网络流量监控1.docx
《网络流量监控1.docx》由会员分享,可在线阅读,更多相关《网络流量监控1.docx(18页珍藏版)》请在冰豆网上搜索。
网络流量监控1
网络流量监控
网络流量异常既是网络通信发生故障的生要表现,同时也是即将发生网络传输故障的先兆。
因此及时洞悉网络流量的变化,往往能够及时发现潜在的网络故障,及时定位故障部位,及时予以排除,从而做到防患于未然。
网络设备吞吐率测试
QCheck是NetIQ公司开发的一款免费网络测试软件,被NetIQ称为“Ping命令的扩展版本”主要功能是向TCP、UDP、IPX、SPX网络发送数据流来测试网络的吞吐率和回应时间等。
从而测试网络的响应时间和数据传输率。
QCheck是一个免费软件,没有任何限制,任何用户都可以下载并使用,其最新版本为QCheckV1.3英文版,适用于Windows9x/Me/NT/2000/xp/2003等操作系统,用户可以从其官方网站(
1.测试设备连接
测试时需使用两台计算机,并且均需运行QCheck,在测试中从一个客户端向另一个客户端发送文件,然后测试所消耗的时间,并计算出传输率(以Mbps为单位)。
如TCP、UDP传输率测试,测试结果越高越好,100Mbps端口的理论值最高为94Mbps(传输率)。
2.QCheck的运行
在要测试的网络两端需分别运行一台计算机,这两台计算机均安装QCheck软件,然后分别运行QCheck程序如图所示QCheck主界面。
在QCheck界面上方,FromEndpoint1表示要发送数据的端点;TOEndpoint2表示要将数据发送到的端点。
下面有几个圆按钮,左侧的Protocol内的绿色按钮表示可以使用的协议类型,包括TCP、UDP、IPX、SPX。
右侧的Options内的棕色按钮表示可以测试的项目,并且不同的项目适用于不同的协议;
●ResponseTime(响应时间)可以测试响应的最短、平均与最长时间,该测试适用于所有的协议
●Throughput(吞吐量)用来测试在每秒送出的数据量,以测试网络带宽。
它也适用于所有的协议;
●Streaming用来测试串流传输率,如多媒体流的带宽,它只适用于UDP、IPX协议;
●Traceroute相当于Windows中的Tracert命令,用来测试一台计算机到另一台计算机所经过的路由,它只适用于TCP、UDP协议;
在进行测试时,首先需要单击相应的按钮选择要使用的协议,然后在右侧单击选中所要使用的测试类型,再单击Run按钮即可开始测试,测试完成后会在下面的黑色框中显示出测试结果,并可以单击Details查看详细信息。
3.测试TCP响应时间
TCP响应时间(TCPResponseTime)测试可以测得完成TCP通信的最短、平均与最长时间。
这个类似于Ping,可以让用户知道收到另一台计算机所需要的时间表。
这个测量一般称为“延缓”或“延迟(latency)”.
在QCheck主界面中,在FromEndpoint1下拉列表中选择localhost选项,表示从本地计算机发送测试,在TOEndpoint2框中输入目标计算机IP地址;在Protocol中单击选中TCP按钮,在Options中单击选中ResponseTime按钮;在Iterations框中输入重复测试的次数,默认为3次;在DateSize框中要发送的数据包大小,默认为100bytes。
完成后单击Run按钮,QCheck便开始测试,测试完成后,在ResponseTimeResults框中显示出测试结果,如Minimum(最短)、Average(平均)、Maximum(最长)时间。
如图
如果想查看更详细的信息,可单击Details按钮,会打开QCheckResults网页窗口,如图在该窗口中显示了设置信息及测试结果,甚至显示了本地计算机与目标计算机的系统信息以及QCheck的版本信息。
4.测试网络带宽
要测试从本地计算机以目标计算机之间的网络带宽,可以使用“TCPThroughput(TCP传输率)”测试,这项测试可以测量出两个节点间使用TCP协议时,每秒钟成功送出的数据量,以此来测试出网络带宽。
在QCheck窗口中,在FromEndpoint1框中选择localhost选项,在TOEndpoint2框中输入目标计算机IP地址;在Protocol中单击选中TCP按钮,在Options中单击选中Throughput按钮,在DateSize框中设置要发送的数据包大小,默认为100Kbytes。
完成后单击Run按钮,QCheck便开始测试,测试完成后,在ThroughputResults框中显示出测试结果,如图所示Throughput为47.059Mbytes,也就是说,从本地计算机到目标计算机的带宽为47.059Mbytes。
5.串流测试
使用QCheck的UDP串流传输率(UDPStreamingThroughput)测试,可测试多媒体流通需要多少的频宽,以方便网络所能达到真正数据传输率的比较。
和多媒体应用一样,串流测试会在无连接的状况下传送数据。
在QCheck中使用无连结协议的IPX(InternetworkPacketExchange,网络交换协议)或UDP。
QCheck的串流测试是评估应用程序使用串流格式时的表现,例如IP线上的语音以及视频广播。
在QCheck主界面中在FromEndpoint1下拉列表中选择localhost选项,在TOEndpoint2框中输入目标计算机IP地址;在Protocol中单击选中UDP按钮,在Options中单击选中Streaming按钮,在DateSize框中设置要发送的数据包大小,默认为50Kbytes。
完成后单击Run按钮,QCheck便开始测试,测试完成后,在StreamingResults框中显示出测试结果,如图所示测试出的目前传输速度为49.940Kbytes。
13.1.2网络带宽测试
随着带宽网络的日益普及,通信运营商也越来越多,人们对于家庭带宽网络的接入选择面也越来越广。
但各运营商都说自己的网络好,我们应该选择哪一家呢?
