随着信息化和互联网的普及发展网络规模不断扩张,使用网络的人群越来越复杂,由此导致网络环境也越来越繁杂,各种网络故障以及网络安全事件频繁发生。另一方面,网管人员由于不了解网络全景信息,不能全面掌握越来越多的网络设备和产品应用,在网络管理措施处理上比较盲目,由此严重影响了网络健康维护。怎么样快速有效的排查解决故障?怎么样使网络管理更具有时效性?怎么样将网络危害降低到最低点呢?欧美等成熟IT市场网络管理方法特别值得借鉴。
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!
本期门诊特邀请科来软件中国区技术总监高彦刚与我们大家分享解析如何更好的管理企业网络、分析网络环境的健康状况等。
姓 名:高彦刚
擅长领域:网络分析、网络管理
科来软件中国区技术总监。13年的金融、电信、政府等行业大客户技术服务经验与网络及应用分析技术经验,熟悉网络分析技术的最新现状与发展趋势。曾任职于NetScout公司、Network General、清华紫光等IT企业。著有《实用网络流量分析技术》。
查看本期门诊精彩实录:http://doctor.51cto.com/develop-160.html
参与最新技术门诊:http://doctor.51cto.com/
精选本期网友提问与专家解答,以供网友学习参考。
Q:专家好,我们在实际工作中,网络突然缓慢,在非常重要的时间段给我们响应时间只有宝贵的十几分钟。蠕虫病毒对网络速度的影响越来越严重,它们导致被感染的用户只要一连上网就不停地往外发邮件,病毒选择用户PC中的随机文档附加在用户的通讯簿上,通过随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送,有的又成批地被退回来堆在服务器上。造成网骨干线路出现明显拥塞,甚至在蠕虫泛滥的局域网中,瘫痪的事件屡有发生。 我们 这时候应该怎么妥善的处理与应急呢?
A: 你好!蠕虫病毒泛滥确实会对网络性能造成严重影响,感染蠕虫病毒的主机会向网络中大量发送数据包导致网络性能下降,甚至造成网络瘫痪。这些感染蠕虫病毒的主机一般其网络流量特征非常明显,大多是大量发送数据包,和大量主机通讯,同时发包数远远高于收报数,在网络性能严重下降的时候,我们可以通过流量分析工具快速找到具备这些流量特征的主机,从而迅速定位疑似感染蠕虫病毒的主机进行隔离杀毒。另外,我们在实际的网络管理工作中,建立日常的网络分析机制是非常必要的,能做到及时发现行为异常的主机并处理,从而避免过多的异常流量主机造成网络的性能严重下降甚至瘫痪。
Q:请问专家:一般遇到网络过慢,流量过低的情况该如何入手,有那几个步骤呢?另外为了保证公司网络的通常我们应该做好那些的基础工作?
A:一般说的造成网络过慢原因非常多,很多网络用户把应用访问慢、甚至客户端本身反应慢都说成是网络太慢。网络技术人员遇到这种情况,首先要详细了解慢的现象,就像医生看病一样,如果你指告诉医生疼,他连你哪疼都不知道,诊断就无从谈起。一般网络过慢,我们应该了解运行什么应用的时候慢,访问哪些服务慢、有多慢?等等。
在详细了解慢的现象后,我们需要针对性的去分析,比如说对访问一个web server慢进行分析,我们需要针对性的捕获访问数据,有的时候要在网络中多点捕获数据,通过访问数据的特点来判断是服务器响应慢还是网络时延或者网络丢包等原因造成的慢。
掌握好分析方法和分析技术是非常重要的,在这方面我们科来提供高级的分析技术认证培训,能有效的提高技术人员的分析能力。
保证公司网络需要做的基础工作很多,尤其是一个大的关键的企业级网络,但最基本的是我们的技术人员要对我们的网络系统建立深层次的了解,不仅仅是网络设备和拓扑,还要包括主要应用特点、流量特性等等,深入的了解是做好网络管理的基础。
Q:高老师:您好! 请问大型网络一般用什么进行流量监控\分析\数据包分析等,流量\数据包等异常报警?
A:你好!大型网络的流量监控分析需求比较复杂,针对核心网络、广域网、接入网、IDC网络的流量分析需求都不一样,目前的流量监控分析系统种类也很多,包括通过网络设备本身提供的flow进行流量监控的,包括直接通过分析数据包进行监控分析的,有的设备分析针对性很强的比如专门的入侵检测分析和行为审计分析等。一般来讲,需要针对性的分析不同的需求,部署不同的分析设备来进行监控分析报警。
比如说在Internet出口链路上分析,那主要的需求就是分析带宽的占用、有没有异常流量、有没有攻击、主要的smtp、http等服务的运行质量等。这样就需要专用的分析系统来做。如果是一些广域网的,主要需求是监控统计带宽的占用情况,做容量规划,可以采用基于flow的方式来统计分析。
Q:高老师,你好,我最近在工作中遇到一个问题,想请您解惑。理论上网关设置错误应该不能和其他网段发生通信。但是我公司现在出现一种现象,就是网关设置错误,也照样可以访问局域网的其他网段和上互联网。
例如,网络设置是这样 IP 192.168.3.1 子网掩码是 255.255.255.0 网关应该是192.168.3.254,但是现在我就算设置成192.168.8.112都照样没有问题(我们公司有8网段,但是这个IP地址没有任何设备使用)。如果网关空,则不能和其他网段发生通信,请问这会是什么问题?
