第2章网络测试管理与分析.docx

1、第2章网络测试管理与分析第2章网络测试、管理与分析简介C i s c o路由器中包含许多故障诊断和排除工具，但是本章集中讨论网络不能使用这些工具进行分析的情况，其中包括在广域网中检测物理层的故障以及在局域网中对高层协议和报文的分析。本章将讨论多种不同类型的测试工具。其中包括网络管理工具以及如何使用网络管理工具诊断、解决和避免网络故障，并解释网络监视和网络管理的差别。值得一提的是，本章还将讨论简单网络管理协议（ Simple Network Management Protocol，S N M P），以及基于这一协议的网络管理软件包和平台。本章讨论的问题覆盖面比较广，包括网络管理和网络分析。在介绍

2、不同的问题时，笔者首先对问题做简单的介绍，使读者能够理解所讨论问题的关键所在。有关于电缆测试、网络管理和网络分析的详细内容已经超出了本书的范围，因为这些问题对于本书所讨论的中心问题只起到辅助的作用。本章讨论的主要内容有： 介绍适用于不同类型的局域网和广域网传输介质的物理层测试设备。 学习如何使用S N M P和远程监视（R M O N）来监视和诊断网络故障。 理解如何使用第三方网络分析仪搜集报文的细节信息，并解释收集的数据。2.2 物理层测试设备电缆测试仪铜缆测试仪电缆测试仪的种类繁多，有简单的仪表也有十分专业的设备组件。最简单的电缆测试仪是多功能数字仪表。它能够测试的电缆参数有电阻、电容和感

3、应系数等。多功能仪表也可用于测试物理层的连通性。例如，可将多功能仪表的探头直接嵌入线路的两端。通过仪表上显示的电阻可以判断线路是否连通。如果电阻为0欧姆（短路），则表明线路连通。如果电阻无穷大（开路），则表明多功能仪表的两端所插入的线路不连通。市场上有大量的电缆测试仪可用于测试非屏蔽双绞线（ U T P）、屏蔽双绞线（ S T P）和同轴电缆。除了简单的连通性测试外，这些测试仪还可以获得其他电缆参数，比如： 衰减（A t t e n u a t i o n）信号丢失的数量称为衰减，可以用分贝（ d B）来衡量，它用输出信号与输入信号比例的对数表示，这一参数表明信号在线路中传输时的丢失程度。 噪

4、声（N o i s e） 线路信号中无用的信息称为噪声。噪声的级别可以通过信噪比（ S R C）来衡量。这一参数越高越好，可以接受的值为1 08。 串扰（C r o s s t a l k） 串扰表示共享同一根电缆传输的信号相互干扰的程度。干扰程度的级别与线路信号的电磁特性有关。通过测试这一参数，用户可以确定干扰的程度是否可以接受。某些电缆测试仪还可以测试第二层和第三层的功能。其中包括鉴别M A C地址以及进行网际协议（I P）的p i n g测试。光纤测试仪因为光纤的成本都非常高，大多数基本的光纤测试都在生产阶段就已完成。光纤可以根据需求采取多种传输方式，短距离传输通常采用多模方式，而长距离

5、传输一般采用单模方式。多模方式在光纤中传输多个波长的光。当信号通过光纤传播时，多个波长的光将会发生一定程度的散射。光的散射将导致光的强度减弱，因此，多模传输适用于短距离传输。激光器或者发光二极管都可以产生多模信号。相反，单模光纤只对特定波长光的传输进行了优化，它的信号丢失率被降至最低。这些光的波长通常是8 0 0 n m或者1 5 0 0 n m，并与激光狭窄的光谱保持一致。光纤以单模方式传输时，可以过滤其他波长的光，从而降低了散射以及弱化程度。这一特征使单模方式非常适用于远距离传输单模方式通常采用同步激光源。光缆通常对特定的波长进行了优化，光纤的衰减可以通过传输特定波长的激光信号，使用相关仪

