工作错误分析报告

开篇：润墨网以专业的文秘视角，为您筛选了八篇工作错误分析报告范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

工作错误分析报告范文第1篇

关键词：OmniPeek；协议分析；端口镜像；校园网

中图分类号：TP393文献标识码：A文章编号：1009-3044(2009)04-0828-03

OmniPeek Network Protocol Analysis Based on Port Mirroring

WEI Ping1，2

(1.School of Information Technology Jiangnan University,Wuxi 214122,China;work Center of WXSTC, Wuxi 214028,China)

Abstract: Campus Network is a highly integrated system project. With an increasing complexity of the interaction among a variety of network devices, applications, and networking users, network management tends to be more important. OmniPeek network protocol software based on switch port mirroring, can capture and analyze network data, help network administrators monitor network status, remove network errors quickly and optimize network performance.

Key words: omniPeek; protocol analysis; port mirroring; campus network

1 引言

随着信息化在我国的不断深入和发展，校园网为高等教育事业注入了新的活力。Internet的接入扩大了校园网的应用范围，网络技术的高速发展带来了许多新技术应用，各类网络信息平台广泛应用于“产、学、研”。这些都成为衡量高等院校信息化水平的重要标志，信息化全面带动了我国高等教育事业的现代化。在校园网物理拓扑基础架构已经确立，各种网络设备、应用程序与联网用户的交互作用却日益复杂。在大型网络架构中，确保网络的快速响应和高效率运行，这是基本的网络故障检测和网络管理研究的范畴。

如何对校园网进行全方位有效的管理，及时掌握网络的运行状况并在网络发生故障后能及时分析、排查，已成为网络管理员的重要工作并日益受到重视。网络分析软件提供了复杂环境中维护、分析和管理网络的优秀工具。OmniPeek是美国WildPackets公司推出的一款功能强大的协议分析软件，与sniffer类似，它提供了优秀的网络实时管理和故障检测等功能。

2 网络协议分析在校园网管理中的重要性

校园网是一个高度集成的系统工程，由于各种不确定因素，网络管理员时刻面对着大量网络管理方面的问题，需要全面了解网络的运行状况，及时作出判断和决策。如：

1）当前网络中有多少计算机在访问Internet？每个校园网内部IP所占的数据流量有多大？

2）网络中运行着哪些应用协议？各种应用协议所产生的传输流量占多大的比例？

3）某个时段校园网与Internet的通信总量有多少？网络利用率如何，有没有传输性能上的瓶颈？能否优化网络性能？

4）通讯主机的源MAC地址、源IP地址、源端口是什么？目的MAC地址、目的IP地址、目的端口是什么?数据包解码后的具体内容是什么？能否实时显示每个IP的网络连接图？

5）有没有广播风暴和网络攻击行为？有没有中毒计算机在不断向网络发送攻击数据包？能否及时判断和排查等等？

上述都涉及到了校园网中比较复杂的、深层次管理方面的问题，在许多情况下可以利用网络协议分析软件来辅助判断和决策。

3 OmniPeek网络分析软件的特点

OmniPeek利用计算机网卡捕获交换机镜像端口数据，并实时统计分析出结果，能全面反映网络底层的运行状况。OmniPeek主要特点如下：

1）提供了针对整个网络系统（或者子网）的实时故障检测。

2）包括功能强大的、与现有网络很高相关性的分析工具，能识别大量主流的应用协议。

3）界面友好、清晰直观，与sniffer相比，操作和配置均比较简单。

4）基于数据包流的专家级和应用程序级分析，支持分布式错误分析与无线网络。

5）以OSI（开放系统互联）参考模型为基础，提供了从物理层到应用层的全七层实时解码、显示网络数据包。

6）自动生成各类分析报告及图表，为保护并优化网络性能提供决策依据。

4 OmniPeek网络分析平台的构建

建议采用Windows2000server以上操作系统作为OmniPeek的OS平台，为了确保网络抓包和协议分析的高效、稳定，通常采用高性能CPU处理器、大容量内存和千兆网卡的服务器平台。在小型局域网中（一般不超过20台计算机），可以采用百兆集线器（HUB）抓包。但在大型网络中，核心层采用HUB抓包会造成网络传输性能的严重瓶颈。所以通常采用高性能的千兆智能交换机，如思科的Catalyst系列全千兆三层交换机。利用思科的SPAN（Switched Port Analyzer）功能，把交换机的某1个或者多个源端口中全部接收和发送的数据流实时复制（镜像）到某1个目的端口上，其中目的端口连接OmniPeek的服务器网卡。