A:这取决于你的三层交换机的工作原理,如果对不是本网段ip的arp请求也回应成网关的mac,那不管把网关地址设成什么(非本网段)都能通信。你可以用科来网络通讯分析系统捕获一下数据包,看看整个通讯流程是什么,是不是发出的arp请求不是本网段ip网关也会有回应。
Q:您好,最近公司的网络经常出现ARP病毒,导致网络质量下降,严重的影响了用户的上网,因为本身用户的IP就是和MAC绑定的,每次临时解决的方法就是在网关把用户的IP与MAC重新绑定,在用户端把网关的ip和MAC绑定,或者找到与释放ARP欺骗的MAC对应的IP,直接给T掉线,但是这样解决不了根本的问题,现在用户的上网方式又改成了PPPOE的方式,不用记录用户端的MAC,这样更无从下手了,有没有更好的办法解决局域网中ARP欺骗的方法?
A:ARP病毒确实是比较让网管人员头疼的问题,当然最好的解决办法是防止感染,装防病毒软件。
有些公司为了避免有人感染arp病毒导致网段内其他主机无法上网,采用每台主机采用一个不同网段的方法,可以有效避免arp病毒影响他人,这需要交换机支持。
当出现arp病毒影响的时候,可以通过流量分析手段很容易定位哪些主机感染了病毒,通过查看交换机中的mac表、进出流量也能很容易定位主机,但都是时候处理。最好是先防毒!
Q:您好!最外层一台思科PIX515E防火墙E0 接外网,E1(172.16.2.1)接核心三层交换机思科3560,DMZ区接了一个小交换机带2台内部服务器。3560交换机f0/1(172.16.2.2)转为三层接口接防火墙f0/1,f0/1到f0/12 分别是12条vlan且端口带宽限速1M,每条vlan接DLINK24口交换机带整个局域网,大概有150台机器。
现在的情况是:
1.我内部ping172.16.2.2延迟都是小于1ms,但是ping172.16.2.1时,延迟几乎都在100ms以上,且有时候超时一下,但是整体上网
倒是没有太大的影响。后来咨询了一位NP的工程师,他说这个情况是正常的,因为内网所有数据都从172.16.2.1这个端口往外发送
数据负载大就会这样,但是我觉得应该不会这么大,而且我ping172.16.2.2的时候是正常的,这个口也负载着所有vlan的数据包向
防火墙的传送啊。
2.划分每个vlan 后,vlan内部的共享文件访问速度很快。但是访问另外vlan 的共享文件就超慢,(我设置的是vlan可以互访),
但是访问外网速度就很正常。百思不得其解。
A: ping防火墙慢,但访问外网不慢,最有可能是防火墙响应ping比较慢,可以通过网络分析软件捕获交换机接防火墙的接口流量来验证。
Vlan间的互访是通过交换机路由的,不清楚你说的共享文件慢是查找主机慢还是文件传输慢,如果是查找主机慢可能是没有dns和域服务器的原因,可以通过捕获相关访问数据包来判断。
Q:作为一个小的公司,十几个人,adsl共享上网,这样的小型网络采用什么样的管理方式好?
A:一般的小公司,网络主要功能是邮件收发和对外联系通讯(msn、qq),以及上网浏览,在管理上的投入不会很大,一般采购一个实用的防火墙设备或一体化设备,能对应用和用户的带宽占用进行一定限制,能保证主要应用能正常运行,避免由于个别用户大量占用带宽导致其他人上网缓慢就行了。如果对安全要求高些可以采用分析设备进行实时监控或定期分析,另外,防病毒很重要。
Q:高老师你好,在企业网络中流量管理非常重要,如何为客户端分配流量,如何禁止某些员工上网看视频,下载等等,这些很耗网络资源,导致网速很慢,有没有好的办法更好的管理网络流量啊?
A:你好!很多网络设备都能够有效的限制应用和用户的网络带宽占用,管理带宽,但我们做限制和管理时一般要进行深入分析,包括网络中的客户的网络行为,主要关键的需要保障的应用和这些应用的带宽需求,等等。有了更深入的了解才能够有效的指定管理策略。当然,有的时候制度管理是很重要的,不一定是技术上的限制,技术上的限制也要在制度基础之上,比如禁止利用公司的网络看视频,就可以作为一个制度,一旦发现有相应的处罚措施,这些通过流量分析手段是很容易发现的。有了制度和相应的手段是好的管理的基础。
Q:高老师,你好.网络分析很重要.但我觉得很多情况下还要理清整个网络拓扑.因为只有全网各个地方都已理清才能定位出最容易出问题的地方.一直以来,个人感觉,网络分析,拓扑是基础.所有只有基于拓扑的情况下才能更好解决问题.而不是一味的一出问题就抓包的这种做法!也许是受以前老师的影响吧!当时只要一问问题,他们就让我拿拓扑!
A:你说的很对,网络分析的基础是对网络的了解,网络拓扑是非常重要的,除了网络拓扑包括应用拓扑、应用逻辑拓扑、网络行为模型等都是非常重要的信息。
网络分析重要的是针对性的分析,针对不同问题要制定针对性的分析方案,而分析方案的制定是建立在详细了解网络和应用架构以及详细问题现象基础之上的。
这就像医生看病,医生给人看病诊断的基础是对人体结构、机能、各系统运行原理、各种病理特性等等的了解基础上的,网络分析也一样,不了解谈不上分析。
Q:专家您好:我们公司局域网经常发生ARP的攻击,虽然此前我们统计了一份全公司电脑IP地址和MAC地址对应表,但是有些客户端电脑可能利用类似"网络执法官"等软件虚拟出几个虚假的MAC地址,导致我们即使使用网络分析(抓包)软件也很难定位到发动ARP攻击的地方,只能采用笨办法,在交换机上拔网线来慢慢定位,但这种办法太不高效,请问专家我们这种情况,有什么好的办法?