6、器测试信息的丢失程度来测量。通常情况下这一值应该小于0 . 1 d B / k m。对于多模光纤，测试信号源可以采用普通的激光或者发光二极管( L E D )。2.3 数字接口测试测试数字链路物理层特征和质量的最常用的两种工具是： breakout box 这种设备通常用于检测D T E和D C E之间连接的完整性。breakout box(BOB)的两个连接端可以分别连接D C E和D T E。它不但能够提供线路的状态信息，而且可以检测线路中传输的数据。这种设备可以实时显示状态信息。其标准的类型如图2 - 2所示。B O B通常采用电池作为电源。它包含进行缓存的电子线路，因此在测试时不需要与

7、实际线路进行连接。它可以用于测试线路的电压和电阻。 位错误率检测器（b i t - e r r o r-rate tester，B E RT) BERT的功能十分强大，可以准确测试数字信号的错误率，而且可以测试线路的一部分以隔离故障。位错误率测试通常在新线路提交使用前完成，以确认线路连接正常并为以后的性能测试提供基础。B E RT可以产生多种不同的位输入频率以测试错误发生率。因此可以用于估计线路中延迟和噪声问题。根据配置，可以定时对线路进行检测并分析错误。数字信号的位错误率应该小于1 0 - 9。B E RT也可以用于测试线路的信噪比。时域反射仪（T D R）T D R是线路测试中比较复杂的一

8、种方式，它检测线路的电磁特性和传输模式，既可以用于铜缆也可以用于光缆。对于铜缆， T D R基于电缆断开将导致传输线路的阻抗不匹配这一原理进行测试。阻抗不匹配至少导致一部分信号被反射回信号产生源。测试信号由时域反射仪以一个固定的速率产生并发送；因此通过测试信号反射回产生源的时间，就可以确定电缆断开的确切位置。这一原则也可以用于测试电缆长度。通过对比传输与反射的信号的强度可以测试电缆衰减。除了故障检测外，衰减系数也在线路安装时测试，以便估计线路的性能。掌握电路基本原理的读者如电子工程师对于传输线路理论和电磁波特性有非常好的理解。没有基础的读者应该了解设备使用了哪些原理，但不需要掌握这些原理的具体

9、细节。光T D R对于光缆可以采用光时域反射仪（ O T D R），其基本原理与T D R相同。当光缆断开时，断开处的折射率和反射率的变化将会使光反射回放射源。光传输的速率一定，因此可以确定光缆断开的位置和光缆的长度。通过比较传输和反射信号的能量可以得到衰减系数。测试光纤的反向散射波，同样可以得到衰减系数。在光缆中，测试整个端到端的衰减系数是十分重要的，因为其中包含光缆的连接，在连接处的信号丢失往往是影响光缆衰减系数主要因素。2.4 网络管理及其作用无论多大规模的网络，都是需要进行网络管理。网络管理最简单的形式是使用网络设备的某一个端口配置网络。通常使用t e l n e t会话与网络设备进行

10、通信以执行管理功能。这些网络管理功能包括排除网络中出现的故障，确定网络设备的性能如设备利用率，或者配置网络安全策略。这种简单的管理方式适用于小型的网络或者管理员可以与用户直接联系的网络。然而，随着网络的增长，必须以更为系统的网络管理方式取代这种反应式的管理方法。下面，我们首先了解一下网络管理的各个方面。本书的重点在于故障诊断与排除，它仅与网络管理的某些部分有关（故障管理和性能管理），因此我们仅对其他方面作简单的讲解。网络管理通常分为以下五个不同的部分： 故障管理这一部分与检测、报告和解决网络故障相关。一个成功的故障管理策略采用一种有效的方式实现上述功能。对于中型或大型网络，故障报告机制是必不可

