协议分析网络性能监测及故障分析.docx

1、协议分析网络性能监测及故障分析第九章 网络编程实验实验二十七 网络性能监测及故障分析【实验目的】1、检验学生对 TCP/IP 协议原理的掌握情况，以及综合分析问题的能力；2、掌握监测网络性能的基本方法；3、掌握网络性能问题的基本分析方法。【实验学时】2 学时【实验环境】在本实验中需要 1 台交换机、1 台协议分析仪、1 台实验 PC，使用协议分析仪采集数据包，对采集到的数据进行分析，需要可以访问互联网。将所有的设备都接入到交换机上，并在交换机上配置端口映像功能，具体 IP 分配如下表：表 9-1 设备 IP 地址分配表设备接口IP 地址连接到交换机PCAEth0192.168.0.2/24FA

2、0/8RSR-AFA0/0192.168.0.1/24FA0/10RG-PATS 网络协议分析仪Eth0192.168.0.10/24FA0/24设备连接如下图所示：图 9-1 实验拓扑图【实验内容】1、学习使用网络协议分析器进行网络性能监测的基本方法；2、能够根据性能检测结果分析网络性能问题。【实验流程】图 9-2 实验流程图386【实验原理】网络检测工具：1、netstatNetstat 用于显示与 IP、TCP、UDP 和 ICMP 协议相关的统计数据，用于显示协议统计信息和当前 TCP/IP 网络连接。可以使用此命令来查看计算机的系统服务是否正常，是否被“黑客”留下后门，木马等。由于这

3、个命令同时还会显示出当前计算机有什么人的 IP 正连接着你的服务器，所以也是一种实时入侵检测工具，如发现有 IP 连接着不正常的端口，可以及时做出有效对策。netstat -a -b -e -f -n -o -p proto -r -s -t interval具体参数如下所示： -a显示所有连接和侦听端口，如下图所示：图 9-3 netstat a 命令连接状态有如下几种，LISTEN：在监听状态中；ESTABLISHED：已建立联机的联机 情况；TIME_WAIT：该联机在目前已经是等待的状态。387 -b显示在创建每个连接或侦听端口时涉及的可执行程序。在某些情况下，已知可执行程序承载多个独

4、立的组件，这些情况下，显示创建连接或侦听端口时涉及的组件序列。此情况下，可执行程序的名称位于底部中，它调用的组件位于顶部， 直至达到 TCP/IP。注意，此选项可能很耗时，并且在没有足够权限时可能失败。如下图所示：图 9-4 netstat b 命令 -e显示以太网统计。此选项可以与 -s 选项结合使用。图 9-5 netstat e 命令若接收错和发送错接近为零或全为零，网络的接口就没有问题。但当这两个字段有 100 个以上的出错分组时就可以认为是高出错率了。高的发送错表示本地网络饱和或在主机与网 络之间有不良的物理连接；高的接收错表示整体网络饱和、本地主机过载或物理连接有问题， 可以用 P

5、ing 命令统计误码率，进一步确定故障的程度。netstat -e 和 ping 结合使用能解决一大部分网络故障。 -f显示外部地址的完全限定域名（FQDN），如下图所示：388第九章 网络编程实验图 9-6 netstat f 命令 -n以数字形式显示地址和端口号，如下图所示：图 9-7 netstat n 命令 -o显示拥有的与每个连接关联的进程 ID，如下图所示：389计算机网络协议原理实验教程图 9-8 netstat o 命令 -p proto显示 proto 指定的协议的连接；proto 可以是下列任何一个：TCP、UDP、TCPv6 或 UDPv6。如果与 -s 选项一起用来显示

6、每个协议的统计，proto 可以是下列任何一个：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 -r显示路由表，如下图所示：图 9-9 netstat r 命令 -s显示每个协议的统计。默认情况下，显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计；-p 选项可用于指定默认的子网。390第九章 网络编程实验 -t显示当前连接卸载状态，如下图所示：图 9-10 netstat t 命令 Interval重新显示选定的统计，各个显示间暂停的间隔秒数。按 CTRL+C 停止重新显示统计。如果省略，则 netstat

7、将打印当前的配置信息一次。2、nbtstat此命令用于显示基于 TCP/IP 的 NetBIOS（NetBT）协议统计资料、本地计算机和远程计算机的 NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和使用 Windows Internet 名称服务 (WINS) 注册的名称。使用不带参数的 nbtstat 显示帮助。命令格式：nbtstat -a RemoteName -A IP address -c -n -r -R -RR -s -S interval 具体参数如下： -a(适配器状态)，列出指定名称的远程机器的名称表，如下图所示：图

8、9-11 nbtstat a 命令391计算机网络协议原理实验教程 -A (适配器状态) 列出指定 IP 地址的远程机器的名称表。图 9-12 nbtstat A 命令 -c (缓存) 列出远程计算机名称及其 IP 地址的 NBT 缓存。图 9-13 nbtstat c 命令392第九章 网络编程实验 -n (名称) 列出本地 NetBIOS 名称。 -r (已解析) 列出通过广播和经由 WINS 解析的名称。图 9-14 nbtstat r 命令 -R (重新加载) 清除和重新加载远程缓存名称表 -S (会话) 列出具有目标 IP 地址的会话表 -s (会话) 列出将目标 IP 地址转换成计