A:出现arp攻击后,最有效的发现可以通过交换机的端口mac表,端口进出流量来判断,如果一个端口对应的mac、ip很多一般就不正常了,当然需要交换机支持了。防病毒很重要。
Q:专家好,我们公司内网经常有人通过BT或者电驴下载电影或者其他东西,导致整个网络网速很慢,请问专家能否针对我们这种情况提出好的解决办法?
A:通过网络分析系统能很容易判别这些通过p2p软件下载的主机,详细的分析方法可以到科来论坛上去找,如何避免大量下载导致网络很慢的发生,可以通过制度管理、以及采用相应的技术手段,如分析手段、带宽控制手段来避免。
Q:科来的网络分析软件与其他网络分析软件相比有什么特色和优势?比如sniffer.
A:科来网络分析系统是我们科来自主研发的高性能全功能网络分析软件,我们在这个领域拥有多项专利技术,使分析性能远远高于同类产品。
同时融合了我们中国人的聪明才智,使功能、界面设置都更加的人性化,包括节点浏览器、端点分析功能、访问日志分析、最新版本网络分析方案和网络档案的设定等等,同时采用最新最流行的界面设计,更贴近于使用者的习惯,更贴合分析流程,使分析效率大大提高。
更关键的是我们在飞快的进步中,sniffer pro软件从上个世纪90年代到现在就没有什么变化和发展,目前来讲从功能上和我们已经有了很大的差距。
我们一直在网络分析技术方面不断努力,也取得了很大成功,这也得益于广大用户的支持,我相信我们会在不远的将来在技术和市场方面全面领先。
#p#
Q:我们公司的网络里有几百台电脑,除了机房的核心交换机以外,在客户端的分支还放有很多分支桌面级的交换机,但是经常发生客户端分支交换机被人恶意造成环路的情况(即一根网络插在了一个交换机的两个端口上),请问针对这种情况,专家有什么好的解决方案?
A:防止恶意制造环路,采用有回环检测功能的交换机最好。
Q:老师您好: 在日常网络管理活动中有些困惑,望解答.一是网络基线如何建立,特别是在一个多子网的环境下不知道如何入手,也就是想问问网络基线的建立有没有规范?如果有,必须按照什么规范建立.二是在多子网的环境下如何进行网络监控?谢谢!
A:网络基线一般指网络中一些重要流量参数在正常条件下运行的数值,当然每个网络有自己的流量特点,其基线特点也不同,有些网络流量不会出现明显的规律,这和网络上的应用特点是相关的。
一般来说,网络层面,网络中的bps和pps参数是重要的建立基准的参数,可以将一段时间内的这两个参数进行统计,一般按相应的应用运行规律来确定基线的确定方式,时间规律很重要,如有的网络中是按每天时间特点规律明显,有的是按每星期的运行规律明显,如星期一和下星期一的有可比性,这都是计算基线时应该考虑的。
多子网环境下可以采用多点部署的方式进行监控,当然如果都在一个物理交换机上的多子网可以集中做镜像进行监控。
Q:1.我的网络股票软件挺正常啊,可是网页有时候不能浏览
2. 网速特别慢,重启有一定作用,怎么用科来分析啊
3.我能嗅探到内网的用户系统或者邮箱的密码吗:
4.前段时间在测试一款设备的时候发现,由其发出来的UDP包(大于1500Bytes),会被分片(fragment)。
5.84这台机向194发送 ack 包,但所有的 序列号都相同?这是为什么
一帮84向194发一个包,194回应三个包,在第三个包中 置PUSH位为1
请帮忙,分析一个这个数据包到底存在哪些问题,谢谢!
6.局域网的IP如下设置,有个问题很有趣,望大家共同解决为感:
网关:218.219.220.2子网掩码:255.255.255.248如此设置的话,还有 5 个IP可用,218.219.220.1
218.219.220.3
218.219.220.4
218.219.220.5
218.219.220.6
218.219.220.2已经设为网关,余下 5 个ip地位相等,分给5个机子,理论上5个机子都能上网才对,
偏偏出现这个问题,IP设置为218.219.220.3 的机子上不了网,这是为什麽?
问题补充:
电脑没问题,操作系统都一样【XP】,四台机子连在5口的交换机上,网关218.219.220.2的机子用星空极速联网并共享出来【Windows本身的共享功能】,218.219.220.3的IP换在任何机子上则该机无法上网,现象很奇怪,剩下的IP都能用。
A:1.这要具体抓取数据包来分析,确定是网络服务问题还是应用服务问题。
2.可以通过捕获相关流量,分析是由于网络丢包、延迟造成的慢还是由于应用响应慢造成的慢。
3.如果内网用户的口令采用明文传输,并且你能捕获到相应数据包,可以解码查看用户和口令。
4.以太网最大的帧是1518bytes,ip包超过一定长度,会被fragment成多个帧,才能在网络中传输。
5.如果只是ack包,没有有效的载荷,序列号是不会增加。tcp传输数据时会分成多个分段(最大1460bytes)发送,一般最后一个分段push位为1,提示传输层将数据提交应用层处理。看你说的这种情况不存在什么传输问题。
6.这个问题很奇怪啊,访问不了其他的主机还是不能通过共享上网呢?可以用科来网络分析系统抓个包看看。
Q:高老师你好:在网速非常慢的情况下,怎么对客户端进行实时监控?
