使用ES网络通EtherScope查找多余网络流量
2005-03-04    安恒编译   
打印自: 安恒公司
地址: HTTP://etherscope.anheng.com.cn/news/article.php?articleid=565
使用EtherScope网络通查找多余网络流量


在一个阳光灿烂的周日早上,您的网络可能会象一个八条车道的高速公路一样有着足够的容量和效率。就象这条流量不大的高速公路一样,您的网络流量非常通畅,没有瓶颈,可以轻松避免障碍且很少会绕道而行,即使是发生偶然的流量集中,也可以轻松缓解。

但如果高速公路上出现一些故障车辆时会出现什么情况呢?它们可能会堵塞一些车道。虽然高速公路的设计优良,但当车辆出现故障或性能不佳占用多个车道时,整个高速公路的行驶速度就会下降。

无用的网络流量可能来自于不同的源头,通常会造成设备进行多余的处理,从而影响到整个网络中的用户。

例如:

  • 过多的广播流量影响了那些需要确定是否与流量相关的终端站点
  • 不必要的协议可能象征着过时的或不正确的设备配置
  • 采用默认设置的交换机端口设置可能会导致大量无用流量,造成间歇性的网络性能不佳

查找造成多余网络流量的源头、采取措施来更正或消除根源可以提升网络性能,帮助您避免未来可能出现的问题,但如果不使用正确的工具和故障诊断技巧,这也将是一项非常耗时的工作。

福禄克网络公司的EtherScope ES网络通可以帮助您快速识别多余的网络流量以及引起这一问题的设备。ES网络通提供的统计数据还可以帮助您了解它们对网络产生的影响,并进行测试以确定改变配置是否可以达到预期效果。

过量的广播

广播流量是网络中必不可少的一部分,但由于每个接收广播包的终端站点都可能会对其作出一些处理,因此就有必要考虑减少网络的整体广播流量。过量的广播可能还象征着硬件或配置问题乃至潜在的恶意网络行为。典型网络中,广播流量可能会很少,也可能潜在地造成网络超载。我们要做的第一步就是测量广播流量,然后再确定它是否已经过量。


 
 
ES网络通可以根据类型和MAC地址来追踪网络流量。您可以快速查看到哪些设备正在产生大量广播流量。ES 网络通自动的设备搜索能力可以将源设备与接收到的网络流量关联在一起,创建一个“对话最多者”视图。通过该视图选择“广播”,您立即就可以查看到广播流量最多的源头。
 


 
ES网络通还可以搜索网络第二层的拓扑结构。在搜索过程中,ES网络通可以确定将终端设备连接到网络的交换机以及交换机端口,这样您就可以采取正确措施,包括在调查出问题时暂时禁用交换机端口。
 
 

 


无用的协议

随着网络和网络所提供服务的不断发展、服务器或用户机器不断的替换升级,网络上出现多余的、通常是过时的协议的可能性也在不断增长。每个站点都是唯一的,但了解从哪里来看这些站点、并有一个工具可以显示哪些设备正在使用特定的协议以及它们连接在网络的什么位置却是很关键的。

ES网络通可以监测所有的网络流量,自动提供关于协议类型和TCP、UDP端口详细列表的协议统计数据。协议统计与设备搜索结合在一起提供给您一个简单的方式来确定您的网络上正在运行什么协议、谁在使用这些协议。点击那些非法协议即可定位出罪魁祸首。点击设备即可定位网络上的侵犯者。



 
ES网络通只显示出那些被检测出的协议,这样就简化了显示。如果一个数据包不能被解析到一个已知的端口号,就会被存储在“其它”类中,例如“其它TCP”。这可以帮助您定位那些可能正在运行不良应用程序或被病毒感染的用户。
ES网络通的设备搜索功能可以通过读取用户设备中的管理和控制VLAN信息,查看不同VLAN的用户数据流量,大大地提升了结果数据。通常情况下在搜索过程中不能看到不同VLAN中的设备。但ES网络通通过让用户在管理VLAN中创建一个设备列表,就可以提供一份完整的通过交换机到最终用户设备的2层连通性视图,更便于用户定位不必要协议的源头。


 

默认交换机配置

通常在健康运行的网络中,交换机默认的出厂设置可能会造成不必要的网络流量甚至一些临时性的网络故障。让我们想想应用于大多数交换网络中的延伸树协议(STP),大多数厂商都会将每个交换机端口的延伸树默认为使能。这是一个合理的选择,因为利用它可以简单快速地连接新设备,同时可以防止网络规模增长时网络转发路由循环。当接口状态改变时,例如至另一个交换机的连接丢失,STP采用一个被称作为拓扑改变通知(TCN)的特殊桥协议数据单元(BPDU)。这种机制在稳定的网络环境中可以非常有效地工作,TCN的出现通常也不是问题。

可以导致意外结果的一个问题是当端口上的延伸树使能时,可以频繁地改变状态。即使TCN生成,当端口处于转发状态或当端口转变为转发状态时,包括每一次一个终端用户连接至网络,TCN都会启动并影响延伸树中的每个桥接。最差的情况是一个拥有很多用户的大型网络,用户会不断地连接或断开,网络的拓扑状态也会经常改变。这对网络产生的影响就是桥接转发成熟期(通常是5分钟)被减少至15秒,这样当交换机重新识别每条链路时会造成非常高的流量。

如果您想要改变交换机端口出厂默认设置,您可以使用ES网络通的Telnet 或终端仿真功能来访问交换机并设置端口配置。您可以查阅您的交换机文档了解可用的交换机配置命令。

 


 

结论

不必要的网络流量不仅对于用户来说非常麻烦,当对难于发现的网络问题进行故障诊断它还可能造成混乱。了解造成不必要流量的可能原因及源头是保证网络正常、有效运行不可或缺的一部分。将“在哪里、查找什么”的认知与自动化的测试工具(例如福禄克网络公司的ES网络通)结合在一起,您就可以成为一名强大的故障解决者。

责任编辑: admin