11、少的。确保有足够的技术支持以便有效的排除故障也是非常重要的。 配置管理这一部分包括监视和控制网络中所有网络设备的配置信息。有效的配置管理可以使与配置相关的问题通过远程方式得到解决。 账号管理这一部分的功能是确定哪些网络工作站可以被相应用户使用并确定使用时间。账号管理还包括对应用程序的管理。它对于需要记录日志以及需要对访问进行收费的网络是十分重要的。 性能管理这一部分的功能包括搜集、存储和分析网络性能参数的统计数据。比如广域网链路的利用率统计以及以太网网段的碰撞发生率。分析可以采用实时和非实时两种方式。性能分析也被用于预测删除、添加和或者修改网络设备和应用程序对网络造成的影响。比如，评估网络规模

12、扩展对网络流量的影响，或者在网络中实现新的应用程序以及将多个用户加入到网络时网络流量的变化。 安全管理实现网络安全策略时，不但要控制对网络设备的访问而且要控制对网络资源和对应用程序的访问。对网络设备的访问控制可以通过静态口令实现，或限制用户只能在本地登录或者通过某些设备登录；也可以使用安全服务器集中进行访问控制，比如，采用TA C A C S。如果使用静态口令，应该对口令进行定时更新。对于网络资源的访问控制可以在配置网络设备时实现，比如设置路由器访问列表。2.4.1 SNTP概览简单网络管理协议( S N M P )已经成为网络管理事实上的标准。S N M P的关键组成部分如下： 可管理设备这

13、些设备支持S N M P，因而可管理。可管理的设备可以是路由器、交换机、集线器或者服务器等等。 代理运行于可管理设备上的S N M P软件称为S N M P代理。S N M P代理的功能是搜集、存储和传输管理信息。 M I B管理信息库（ M I B）是管理对象的集合。管理对象是指标识管理信息的特定参数。例如，管理对象可以是路由表中的路由表项。管理对象（比如，单个路由器）的具体示例就可以成为管理变量。 网络管理工作站（ N M S）S N M P网络管理程序大多数位于S N M P服务器上，我们称这个服务器为网络管理工作站。可管理设备使用S N M P向网络管理工作站发送管理对象的信息。典型的

14、N M S包括管理应用程序包，可以定制由S N M P提供的信息，以及通过图形用户界面显示定制的信息。S N M P不同组成部分的相互关系如图2 - 3所示。管理对象与NMS之间的SMTP通信类型主要有： Read Read消息在N M S与管理对象之间传输以便N M S搜集管理变量信息。SNMP Read操作通常需要N M S发送Get -Request消息，而被管理对象响应Get-Reply消息。Get-Next消息通常用于顺序请求一组管理变量，比如路由器的I P路由表。SNMP NMS控制台只能实现Read，这说明它属于只读集合（ read-only community）。这一集合是由口

15、令保护的，作为下载口令的只读集合字符串必须由管理对象以及S N M P服务器共同决定。 Write SNMP Write消息的发送发式是由NMS服务器向管理对象发送Set-Request消息。这些S e t消息用于修改管理变量的值或者状态。例如，可以通过发送Set消息删除NMS服务器上代表路由器不能响应的端口的GUI图标。可以执行SNMP Set的NMS控制台属于读写集合。它的口令通过管理对象与SNMP服务器协商的读写集合字符串确定。 Traversal操作N M S使用这一类型的操作确定管理对象上的哪一些变量需要搜集。例如，可以使用这一操作收集路由器的整个I P路由表。 Trap SNMP自

16、陷是由管理对象产生并向N M S报告的信息，用以表明有特定的事件发生。事件可以是某个管理变量超过了预先定义的报警阀值，例如以太网段上的报文冲突数量。这些通信消息在SNMP版本1而不是版本2中进行了描述。SNMP v.2是SNMP v.1的增强版，并且将逐步取代SNMP v.1。但是二者有很多共同点，增强的部分主要在于协议的安全性。2.4.2 Cisco路由器和交换机上的SNMP路由器通常实现标准类型的SNMP配置。只读和读写集合由访问列表9保护，它指定了两台NMS工作站。在示例中，192.168.2.6属于只读集合，其集合字符串是JoeCooney。172.24.10.235属于读写集合，表明

