多年來,網路工程師聽過這樣的說法,大部分是真實的:當設備正確地放置在網路路徑中時,它可以跟上封包流入的速度,而且在捕捉的協議遵循規則的情況下,所收集的封包資料是網路可見性和故障排除的黃金標準。
然而,我們首先需要克服第一個階段 - 正確地在網路路徑上放置封包捕捉設備。
如果我們未能在正確的位置以正確的方式進行捕捉,完全可能錯過一個網路事件,並失去可以解決問題的封包真相;在現代網路中,這並不容易。讓我們快速了解如何在交換式網路中進入封包路徑。
進入封包路徑
交換機(Switch)可能使封包捕捉變得困難;在過去,我們可以走到一個集線器(Hub)旁邊,找到一個可用的網路連接埠,然後在分析工具上點擊捕捉 (capture),乙太網路集線器讓我們直接訪問到碰撞域(Collision Domain, 所有連接到集線器的設備都處於同一個碰撞域內,因此當其中一個設備發送資料時,其他設備必須等待碰撞結束才能進行傳輸)。然而,現在的交換機將這些域隔離到單個連接埠,只有直接連接到交換機的設備才能“看到”該埠的網路流量,如果我們插入交換機上相鄰的網路埠,我們只能捕捉廣播(broadcast)、多播 (multicast)、單播 (unicast) 和洪水流量 (flooded traffic, 交換機在轉發封包時無法確定封包的目標埠)。
網路工程師有兩種常見的方法來解決這種不可見性的問題:
第一種方法是使用SPAN port,這種方法將一個或多個交換機(Switch)的流量複製到一個連接捕捉工具的連接埠,這樣一來封包捕捉工具就可以直接存取和分析來自目標設備或伺服器的封包資料;SPAN埠是被動的,可以在不中斷服務的情況下進行配置,這使它們成為在高可用性環境中快速捕捉封包的理想選擇,這種方法讓網路工程師能夠檢查和研究目標設備或伺服器的網路流量,以進行故障排除、性能優化或安全監控等工作,透過存取目標設備或伺服器的封包,工程師可以更準確地了解問題所在,並針對性地進行調整和改進。
第二種在交換環境中進行封包捕捉的方法是使用網路分流器(network tap),這是一種物理插入到網路路徑上的設備,通常安裝在重要位置,例如交換器上行埠、防火牆之前或之後、或核心資料中心位置,EtherScope nXG,它不僅僅是一個封包捕捉工具,還是一個功能強大的網路探索工具,透過使用名稱發現 (幫助識別網路中的設備並收集其名稱和位址訊息)、SNMP查詢、和Wi-Fi分析,因此 EtherScope nXG 能夠收集網路上設備的名稱和位址等相關資訊。
要在網路路徑上安裝分流器,首先必須將線纜拔掉,然後透過分流器重新連接,這將在網路路徑上造成短暫的服務中斷;當分流器規劃進網路設計中、或在服務窗口期間安裝時 (service window, 在維護、更新或進行重要操作時,計劃好的特定時間段,以最小化對系統或服務的影響而進行工作的時間窗口),它們是進行封包捕捉的最佳方式,提供了沿著網路路徑最準確的封包存取方法。
為了透過封包捕捉來解決網路問題,我們首先需要進入封包路徑,無論使用SPAN埠還是分流器,NetAlly工具可以幫助在正確的位置、正確的時間收集正確的封包,從而確保封包不會說謊;EtherScope nXG可以以線速捕捉並記錄高達10Gbps的網路流量,捕捉100%的網路流量。
總結
封包捕捉可以提供寶貴的網路可見性和故障排除的資料,但首先需要正確地放置捕捉設備在網路路徑中;傳統的封包捕捉方法在交換機環境中可能變得困難,因為交換機將網路流量隔離到單一接口,只有直接連接到交換機的設備才能看到該埠的網路流量。
因此有兩種常見的解決方案:使用SPAN埠和使用網路分流器;SPAN埠可以將特定交換機埠的流量複製到連接捕捉工具的連接埠;而網路分流器則是在網路路徑中插入的物理設備,可以捕捉特定位置的網路流量。EtherScope nXG 可以幫助識別網路中的設備並收集其名稱和位址訊息,進一步增強網路可見性和管理效率,NetAlly工具都能幫助您在正確的位置、正確的時間收集正確的封包,確保封包不會說謊。