网络中心通常分析整个校园网与Internet出口处的网络通讯数据包，也可以针对某个VLAN、或某个汇聚层、接入层交换机分析数据包。以思科WS-C3750G-24T-S交换机为例，进行如下配置：其中交换机的Port1连接防火墙的lan口，Port2连接核心交换机Catalyst6509的千兆以太网模块，Port24作为Port1的镜像端口。即把校园网中全部通过防火墙的数据包复制到Port24,同时Port24连接OmniPeek的服务器网卡，以便抓包和分析统计。

思科WS-C3750G-24T-S交换机的SPAN端口镜像配置命令如下：

Switch>enable

Switch#config terminal

Switch(config)#no monitor session 1

Switch(config)#monitor session 1 source interface gigabitethernet1/0/1

Switch(config)#monitor seesion 1 destination interface gigabitethernet1/0/24

Switch(config)#end

Switch#copy running-config startup-config

Switch#exit

5 OmniPeek的具体应用与分析实例

启动OmniPeek软件后，点击“NewCapture”，设定抓包缓冲区“Bufferr Size”的大小，如“300 M”字节,如图1所示。当服务器存在多块网卡，必须在“Adapter”中选择当前用于抓包的网卡。点击“确定”后选中“Start Capture”，即开始一次新的抓包过程。在网络使用的高峰时间段，或者网络发生故障、性能不稳定、传输流量异常等情况时启用OmniPeek，就可以实时分析网络的运行状况。

1） 流量分析与交换机端口速率优化。

通常网络流量越大，对整个网络造成的影响就越严重。根据校园网内部每个IP的网络流量从大到小进行排序，发现某些IP流量较大，如图2所示。主要是实验室服务器、图书馆光盘镜像服务器、多媒体教室计算机等。服务器集中控制实验机房计算机的上网接入，OmniPeek能检测出其WAN口网卡的流量。光盘镜像服务器用于图书馆非书资源的上传和下载，而多媒体教室的计算机经常要用到视频课件点播服务，因此产生的流量都比较大。其它一些计算机流量大，是因为有的用户在滥用BT、迅雷、Emule等P2P工具进行大流量下载。因此在接入层交换机端口，根据不同的应用需求，灵活的设置不同端口速率，如服务器等设置端口速率上下行达到20M ,普通办公计算机设置端口速率上下行达到2M，以优化网络的整体传输速率。对于一些常用的工具软件、视频课件等，网络中心可以在校园网核心层设置一台内部FTP服务器，以 LAN方式供用户下载，从而大大减轻Internet出口路由器的传输压力。

2） 某个子网上网故障分析和排查。

某天上午，9网段用户报告网络故障，反映其整个网段不能接入校园网。启用OmniPeek协议分析后，根据IP通讯列表排序。发现整个192.168.9.0网段的计算机与Internet没有任何通讯流量，但其它网段用户均能正常访问Internet。可以初步排除核心交换机、防火墙和Internet出口路由器的故障。因此故障原因可以从核心交换机的9网段光纤模块起，到其汇聚和接入层交换机及综合布线处查找。经排查，发现9网段汇聚交换机端光纤模块松动，导致其整个子网数据传输链路中断。经重新插紧光纤模块后，数据链路接通，上网恢复正常。

3） 网络攻击分析和紧急处理。

某天下午，校园网用户普遍反映上网速度奇慢，Internet网页不能正常打开，网络传输性能急剧下降。启用OmniPeek协议分析后，根据IP通讯列表排序，发现核心层192.168.0.150这台主机不停的向网络发送大量UDP攻击数据包，上传流量特别大。再仔细检查这台计算机，发现系统日期被篡改，杀毒软件已被禁用，肯定是感染了某类恶意计算机病毒引起的网络攻击。为了恢复网络的正常工作，采取临时措施果断地拔下这台主机的网线，整个校园网立即恢复了畅通。后经重新安装操作系统，彻底查杀计算机病毒，修复全部补丁， 192.168.0.150主机恢复了正常工作。在大型校园网中，由于联网用户众多，网络中心可以架设一台网络杀毒服务器，集中部署客户端杀毒软件，对联网计算机进行病毒查杀和病毒库统一升级，以提高网络的整体安全性。

