合理布署网络分析软件

作为一名合格的网管管理员 ,经常采集 ,分析网络中数据是一项必不可少的工作 ,它有助于我们优化我们的网络 ,提高网络的效率 ,更重要的是可以排除各种网络故障 .但对于初涉网络管理的朋友来讲 ,经常会碰到这样问题 ,我明明安装了最好的网络分析软件 ,但捕捉不到网络中数据 ,更谈不什么分析了 .但有的朋友即使能够捕捉到数据 ,但可能也没弄明白是怎么一事了 ,因为是他所在网络结构的一种巧合 ,让他碰上了 ,只要装上分析软件就可以了 .其实不然 . 我们知道，网络协议分析软件以嗅探方式工作，它必须要采集到网络中的原始数据包，才能准确分析网络故障。但如果安装的位置不当，采集到的数据包将会存在较大的差别，从而会影响分析的结果。网络分析软件必须根据本地的网络拓朴结构 ,安装一个适合的位置 ,才能捕捉到网络数据了 .下面我们从常见几种局域网结构来分析了 .

一 :共享式网络

使用集线器（ Hub）作为网络中心交换设备的网络即为共享式网络，集线器（ Hub）以共享模式工作在 OSI层次的物理层。如果您局域网的中心交换设备是集线器（ Hub），可将网络协议分析软件安装在局域网中任意一台主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。

 

 

优点：不需添加设备 , 不用改变网络拓扑结构 ,安装位置任意

缺点 : 不能分隔冲突域，不能分隔广播域 ,如果局域网中的终端太多 ,数据流量大 ,很容易造成网络瓶颈 ,因为它的安装位置任意 ,所以任何人都可以装一个监控软件来分析 ,很容易造成信息泄密 .

注意 :可能有些朋友是在这种网络结构中安装的网络分析软件 ,就不会遇到什么困难 ,但会造成一种分析软件装在任何位置就可以的错觉了 .

二 :交换式网络 (带镜像功能 )

使用交换机（ Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（ Switch）工作在 OSI模型的数据链接层，它的各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。如果您网络中的交换机具备镜像功能时，可在交换机上配置好端口镜像，再将网络协议分析软件安装在连接镜像端口的主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。

 

优点 :  可以分隔冲突域，不能分隔广播域 ,不需添加设备 , 不用改变拓扑

  如果没有 ,就要额外增加一笔开支了 ,呵 ,算缺点吗 ..

三 :交换式网络 (不带镜像功能 )

一些简易的交换机可能并不具备镜像功能，不能通过端口镜像实现网络的监控分析。这时，可采取在交换机与路由器（或防火墙）之间串接一个以太网分路器（ Tap）或集线器（ Hub）的方法来完成数据捕获，其安装简图如下。

1: 使用网络分接器 (Taps)

使用 Tap时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再安装另外的网卡。

 

关于以太网分路器 :可用于监测两台以太设备之间的通信情况，以旁路方式接入，完全获得全双工数据

特点 :

* 旁路接入、对网络无任何影响的物理分流设备；

* 高性能容错、完整获得全双工 /半双工数据；

* 完全避免交换机端口镜像所带来的资源浪费、丢坏包的情况；

* 冗余设计、电源热插拔提供更高可用性；

* 支持 10/100M全双工、全线速应用

特殊应用 :定点分析一个部门或一个网段

在实际情况中，网络的拓扑结构往往非常复杂，在进行网络分析时，我们并不需要分析整个网络，只需要对某些异常工作的部门或网段进行分析。这种情况下，可以将网络协议分析软件安装于移动电脑上，再附加一个分路器（ Tap）或集线器（ Hub），就可以很方便的实现任意部门或任意网段的数据捕获，其安装简图如下。

 

优点 :简单方便 ,移动分析设备 ,根据需要定点分析

缺点 :增加设备

2:使用集线器 (Hub)

Hub成本低，但网络流量大时，性能不高， Tap即使在网络流量高时，也对网络性能不会造成任何影响，

 

四 :代理服务器共享上网

当前的小型网络中，有很大一部分都可能仍然通过代理服务器共享上网，对这种网络的分析，直接将网络分析软件安装在代理服务器上就可以了，其安装简图如下。

 

优点 :简单方便

缺点 :因为代理服务器本身要进行路由转发功能 ,又要肩负网络分析的任何 ,可能降低分析效率

注意：这种情况下的分析，需要同时对代理服务器的内网卡和外网卡进行数据捕获。

五 :带端口监控 (镜像 )的路由器

我们都知道现在的路由器功能越来越强大 ,有的上面集成了交换机的功能 ,比如有的带有端口监控功能 ,可直接指定一个端口监控其它的端口 ,但这些端口必须在一个 VLAN内 . 其安装简图如下

 

优点 :安装简单 ,不需添加任何设备 .

缺点 :如果网络中数据流量过大 ,会加大路由器的负荷 ,影响网络工作效率 .

经过以上的分析 ,我建议一般采取第二种方式是比较优化的一种方式了 ,但如果网络结构复杂 ,可与第三种方式相结合了 .当然最终要根据各们朋友的实际情况了 ,因地制宜来达到分析网络数据的目的了。