合理布署网络分析软件
发布:admin | 发布时间: 2010年7月26日作为一名合格的网管管理员,经常采集,分析网络中数据是一项必不可少的工作,它有助于我们优化我们的网络,提高网络的效率,更重要的是可以排除各种网络故障.但对于初涉网络管理的朋友来讲,经常会碰到这样问题,我明明安装了最好的网络分析软件,但捕捉不到网络中数据,更谈不什么分析了.但有的朋友即使能够捕捉到数据,但可能也没弄明白是怎么一事了,因为是他所在网络结构的一种巧合,让他碰上了,只要装上分析软件就可以了.其实不然. 我们知道,网络协议分析软件以嗅探方式工作,它必须要采集到网络中的原始数据包,才能准确分析网络故障。但如果安装的位置不当,采集到的数据包将会存在较大的差别,从而会影响分析的结果。网络分析软件必须根据本地的网络拓朴结构,安装一个适合的位置,才能捕捉到网络数据了.下面我们从常见几种局域网结构来分析了.
一:共享式网络
使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将网络协议分析软件安装在局域网中任意一台主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如下。
优点:不需添加设备, 不用改变网络拓扑结构,安装位置任意
缺点: 不能分隔冲突域,不能分隔广播域,如果局域网中的终端太多,数据流量大,很容易造成网络瓶颈,因为它的安装位置任意,所以任何人都可以装一个监控软件来分析,很容易造成信息泄密.
注意:可能有些朋友是在这种网络结构中安装的网络分析软件,就不会遇到什么困难,但会造成一种分析软件装在任何位置就可以的错觉了.
二:交换式网络(带镜像功能)
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层,它的各端口之间能有效分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。如果您网络中的交换机具备镜像功能时,可在交换机上配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如下。
优点: 可以分隔冲突域,不能分隔广播域,不需添加设备, 不用改变拓扑
如果没有,就要额外增加一笔开支了,呵,算缺点吗..
三:交换式网络(不带镜像功能)
一些简易的交换机可能并不具备镜像功能,不能通过端口镜像实现网络的监控分析。这时,可采取在交换机与路由器(或防火墙)之间串接一个以太网分路器(Tap)或集线器(Hub)的方法来完成数据捕获,其安装简图如下。
1: 使用网络分接器(Taps)
使用Tap时,成本较高,需要安装双网卡,并且在管理机器不能上网,如果要上网,需要再安装另外的网卡。
关于以太网分路器:可用于监测两台以太设备之间的通信情况,以旁路方式接入,完全获得全双工数据
特点:
* 旁路接入、对网络无任何影响的物理分流设备;
* 高性能容错、完整获得全双工/半双工数据;
* 完全避免交换机端口镜像所带来的资源浪费、丢坏包的情况;
* 冗余设计、电源热插拔提供更高可用性;
* 支持10/100M全双工、全线速应用
特殊应用:定点分析一个部门或一个网段
在实际情况中,网络的拓扑结构往往非常复杂,在进行网络分析时,我们并不需要分析整个网络,只需要对某些异常工作的部门或网段进行分析。这种情况下,可以将网络协议分析软件安装于移动电脑上,再附加一个分路器(Tap)或集线器(Hub),就可以很方便的实现任意部门或任意网段的数据捕获,其安装简图如下。
优点:简单方便,移动分析设备,根据需要定点分析
缺点:增加设备
2:使用集线器(Hub)
Hub成本低,但网络流量大时,性能不高,Tap即使在网络流量高时,也对网络性能不会造成任何影响,
四:代理服务器共享上网
当前的小型网络中,有很大一部分都可能仍然通过代理服务器共享上网,对这种网络的分析,直接将网络分析软件安装在代理服务器上就可以了,其安装简图如下。
优点:简单方便
缺点:因为代理服务器本身要进行路由转发功能,又要肩负网络分析的任何,可能降低分析效率
注意:这种情况下的分析,需要同时对代理服务器的内网卡和外网卡进行数据捕获。
五:带端口监控(镜像)的路由器
我们都知道现在的路由器功能越来越强大,有的上面集成了交换机的功能,比如有的带有端口监控功能,可直接指定一个端口监控其它的端口,但这些端口必须在一个VLAN内. 其安装简图如下
优点:安装简单,不需添加任何设备.
缺点:如果网络中数据流量过大,会加大路由器的负荷,影响网络工作效率.
经过以上的分析,我建议一般采取第二种方式是比较优化的一种方式了,但如果网络结构复杂,可与第三种方式相结合了.当然最终要根据各们朋友的实际情况了,因地制宜来达到分析网络数据的目的了。
文章如转载,请注明转载自:http://www.5iadmin.com/post/692.html
- 相关文章:
- 2.Ilove17109
- 第五种不好么 我这是采用的cisco3560第三层交换机做的路由器和中心交换机
monitor session 1 source vlan 1
monitor session 1 destination interface Gi0/10
这是3560上对监控端口(Gi0/10)进行的设置
Gi0/10链接一台装有sniffer的电脑 电脑IP设置成和局域网不在同一网段的IP
应该是第五种情况吧(还是第二种?)
我在 ㊣北京企业网管联盟 里,名字:北京-前塵如夢(224145224)admin 于 2010-7-27 14:31:21 回复我觉得是第二种。“电脑IP设置成和局域网不在同一网段的IP”为什么要这么设置?Ilove17109 于 2010-7-30 13:24:28 回复他要监视整个局域网网络流量 自己肯定不能产生相应流量的 所以设置一个不能上网的IP地址(我是这么理解的) - 2010-7-26 18:57:00 回复该留言
- 3.Ilove17109
- 他要监视整个网络流量 自己肯定不能产生流量的 所以设置一个不能上网的IP地址(我是这么理解的)admin 于 2010-7-30 14:13:11 回复我明白你的意思,就像一个旁观者一样,只看不发言,不会对监视网络产生影响。
- 2010-7-30 13:23:38 回复该留言
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。