17、它可以实现对路由器的管理变量的SNMP Write或者Set消息。路由器的SNMP还包含一些十分有用的信息，比如站点信息以及设备ID等。现在，让我们来看一看Catalyst 5000交换机上的S N M P。除了只读和读写集合外，交换机上还存在完全读写集合，它不但有权限修改管理变量而且可以修改参数的设置。在本例中，模块和设备的自陷被发送到读写集合中的133.1.1.9服务器上。缺省情况下不允许产生端口自陷；这是为了防止服务器或者监视工作站因为自陷过载而崩溃。对于路由器，用户可以使用show snmp命令检查其上的s n m p配置(如清单2 - 1所示)。清单2 - 12.5 网络监视区分网络

18、监视与网络管理非常重要。网络监视需要搜集、整理和报告网络信息。至于如何使用这些信息解决存在的网络故障，或者预测将来可能发生的网络问题，提高网络性能，加强网络的安全性，以及决定网络账号管理策略都属于网络管理的范围。在任何管理领域，信息报告是不可缺少的部分，网络管理也不例外。网络管理与网络监视之间的区别在于网络监视可以看作网络管理的底层工具。除了报告故障外，网络监视的另一个重要功能是确定基线，它与故障管理与性能管理密切相关。在下一章中，我们将学习如何配置C i s c o路由器，使它自动向S y s l o g服务器发送日志信息并且根据安全级别限制错误和事件信息的发送。远程监视（ R M O N）

19、R M O N是S N M P的扩充。两者的区别在于S N M P从单一类型的M I B中获取网络信息，而R M O N定义而了9种M I B或者R M O N组。网络可以实现所有或者部分R M O N组的集合。R M O N远程管理特性发挥了现代网络设备智能管理的特性，监视和数据获取可以在单个远程设备和工作站上执行，工作站通常称为RMON probe。在网络分析的下一节我们将详细讲解RMON probe。网络分析的第一个阶段是收集和整理数据， R M O N提供了这种服务。RMON probe可以根据指定的条件观察和捕获远程网段上传输的报文。下面是9种R M O N组。可以使用这些组或者是其

20、中S N M P部分分析网络故障。目前市场上大多数支持R M O N的设备并没有全部支持以下所有的组。无论用户网络是否包含这些组，网络管理员都应该对这些组提供的R M O N服务有清楚的认识。 Statistics 组该组维护参数的底层统计信息，比如报文发送数量、报文的尺寸、广播、组播以及错误检测等等。 History 组该组使用从S t a t i s t i c s组获取的信息进行趋势分析。为一组不同的网络参数设置计数器，并对计数器定时更新，以便提供趋势分析。 A l a r m组该组允许用户为任何通过RMON probe观测到的管理变量定义采样间隔时间以及错误阀值。 E v e n t组

21、该组提供三种基本的事件类型：上升阀值、下降阀值以及报文匹配。上升阀值可以是局域网段C R C错误的数值。匹配报文可以是令牌环网中的令牌。 H o s t组该组对网络中出现的不同M A C地址进行统计。同时也包括进出报文、报文的大小、错误、广播和组播等信息。 Top N Hosts组该组通过限制H o s t组的活动，例如将它限制在被监视网段上最为繁忙的N台机器，使用户减少管理信息在网络上传输的流量。 Packet Capture组该组允许网络管理员配置用于捕获报文的缓冲区的大小。该值可以在报文捕获开始和暂停时设置。 Tr a ffic Matrix组该组统计两个工作站之间的信息流量以及其他通信