A:是访问internet很慢吗,如果是internet出口分析主要可以通过流量分析手段监控哪些主机的流量比较大,如bps、发送接收字节数或发送接收数据包数以及ip会话数量及tcp会话数量等,如有主机占用的带宽很大,可进一步分析其网络行为,是否是由于下载或上传大量流量导致带宽拥塞。如果是发送大量的数据包,或存在大量的ip会话或短时间内建立大量的tcp连接,则要分析是否存在网络攻击的行为导致网络性能下降。
Q:专家你好!我想问一下使用科来软件能实现网络的实时监控吗?这个软件是不是能实现问题发现并给出相应的应对策略呢?
A:你好,科来的网络分析系统就是实时的网络流量分析系统,能够对网络进行实时的监控,提供网络的可视性。
这种监控是基于对网络中的数据包的分析来实现的,不仅仅能够对网络的运行情况进行分析监控,还能对网络行为、应用行为进行监控分析。
科来网络分析系统2010能根据网络和应用的异常流量特征进行智能诊断分析,提供相应的对策,同时,我们也提供专业的分析技术培训,提高技术人员的网络问题分析能力。
Q:高老师,你好!提一个实际中遇到的一个问题.我们宿舍里公司给配的是无线路由,每次只要我一回去,打开无线连接,很快我们的网络就慢下来了.我看了下数据包的发送与接收.正常情况下,每次都是成三位数的跳动!开机时就开了一个卡巴斯基,就想是不是它的原因.可是将卡巴退了以后,数据包发送数还是以四三位数跳动!感觉是不是有什么可疑进程,进去看了以后,也没有什么问题?
A: 可能有进程在向网络发送数据包。可以装一个软件捕获一下网络流量,分析一下在向外面发送那种流量,和什么主机通讯。进一步可以分析哪个进程在进行这种通讯。用 netstat -abn命令可以看到哪些进程在通讯。
Q:除了用端口镜像,hub欺骗的的方式,还有没有别的方法去截取网络上的报文啊?
A: 网络上物理流量的获取,除了端口镜像和采用hub外,还可以采用分路器(TAP)的方式。
Q:请教高老师:我们公司开视频会议的时候莫名其妙的断了,屏幕上,整个会场都不显示了,但是视频系统显示五个视频地点也都是连接的,网络连接显示正常。重新建立网络视频会议又能重新显示,不知道可能是什么原因?请帮忙分析一下。我们用的是公网IP。
A:视频会议系统本身有问题或当时网络传输有问题都有可能是问题发生的原因,具体的分析可以采用分析系统在开视频会议的时候进行流量捕获,一旦发生问题,分析当时的数据流是否正常,才能真正判定问题发生的原因。
Q:您上面提到的"欧美等成熟IT市场网络管理方法"是指什么?
A: IT管理在欧美的发展比在国内要早,在一些管理体系建立方面相对成熟,至于网络管理的方法不同类型,不同规模的企业也完全不同,根据自身特点建立一个以业务保障为核心的网络管理的服务体系是核心关键。网络目前支撑的是业务,这里面需要围绕保障业务持续、高效、安全运行建立完整的网络管理体系,网络管理体系的组成是专业人员、策略、流程、手段和方法的集合体,核心是人员,根据自身特点来采用合理的手段和方法很重要。
Q:我的一个使用无线路由器、交换机、在网微机23台的网络环境突然全部不能打开http网页,但是qq、msn可以正常使用。将全部微机关机,一台一台开,发现就全部都恢复正常了。这是不是网络风暴,是病毒引起的还是什么别的原因?该怎么确定?请专家帮忙分析分析!!!
A:通过你讲的现象,可能的原因会很多,网络拥塞、DNS解析问题等都有可能造成这样的原因,最好的分析方法就是利用网络分析工具捕获当时的网络流量,分析相关访问的过程,是否是由于拥塞或其他原因引起,能够准确的定位问题的原因。
Q:最近半年网络经常断线,重启路由就好一会就断了。PING 网关不通,PING别的IP通。这是什么原因啊?请专家帮忙分析一下。
A: 你说的现象是路由器无法正常工作,或称拒绝服务的现象,造成这种问题的可能原因包括网络DoS攻击、大量的会话无法处理(路由器本身是否具备防火墙的功能?),路由器本身性能问题(在流量大或数据包多的时候无法正常运行),ARP攻击行为等等,你可以下载一个科来的技术交流版,出问题时捕获一下网络流量,分析一下具体原因。
Q:CISCO-1841路由器,串口模块启用后一直向局域网内发送ARP包,用抓包工具抓包,结果显示路由器向同一网段的大部分IP请求应答,不知道是什么原因?应该要怎么解决?请专家帮忙解答一下。
A:路由器会和局域网内所有的主机通讯,发送向局域网段主机ARP包也是正常现象,关键要分析网络层和应用层的数据通讯是否异常,如果是在短时间内大量发送ARP请求可能是广域网上有主机对局域网内主机进行扫描所致,可以分析一下主机的会话,有没有外部单台主机和大量局域网主机试图建立连接。
Q:HTTP服务器慢响应是怎么回事儿?还有就是:TCP什么重复尝试,我的网络监测到很多这种东西。
A:Http服务器慢响应是指服务器处理客户端的应用交易处理请求的响应时间超过了分析系统设定的阀值,比如你请求一个网页,客户端会向服务器发送一个"get"请求,服务器收到后会处理响应,这个响应时间是服务器的响应时间。
TCP重复的尝试是指客户端重复发送连接请求数据包,一般是在第一次连接服务器没有得到响应后,再次试图发起连接的过程。可能由于服务器性能下降或网络丢包引起。
Q:你好,我的2950接到核心交换机是通过光电转换器接的,接光电转换器的端口灯是橙色的,但是链路和协议都是起来的,就是不通是怎么回事?