4） 网络协议应用状况查询。

在OmniPeek的分析结果中，点击“Protocols”，可以查看在某时段网络协议的应用分布情况，如图3所示。网络管理员可以及时掌握当前主要网络协议的占用比率，以及哪些IP在运行这些协议，比如HTTP传输协议所占的百分比。双击“HTTP”后，显示出这个时段哪些IP用户在通过HTTP浏览网页，并可了解每个IP的HTTP传输字节数与数据包数。点击 “BitTorrent”后，可以看到当前哪些IP在运行BT下载软件等。图3所示，在某个网络使用的高峰时段，UDP协议所占比例较大，达到72%左右，反映出当前基于UDP协议的网络应用程序利用率所占比例最大。

5） IP网络通讯连接图

在OmniPeek的分析结果中，点击“Peer Map”，可以清晰的看到每个IP之间的网络连接交通图。如IP为192 .168.0.198与218.90.175.169的两台主机建立了连接，而在网络协议中这个连接是基于HTTP协议的，说明内网中IP为192 .168.0.198的主机登录到IP为218.90.175.169的主机，利用HTTP协议浏览网页。通过IP网络通讯连接图还可以查看网络广播、组播等连接情况。

6） 网络统计结果汇总表

在OmniPeek的分析结果中，点击“Summary”，可以查看在某时段网络利用率的统计汇总表，如图4所示。包括开始分析的日期与时间、网络丢包数、总的传输数据包数、当前利用率bits/s、平均利用率等参数。还包括了Email、FTP、ICMP、VoIP分析与Internet攻击、WEB URLs等统计信息，为网络管理员分析校园网总出口处的运行状况提供了全面的统计数据。

7） 协议过滤与数据包分析

为了有针对性的分析某些网络协议，可以点击“Filters”,选择一个或多个协议进行分析。以FTP协议为例，筛选FTP（FTP data or control packets）后，开始一次抓包过程。这时OmniPeek对进出防火墙的的“FTP连接与传输”单独抓包并分析。点击“Packets”后查看列表，可以看到源IP为192.168.0.193的主机与目的IP为218.90.174.165的FTP服务器进行连接并下载数据，同时显示出这两台主机网卡的MAC地址，如图5所示。双击某记录后，能够详细的显示这个IP数据包的完整结构信息。在解码数据“summary”一栏中，显示出登录用户名为“test”,密码为“123456”。这说明了OmniPeek能够对数据包中隐含的深层次信息进行分析解码，同时反映了客户机利用FTP下载，登录用户名与密码以明文方式发送存在着一定的安全隐患。在一些网络安全级别较高的环境中，可以通过SSH等加密方式进行远程主机登录和连接，以提高安全性。

■

图5

以上是OmniPeek的基本应用与常见的实例分析，其它一些高级特性，如广域网分析、无线网络分析、“Expert”专家分析、Omni DNX分布式引擎应用等，可以随着网络架构的规模与大小、复杂程度等，作进一步深入研究与灵活应用。

6 结束语

网络协议分析在网络管理中的地位日益重要，并在广域网、企业网、校园网、高校宿舍网、宽带小区网等各类大中型网络中得到了广泛的应用。OmniPeek、sniffer 等协议分析软件的许多设计思想和功能特性被集成到“行为监管器”等网络安全设备中，用于网络日志的记录与监管。作为高职高专院校，可以把它列为一门重要的计算机网络实训课程，在修完“网络基础”、“TCP/IP协议原理”、“网络工程”和“交换机与路由器配置”课程后学习。对于学生理论联系实际、深刻理解网络协议的基本原理与应用，提高动手能力和网络管理水平，以及积累一定的实践经验都有很大的帮助。

参考文献：

[1] /products.