的区别。
第2章网络测试、管理与分析分析19
下载
20排除Cisco网络互连与故障排除
下载
第2章网络测试、管理与分析分析21
下载
22排除Cisco网络互连与故障排除
下载
• 除了I P地址外, T C P源和目的端口也顺序地列出来了。目的端口是2 3,它是t e l n e t端口,源
端口是随机产生的非保留T C P端口。
• 摘要和细节窗口可以用于跟踪T C P报文序列,如果有大量的T C P报文重传,这有可能与故
障有关。
• 需要注意的是,细节窗口中确认位为0。这表明我们观测的T C P会话并没有建立。
• 在TCP报文头中显示了TCP窗口的大小。它表明有多少字节的数据发送后未接收到确认信息。
• 图中细节窗口仅显示了TCP头的信息,其他细节信息可以通过点击窗口右边的滚动条显示。
根据用户的知识和经验, S n i ff e r所提供的数据起的作用将会完全不同。对于某些用户,可能
不十分理解这些数据。本书的后续章节将学习和讨论理解这些数据所需要的理论知识和实践经
验。上述示例仅仅是一简单的跟踪,在实际问题中,用户所面临的数据远比示例中的复杂。
图2 - 8显示了完整的细节窗口。在第二层中显示了以太网地址。第三层显示I P报文内容。它
是一个IP v. 4报文。在IP v. 4中不支持服务类型参数;因而所有这些字段的值都是0。I P封装的报
文的总长度是4 0字节(其中包括2 0字节的I P头)。其中D F (不分段)位被置1。如果介质的M T U小
于报文的长度,报文也不会分段。I P报文同样指明了传输层协议为T C P。如何区别图2 - 8的帧与
图2 - 7的帧的差别呢?我们可以通过T C P序号和确认号来判断。
图2 - 9同时显示了三个不同的窗口:摘要、细节和十六进制窗口。十六进制分析窗口通常用
于十分底层的故障排除分析,尤其是在S n i f f e r不能完全解释协议时使用。这种情况通常发生于使
用S n i f f e r分析新的协议或者具有新特性的协议的情形。厂商通过使用十六进制代码可以分析帧中
相关的部分。
在图中,两个I P地址间的I C M P回应和回应应答报文存在问题。摘要窗口中显示长度为11 4字
节的p i n g或者ICMP Echo报文从1 5 9 . 2 4 9 . 1 0 5 . 2 5 3发送到1 5 9 . 2 4 9 . 1 0 5 . 1 9,然后1 5 9 . 2 4 9 . 1 0 5 . 1 9发送
回应应答报文。细节窗口中显示了回应报文的I C M P头信息。同时也显示了I P头的一部分,包括
地址以及表明封装I C M P的协议标识。
在图2 - 1 0中,显示了跟踪的摘要统计信息。跟踪的持续时间大约为一分钟,它比一般的跟踪
时间要少。图中列出了捕获的报文和数据的总量以及以太网段的平均利用率,它在捕获过程中
并不是十分繁忙。其中还包括M A C层和网络层广播和组播报文。示例中的S n i ff e r只支持由I P和
I P X封装的报文,它不提供对其他协议类型的支持。对于I P,它还进一步支持对其上的T C P、
U D P和I C M P的分析。在示例中,并没有使用U D P的应用程序。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9发送了
1 0个I C M P报文和5个回应报文,并且接收到了5个对应的回应应答报文,图中可以看出这些p i n g
报文的长度为11 8字节。
在这一节中,我们简单介绍了网络分析仪,尤其是Network Associates Sniff e r的使用方法。
但是,这仅仅是最为基本的部分。S n i f f e r还包括许多用于捕获数据和分析数据的功能,用户
可以在实践中去掌握这些功能。这类工具不但功能越来越强大,而且界面也越来越友好。但是,
正如笔者一再强调的,解决问题的关键是对数据的分析。在使用这些工具捕获报文时,用户应
该对多种不同的协议有清楚的了解。这样,在解决实际问题时,网络分析仪才可能发挥更重要
的作用。
第2章网络测试、管理与分析分析23
下载
图2-10 Sniff e r跟踪轨迹的统计信息
注意:
使用与S n i ff e r类似的工具时,最主要是掌握这些数据所表示的信息。掌握这种知识
的有效方法是使用这些工具检测正常的网络并检查捕获的数据。
2.7 网络管理软件包和平台
2.7.1 CiscoWo r k s网络管理软件
C i s c o Wo r k s是一种注册的网络管理软件,它基于S N M P 对C i s c o路由器提供管理服务。
C i s c o Wo r k s既可以支持Wi n d o w s平台,也可以支持U N I X平台,但是运行于后一种平台性能更加
优越。像大多数管理应用程序一样,它有许多种不同的版本,它们分别适用于从中型到大型的
网络。用户可以从C i s c o产品目录的硬拷贝或者主页上找到关于这些产品的详细说明。从笔者的
经验来看, C i s c o Wo r k s的最有用的特性有以下两点:
• 备份配置信息对于任何规模的网络,这个管理功能都是十分必要的。C i s c o Wo r k s可以备
份多个配置信息,同时提供比较这些配置信息的功能。
• 嵌入式管理器这一功能允许同时配置网络中的一组路由器。例如,当公司的总裁由于
某种安全上的原因需要修改网络中每一个路由器的口令时,可以使用这一功能。而不需
逐一的去修改每一个路由器的配置信息。如果网络中有2 5 0个路由器,则可以减少巨大
的工作量。
• C i s c o Works 还包括一个辅助的图形软件包,称为C i s c o Vi e w。它对网络上的每一个设备都
提供一个图形显示。它同时还在一定程度上支持基于图形的配置。因为这些内容超出了本
24排除Cisco网络互连与故障排除
下载
书的范围,用户可以从C i s c o的主页上查询所需要的信息。
2.7.2 CiscoWorks for Switched Internetworks
C i s c o Works for Switched Internetworks (C W S I)是应用于C i s c o的局域网交换机上基于
S N M P的管理应用程序。它支持多种操作系统,包括Windows NT、S o l a r i s、H P - U X以及A I X。
同时它还包括独立的软件组件,以提供配置和流量管理、V L A N管理以及AT M和L A N E管理和配
置功能。
这些管理软件包与其他C i s c o的产品一样,随着网络技术的不断发展而不断的发展和更新。
C i s c o的下一代N M S解决方案是C i s c o Wo r k s 2 0 0 0,它集成了路由器和交换机的管理,为企业
级网络管理提供解决方案。C i s c o Wo r k s 2 0 0 0家族正向基于浏览器的管理移植。
复习思考题
1. 列出除了连通性外,可以用电缆测试器测量的三种参数。
2. 估计可接受的信噪比。
3. 估计可接受的位出错率。
4. 光缆通常在安装时测试。这是正确还是错误的?
5. 时域反射仪通常仅用于测试光缆的特性。这是正确还是错误的?
6. 网络管理通常分为哪5个部分?
7. 列出并解释S N M P4个基本的组成部分。
8. 列出并解释S N M P的4种消息或操作。
9. RMON中的9种M I B是什么?
10. 分析网络监视和网络管理的区别。
11. 分析协议分析与报文分析的区别。
12. 如何使用S n i ff e r捕获特定的数据?
13. Sniff e r可以解释报文中第三层的内容。这是正确还是错误的?
14. 分析在局域网和广域网中, S n i ff e r嵌入到网络的方式之间的差别。
15. 为什么C i s c o Wo r k是一种非常有效的网络管理应用程序(至少5种原因)?
第2章网络测试、管理与分析分析25
下载