共享与交换式网络的监控.docVIP

这里我们探讨的是两种基本网络环境：共享网络和交换网络，其中共享网络采用共享集线器，各节点相连；交换网络中的各网络配件通过一个交换机相连。网络监控器可以帮助我们监控网络流量，该软件必须能捕获通过它的数据包。因此，在使用任何网络监控器之前，用户必须首先了解自己网络的拓朴结构并且将网络监控器安置在适当的位置以捕获正确的流量，从而用户可实现对网络的监控和诊断修复。 共享网络 共享网络，又称为集线网络，是指通过一个最简单的网络源 ― 集线器相连的网络。在该集线器上，不管数据是否有意向要发送到与端口相连的系统中，它们均会被转发到所有端口。除用于连接计算机的端口外，即使是一种非常廉价的集线器通常也包含一个端口，作为上行链路端口，将该集线器连接到另一个集线器上，以便建立更大规模的网络。当一个数据包到达集线器的某个端口时，该数据包会被复制到其它端口，这样，该 LAN 中的所有段都可以看到所有数据包。 被动集线器（passive hub）被视为一种数据传输管道。通过被动集线器，数据可以从某一个网络源（或段）到达另一个网络源。智能集线器（intelligent hub），又被称之为可管理集线器（manageable hub），具有网络管理功能。通过智能集线器，管理员可以监控流经集线器的网络流量并能配置集线器中的每个端口。第三种集线器，被称为交换集线器（switching hub），它可以读取每个数据包的目标地址并将这些数据包转发到正确端口。交换集线器实际上并不支持共享环境。 在共享环境中，网络监控器，如本公司的数据包分析器（Packet Analyzer）可以使用集线器的各个端口，并可以捕获通过集线器传输的整个网络数据，包括 LAN 中任意两台主机之间的通信。 拓朴结构图解 1： 共享网络 交换网络 交换机是一种 2 层、多端口设备源。交换机能提供与集线器或网桥相似的功能，但还具备更高级的特点，即能临时连接任意两个端口。交换机包含一个交换矩阵（switch matrix）或者说交换结构（switch fabric），可以快速连接和断开端口。与集线器不同的是，交换机只能在某个端口和其它端口之间转发帧，这些端口处没有组播，目标节点将被连接到所有其它端口。交换机可知道物理地址并将这些地址保存到 ARP 表格中。当数据包被发送到交换机时，交换机将从其 ARP 表格中检查这些数据包的目标地址，并将它们发送到相应的端口。 网管型交换机网络 如果您拥有一个交换网络，那么网络监控器常会被限制只能接收它本身有的数据包。在这样的情况下，为实现网络管理，正确监控网络流量，端口镜像（port mirroring），又称为端口 spanning （port spanning）或端口镜像功能是非常必需的。具有端口镜像功能的交换机被称为网管型交换机（managed switch）。 一般地，所有第 3 层交换机和部分第 2 层交换机都具备网络管理能力；如果配置无误，从 镜像口 / span 端口（mirror port/span port）处可捕获 通过交换机其它端口的流量。为分析通过所有端口的流量，应该将网络监控器插入到镜像口 / span 端口。 下表列出了使用镜像端口的交换机的优点和缺点： 优点 无其它设施需求 无需改变网络拓朴结构 缺点 占据一个交换机端口 当遇到巨大网络流量时，可能会影响网络传输性能 拓朴结构图解 2： 网管型交换机网络（拓朴结构图） 非网管型交换机网络 如果您的交换机不具备管理或镜像端口功能，您可以： 通过被监控的线路连接到 tap 上 您可以灵活地将 Tap 安置在网络的任意线路上。当网络性能需求非常高时，您可以将 Tap 添加到网络连接中。下表列出了使用 tap 的交换机的优点和缺点： 优点 不影响网络传输性能 不干涉数据流和原始数据 不占据 IP 地址，没有网络攻击 无需改变网络拓朴结构 缺点 高成本 需另添加设施（tap） 需要双适配器 不能连接因特网 拓朴结构图解 3： 通过被监控的线路连接到 tap 上 通过被监控的线路连接到集线器上 工作于共享模式，集线器适用于小型网络。 优点 低成本 无需配置 无需改变网络拓朴结构 缺点 需另添加设施（hub） 当遇到巨大流量时，会干扰网络传输性能 不适用于大型网络 拓朴结构图解 4： 通过被监控的线路连接到集线器上 监控一个网络段 当您只需要监控某个网络段（单个部门，如财务部、销售部等）的流量时，您可以在服务器上连接安装一个网络流量分析器，并在该网络段中连接一个交换器件，如集线器、交换机或代理服务器等。 拓朴结构图解 5： 监控一个网络段 注：具有代表性的网管型交换机具有镜像端口功能，但是对于不同品牌的交换机，其镜像端口的配置也与其它不同。请查阅相关文件，获取适合