A:你可以用台主机直接连光电转换器看是不是通的,这样可以排除是不是光电转换器的问题,然后换台交换机试试,有可能是不匹配的问题。
Q:如果一个大型网络中出现大面积的arp病毒,应该如何着手进行处理。
A: 最好是全面部署防病毒软件,分析arp病毒。
Q:专家您好,我想问一下,对于一般中小型网络,有没有根据流量自动限制带宽的方案?因为出口带宽不足,我经常遇到这样的困扰。
A:现在很多为中小型企业设计的多功能防火墙、路由器都有带宽限制功能,能限制单台主机、应用的带宽占用。
Q:当发现公司网络突然变慢 在看arp和网络有没有P2P之外 还要从哪里入手呢?想知道专家一般在查看局域网的时候用什么网络分析软件 而且抓包后查看数据包那些重点?
A:首先要了解是什么慢,是访问internet慢还是内部访问慢。是所有的访问都慢还是部分访问慢。
如果是访问internet慢,可能的原因主要有带宽拥塞(p2p下载)、连接数量过多防火墙路由器处理慢等,可以对出口流量进行捕获,查看带宽的拥塞情况(bps)和数据包收发情况(pps),如果拥塞,分析是哪些主机的流量较大,造成拥塞,并进一步分析其网络行为特点,访问情况,采用协议等。
Q:高老师您好,有时企业网络进/出流量突然增高,有可能是哪些方面原因导致?
A:可能的原因很多,流量是主机的应用引起的,要分析是哪些主机的流量突然增高导致进出流量的突然增高,然后针对性分析这些主机的流量来确定其应用,从而确定是否正常。
Q:你好,我是在电信做客户端维护工作的人员,最近在处理一个故障时碰到了问题,网络结构是这样的电信bras----汇聚层交换机8512在---(单模单芯光纤)DLINK的3628小区中心---3226小区楼层交换机,现在在3628上测试iptv有马赛克,但是断开所有下联3226楼层,单单看iptv是正常的,而且测试光路正常,中心交换机流量在30M左右,属于正常范围,中心设备收发器及局端收发器都更换过,而且下联每个用户使用的一个vlan,逻辑上流量应该是隔离的,请问能否通过抓包分析故障吗?
A: iptv有马赛克本身可能是由于传输丢包或传输时延过大所致,造成丢包的主要原因包括带宽拥塞、交换机路由器处理性能下降等,可以捕获3628上联端口的流量来判断是否是由于丢包所致,如果是的话,在什么情况下造成的丢包,是否是流量到达一定程度开始丢包。另外分析iptv对带宽的需求是什么,在没有其他流量的时候分析iptv的带宽占用情况,一般流媒体应用要保证稳定的带宽,可以在汇聚交换机上设定QoS保证iptv的带宽。
Q:专家你好,我们的CIO经常让我们使用基于Linux下的网络监测软件,我们常用MRTG ,ntop等,觉得效果不错,和那样花钱买的专用的软件相比,功能一点不差,节省了成本,我知科来也做网络监测,科来的软件与上述的基于Linux下的开放软件有优势吗?或者说和它们有什么不通之处?
A: 开放的软件由于不是商业化开发,在产品功能上不可能做到非常完善,当然根据自身的网络管理需求的不同采用开源的软件也是无可厚非的。你说的mrtg和ntop能够提供流量的统计监控,但功能相对简单,缺乏应用层分析能力和会话分析能力,视图相对也简单,如果只是做简单的流量监测是非常实用的工具了。但是我们在实际工作中网络管理非常复杂,不只是要做好流量监测,需要及时采取措施,更需要及时的进行汇报和总结。
科来网络通讯分析系统功能非常完善,包括全面的图形化流量监测功能,实时监控和告警,多角度的分析能力,使操作管理非常方便。如我们仅仅对ip端点的数据分析就能提供30多个参数,智能化分析,能根据流量特征智能化提供从数据链路层到应用层以及网络安全方面的多种诊断分析,还有数据包级的分析能力,更为有可视化的统计工具,便于进行工作汇报…这些都是mrtg类软件所无法提供的,你可以下载一个技术交流版实际体验一下,切身感受一下与他们的区别。
Q:局域网中有很多不必要的程序占用网速,并且用户还不知情,比如一些软件在后台自动升级,还有就是中了木马,导致占用很多流量,怎样才能避免这种情况呢,我知道避免木马就是用杀毒软件,但是一些常用软件就不行了,还有好多windows的自动更新都是默认开启的,可是用户并不知道,,主要就是怎么避免不必要的流量丢失。
A:确实是这样,网络中很多的流量并不是实际真正需要发生的流量,但能大量占用网络资源,不同类型的网络行为可能需要不同的手段去进行管理,如病毒可能要采用防病毒系统、自动升级可以进行设置或采用内部的升级服务器避免大量占用互联网带宽等。这就要我们能更加了解我们的网络系统,在这方面,网络分析是非常好的手段,利用网络分析不但能看到所有的网络行为,并加以归类分析,发现异常现象,分析各种网络行为对网络的影响,从而能够根据不同的问题指定不同的管理策略,采用不同的网络管理手段来避免。你可以去科来官网下载一个交流版的网络分析软件,做个评估检测。
Q:我们公司接入2M的网通和2M的ADSL,上网还会很慢?问可不可以把这两条线合成4M?