22、信息。比如，哪些工作站间发送了信息，以及传输时间的长短。 F i l t e r组该组使用户可以预先定义一组过滤器的类型，使用户可以捕获所需要的数据。过滤器可以基于地址、协议类型或二者组合来定义。2.6 网络分析网络分析必须在网络监视的基础上进行。在收集到数据以后，用户可以对数据进行整理并加以分析以解决网络故障，或预测将来可能发生的网络故障或者寻求提高网络性能的方法。在上一节我们讨论R M O N时，可以发现其中的某些组已经不仅仅是简单的捕获数据，在一定程度上它们也包含了数据分析的功能。网络分析中有一个任何人都不能否定的原则：最重要和有效地分解工具是经验丰富的网络工程师的知识和经验。没有丰富经

23、验的网络工程师，任何投资于网络分析的方式都是一种浪费。这虽然听起来有些奇怪，但从笔者多年的经验来看，到达这一程度的工程师的数量并不多。在大量的网络监视工作站或者网络分析仪提供的数据涌向面前时，需要解决的关键问题是从这些数据中找到与当前故障相关的部分。这些数据首先应进行预处理（比如，应该对比哪两个参数）。然后对整理的数据进行解释。这一步工作需要相当丰富的经验和技能。正如下面讨论协议和报文分析时将讲解到的，如果要完全理解分析仪协议分析仪捕获到的数据，必须对网络协议的细节理解得非常清楚。尽管某些厂商声称其网络管理和分析工具的功能十分强大，但是这些工具并不会自动地解决网络问题。之所以强调这一点是因为许

24、多公司都将把重点放在投资网络分析工具上，而忽略对职员的培训使它们能够充分的利用这些网络分析工具。2.6.1 协议分析网络分析可以分为两部分：协议分析和报文分析。协议分析是指收集和整理不同网段上运行的协议信息，以及相应的流量和错误级别。通常协议分析用于性能基线、容量规划以及网络的重新设计。在故障诊断与排除过程中，它属于高层方法。当解决复杂的网络故障时，通常需要用到报文分析。为了说明协议分析的使用方法，图2 - 4展示了使用Wi n d o w s下的Network Associates Sniff e r在以太网段上捕获数据时的图形。该程序运行时间不到两分钟，收集了将近30 000字节的数据。所

25、有的这些数据都是基于I P的通信，绝大部分使用的是U D P协议。协议分布的详细统计如图2 - 5所示。2.6.2 报文分析与S n i ff e r报文分析是指在报文以及帧这一级检查捕获的数据。通过这种类型的分析，每一个被捕获的报文的物理层、数据链路层、网络层和传输层都将被检查。更为专业的分析仪报文分析仪还提供更为详细的分析，其中包括对应用层数据的分析。标准的分析仪局域网分析仪包含以太网、令牌环网或者F D D I端口，可以与需要监听的局域网段上的集线器或者交换机上相应的端口连接。或者，分析仪局域网分析仪也可以以应用程序的形式在工作站上运行，该工作站必须位于发生故障的局域网段上。许多模块分析

26、仪都支持远程管理，这类分析仪不但包含用于数据捕获的端口，还拥有一个配置了I P地址的通信端口。用户可以通过通信端口远程访问分析仪。需要注意的是通信端口不应该与数据捕获端口在同一个网段上。网络分析仪也可以用于捕获广域网上的报文。要实现这一点，网络分析仪必须包含适当的接口类型，比如帧中继、I S D N等。分析仪通常可以放置于D T E和D C E之间的广域网线路中，不需要中断网络通信。市场上有各种各样网络分析仪。为了说明报文分析仪的用法，我们以Network AssociatesS n i ff e r为例举例说明。该产品的早期版本基于D O S运行，本例中的产品基于Wi n d o w s平台

27、。我们使用最简单的示例说明网络分析仪的功能和作用。我们需要检测工作站1 5 9 . 2 4 9 . 1 0 5 . 1 9到其局域网路由器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的连通性，同时检测每一个工作站发送和接收的报文。为了避免S n i ff e r接收不需要的数据而导致缓冲区溢出，我们首先定义捕获过滤器：选择“ Define Filter”,然后点击“C a p t u r e”完成这一工作。过滤器可以基于以下参数定义： 网络层地址。 M A C地址。 数据模式（比如，表示碰撞发生的A s或者5 s内的数据序列）。 协议（比如， I P、I P X、N e t B

