Network Performance Monitoring (NPM) and Diagnostics | Application Performance Monitoring (APM) | Application-Aware Network Performance Monitoring (AA NPM) | Network Fault Management | Information Security | Network Security

Как правильно подключиться к сети для захвата трафика? Часть 1. Захват трафика на стороне клиента или сервера

Захват трафика на стороне клиента или сервера

При возникновении проблем с пользователем или сервисами, которые он использует, все эксперты рекомендуют начинать поиск и устранение проблем на стороне клиента, если обращения не носят массовый характер. Устанавливаем анализатор протоколов локально или удаленно на рабочую станцию пользователя, и мы готовы удаленно захватывать трафик и начать процесс диагностики.

Преимущества при захвате трафика:

  • на клиенте или сервере – очень простой процесс, который требует только установки анализатора протоколов, чаще удаленно;

  • на клиенте или сервере – при корректном запуске анализатор не оказывает влияния на какие-либо сервисы или процессы на рабочей станции клиента;

  • на клиенте – есть возможность захвата беспроводного трафика;

  • на клиенте – возможность захвата VPN трафика внутри туннеля;

  • на сервере – возможность видеть сессии других клиентов и оценивать их влияние на производительность сервиса и сервера в целом;

  • на сервере – возможность видеть трафик между блейдами или виртуальными машинами на физическом сервере.

Принимаем во внимание при захвате трафика:

  • на клиенте или сервере – при захвате трафика можно видеть пакеты большой длины. Почему это происходит? Когда операционной системе необходимо передать большой объем данных по сети, то сначала происходит разделение всего объема на сегменты. Обычно сегментация осуществляется на уровне TCP и сетевому интерфейсу передаются уже сегментированные данные, этот процесс называется TCP segmentation offload (TSO). Например, нам необходимо передать пакет в 128КБ, который по умолчанию будет разделен на 92 сегмента по 1448 байтов, которые и будут переданы через сетевой интерфейс по сети. Таким образом, происходит уменьшение использования ресурсов CPU для сегментации пакетов.

  • на клиенте или сервере – если мы используем бесплатный анализатор протоколов Wireshark, то лучше не пользоваться программами wireshark.exe или tshark.exe, а запустить его в фоновом режиме с помощью команды DUMPCAP.EXE. В таком случае мы сможем захватывать трафик бесконечно долго. Это будет полезно, если мы отлавливаем проблему, которая носит не постоянный характер. Плюс при таком запуске процесса он не будет доставлять дополнительных проблем пользователю и практически не использует ресурсы рабочей станции.

  • на клиенте или сервере – для сохранения данных не используем системные диски, чтобы не влиять на производительность компьютера клиента. Лучше использовать внешние USB диски.

  • на сервере – объемы трафика существенно больше, поэтому USB диск должен быть правильного размера. При захвате трафика на скорости 1 Гбит/с и загрузке интерфейса всего на 50% скорость записи составит 450 Мбайт в час. Таким образом, для хранения трафика за последний час понадобится около 500 Мбайт.

  • на сервере – следует принимать во внимание возможное объединение сетевых карт с целью повышения отказоустойчивости на уровне сетевого адаптера и, соответственно, сетевого трафика. Выход из строя сетевого адаптера группы не приводит к потере сетевого соединения, сервер переключает сетевой трафик на работоспособные адаптеры группы. Также объединение сетевых карт позволяет осуществить агрегирование полосы пропускания адаптеров, входящих в группу. При выполнении сетевых операций, например, копирования файлов из общих папок, система потенциально может задействовать все адаптеры группы, повышая производительность.

См. также:

 

Комментарии
Тут пока ничего нет, но Вы можете быть первым!
Авторизуйтесь для этого
Заказать звонок

- Email
- Confirm
Имя *
Телефон *
Комментарий
Согласие на отправку персональных данных *

* - Обязательное для заполнения