A:很多多功能路由设备具备广域网链路合并功能。
增加带宽会改善上网速度,决定"上网速度"的不仅仅是带宽,还有流量。打个比方,一条四车道的路和一条单车道的路比,当然按理说四车道的比单车道的要好走,但北京的西二环也是四车道的,由于车太多,基本上都很拥堵,但一条单车道的乡间小路,车流很少,反而可能更好走。这就需要我们具体对流量进行分析,同时要增加管理手段,才能保证正常的上网质量。
Q:为什么我的CPU和网速很差我用的网卡是2M的CPU是双核64MM的。
A:可能原因很多,如果是cpu利用率高,你可以用资源管理器查查哪些进程占用cpu资源。如果是上网速度慢,你可以用我们的网络分析系统分析一下上网的流量。
#p#
Q:您好!我想请教下.现在我的电脑的CPU在20-100怎么办?听别人说360杀软很鸡肋.是真的吗?那我该用什么杀软比较好?我的电脑是两台在一起用的2M 怎么一台电脑没工作.另一台电脑的网速很差?打开个网页有时都要级分钟甚至十几分钟?太浪费时间了.
A:我对防病毒软件也没有很深研究,上网速度慢的可能原因很多,有可能是网络性能差、应用慢、主机本身性能慢都有可能,最好用网络分析系统捕获一下上网的流量数据,分析一下问题原因。
Q:我的问题是,h3c 3100的交换机光口和思科的交换机光口无法连接时说明原因,怎么才能解决?谢谢!
A: 先检查光纤,如果光纤没问题,可能是两个交换机不能自动协商的原因,检查两个交换机互联的端口配置,可以手工设定端口配置,如全双工等参数。
Q:您好,我们公司内网经常有人通过BT或者电驴下载电影或者其他东西,导致整个网络网速很慢,流量过低,请问专家能否针对我们这种情况提出好的解决办法?
A: 你好!这是很多网络经常遇到的问题,一方面还是网络管理策略定制的问题,其实不光是BT和电驴会占据大量带宽会影响网络性能,包括一些视频应用、qq传文件甚至一些股票信息软件都可能消耗大量带宽,导致网络性能下降,在这种情况下需要我们的网络管理人员具备网络监控分析能力,借助网络分析软件能够清晰地观察到网络内的所有应用变化。由于网络应用和用户的网络行为都是动态的,不是一直不变的,要根据实际情况指定网络管理策略,包括制定相应规章制度,另外现在很多网络设备都有带宽管理控制的功能,可以根据实际情况来定制规则控制相关流量。
Q:高老师,我是一个大型制造企业的网管,前段时间由于我的管理不慎,导致生产部的员工私自操作交换机。将一根网线的两头插在一个交换机上,造成回路广播风暴。让我花了很多时间进行排查,主要是查看交换机的指示灯。我想请教一下高老师,如何高效地防范和检测回路或者广播风暴的产生。
A:物理环路造成广播风暴会造成网络直接宕机,交换机都无法访问,一般只能通过物理方法来判定环路在哪,你可以采用具备防止环路功能的交换机,如果你的交换机支持这个功能,可以启用,能有效防止回路的出现。
Q:高老师,你好!个人是搞接入网的,对snffier不是太过了解。但听说过很多的无线破解技术,个人感觉,它们的原理是不是相同.都是通过截取数据包后,通过分析数据包中的相关字节.从而读出无线的密码?比如TCP包中的第8个字节有数据包的VLAN ID.而后面字节中相应会有信息的内容.不知道这样理解,对吗?
A:你好!网络分析技术主要是通过分析网络中的数据包来提供对网络运行情况、网络行为、网络应用的分析,你的理解没错,网络中传输的数据都是按照相关的规则,也就是我们所说的网络协议来进行封装,在网络中传输的,因此我们也叫协议分析,根据协议规则将网络中传输的数据报文进行分析,分析网络中的各层流量,达到网络分析的目的。
Q:您好,我现在碰到一个问题,描述如下:单位所在网络为政府集中办公大楼,所有设备都统一放在机房当中,办公室和会议室都是通过信息产业部门统一部署的网络直接访问互联网。现在需要在市区的某个单位(也是直接连接的互联网),将视频监控传输到会议室,并投放到大屏幕上;同时在办公室的pc上也可以看到视频,并能控制视频监控。此种情况,该如何实现?谢谢!
A:理论上网络能通就何以,可以具体咨询提供视频系统的技术人员。
Q:如果做企业网管,需要哪些知识?
A:不同企业的网管需要的知识会有很大区别,即使是同一个企业的网管,根据工作不同,需要的具体知识也不一样,要看你的实际工作需要。当然,作为一个网络管理人员,网络基础知识、TCP/IP基础知识是必须的。
Q:专家您好!有一局域网(有近100台计算机),都同时接入到了互联网,网络结构也比较简单,外网进来接的是侠诺路由器,路由器下接的是侠诺三层交换机,在交换机上做了VLAN划分,192.168.0.0/24为服务器群,其中,192.168.0.3同时提供DHCP、DNS以及AD域控服务,其他的VLAN有192.168.10.0/24、192.168.20.0/24等共5个VLAN,局域网网络运行一直比较稳定。由于最近网络做了改造,采用了双WAN口访问,所以重新配置了路由器,网络产生了一些异常故障,具体现象为:某VLAN内的主机突然发生网络传输中断故障,不能连接192.168.0.3服务器,但是一段时间后(几分钟或几小时)又自动恢复正常,产生这种故障的主机不确定是某一台,偶尔是这台,偶尔又是另外一台,在故障发生的时候,ping服务器192.168.0.3,均能够ping通IP地址,但却不能ping通域名,检查DNS服务器,未发现任何错误。请问如何分析解决?
