網管人員在工作中經常會遇到網絡風暴或者病毒引發的整個網絡癱瘓， 這時管理員通常會采用重啟交換機的方法來解決……

　　網管人員在工作中經常會遇到網絡風暴或者病毒引發的整個網絡癱瘓， 這時管理員通常會采用重啟交換機的方法來解決。 但是這樣的方式不能從根本上解決問題， 往往過一會整個網絡又陷入癱瘓， 管理員只能每個交換機挨個排查， 登陸到每個交換機去查看哪個端口的流量異常大。

　　這種故障處理方法工作量大， 效率低， 往往要花費很長時間才能找到源頭。

　　流量分析原理

　　其實面對這種難題， 我們網管人員完全可以通過某些工具對網絡中的流量進行分析來快速的定位和解決。

　　這里我們介紹一下Cisco公司的流量協議NetFlow， 其實業內的網絡設備廠商都有各自的流量協議， 例如華為的NetStream、Foundry等公司的sFlow等， 這些協議的工作原理都是與NetFolw類似的。

　　NetFlow最初是由思科公司開發的一種專有技術， 它被應用在思科的互聯網操作系統(IOS)中， 目前部署最多的版本是v5。 不過， v7和v9正在變得越來越普及。

　　NetFlow是路由器用來跟蹤每個開啟NetFlow功能接口上的所有進入會話的技術。 它根據7個關鍵標準分析數據包， 如果兩個包在所有7個判斷標準上都匹配的話， 就把它們歸類為相同的流量或會話。 一旦會話結束或被匯總， 就被傳送給采集器。 NetFlow將主機之間可能由成千上萬個數據包組成的會話(即傳輸流)匯集為一個NetFlowv5數據包中的一個條目(最多可包括30個會話)。 換句話說， 一個NetFlow包可以描述30臺主機之間的數萬個數據包。 如果NetFlow配置恰當并且硬件沒有過載的話， 這種技術可以以接近100%的準確性來描述誰經過設備進行通信， 并且對設備CPU的影響非常小。

　　不過， 大多數數據域在匯集的過程中丟失， 只有源與目的IP地址、協議、類型、QoS、自控系統和其他一些域被保存下來。 但其實這些信息對于反應整個網絡的異常情況已經足夠了。

　　故障解決方法

　　一般來說網絡的故障有幾種特征， 例如：

　　1、網絡傳送大量的數據包， 導致整個網絡癱瘓。 例如某個機器中毒后， 發送大量的廣播包， 也就是目的地址是廣播地址的數據包。 這時我們可以通過查看流量協議的數據包來找到這個廣播風暴的源頭。

　　2、網絡中的某臺機器中毒后發送ARP欺騙， 一般ARP欺騙都是進行網關欺騙， 導致網絡中的其余電腦都更新本地的ARP緩存， 這樣本來發往網關的數據都發送到了中毒的機器。

　　因此我們知道， 如果一個電腦進行ARP欺騙， 必然發送大量的ARP回應， 而不是ARP詢問， 我們只要查看流量的數據包， 就可以找到誰發送了大量的ARP回應， 就可以很快的找到中毒的這臺電腦。

　　摩卡網絡流量分析(Mocha Network Traffic Analyzer)

　　前面我們提到可以采用流量分析的工具來幫助管理員解決， 那么如何來選擇這種工具呢?

　　市場上類似的產品不少， 我們來看一下摩卡軟件新推出的網絡流量分析軟件Mocha NTA吧。

　　Mocha NTA支持所有主流的流量分析協議既包括NetFlow、sFlow也包括NetStream。

　　我們來看一下怎么通過Mocha NTA來找到網絡中的病毒發源點，

　　通過流量的TOP5排行， 可以很迅速的定位出目前流量最大的幾個IP地址， 一旦發現了與正常情況下不一致流量， 基本就可以定位出廣播風暴的來源了。

　　同樣也可以通過查看目前網絡中協議的一個排行情況， 而且協議的排行也同時顯示IP地址信息， 因此像類似ARP病毒的情況也可以很快的定位。

　　通過流量分析， 大大的簡化了網絡管理員的故障處理難度， 從此網絡管理變得輕松。