其实,我们可以在选择多家运营商接入时,测试一下网络的质量,做到心中有数。
PingPlotter是一款多线性的跟踪路由程序,能最快地揭示当前网络出现的瓶颈与问题。
它相当于windows中的Tracert命令,但具有信息同时反馈的速度优势,而且界面中结合了数据与图形两种表达方式,与其它检测分析工具相比,检测分析结果更为直观和易于理解。
PingPlotterFreewarev1.0是一个免费软件,没有任何限制,任何用户都可以下载并使用,用户可以从其官方网站(http:
//www.PingP于Windows9x/Me/NT/2000/xp/2003等操作系统。
运行PingPlotterFreeware程序,显示如图所示窗口,在AddresstoTrace文本框中用来输入要追踪路由的域名或IP地址,Sampling中可进行追踪时间设置。
现以搜狐网为例,看看追踪搜狐网时所经过的路由地址。
在AddresstoTrace文本框中用来输入网址:
在#oftimestotrace框中可设置追踪时间,默认为Unlimited(无限制)可单击微调按钮调整时间,TraceDelay框中可设置追踪延迟时间,默认为
15秒。
最后单击Trace按钮PingPlotter开始追踪该地址,如图所示
窗口右上方的TraceName显示器追踪的域名,IP中显示的是该网址的IP地址。
在下面的列表框中显示了从本地计算机到目标计算机所丢失的数据包数,经过的IP地址,DNS解析,目标主机的IP地址以及对此主机的平均响应时间(AVG)等绘制成的曲线图,通过该曲线图就可以看出网络出现的瓶颈问题。
在Edit菜单中,选择CopyasImage或CopyasText选项分别昌把当前的窗口的图形格式或文本格式复制到剪贴板中;选择Options选项如图所示,可以设置PingPlotter的显示方式。
PingPlotterPingPlotter与Windows中的Tracert命令相比,界面直观且信息反馈速度更快。
通过利用国内外一些大网站进行测试,可以综合的评价一家运营商的宽带网络质量,中间所经过的结点越少越好,然后结合其他指标,就对运营商的宽带接入质量一目了然了。
13.1.3网络流量实时监控
安装MRTG进行实时的流量监测,可以及时了解服务器和交换机的流量,防止因流量过大而导致服务器瘫痪或网络拥塞。
1.MRTG简介
Mrtg(MultiRouterTrafficGrapher,MRTG)是一个监控网络链路流量负载的工具软件,它通过SNMP协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。
作为目前最为通用的网络流量监控软件,MRTG具有以下特点。
●可移植性可以运行在大多数Linux/Unix系统和Windows2000/xp/2003系统。
●源码开放Windows是用Perl编写的,源代码完全开放。
●高可移植性的SNMP支持MRTG采用了SimonLeinen编写的具有高可移植性的SNMP实现模块,从而不依赖于操作系统的SNMP模块支持。
●支持SNMPv2cMRTG可以读取SNMPv2c的64位计数器,从而大大减少了计数器回转次数。
●可靠的接口标识被监控的设备接口可以以IP地址,设备描述、SNMP对接口的编号及Mac地址来标识。
●常量大小的日志文件MRTG的日志不会变大,因为这里使用了独特的数据合并算法。
●自动配置功能MRTG自身有配置工具套件,使香配置过程非常简单。
●性能时间敏感的地放用C代码写,因此具有很好的性能。
●PNG格式图形图形采用GD库直接产生PNG格式。
●可定制性MRTG产生的Web页面是完全可以定制的。
2.准备工作
若欲使用MRTG实现网络设备和服务器的流量监控,必须做好以下准备工作。
●安装Web服务
在监控计算机上安装并启用Web服务
●安装ActivePerl
在监控计算机上下载并安装Windows版本的Perl编译程序。
由于MRTG是使用Perl语言编写的,所以,在Windows环境中需要先来配置Perl环境。
Perl可以从其官方网站(
●启用服务器上的SNMP服务
若欲借助网络管理软件实现对网络设备和服务器的远程管理与监视,必须在网络设备和服务器上启用SNMP服务。
依次单击“控制面板”→“添加/删除程序”→“添加/删除Windows组件”在“组件”列表框中选择“管理和监视工具”复选框,单击“详细信息”按钮,在“管理和监视工具的子组件”列表框中选中“简单网络管理协议(SNMP)”复选框,如图所示,依次单击“确定”和“下一步”按钮,并根据系统提示插入WindowsServer2003系统安装盘。
●配置网络设备的SNMP服务
下面以Cisco为例,介绍一下如何启用网络设备的SNMP服务。
第一步为网络设备配置管理IP地址。
Switch>enable
Password;
Switch#
Switch#configureterminal
Enterconfigurationcommands,onperline.End
WithCNTL/Z.