A:1. 网络是否能通,捕获客户端和服务器端两端的ping流量,查看其是否正常,服务器是否能收到ping,服务器是否能回应ping,是否存在arp欺骗。
2. 服务是否正常,服务器是否能收到dns请求,服务器收到dns请求后是否有正确响应,客户端是否收到dns响应,客户端是否存在arp欺骗。
Q:高老师,你好,我是一个技术爱好者,对网络分析也非常感兴趣,前一阵再论坛看到一个帖子,地址:http://bbs.51cto.com/thread-653506-1.html,大致说的是交换机端口内环导致网络不通的情况,我想问一下交换机端口内环或者说就针对帖子里的问题,如何通过网络分析来查原因并找到故障点,谢谢解答!
A: 你好!这个帖子上也看不出具体的问题原因是什么,如果交换机出现物理环路,通过网络分析手段能够看到大量的广播风暴数据包。不过具体是哪里形成环路一般要通过人工方式排查,如果广播风暴不是非常厉害可以通过查看交换机端口状态来判断形成环路的端口,一般打环的 端口必定收到大量的数据包。
Q:专家好!现在有个网络环境:一台cisco3560交换机;局域网内有8台服务器,其中4台是UNIX系统,另外4台是Windows 2003系统。出现故障:1、内部关键业务响应很慢,信息处理不流畅;2、服务器和交换机的CPU和内存利用率低;3、无法定位查找到网络响应慢的原因。请问如何现场诊断?
A:这需要利用网络分析软件进行交易处理级的分析,即捕获相关的响应慢的交易处理数据包,分析整个交易处理过程,来判断是哪个服务响应慢,是那个交易处理响应慢,或是数据传输出现问题。如果在同一个交换机上,网络出现问题的几率较小,但也不是不可能,比如端口速率不匹配,线缆质量差导致传输差等都可能造成传输性能很差。
Q:请问专家:如何用科来查找出局域网中的Skiller或幻境网盾的使用者(一些人滥用这软件,致使它对局域网的安全稳定性造成极坏影响)?
A:没有接触过类似软件,但这些软件一般是通过arp欺骗或发送连接重置数据包组织他人访问网络,可以通过分析软件捕获相应流量,分析是哪些主机在做,同时可以通过查看交换机端口状态和mac、ip列表来确定运行这些软件的主机接在哪些物理端口上。
Q:专家您好!最近有一客户网吧发生网络故障,而网吧的网络结构很普通,通过电信和网通双出口访问外网,在近一段时间,网络时常中断,拔掉网通的外网出口,网络又恢复正常,插上后,一会便又断线。请问这主要是怎么引起的?如何排查解决?
A:这种现象的排查需要用网络分析软件捕获一下外网口的流量来分析一下,看当时的数据流来进行分析,一般路由环路、地址欺骗攻击、DoS攻击甚至网络设备问题等都有可能。
Q:高总好!请教一个网络方面的问题,我们公司是一个中小型公司,我全面负责公司的网络。虽然是个小公司,但是网络结构还是蛮复杂的,我们主要应用了远程桌面技术把整个公司从最底层的服务器到外网切成了三个网段,员工在中间的网段,如果要上网就要通过远程桌面登陆到外网的网段服务器访问外网,如果要访问内网服务器就要使用远程桌面登陆到内网访问服务器。最近发生了一个奇怪的现象,无法确定是服务的问题还是网络的问题,就是远程桌面到服务器的过程中断开链接两秒钟又自动连上,没有规律,不一定什么时候就发生这种现象。
还有一个问题就是平时我们级联交换机都是使用一根网线链接两个交换机。如果两个交换机之间使用两个网线相互链接会发生那些危险?
A:1、你好!一般我们需要在网络中长时间捕获访问服务器的相关访问流量,出现问题的时候针对性的分析当时的流量数据,判断是由于当时服务器没有响应还是网络传输问题导致的连接中断。
2、两个网线连两个交换机可能会出现物理环路的情况,如国spanning tree配置有问题或工作不正常有可能出现物理环路从而引起广播风暴。
Q:专家您好,我想问一下一般网络环境下ip地址冲突问题怎么解决,再就是怎么样才能杜绝用户端私自修改ip地址和mac地址造成的冲突。在交换机上实现DHCP Snooping+IPSG+DAI是否可行?
A: 采用DHCP Snooping+IPSG+DAI当然是可行的,但要交换机支持。但如果是对付私自修改mac地址的行为,就要通过管理手段来制止了。
Q:高老师你好,我经常用科来软件,有一次我用科来软件制作了一个ARP的假数据包(目的设为网关,源我随便用了一个和内网同一网段的地址),这样发广播包,模拟ARP病毒。我想问的是这样做,我没法查找ARP的源了,除了监测网络中的流量,还有更好的办法吗?
A: 你好,如果是采用假的源mac地址的数据包,仅通过检测网络中的流量还不够,要配合分析交换机端口的mac表来断定发送伪造数据包的物理端口。
Q:公司上外网是有有线和无线两种方式。都需要通过输入用户名密码及当天的附加码才能接通。当用户遇到有线接口不够电脑又没有无线上网卡时,常通过上无线的人共享出无线网卡,利用交叉线来连接两机,就可绕过认证直接连通外网了。请问,怎么阻止这种通过共享绕过认证的非法接入?
