微突發(fā)流量檢測與分析：IOTA讓網(wǎng)絡監(jiān)控更精準

網(wǎng)絡流量中的微突發(fā)問題常常難以察覺，但它們可能對網(wǎng)絡性能產(chǎn)生顯著影響。這篇文章深入探討了如何利用IOTA來捕捉和分析微突發(fā)，幫助您快速有效地解決網(wǎng)絡中的突發(fā)流量問題。

什么是微突發(fā)（Microburst）流量？

微突發(fā)是指接口在極短時間（毫秒級別）內(nèi)收到大量突發(fā)流量，以至于瞬時速率達到平均速率的數(shù)十倍、數(shù)百倍，甚至超過接口帶寬的現(xiàn)象。網(wǎng)絡流量通常使用鏈路的平均利用率來衡量，即5分鐘的輸入或輸出率，單位為Mbps或Gbps。5分鐘平均值，甚至1秒鐘平均值通常都很平滑，顯示了網(wǎng)絡的穩(wěn)定狀態(tài)。如果以更細的粒度（如每毫秒）查看網(wǎng)絡中的實際流量，則會發(fā)現(xiàn)突發(fā)流量要大得多。這些突發(fā)非常細微，以至于標準監(jiān)控工具經(jīng)常會忽略它們。微突發(fā)就是網(wǎng)絡流量中的這些短時間峰值。

問題描述

網(wǎng)絡中的短期過載（即所謂的Microburst）會影響應用程序的服務質(zhì)量。傳統(tǒng)方法（如交換機和路由器上的接口統(tǒng)計數(shù)據(jù)以及SNMP數(shù)據(jù)）很難或根本無法檢測到這種情況。這是因為這些方法通常只能評估較長的時間間隔。因此，微突發(fā)分析給IT經(jīng)理的故障排除工作帶來了真正的挑戰(zhàn)。

入門

下面的示例逐步概述了如何使用IOTA進行微突發(fā)分析。

第一步，我們需要配置物理接口。為此，我們導航到左側(cè)菜單樹中的捕獲菜單，然后導航到接口配置部分。在所示配置中，接口配置為10/100/1000 Mbit/s自動協(xié)商的內(nèi)聯(lián)模式，這意味著物理接口可以直接從內(nèi)聯(lián)鏈路看到并捕獲要分析的流量。如果要將IOTA設(shè)置為帶外捕獲，以接收來自TAP或SPAN端口的流量，則必須取消勾選內(nèi)聯(lián)模式框，并單擊保存按鈕。

圖1?物理接口的配置。在本例中，10/100/1000 Mbit/s自動協(xié)商為內(nèi)聯(lián)模式。

IOTA的放置

為進行微突發(fā)錯誤模式分析，應通過IOTA的集成端口或使用TAP內(nèi)聯(lián)部署IOTA。

為了獲得真實的場景，IOTA應盡可能靠近發(fā)生錯誤的地點。但是，如果大量客戶出現(xiàn)瓶頸，首先必須確定他們使用哪些組件和接口進行通信，以確定適當?shù)狞c。這通常是向提供商的廣域網(wǎng)過渡。

圖2 IOTA的位置，用于數(shù)據(jù)包平均和隨后的微突發(fā)分析。

開始捕獲

放置好IOTA并準備好物理接口后，我們連接到適當?shù)碾娎|，然后導航到捕獲控制部分并單擊屏幕底部的開始捕獲按鈕，開始捕獲過程。

圖3?使用“捕獲控制”部分的“開始捕獲”按鈕開始捕獲。

微突發(fā)分析

當用戶報告性能問題時，我們首先會詢問發(fā)生的時間。這通常只是一個非常粗略的時間：例如2023年5月20日，18:50至19:00。在后續(xù)工作中，我們首先將時間間隔限制在這個范圍內(nèi)。為此，我們使用時間范圍的相對或絕對規(guī)格，或“向下鉆取”。然后，我們使用導航菜單切換到Microburst儀表板。

圖4?使用屏幕右上角的導航菜單切換到Microburst儀表板。

在該儀表板上，可以對負載范圍進行下鉆，以縮小時間范圍。

如圖5所示，微突發(fā)儀表板根據(jù)很短的時間間隔顯示微突發(fā)。IOTA會自動選擇適當?shù)慕涌?，并在右下方窗格中顯示以Mb/s為單位的最大入站和出站微突發(fā)，以及上方時間間隔內(nèi)傳輸?shù)淖止?jié)數(shù)和數(shù)據(jù)包數(shù)。在圖表中，傳出流量顯示為紅色，傳入流量顯示為藍色。

向下鉆取到相應的時間范圍后，我們可以看到以200毫秒為時間間隔的微突發(fā)發(fā)顯示。我們檢測到1 Gbit/s連接的利用率為998 Mbit/s，相當于滿負荷。這一瓶頸導致了性能問題。

圖5?以200毫秒的時間間隔鉆取后的Microburst儀表板。

不過，我們?nèi)匀恍枰治鍪悄膫€網(wǎng)絡流“拖慢”了應用程序。為此，我們需要通過導航菜單切換到應用程序概覽儀表板。

圖6?應用程序概覽儀表板，其中指出了造成被檢查微突發(fā)的根本原因。

在應用程序概覽儀表板上，我們可以看到IOTA識別的應用程序。IOTA使用深度數(shù)據(jù)包檢測來識別使用過的應用程序。如圖6所示，Google共享服務的流量導致了微突發(fā)。因此，我們回到問題開始的客戶端，查看此刻使用了哪些Google服務。我們看到，此時正在運行備份到Google Drive的服務，占用了整個鏈接容量。

如果應用程序概覽儀表板無法識別應用程序，IOTA可以選擇在Microburst儀表板中導出相應的時間段。我們可以回到該儀表板，單擊導航菜單左側(cè)的下載按鈕，這樣就可以在需要時使用Wireshark等其他工具分析PCAP。

圖7?從Microburst面板直接下載相應時間間隔的數(shù)據(jù)。

在Microburst面板的底部，我們還可以看到相應的PCAP文件，其中包含時間范圍、持續(xù)時間和文件大小。我們可以復制這些文件名來下載我們需要的文件。

圖8?微突發(fā)選定時間間隔內(nèi)記錄的PCAPNG文件列表。

在此基礎(chǔ)上，我們導航到捕獲文件頁面，如圖9所示。

圖9?導航至“捕獲的文件”頁面。

在PCAPNG文件列表中，我們選擇之前記下的文件名，然后點擊下載按鈕。

圖10?選擇和下載PCAPNG文件

IOTA的優(yōu)勢

由于測量時間間隔較短，IOTA可以檢測活動網(wǎng)絡組件上的普通接口工作負載無法捕獲的臨時瓶頸。此外，它還能通過應用識別對這些數(shù)據(jù)進行相應分析，或?qū)⑵涮峁┙o進一步分析。因此，IOTA為我們分析瓶頸提供了更多可見性。

審核編輯 黃宇