RCCP03+利用Sniffer让网络性能永驻巅峰

第3章利用Sniffer让网络性能永驻巅峰锐捷认证资深调试工程师RCCP本章内容Sniffer使用简介网络案例分析课程议题Sniffer使用简介网络案例分析Sniffer使用简介Sniffer（嗅探器）是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。正面因素：使用SNIFFER可以改变被动的网络管理为主动，提高网络的使用效率反面因素：利用SNIFFER可以发起网络攻击，窃取他人数据。这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等GradeofServiceGoodDegradedSeverelyDegradedOutageProblemAnalysis-ManualUserCallsStartSNMPTrapGradeofService被动的网络管理Sniffer使用简介GradeofServiceGoodDegradedOutageAutomatedProblemAnalysis(7x24)ExceptionNotedResolution主动的网络管理方式Sniffer使用简介AdapterToolsPacketgenBERTPingTraceRouteDNSLookupFingerMonitorApplicationsDashboardARTHostTableMatrixHistorySamplesProtocolDistributionGlobalStatisticsDisplaysDecodeMatrixHostTableProtocolDistExpertTriggerAlarmsMonitorFiltersCaptureFiltersDisplayFiltersProbeDirProfilesConfigsAddrBkDatabaseTracesExportedDataSniffer工作原理课程议题Sniffer使用简介网络案例分析案例分析Sniffer案例分析案例目的：了解Sniffer强大的多层次的分析网络故障功能传达网络故障排除的基本思想主要手段：利用端口镜像加上网络基本知识进行故障分析背景服务对象：一家大型建筑设计公司网络建设时间：80年代网络服务器与工作站共800台左右，其中UNIX服务器数十台，Macintosh服务器和工作站150左右，其余为PC工作站协议类型：TCP/IP和APPLETALK网络结构800台计算机分布在三十层大楼之中骨干网技术千兆网、ATM接入网络设备交换机、HUB客户网络发生问题网络速度变慢PC机网络时常中断MAC机无法接入网络网络连接设备没有任何故障应用程序没有发现问题长达半年之久Sniffer接在一个镜像端口，经过一段时间获得了上面的数据：Summary:开始捕获时间：1998年8月26日上午11：25（重要）捕获时间长度：近8分钟平均网络利用率：0捕获数据文件概览MAC计算机无法连网，那么我们定义一个过滤器，仅仅查看Appletalk协议定义APPLETALK过滤器Appletalk本身没有问题所以我们必须回到全局的观点通常进行网络分析人员的常犯错误是仅仅将目光局限在出问题的点上。过滤后的数据使用PacketGenerator回放捕获的数据，模拟当时的网络状况回放网络流量63Packets/S53Broadcast/S说明广播太多概况利用Hosttable工具可以很容易发现Broadcast和Intel775435的活动量很大Hosttable进一步利用Matrix发现流量的大部分是Intel775435发的广播包Matrix利用ProtocolDistribution工具发现网络上的协议分布情况。在MAC层以上存在的协议有：IP、IP-ARP、IPX、NETBEUI、ATALK、DECNET、OSI…….IP-ARP竟然占用59.71％!如果在刚刚上班时间如早上8点左右，该协议会占有较大比率可以理解回忆数据包捕获时间——上午11：25。所以，可以初步认为该处有问题。Protocol分布情况前文可知一个Intel775435的流量比较大，对其进行隔离分析，查看广播内容。定义过滤器隔离问题使用定义好的过滤器进行抓包，然后进行解码分析。发现Intel正在连续不断地在一端连续的IP地址上进行ARP广播。连续的ARP时间间隔极短。产生CPU中断Intel让网络上的计算机中断、连续中断。ARP一般没有管理员将MAC地址登记，而是根据IP地址。通过解码得到NTEL775435的IP为10.61.202.141。通过登记表找到该计算机。寻找目标网络顾问将该计算机的网线拔掉MAC机能够上网了！结论是：城门失火，殃及池鱼现在模拟没有INTEL775435的情况。定义过滤器，排除该工作站。抓包，并将新的结果存成一个新文件，重放。如果没有Intel775435……看起来目前网络正常多了，IP-ARP减少到了20%左右新的网络状况Hosttable和Matrix显示正常。我们注意到Broadcast仍然占有相当比率。新的网络状况我们发现很多台工作站在发送ARP广播，为什么？通过分析数据包解码和该公司人员的配合，我们发现该公司使用了一种业务程序，该程序在每一台计算机都安装了一个客户端，该客户端利用ARP完成完成该程序任务的部分功能。该程序是设计为10台以内的工作组共同运行的，不适合该公司这样的大规模使用。还是ARP我们可以模拟一下该网络没有ARP（当然是近似情况）时的情况。利用DATAPATTERN定义一个过滤器，排除ARP协议。抓包，产生结果，保存并回放。排除ARPBaselinethenetworkfirst!正常吗？解决方法及建议排除10.61.202.141的故障考虑更新应用程序最重要的：重新规划网络整理网络文档建立网络基准线本章总结Sniffer使用简介网络案例分析谢谢!