A:像没有太好的技术手段,只能加强管理了。
Q:网络做了nat后,有个问题,上网用户都说上网慢了,打开门户网站 总是解析还是下载好长时间,半分钟吧。单独下载速度还可以。不知道问题出在什么地方啊内网分析需要随时 实时分析 还是 抽空启动分析呢?
A:有可能是连接数不足或dns解析问题,可以捕获当时的流量,查看是否存在dns解析慢的现象,以及是否存在tcp连接无响应的现象。
Q:高老师好,目前客户针对科来产品的评价还是不错的,但是还是有些客户更倾向于硬件产品的购买,请问科来有没有做一下硬件上的策略呢?谢谢
A: 你好!的确很多客户希望能购买一体化的设备,在这方面我们正在努力,会很快推出相应的硬件化产品供客户选择。
Q:同一个网段的两台机器为什么ping不通呢?
linux机器:
IP:192.168.1.202
netmask:255.255.255.0
GW:192.168.1.1
linux机器自己能ping通自己(127.0.0.1,192.168.1.202),但ping不通其他的机器
网线和网口都试过了,没有问题。
window机器:
IP:192.168.1.114
netmask:255.255.255.0
GW:192.168.1.1
这台机器能ping通其他的机器。什么原因啊?
A: 在linux服务器上执行service network start,另外检查linux的网卡配置文件是否正常,这个很明显是linux主机有问题。
#p#
Q:高老师!你好ARP主要使用什么协议和端口号呢?
A:ARP全名为Address resolution protocol,地址解析协议,主要是解析ip地址对应的mac地址,不是tcp层协议,没有端口号。
Q:三分技术,七分管理,在我们的网络中,最大的问题还是内部员工不遵守纪律,胡乱上网,导致网络出现重大故障,很多时候根据协议分析抓出了故障源泉,但我们还是没有严格的执法力度,导致,只是能抓出祸根,却处罚不了祸根,这我非常郁闷。
A:需要建立良好的企业管理制度。
Q:你好,高老师!我想问一下,一般的网络设备都支持通过snmp进行管理,那么我想问一下,除了通过snmp查询网络设备的运行状态之外,能否通过SNMP对网络设备直接进行的操作,例如直接通过snmp在路由器的mac缓存列表中添加ip-mac的绑定,或者说snmp有没有提供相应的接口对路由器进行直接的操作(除了查询之外)?谢谢!
A:你好!我也不是这方面的专家,但snmp是可以支持写入的,理论上是可以直接做操作的,具体要看你用的网络设备是否支持。
Q:高老师,你好,我是在一家酒店做网络维护,首先我先说一下酒店目前的网络情况,我们酒店的是电信的10M光纤接入,核心交换机是华为3552的三层交换机,各楼层交换机也是华为的。在核心交换机上划分有共9个VLAN,其中行政办公区和酒店客房归属于不同的VLAN,现在就是存在一个这样的问题,酒店的网络时快时慢,而且网络的实际使用情况也没有办法检测,所以想问下高老师,有没有一个很好的办法,谢谢!
A: 首先你要有能力分析慢的原因,一般来说需要在出口部署分析系统,通过分析出口的流量,能够直观的看到看网络慢的原因,是由于网络拥塞引起的还是由于丢包引起的,找到了慢的原因,才可以针对性的采取相应措施去应对。
Q:高老师,我是一个刚出道的新人,我想问问该怎么样去做好一个IDC数据中心的网络流量的监控和分析呢??希望高老师百忙中能给个详细的方法。刚毕业的新人,谢谢老师了!
A:IDC数据中心主要对外提供各种应用服务,流量特点和数据中心中的应用服务类型相关,在IDC数据中心进行流量监控和分析,主要是面向应用服务的流量监控和分析。
一般来说在总体流量方面,要监控网络利用率和数据包率,以及数据包分布情况,另外对每个应用的bps、pps都要有监控分析,通过长期监控分析能建立网络正常运行状态下的流量模型,也就是我们常说的基准线,能帮助我们快速发现异常。
另外要建立对TCP连接状态的监控,包括tcp syn数量、tcp syn ack数量等,通过这些数据指标可以发现是否出现DDoS攻击现象。
流量监控和分析不是简单几句话能说清楚的,如果你感兴趣可以参加我们的专业技术培训,能在网络分析原理、实用网络分析技术方面得到很大提高。
Q:高老师,你好.有两台客户机A,B。系统都是XP,安装杀毒软件也一样。
A:ip地址10.102.20.39/255.255.255.224;
B:ip地址10.102.20.40/255.255.255.224;
A,B网关都一样。
现象是:A拼不通B,B能拼通A。
谢谢老师解答。可你说的"通过分析系统在两台主机上分别捕获两台主机互相ping的流量。"请问用什么分析系统呢?你指的是利用Sniffer之类吗?谢谢。
A: 你好!可以通过分析系统在两台主机上分别捕获两台主机互相ping的流量,重点确定如下数据:
1. A是否发出icmp echo报文
2. B是否收到从A发出的icmp echo报文
3. B是否向A发出了icmp reply报文
如A发出了,B没有收到,可能是网络问题,如有arp欺骗,或地址冲突。如A发出了,B收到了,但B没有回应,可能是B的防火墙策略设置或其他配置问题。
查看更多精彩门诊:http://doctor.51cto.com/
【编辑推荐】
