成功的資料封包分析根本原因故障排除的第一步是捕捉正確的資料封包 - 那些包含解決問題所需證據的資料封包;在本白皮書中,了解匯聚複製交換機 (Aggregation TAP) 和NetAlly工具的組合如何簡化存取資料封包的過程。
在許多情況下,透過SNMP統計和主動或傳輸量測試可以解決網路問題,然而,有時候解決問題的唯一方法是透過資料封包捕捉,在這些時候,擁有最好的工具以確保捕捉所有必要的資料封包至關重要,如果沒有所有的資料封包,要解決問題可能會變得困難,甚至不可能,這就是匯聚複製交換機 (Aggregation TAP) 和NetAlly EtherScope nXG的組合成為完美的資料封包捕捉解決方案的地方。
成功封包捕捉和分析網路流量有幾個步驟,在本文中,我們將檢視每一個步驟,以及EtherScope nXG和匯聚複製交換機 (Aggregation TAP) 的角色,在任何成功的資料封包捕捉中,第一步是獲取資料封包的存取權,我們不能僅僅插入到任何交換機端口,然後期望捕捉兩個設備之間的資料封包,有幾種標準方法可以進入路徑,每種方法都有其優點和挑戰,讓我們來看看三種最常見的進入資料封包路徑的方法。
SPAN 埠
"SPAN埠" 是指Switched Port Analyzer(SPAN)埠的縮寫,它是一種網路設備用於監視和捕捉乙太網路交換機上資料流量的方法,SPAN埠允許管理員配置交換機,以將特定傳輸埠上的所有資料流量複製到另一個目標埠,通常是連接到分析儀的連接埠,這是與連接到乙太網路交換機設備最廣泛使用的資料封包捕捉方法;埠鏡像是透過交換機設定,將一個埠上的所有入站和出站流量複製到另一個埠,這允許分析儀連接到目標埠,監視來自傳輸源埠的流量進出。
優點
無需斷開連線: SPAN埠鏡像可以在不中斷網路連接的情況下捕捉資料流量。
易於設定: 配定SPAN埠的鏡像相對簡單,不需要複雜的設置。
成本低廉,整合至交換機中: SPAN功能通常整合在許多乙太網路交換機中,無需額外的硬體成本。
可迅速實施: 實施SPAN埠鏡像的過程通常迅速,不會造成長時間的網路中斷。
缺點:
整合流量至單一埠: 捕捉的所有流量被整合到一個目標埠,可能會導致過多的流量集中在單一埠上。
需要進入交換機進行設定: 要設定SPAN埠鏡像,需要進入交換機進行設定,這可能需要特殊存取權限。
設定的命令因交換機而異: 不同品牌和型號的交換機可能具有不同的設定命令,這可能會導致一定程度的複雜性。
不是所有交換機都支援: 某些較低階或特定型號的交換機,可能不支援SPAN埠鏡像功能。
不能複製所有封包(忽略某些類型和大小): SPAN埠鏡像有時可能無法複製所有封包,尤其是某些特定類型或大小的封包。
改變封包的時間特性: 複製封包可能會導致封包的時間特性發生變化,原本的封包傳送時間可能會受到影響,導致封包的抵達時間或處理時間發生變動,這可能影響一些應用程序的性能。
對於低頻寬的捕捉,需要捕捉的資料流量相對較小或較少時,使用SPAN埠可能是一個有效的解決方法;然而,對於具有全雙工千兆位元 (gigabit) 連接的情況,可能會出現入站和出站流量超過SPAN埠 1 個 gigabit 出站能力的情況,在這種情況下,封包可能會被丟失,無法進行正確的捕捉和分析;對於某些網路而言,對交換機的設定進行更改可能不是一個問題,但對於一些大型網路,更改交換機的設定,可能必須按照特定的程序和流程來執行這些更改(申請、評估、核准、執行、測試、部署、文件紀錄等),這可能需要更長的時間,因此進入捕捉資料封包的過程可能會變得更加複雜和耗時。
匯聚複製交換機(Aggregation TAP)
另一種進入資料封包路徑的方式是使用匯聚複製交換機(Aggregation TAP),這是一個以物理方式放置在被監控設備與網路之間的設備,入站和出站封包被匯聚成一個單一的資料流,然後透過單一的乙太網路埠發送出去,這表示資料流量從被監控設備流向匯聚複製交換機,然後再進入網路。
優點
無需存取交換機: 匯聚複製交換機(Aggregation TAP)不需要直接存取、或更改網路交換機的設定,這表示在使用它們時不會干擾現有的網路設定,這對於維護網路的穩定性很重要。
容錯能力: 這些設備具有容錯能力,即使在匯聚複製交換機失去電源的情況下,仍然可以持續捕捉封包,這有助於確保不會丟失重要的資料流量。
可在網路建設期間安裝: 匯聚複製交換機(Aggregation TAP)可以在建設新的網路時安裝,使其成為網路設計和部署的一部分。
缺點:
容易過度使用輸出埠: 匯聚複製交換機(Aggregation TAP)的輸出埠,可能無法處理所有複製的資料流量,尤其在高流量情況下,這可能導致丟失資料或影響分析的準確性。
必須中斷連接以進行安裝: 安裝匯聚複製交換機(Aggregation TAP)機通常需要中斷被監控設備與網路之間的連接,這可能會導致短暫的中斷,這在某些情況下可能不可接受。
