第3章网络管理系统概论.pptVIP

3.5.1 基于流量镜像协议分析（SPAN和TAP） 基于流量镜像协议分析（SPAN和TAP） 流量镜像（在线TAP）协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过7层协议解码对网络流量进行监测。与其他方式相比，协议分析是网络测试的最基本手段，特别适合网络故障分析。缺点是流量镜像（在线TAP）协议分析方式只针对单条链路，不适合全网监测。 嗅探数据包的两种主要方式：SPAN和TAP。 SPAN（Switch Port Analysis） 也称镜像方式，简单来说就是把交换机某个端口（链路）的流量copy一份到另外一个端口，然后在该端口接协议分析系统，可以是一台安装有协议分析软件的普通PC机，也可以是专用的硬件。如下图： 3.5.1 基于流量镜像协议分析（SPAN和TAP） TAP（分路器） 原理与SPAN方式相同，将分路器（TAP）串接到链路中，TAP对于交换机是完全透明的。如下图： 3.5.1 基于流量镜像协议分析（SPAN和TAP） TAP与SPAN的比较 1.SPAN比较灵活，把协议分析仪连接到SPAN目的端口以后，只需要修改SPAN的源端口，就可实现监控不同的链路；而TAP需要串接到链路中，如果需要监控其他链路时，需要重新连接线缆，会造成网络中断，适合于长期的稳定监控。 2.SPAN需要对交换机进行配置，而且不同的交换机支持的SPAN功能不同，比如Cisco的3550如果把VLAN作为SPAN源，则只能监 控Rx流量，无法分析Tx流量，且路由到该VLAN的流量不会被监测到；而TAP无此问题，它对于网络设备是透明的。 3.SPAN方式获得的流量已过滤掉一些底层的信息，所以某些故障信息无法看到，而TAP对网络流量没有任何修改。 4.SPAN只适用于交换机，如果需要监控的链路两端都是路由器，则无法监控；如果需要监控的链路不是以太网，比如ATM，E1，则无法使用SPAN；而对于所有常见的物理链路都有相应的TAP可以选择。 3.5.1 基于流量镜像协议分析（SPAN和TAP） 基于硬件探针的监测技术 硬件探针是一种用来获取网络流量的硬件设备，使用时将它串接在需要捕捉流量的链路中，通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网(通常是一条链路)的流量信息。对于全网流量的监测需要采用分布式方案，在每条链路部署一个探针，再通过后台服务器和数据库，收集所有探针的数据，做全网的流量分析和长期报告。与其他的方式相比，基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率，一般只针对1000M以下的速率。而且探针方式重点是单条链路的流量分析。 3.5.2 基于硬件探针的监测技术 基于SNMP的流量监测技术（包括RMON） 基于SNMP的流量信息采集，实质上是测试仪表通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。相似的方式还包括RMON。与其他的方式相比，基于SNMP的流量监测技术受到设备厂家的广泛支持，使用方便，缺点是信息不够丰富和准确，分析集中在网络的2、3层的信息和设备的消息。SNMP方式经常集成在其他的方案中，如果单纯采用SNMP做长期的、大型的网络流量监控，在测试仪表的基础上，需要使用后台数据库。 3.5.3 基于SNMP的流量监测技术（包括RMON） 基于网络流量分析协议 Netflow流量监测技术 Netflow流量信息采集是基于网络设备提供的Netflow机制实现的。Netflow为Cisco之专属协议，已经标准化，并且Juniper、Extreme、华为等厂家也逐渐支持。Netflow由路由器、交换机自身对网络流量进行统计，并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后，便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析，网络监测等应用提供计数根据。同时，Netflow也提供针对QoS（Quality of Service）的测量基准，能够捕捉到每笔数据流的流量分类或优先性特性，而能够进一步根据QoS进行分级收费。与其他的方式相比，基于Netflow的流量监测技术属于中央部署级方案，部署简单、升级方便，重点是全网流量的采集，而不是某条具体链路；Netflow流量信息采集效率高，网络规模越大，成本越低，拥有很好的性价比和投资回报。缺点是没有分析网络物理层和数据链路层信息。Netflow方式是网络流