網路嗅探和集線器
這對專家來說可能看起來很幼稚……但最近我一直在想。
多年來,我一直在使用ntop和一個廉價的 4 埠集線器來嗅探客戶端網路,以確定誰在做什麼——以及做了多少。當他們打電話說“天哪,今天的網路似乎真的很慢”時,看看發生了什麼的好方法。無需引入託管交換機(或訪問現有交換機),也無需配置跨接或鏡像。我只是插入要測量的集線器內聯。
最近我注意到幾乎不可能再購買一個真正的誠實至善的中心了。在尋找新的集線器時,有人告訴我應該確保獲得全雙工集線器,否則我在監控時只能看到一半的流量。
真的嗎?
我一直在使用一個硬殼的舊 Netgear DS104。不知道是一半還是FD。我真的低估了我的測量結果嗎?我只是對物理層不夠聰明,無法真正了解…
旁注:剛剛訂購了Dualcomm 乙太網交換機 TAP作為集線器替代品。看起來像一個漂亮的小工具。歡迎在評論中提供任何有關它的註釋或提示:-)
問題是,雖然集線器通常只允許半雙工通信(我聽說過全雙工集線器,但我從未見過),但這並不意味著你只會看到一半流量,這意味著通過集線器相互通信的設備將以半雙工方式進行通信。您仍然會看到通過集線器的所有流量。當 clientA 與 clientB 通信時,您會看到,當 clientB 響應 clientA 時,您也會看到。集線器將流量轉發到所有埠,因此無論雙工如何,您都會看到所有流量。
在您的監控過程中,您可能會引入臨時性能問題,因為連接到集線器的任何設備都可能會嘗試以全雙工方式進行通信(特別是如果它們被硬編碼為全雙工)並且因此會發生衝突,除了由於集線器的半雙工特性而導致的“減速”之外,還需要重新傳輸相當多的流量。
使用集線器的好處在於它充當被動網路分接頭。您可以將它內嵌在客戶交換機和防火牆/路由器之間,並監控他們的網際網路使用情況,查看誰去哪裡,查看正在發生的使用類型(HTTP、FTP 等),查看他們的網際網路連接有多少正在使用,並查看網路中存在多少廣播流量。
您可能沒有看到網路上特定主機存在的問題,因為您無法在網路上的每台主機之間插入集線器(您只能將集線器連接到一個交換機埠,而不是全部)。為此,您需要一個具有埠鏡像功能的交換機,以便您可以將來自特定交換機埠或埠組的流量鏡像到您的監控埠。
我同時使用集線器和具有埠鏡像功能的交換機,具體取決於我要排除的問題。我通常從連接在客戶交換機和防火牆/路由器之間的集線器開始。這讓我知道有多少網際網路流量,它是什麼類型的流量,並讓我了解網路上發生了多少廣播。我想說,在大多數情況下,問題是網際網路頻寬不足或大量廣播導致擁塞、重新傳輸、緩慢的 ACK、重複的 ACK 等。