1. 前言
科来网络分析系统是一个网络分析软件,它以旁路方式接入网络,捕获(采集)并分析网络中传输的底层数据包,从而查找并分析网络中出现或潜在的故障,安全及性能问题。
由此可知,根据科来网络分析系统分析问题的前提是捕获数据包,而捕获数据包的前提是正确的安装部署。只有在部署正确的情况下,才能有效捕获到符合我们需求的数据包,从而保证分析结果的准确性。
科来网络分析系统的正确部署方式如下。 注意:
z 本文档仅适用于科来网络分析系统6.x 及以前的版本; z 本文档中所提到的“网络”一词,均专指以太网。
2. 典型部署方式
科来网络分析系统的典型部署方式有共享式网络,交换式网络和代理服务器共享上网三种类型。
2.1 共享式网络
集线器(Hub)以共享模式工作在OSI 参考模型的物理层,使用集线器(Hub)作为中心交换设备的网络,称为共享式网络。
如果网络的中心交换设备是集线器(Hub),那么数据包(所有数据包)都会发往除源主机以外的所有机器。在这种情况下,科来网络分析系统可以安装在网络中任何机器上,相应的部署简图如图1 所示。
(图1 共享式网络安装部署图)
这种部署方式可以捕获网络中全部的通讯,其优缺点如下: z 优点:不需添加设备、不用改变网络拓扑、安装位置任意。 z 缺点:网络瓶颈、信息泄密。
2.2 交换式网络
交换机(Switch)以交换模式工作在OSI 参考模型的数据链路层,使用交换机(Switch) 作为中心交换设备的网络,即为交换式网络。
由于交换机可分隔冲突域,所以在交换式网络中,单播数据包只会发往目的地主机。此时,如果将科来网络分析系统安装在任意一台机器上,将只能捕获到自己的通讯,以及网络中的广播组播通讯。
在这种情况下,我们需要借助交换机的端口镜像功能,来帮助我们完成数据捕获。同时我们知道,某些交换机本身并不具备镜像功能。所以,下面我们从交换机具备镜像、交换机不具备镜像、以及定点分析一个部门这三个方面,说明科来网络分析系统在交换式网络中的部署情况。
2.2.1 具备镜像功能的交换式网络
如果中心交换设备是交换机,且该交换机具备镜像功能,则称此网络为具备镜像功能的交换式网络。在这样的网络中,请首先在交换机上配置好端口镜像,然后将科来网络分析系统安装在连接交换机镜像端口的机器上,其部署简图如图2 所示。
(图2 具备镜像功能的交换式网络安装部署图)
镜像端口的设置不同,捕获到的数据也会存在差异,而镜像端口的设置原则,请根据用户的需求而定。
z 如果需要查看整个网络与Internet 的通讯情况,请将与路由器相连的交
换机端口设置为被镜像口;
z 如果需要某几台机器的通讯情况,请将连接这几台机器的交换机端口设
置为被镜像端口;
z 如果需要查看整个网络的通讯情况(包括访问Internet,以及内部通讯),
请将交换机上除镜像端口和连接路由器的端口以外的所有端口设置为被镜像端口。
这种部署方式的优缺点如下:
z 优点:不需添加设备、不用改变网络拓扑。 z 缺点:交换机必须具备镜像功能。
2.2.2 不具备镜像功能的交换式网络
如果中心交换设备是交换机,但该交换机不具备镜像功能,则称此网络为不具备镜像功能的交换式网络。在这样的网络中,需要在交换机与路由器之间串接一个分路器(Tap)或集线器(Hub),然后将安装科来网络分析系统的机器连接到这个分路器(Tap)或集线器(Hub) 上,最终的部署简图如图3 所示。
(图3 不具备镜像功能的交换式网络安装部署图)
图3 中串接在路由器和交换机之间的分路器(Tap),也可以用集线器(Hub)替换。
分路器(Tap)内部能自动完成单向或双向的数据复制,从而使科来网络分析系统能捕获分析单向或双向的网络通讯。
请注意,此时交换机内部主机间的通讯将不会到达分路器,所以这种情况下,科来网络分析系统只能捕获进出的数据通讯。
这种部署方式的优缺点如下:
z 优点:部署灵活方便、可捕获单向数据。 z 缺点:需添加分路器,只能捕获进出通讯。
2.2.3 定点分析一个部门
实际网络中,可能拓扑结构非常复杂,在进行网络分析时,往往并不需要分析整个网络的数据,而只需对某些异常的部门进行定点分析。在这种情况下,可以将科来网络分析系统安装在笔记本上,同时配备一个分路器(Tap)或集线器(Hub),参照2.2.2 的方法,就可以轻松地对一个部门进行定点分析了,其部署简图如图4 所示。
(图4 定点分析一个部门的安装部署图)
这种部署方式实际上2.2.2 的放大,其优缺点和2.2.2 完全一致。
2.3 代理服务器共享上网
目前,存在许多使用代理服务器共享上网的小型网络。如果需要对这样的网络进行分析, 请直接将科来网络分析系统安装到代理服务器上,其部署如图5 所示。
(图5 代理服务器共享上网的安装部署图)
注意:这种情况下,需要同时对代理服务器的内网卡和外网卡进行数据捕获。且此时交换机内部主机间的通讯将不会到达代理服务器,科来网络分析系统只能捕获进出的数据通讯。
这种部署方式的优缺点如下: z 优点:简单方便。
z 缺点:降低分析效率,只能捕获进出通讯。
3. 大型网络统一部署
实际上,真正的大型网络,其拓扑结构远比上述几种复杂。
一般情况下,大型网络都具备核心层、汇聚层、接入层三个层次,甚至接入层交换机下都还可能接有下级交换设备。在这种情况下,我们需要按照图6 所示的方式,对整个网络进行统一部署。
(图6 大型网络统一部署)
从图6 可知,我们首先在核心层上交换机上部署科来网络分析系统,以实现全网监控; 同时,汇聚层交换机也需要部署,用于监控本区域的通讯;再次,对于故障频发的区域,还应在其接入层上部署,以查看内部之间的通讯以及其它二层通讯。
这样部署以后,科来网络分析系统将为大型网络带来如下价值: z 综合有效的网络资源管理,对整个网络的所有资源(整个网络、网络关
键设备、关键服务器、部门到终端PC)在一个统一的平台上进行综合管理;
z 面向服务的资源利用率管理,全面掌握网络的资源利用情况、查找网络
瓶颈,优化网络传输,同时为服务的扩展提供原始依据;
z 部署方便,简单易用,功能强大,大幅降低网络的运行维护工作量; z 智能的故障分析,能自动诊断网络故障,自动分析故障产生的原因,并
推荐相应的解决方法,同时允许用户对阈值进行修改;
z 有效统计网络的流量占用情况,快速查找影响网络性能的“罪魁祸首”; z 主动式安全防御机制,不依赖于库的更新,不存在病毒攻击的滞后性。
因篇幅问题不能全部显示,请点此查看更多更全内容