Switch(config)#interfaceinterfacevlan1
Switch(config-if)#ipaddress管理IP地址子网掩码
Switch(config-if)#noshuwdown
Switch(config-if)#end
Switch#writememory
第二步启用SNMP服务
Switch>enable
Password;
Switch#
Switch#configureterminal
Enterconfigurationcommands,onperline.End
WithCNTL/Z.
Switch(config)#
Switch(config)#snmp-servercommunitypublicRO/只读字符串为public
Switch(config)#snmp-servercommunityprivateRW/读写字符串为private
Switch(config)#snmp-serveenabletraps
Switch(config)#snmp-serverhostip_addressSNMP_hostname/安装MRTG的计算机的IP地址
Switch(config)#exit
Switch#writememory
3.监控计算机上的MRTG配置
与服务器和交换机的配置基本相同。
下面,以对CiscoCatalyst交换机的监控为例进行介绍。
本例中,欲监测的设备的SNMP字符串是Public,SNMP,管理IP地址是172.13.100.4~172.13.100.25。
第一步:
下载Windows版本的MRTG并安装。
第二步:
配置Web服务器,并配置MRTG生成结果页面的文件夹。
将d:
\web\MRTG作为存放被采集设备配置文件的文件夹。
将d:
\web\MRTG\web作为存放被采集信息文件(html与图片)的文件夹。
配置Web服务器,建立一个虚拟目录http:
//localhost/MRTG/作为查看MRTG结果的路径,并指向到d:
\web\MRTG。
第三步:
生成Web服务器的MRTG采集配置文件。
在MS-DOS窗口运行:
C:
\MRTG\binPerlcfgmakerpublic@172.13.100.4public@172.13.100.5
public@172.13.100.6public@172.13.100.7public@172.13.100.8public@172.13.100.9
public@172.13.100.10public@172.13.100.11public@172.13.100.12public@172.13.100.13
public@172.13.100.14public@172.13.100.20public@172.13.100.21public@172.13.100.22
public@172.13.100.23public@172.13.100.24public@172.13.100.25--global“workDir;
d:
\web\MRTG\web”–output“d:
\web\MRTG\web.cfg”
如果运行正常会在d:
\web\MRTG目录生成Cisco4006.cfg文件,这个就是针对Web的MRTG配置文件。
第四步:
修改Web服务器的MRTG采集设备配置文件。
使用文本编辑器打开d:
\web\MRTG\web.cfg文件进行编辑,在其中加入如下语句:
RunAsDaemon:
yes
表示允许程序及配置文件后台运行。
Options[_]growright,bits
表示采集的流量信息使用bits进行表示,也可以使用bytes进行表示。
Languagd:
GB2312
表示使用中文MRTG结果信息文件。
运行MRTG流量采集程序。
在MS-DOS窗口运行:
C:
\MRTG\bin>start/C:
\MRTG\binwPerlMRTG–logging=eventlogd:
\web\MRTG\web.cfg
如果运行正常将会在d:
\web\MRTG目录生成web.cfg_1文件,并在d:
\web\MRTG\web目录生成MRTG第一次采集生成的大量结果文件,可以通过web浏览器进行查看,http:
//localhost/MRTG/web。
同时可以观察到系统将会每5分钟自动运行一次MRTG采集流量信息生成文件。
第六步:
生成web索引页面。
在DOS窗口运行:
C:
\MRTG\binPerlindexmaker--output=“d:
\web\MRTG\web\index.html”—title=WindowMRTGd:
\web\MRTG\web.cfg
如果运行正常将会在d:
\web\MRTG\web目录生成index.html页面,通过web浏览器进行查看,地址为http:
//localhost/MRTG/web/index.html,显示交换机各端口流量信息,如图所示。
当欲监视的设备为交换机时,可以通过修改.cfg中每个端口的Ttile、PageTop信息来指定每个端口流量信息页面的标题,也可以修改.cfg中其它的一些信息,或者修改index.html文件来改变页面的显示。
修改页面后的网络设备流量监控如图所示。
单击某个端口图标,可以显示该端口每日、每周、每月、每年的流量统计与分析,如图所示。
13.2网络流量分析
网络分析是指对网络内传输的数据包进行捕捉和分析家,从而判断网络中正在运行哪些网络协议,有哪些计算机在非正常使用网络,有哪些计算机在发生网络攻击行为,从而确保网络安全高效地运行。