需要購買: 匯聚複製交換機(Aggregation TAP)是硬體設備,通常需要購買,這可能會增加相關成本。
匯聚複製交換機(Aggregation TAP)有一個優點,即不需要存取交換機;與SPAN方法一樣,匯聚複製交換機可能容易過度使用,導致封包丟失,在大多數情況下,當分析儀僅能捕捉單個千兆位元介面上的網路流量時,匯聚複製交換機是一個不錯的解決方案。
透過 10G 網路卡(NIC)
一種克服匯聚 (aggregation) 問題的方法是使用具有網路介面的捕捉設備,該介面的頻寬超過了正在被監控的連接的全雙工帶寬;一種方法是使用配備有10 gigabit 網路介面卡(NIC)的電腦,匯聚複製交換機將匯聚後的流量發送到一個網路介面卡(NIC),而該介面的速度高於同時進入和離開匯聚複製交換機的所有流量的總和。這種方法的核心思想是使用具有更高速度的網路介面來處理流量,以確保不會發生匯聚問題,在這種情況下,10 gigabit 網路介面卡允許介面的頻寬超過了正在監控的連接上的總流量,確保資料不會丟失。
使用這種解決方案的挑戰在於找到既具有10gigabit 網路介面卡(NIC)又能以全線速10Gbps進行捕捉的電腦,在大多數情況下,電腦只能以不到全線速的一部分速度進行捕捉,然後將流量寫入記憶體。
NetAlly EtherScope nXG 和匯聚複製交換機(Aggregation TAP)的組合
當涉及到進入資料封包的路徑並執行無損資料包捕獲時,NetAlly EtherScope nXG 和匯聚複製交換機(Aggregation TAP)的組合表現出色,這兩個工具實現了在傳輸線路上實現進入同時捕捉多個連接,並以全線速10Gbps捕捉資料封包的能力。
正如之前提到,嘗試使用具有10Gbps介面的電腦來以全線速10Gbps捕捉流量並不容易,這正是NetAlly EtherScope nXG的所長,EtherScope nXG上的1G/10G SFP介面能夠以全線速10Gbps捕捉流量,並且不會發生數據包丟失,這確保了所有到達介面的資料封包都被捕捉並可用於分析。
在一個設備的兩側捕捉封包
在識別網路中的瓶頸時,一個常見的問題是:“這個設備增加了多少延遲?”對於典型的分析解決方案,這是一個非常難以回答的問題,但使用NetAlly EtherScope nXG搭配匯聚複製交換機(Aggregation TAP)則不然,它可以在測試設備之前和之後都以傳輸線路的方式連接。
進出該設備的資料封包被匯聚並傳送到EtherScope nXG,這為我們提供了一種精確量測該設備在兩個TAP之間延遲的方法;透過量測延遲,我們能夠判斷該設備是否是導致網路瓶頸的原因。
除了捕捉封包,還提供更多整合性功能
EtherScope nXG不僅僅是一個封包捕捉工具,它還是一個強大的網路探索工具,透過設備資訊探索、SNMP查詢和Wi-Fi分析,EtherScope nXG能夠收集網路上設備的名稱、製造商、型號、和位址訊息。
這種設備訊息和位址的探索,有助於解決分析封包追踪時面臨的另一個挑戰,即將設備名稱與位址相關聯,在查看追踪文件時,通常只顯示設備的IP位址,透過將位址與設備名稱關聯起來,可以大幅縮短解決問題所需的時間,這讓您更容易理解並識別網路上的設備,並在故障排除過程中更迅速地找到問題的根本原因。
遠端存取和封包追踪檢索
分析師可能不總是能夠親自前往出現問題的現場,在某些情況下,網路問題可能發生在不同地點,NetAlly EtherScope nXG和匯聚複製交換機(Aggregation TAP)可以部署在遠端站點並從其他地點操作。
透過使用VNC或Web遠端控制,EtherScope nXG可以像分析師就在它前面一樣控制,這表示可以創建封包捕捉過濾器並啟動封包捕捉,而無需身臨其境地在遠程站點。
一旦捕捉完成,可以將其上傳到NetAlly的Link-Live Cloud服務,透過Link-Live Web介面,可以從任何地方下載並分析追蹤文件,這使得分析師無需出差,即可解決數千英里遠的問題。
總結
成功地捕捉和分析網路流量需要計劃和正確的工具,儘管有多種方法可以進入封包路徑並捕捉它們,但重要的是要了解每種方法的優缺點;最終,如果沒有所有必要的封包資訊,則很難、甚至是不可能來分析和排除網路和應用程式問題。
NetAlly EtherScope nXG 和 Aggregation TAP 的組合實現了以下功能:
進入資料封包路徑
匯聚網絡流量,而不會過度使用輸出埠
以全線速10Gbps捕捉資料封包
探索設備名稱和位址
遠端操作分析儀並通過Link-Live檢索追蹤文件
這個專業級的封包捕捉配置,可以確保分析師第一次就能夠獲得正確的封包,從而縮短解決問題所需的時間。
コメント