9、算机 NETBIOS 名称的会话表 -RR (释放刷新) 将名称释放包发送到 WINS，然后启动刷新3、ping 命令一般用于检测网络通与不通 ，也叫时延，其值越大，速度越慢。ping （Packet Internet Grope），因特网包探索器，用于测试网络连接量的程序。Ping发送一个 ICMP 回声请求消息给目的地并报告是否收到所希望的 ICMP 回声应答。它是用来检查网络是否通畅或者网络连接速度的命令。作为一个网络管理员来说，ping 命令是第一个必须掌握的 DOS 命令，它所利用的原理是这样的：网络上的机器都有唯一确定的 IP 地址，我们给目标 IP 地址发送一个数据包，对方就要返

10、回一个同样大小的数据包， 根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。用于测试网络连通性。命令格式：ping IP 地址或主机域名ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count -j host-list | -k host-list -w timeout -R -S srcaddr -4 -6 target_name具体参数如下： -t Ping 指定的主机， 直到停止。若要查看统计信息并继续操作则键入Control-Break；若要停止则键入 Control-C。 -a 将地址解析

11、成主机名。393计算机网络协议原理实验教程 -n count 要发送的回显请求数。在默认情况下，一般都只发送四个数据包， 通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如想测试发送 50 个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过以下获知：图 9-15 ping -n 命令从以上我就可以知道在给 220.181.6.6 发送 50 个数据包的过程当中，返回了 47 个，其中有两个由于未知原因丢失，这 47 个数据包当中返回速度最快为 19ms，最慢为 457ms， 平均速度为 129ms。 -l size 发送缓冲区大小。在默认的情况下 windo

12、ws 的 ping 发送的数据包大小为 32byt，我们也可以自己定义它的大小，但有一个大小的限制，就是最大只能发送 65500byt，因为 Windows 系列的系统都有一个安全漏洞（也许还包括其他系统）就是当向对方一次发送的数据包大于或等于 65532 时，对方就很有可能宕机，所以微软公司为了解决这一安全漏洞于是限制了 ping 的数据包大小。虽然微软公司已经做了此限制，但这个参数配合其他参数以后危害依然非常强大，比如我们就可 以通过配合-t 参数来实现一个带有攻击性的命令。 -f 在数据包中设置“不分段”标志（仅适用于 IPv4）。在一般情况下发送的数据包都会通过路由分段再发送给对方，加

13、上此参数以后路由就不会再分段处理。 -i TTL生存时间。 -v TOS 服务类型（仅适用于 IPv4）。 -r count 记录计数跃点的路由（仅适用于 IPv4）。在一般情况下发送的数据包394第九章 网络编程实验是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过此参数就可以设定跟踪经过的路由的个数，不过最大值为 9，也就是说只能跟踪到 9 个路由。 -s count 计数跃点的时间戳（仅适用于 IPv4）。 -j host-list 与主机列表一起的松散源路由（仅适用于 IPv4）。 -k host-list 与主机列表一起的严格源路由（仅适用于 IPv4）。 -w timeo

14、ut 等待每次回复的超时时间（毫秒）。 -R 同样使用路由标头测试反向路由（仅适用于 IPv6）。 -S srcaddr 要使用的源地址。 -4 强制使用 IPv4。 -6 强制使用 IPv6。4、tracert 命令Tracer（t 跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 （TTL） 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。Tracert 程序将包含不同生存时间 （TTL） 值的 Internet 控制消息协议（ICMP） 回显数据包发送到目标，以决定到达目标采用的路由。数据包被路径上的每个路

15、由器转发时， 其TTL 值会递减 1，所以 TTL 是有效的跃点计数。数据包上的 TTL 到达 0 时，路由器应该将“ICMP 已超时”的消息发送回源系统。Tracert 先发送 TTL 为 1 的回显数据包， 并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。路由通过检查中间路由器发送回的“ICMP 已超时”的消息来确定路由。不过，有些路由器悄悄地丢弃包含过期 TTL 值的数据包，而 tracert 看不到。命令格式：tracert IP 地址或主机域名tracert -d -h maximum_hops -j host-list -w timeo

16、ut -R -S srcaddr -4 -6 target_name具体参数如下： -d 不将地址解析成主机名。 -h maximum_hops 搜索目标的最大跃点数。 -j host-list 与主机列表一起的松散源路由（仅适用于 IPv4） -w timeout 等待每个回复的超时时间（以毫秒为单位）。 -R 跟踪往返行程路径（仅适用于 IPv6）。 -S srcaddr 要使用的源地址（仅适用于 IPv6）。 -4 强制使用 IPv4。 -6 强制使用 IPv6。如下图所示：395计算机网络协议原理实验教程图 9-16 tracert 命令2、网络故障分析与监测工具网络发生故障以后可以利