28、E U I、L AT等等）。在捕获过滤器中可以定义单个协议或者多个协议。 报文类型报文类型可以分为正常报文以及由于C R C校验错、残缺或者发生碰撞而导致的错误报文。在排除网络故障时，使用这一参数定义过滤器捕获某种错误类型的报文对于解决问题十分有效。图2 - 6显示了一个简单的基于I P地址的捕获过滤器。任何发往或者来自于1 5 9 . 2 4 9 . 1 0 5 . 1 9以及1 5 9 . 2 4 9 . 1 0 5 . 2 5 3工作站的报文都将被捕获。第一条语句定义了由1 5 9 . 2 4 9 . 1 0 5 . 1 9发送或者接收的报文都将被捕获，实际上不需要这条语句，因为它是第二

29、条语句的特例。捕获过滤器的定义依赖于问题的定义，不同的过滤器收集不同的信息。例如，如果故障被定义为“在一天的不同时刻许多用户都不能正常使用多个不同的服务器”，这种定义方式是很不确切的。至少，应该提供特定的客户和服务器的地址以及应用所使用的协议等信息。事实上，在问题被准确定义之前（使用第1章的模型），不应该使用网络分析仪。有些时候最初的问题定义非常广泛，在这种情况下，S n i ff e r可用于收集数据以便于更好地理解所发生的问题。何时以及怎样使用捕获过滤器很大程度上取决于经验。定义捕获过滤器后，用户就可以开始数据捕获过程了，这个过程通常也称为跟踪过程。用户可以通过选择“ C a p t u

30、r e”或者“ S t a r t”启动跟踪。跟踪持续的时间根据问题的特性而变化。如果问题是持续发生并且十分严重，比如连接失败，那么短时间的跟踪就可以提供足够多的数据。相反，如果问题是间歇发生的，例如，响应时间比较慢，这需要长时间的跟踪才可以获取相应的数据。在跟踪过程中，S n i ff e r提供了观测帧和捕获帧的统计报告（如果没有设置捕获过滤器，则两者是相同的），同时还提供严重错误的统计数据。在特定情况下，它可能导致停止或暂停跟踪。当用户决定停止跟踪时，数据将自动显示。用户也可以根据定义捕获过滤器的方法定义显示过滤器。否则，所有捕获的数据都将被显示出来。图2 - 7以解码方式显示了捕获的数

31、据。从显示的数据可以看出它记录了1 5 9 . 2 4 9 . 1 0 5 . 1 9到路由器1 5 9 . 2 4 9 . 1 0 5 . 2 5 3的一次t e l n e t会话。路由器向1 5 9 . 2 4 9 . 1 0 5 . 1 9发送了五个I C M P报文。需要指出的是，这些步骤仅仅是为了说明S n i ff e r的使用方法，而不是故障排除的策略；故障排除将在后续章节中详细讨论。数据的解码输出可以滚动显示。图2 - 7中显示的部分包含一个捕获报文的摘要窗口。摘要窗口下面的细节窗口给出了每一个报文详细信息，其内容包括从数据链路层一直到应用层的所有信息。但还可以提供一个以十六进制的窗口来显示报文内容。为了简明起见，图2 -7未显示该窗口。考虑被选中的报文（标记M）： 它是第一个被捕获的报文，其源地址和目的地址如图所示。 摘要信息显示，在第二层的帧是6 0字节的以太网帧。E t h e r t y p e = 0 8 0 0表明I P是基于A R PA而不是基于8 0 2 . 3实现，因为十六进制的8 0 0等于十进制的2 0 4 8，它超过以太网的最大帧长度。因此，它是一个类型字段而不是一个长度字段。我们将在后续章节中讨