校园网流量监控，发现潜在问题！

应用背景

学校已经建成了覆盖全校的网络系统，包括有线/无线网络、数据中心网络、出口网络、安全系统等，服务于全校师生的网络接入、校园各类应用系统、公众教育、在线课堂等需求。 学校的信息中心是校园网络的核心，信息中心的故障很可能影响校园的教学活动和其他工作。

信息中心的管理员一直在寻找能够保障网络平稳运行的工具，在试用阶段，选择了一台性能适中的设备。 虽然这台设备对于整个校园的网络而言略显不足，但也能够处理10Gbps以上的流量。 设备即插即用，无需配置，很快就部署在网络中开始分析镜像的流量。

AnaTraf分析仪的WEB GUI提供丰富的图表，时序图展现一段时间的变化趋势，表格展示网络各项关键的指标。 导航栏按照OSI七层模型设计，可以轻松找到各个分析模块，每个分析模块都提供针对性的、详细的分析。 在使用的不久后，AnaTraf分析仪就展现其价值，发现网络中存在的问题。

异常的流量峰值

没有什么能比时序图上突然出现的峰值更直观的说明网络中突发的异常流量，虽然突发的流量峰值不一定会导致网络故障，但也值得分析，如果确实存在问题，就能避免网络故障的发生，在问题出现之前解决问题。 当需要对异常的流量进行分析时，在时序图上通过鼠标简单地选取，就能聚焦特定的时间范围，随后可以通过OSI 7层分析模块中的任意模块开始深入分析，由IP作为切入点，随后分析流量成分、IP对、连接是常见的思路。

在分析工具运行不久后，就识别出校园网的一段异常流量。 分析仪发现了一段10Mbps的DHCP流量，10Mbps的流量对于校园网络而言并不特殊，也不一定会造成问题，但10Mbps对于DHCP流量而言是比较罕见的，因此在DHCP流量的时序图上表现为一个明显的峰值。 发现异常后，管理员很快就对异常流量的来源设备进行检查。

异常不一定是网络原因

• 连接异常

  TCP 客户端 RST、服务器 RST、TCP 握手

• 主机性能

  客户端 Zero Window、服务器 Zero Window

• 网络性能

  客户 / 服务网络时延、TCP 响应时延、TCP 重传、丢包、乱序

• 应用异常

  应用时延、HTTP 响应代码

AnaTraf流量分析仪许多分析模块都提供响应时间的分析，这提供了对服务或者其他网络问题的精确信息。 比如TCP统计数据提供过去一段时间握手时延、响应时延等信息，当观测到一个较大的时延值时，很可能说明网络中存在一些问题，例如操作系统或应用程序数据处理过程中出现问题。

除了握手时延和响应时延值外，TCP统计还提供了许多关于网络质量的指标，这些都有助于缩小网络故障的范围，加快排除速度。

一个例子是TCP零窗口统计，当出现TCP零窗口时，表示网络正常工作但是主机的性能不足，处理速度受限。 客户端发送大量数据，服务器接收并确认收到数据，但上层应用程序无法处理此数据，随后服务器报告 TCP 零窗口。 AnaTraf流量分析仪能够识别这种情况，表明这不是网络的问题，而是终端设备性能受限。