17、用一些工具和设备去分析检查故障原因。常见的工具有： Fluke Networks 的 OptiViewOptiView 广域网分析仪可以即时、全面地透视广域网链路性能，对从 T1/E1 到 OC12 的广域网链路进行积极主动的管理和高性能的故障诊断。OptiView 广域网分析仪可以用于识别广域网问题，例如病毒攻击、新的未知的应用、无授权的尝试接入以及不规则的流量模板。如下图所示：图 9-17 OptiView 软件界面 SolarWindsSolarWinds 是一款包括网络探测、错误追踪、性能监视以及性能管理工具在内的网络管理工具包。其中还包括了对授权成功或失败的安全性管理，以及 Cisc

18、o 路由器管理工具。另外，工具包中的 MIB Browser 自带内含超过 25 万条唯一 OID（全局唯一对象标识）、编译自千种以上的标准及私有 MIB（管理信息库）的庞大数据库。其网络性能监视器可对带宽、失败和性能极限做出评分、图表显示和警告。如下图所示 ：396第九章 网络编程实验图 9-18 SolarWinds 组件界面 MRTG 网络流量监测软件Mrtg（Multi Router Traffic Grapher，MRTG）是一个监控网络链路流量负载的工具软件，它通过 snmp 协议从设备得到设备的流量信息，并将流量负载以包含 PNG 格式的图形的 HTML 文档方式显示给用户，以非

19、常直观的形式显示流量负载。图 9-19 MRTG 界面 RGPATS结合高校教育的实际情况，将网络方面的理论知识通过软件来实现，让学生在实践的过程中更深入地掌握网络方面的基础理论知识。本系统能够使学生清楚的理解和掌握网络的内部结构和协议，通过编辑各种协议的数据包深入学习计算机网络的内部原理，同时也可以很好的辅助网络编程的调试。网络协议教学系统作为一门独立的课程体系，以实验为主，强调397计算机网络协议原理实验教程学生的主动性和设计性，能够拓宽学生的思路，达到真正的教学互动。图 9-20 RGPAST 界面【实验步骤】步骤一：netstat 命令netstat 是有用的网络工具之一，能列出与网络

20、有关的核心数据结构的内容。可以根据TCP 和 UDP 来分析通信状态，发现网络中的异常。在命令行方式下运行：1、netstat s：显示协议统计信息，包括 TCP、UDP、ICMP、IP 协议的使用情况。2、netstat e：显示以太网统计信息。3、netstat ？：查看其他参数的功能并运行。步骤二：nbtstat 命令在命令行方式下运行：1、C:nbtstat -a 192.168.1.1；2、C:nbtstat ？查看其他参数的功能并运行。步骤三：tracert 命令在命令行方式下运行：1 、 tracert 2 、 tracert 3、tracert 398第九章 网络编程实验步骤四

21、：编辑并发送帧序列，捕获数据并分析l、打开协议数据发生器，编辑帧序列，通过设置发送次数及发送时间间隔来控制发包 的速度和数量，可发送大批量的数据。2、在网络协议分析仪一端捕获已发送的数据，并利用网络协议分析仪的统计功能进行分析。3、当协议数据发生器不停地向网络上发送大量的数据包时，在网络协议分析仪端观察网络的流量变化。步骤五：性能分析在网络协议分析仪上捕获局域网上所有的数据包，并利用网络协议分析仪的各种统计功能进行实时分析与判断。1、点击网络协议分析仪开始按钮，将协议分析仪连接到整个局域网当中。2、交互序列图；点击协议分析仪的“交互序列图”功能，察看会话情况。3、主机状况：点击协议分析仪的“主

22、机状况”功能，察看主机发送和接收信息的情况， 分析网络性能。步骤六：大量数据帧的分析1、点击网络协议分析仪开始按钮，将网络协议分析仪连接到局域网当中；2、启动网络协议分析仪上的协议详细解析功能，捕获 2 分钟内流经局域网上的所有数据帧；3、在这 2 分钟之内，在部分协议数据发生器上运行几种不同的网络应用程序（如 WWW服务、邮件服务等）；4、将捕获到的数据帧保存到文件：综合实验.xml。5、对捕获到的所有数据帧进行以下分析：、其中有多少 MAC 会话。、其中有多少 IP 会话。、其中有多少 UDP 会话。、其中有多少 TCP 会话。、在捕获期间，存在多少 TCP 连接？有多少 TCP 连接失败？有多少 TCP 连接正常中断？在结束捕获时，有多少 TCP 连接是活跃的？、共使用了多少种不同的协议，这些协议都属于 TCP/IP 协议族的哪一层次。、对 IP 的上层协议进行统计，计算各协议（TCP、UDP 等协议）所占的百分比，从而对 TCP 和 UDP 协议的使用情况进行比较。【思考问题】l、在实验的过程中，网络上的峰值流量是多少？2、网络是否出现性能严重下降的情况，如果有，分析产生的原因。3、请分析在真实的广域网环境中，UDP 与TCP 协议的使用情况。399