13.2.1端口镜像
若欲使用SnifferPro实现对端口流量的监控,就必须配置端口镜像,并将安装SnifferPro的计算机连接至该镜像目的端口。
若欲实现对整个网络的监控,那么,就应当将总出口(即连接路由器或代理服务器的端口)设置为目的端口。
端口镜像,是指把交换机一个或多个端口(或VLAN)的数据镜像到一个或多个端口的方法。
端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
如图所示将第5端口的流量全部映像至第10端口,将第10端口设置为监视端口。
Cisco的端口镜像叫作SWITCHEDPORTANALYZER,简称SPAN(仅在IOS系统中,下同)因此,端口镜像公适用于以太网交换端口。
Cisco的SPAN分成3类,即SPAN、RSPAN和VSPAN。
简单的说SPAN是指源和目的端口都在同一台交换机上,RSPAN是指源和目的端口不在同一台交换机上,VSPAN可以镜像整个或数个VLAN到一个目的端口。
为了部署IDS产品(包括网络分析仪、嗅探器等),需要监听某个或某些端口的网络流量,但是,在交换网络中是将数据直接转发至特定的端口,因此,监听所有流量就会有相当大的困难,因此,需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
通常情况下,为了实现对整个网络的监听,应当将网络总出口(如连接至代理服务器、路由器的端口或VLAN)映射为Sniffer计算机所连接的端口。
Cisco交换机的SPAN端口配置过程如下:
第1步:
进入全局配置模式。
Switch#configureterminal
第2步:
为该进程移除任何已经存在的SPAN配置。
Switch#nomonitorsession{session_number|all|local|remote}
第3步:
指定SPAN进程与侦听源端口。
Switch(config)#monitorsessionsession_numbersource{interfaceinterface-id|vlan-id}[,|-][both|rx|tx]
第4步:
指定SPAN进程与侦听目的端口。
Switch(config)#monitorsessionsession_number{interfaceinterface-id}[,|-]
第5步:
返回特权配置模式
Switch(config)#end
第6步:
校验SPAN配置。
Switch#showmonitor{sessionsession_number}
Switch#showrunning-config
第7步:
保存SPAN配置。
Switch#copyrunning-configstartup-config
例如,若欲将g1/0/1端口的所有收发流量全部映射至g1/0/1端口,配置过程如下:
Switch(config)#nomonitorsession2
Switch(config)#monitorsession2sourcegigabitethernet1/0/1rx
Switch(config)#monitorsession2destinationgigabitethernet1/0/2
Switch(config)#end
13.2.2SnifferPro概述
Sniffer的用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而又不知道问题出在什么地方,此时就可以用嗅探器来做出精确的判断。
在合理的网络中,Sniffer的存在对系统管理员至关重要的,系统管理员通过Sniffer可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通信,有些甚至牵涉到各种的协议,借助于Sniffer系统管理员可以方便的确定出多少通信量属于哪个通信协议,占主要通信协议的主机是哪一台,大多数通信目的地是哪一台主机,报文发送占多长时间,或者相互主机的报文发送间隔时间等,这些信息为管理员判断网络问题,管理网络区域提供了非常宝贵的信息。
●捕获网络流量进行详细分析。
●利用专家分析系统诊断问题。
●实时监控网络活动。
●收集网络利用率和错误等。
●可以解码至少450种协议。
除了IP、IPX和其它“标准”协议之外,SnifferPro还可以解码分析很多出版商自己开发或使用的专门协议,比如CiscoVLAN中继协议(ISL)。
●支持主要的LAN、WAN和网络技术(包括高速、超高速以太网、令牌环802.11B无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
提供在位和字节水平过滤数据包的能力。
使用SnifferPro捕获数据时,由于网络中传输的数据量特别大,如果安装SnifferPro的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就容易造成SnifferPro系统死机或崩溃。
因此,网络中捕获的流量越多,SnifferPro系统就应该运行的更快、功能更强。
因此,建议SnifferPro系统应有一个速度尽可能快的处理器,以及至少512MB的物理内存。
13.2.3配置网络适配器
第1步:
单击File菜单选择SelectSettings命令,显示Settings对话框(如图所示),选择一个网络适配器(网卡),单击“确定“按钮。
第2步:
单击New按钮,显示NewSettings对话框,在Network下拉列表框中选择所要添加
升级会员 