基于协议分析仪的IP网络应用设计

引言

　　计算机网络技术快速发展给我们带来诸多惊喜的同时，其存在的各种问题也困扰着大家， 特别是网络*蔓延和网络黑客的攻击， 使I n t r a n e t 网络性能下降， 故障频繁。对此，网络工程技术人员与网络管理人员需要借助各种网络管理和维护的工具来加强对网络的监控、故障诊断和处理。在所有的工具中， 网络协议分析仪P A ( p r o t o c o l a n a l y z e r )在网络故障诊断方面具有不可替代的作用，随着网络精细化管理程度的提高，协议分析仪必将为越来越多的网络工程技术员及人网络管理员所广泛运用。

　　1 IP 网络维护与协议分析仪的特点

　　基于T C P / I P 的I n t r a n e t 成为当今局域网组网技术的潮流，该协议在设计之初更多考虑的是网络的开放性，其存在着不可靠性、不安全性、流量突发性等特点，使得对其进行管理维护也非常困难。当前， 国内对I P 网络的管理维护手段尽管多种多样， 但还没有非常成熟的可以被普遍采用的方案。采用协议分析仪则为网络故障诊断提供了一种“ 透视” 方案[ 3 ]。协议分析仪对网络进行实时监测， 对网络中I P 数据包进行捕获、解析， 从而了解网络当前的状况， 准确定位故障源节点的I P 或M A C ， 可以快速诊断网络故障。协议分析仪工作在被动模式和透明状态下，不会影响网络的正常运行；同时协议分析仪又可以灵活部署在各种网络环境中，在I P 网络故障诊断中可以方便地应用。

　　2 协议分析仪的工作原理

　　协议分析仪就是能够C a p t u r e（ 捕获） 分析网络中传输数据的设备， 其硬件部分主要是处于混杂模式（ P r o m i s c u o u s） 的网卡， 其软件部分包含数据包捕获模块和数据解码分析模块两大部分。

　　2 . 1 数据包捕获模块的基本原理

　　数据包捕获模块由处于混杂模式的网卡、网卡驱动程序、中间程序、网络协议程序、应用程序以及网络驱动接口规范组成， 其结构如图1 所示。

图 1 数据包捕获模块的结构图

其中网络驱动接口规范N D I S ( N e t w o r k D r i v e r I n t e r f a c e S p e c i f i c a t i o n ) 是数据包捕获模块的核心，它集成了多种数据包捕获规则的操作函数，为还原I P 数据包提供服务，能将各种以太网网卡设置为混杂模式。N D I S 支持多种工作模式， 并提供一套 N D I S 库( L i b r a r y ) 来完成各种规则下的数据包的捕获。协议分析仪捕获数据包的过程共分为网卡模式设置、接收网络数据、数据分类、数据过滤、数据提交及关闭网卡等六大步骤。

　　2 . 2 数据解码分析模块原理

　　协议分析仪对捕获的海量数据进行解码分析，主要是基于各种网络协议的不同特征并用协议定义数据结构规则解析模块来完成的。协议分析仪一般使用层次化的协议分析方法和插件技术来实现对捕获数据的解码分析。层次化分析方法是基于O S I 分层模型的思想，按照数据在发/收端的封装与解包的过程对捕获的数据流进行逐层处理还原重组解析。利用插件技术来扩展协议分析仪适应网络新的协议及应用的解析。

　　3 协议分析仪的主要功能

　　协议分析仪的主要功能有网络数据的采集、数据的解码分析、网络状况的统计、故障的诊断等， 综合这些信息来完成对网络运行情况的分析与故障诊断。

　　协议分析仪能实时监测各个网络节点和每条指定链路的连接情况、流量、负载率、数据收发的错误率、数据包S i z e 分布情况等， 并且可以用统计图或者表格的形式显示。可以提供非常详细的网络状况的统计信息， 包括对全局数据的统计和针对关键信息的统计。

　　可以提供非常准确的网络故障诊断结果（ E x p e r t S y s t e m 专家系统）， 能智能地对网络通信情况进行故障诊断，提供对网络故障的原因分析，以及如何处理等。这对快速定位网络故障极其重要， 可以极大地提高网络故障诊断的效率。

　　4 协议分析仪在IP 网络故障诊断中的应用模型

　　实际I P 网络中部署协议分析仪的策略随网络的拓扑、组网设备的不同而异， 主要有以下三种应用模型：

　　4 . 1 共享式网络环境

　　基于H U B 集线器组网的共享式网络，数据包以广播的方式传送，在网络中任一节点部署协议分析仪都可以捕获到网络中的全部数据信息。

　　4 . 2 有镜像功能的交换式网络环境

　　基于交换机组网的网络环境，由于其每个端口只转发与本端口直接相连设备的数据包以及广播包和组播包，协议分析仪要捕获其他端口的数据包则要对有端口镜像功能的交换机配置起用其镜像功能， 将协议分析仪接入镜像端口上实现抓包， 如图2 所示。

图2 端口镜像方式部署协议分析仪

　　这种方式协议分析仪仅能监测到被镜像端口的数据， 而且配置起来也比较麻烦。4 . 3 无镜像功能的交换式网络环境

　　对于无端口镜像功能的交换机组网， 可以采用在被监测的链路（ 关键链路） 串接H U B或者分接器（ T A P ） 的方式部署协议分析仪。TA P 方式如图3 所示。

图3 T A P 方式部署协议分析仪

　　T A P 对被监测链路来说是完全透明的，但是成本较高，且要求协议分析仪具有双网卡。

　　H U B 方式是在需要监测的链路中串联一个多端口的H U B 集线器， 对协议分析仪的要求低，实现容易， 缺点是在高速链路中会影响到网络的性能。

　　5 协议分析仪在Intranet 软故障诊断中的应用案例

　　在I n t r a n e t 环境下， 协议分析仪在网络故障诊断中的流量监测、故障定位、原因分析等方面得到广泛的应用。

　　5 . 1 网络流量分析

　　常用的网络流量监控工具是基于S N M P 的软件， 而采用协议分析仪对网络流量监控则可以了解更多的细节。协议分析仪可以生成网络节点连接M A P 、分析各网络节点的流量、各种协议的流量及比例等等。表1 所示为各网络节点的通信流量。

　　5 . 2 网络攻击/*查找

　　通常，网络中受到攻击或者感染*的主机与外界的其他站点的通信流量、特定的端口连接、网络响应速度等会有异常， 协议分析仪可以快速而且很准确的找出这样的主机。

　　表2 所示为 a r p 异常请求分析。

　　6 结束语

　　协议分析仪的灵活运用可以完成很多网络故障诊断的工作，大大提高网络管理与维护的智能程度和工作效率，随着协议分析软件开发的不断深入，功能的不断完善，以及成熟产品价格的逐步下降， 其在今后网络管理与维护中必将广泛运用。