疑难网络故障的分析方法和原理之对比分析法

文章出处：http://www.vants.org/?post=49

    有一些故障，特别是业务应用的故障，客户端与服务器端在进行业务数据流交互时，中间会经过各种链路和中间设备。当客户端反馈业务应用存在故障，我们仅仅在某一个点（客户端、服务器端或者其他中间链路处）进行抓包，是无法真正反映故障真实面貌的，我们需要多点同步抓包，这样才能完成的反馈业务数据流在网络交互的全部过程。在这个完整交互的过程中，我们通过对比分析，可以发现故障发生的位置和原因。

对比分析法的定义

    对比分析发就是在中间设备的两端（数据包的进口、数据包转发口）同时抓包，并对进出口出所抓取到的数据包做相应的对比，从而发现中间设备对相应数据包的处理情况，包括更改、丢弃、转发以及经过中间设备后的延时等。

对比分析法的原理

    网络中间设备的主要功能是对数据包的转发，当一个目的地址不是中间设备的数据包进入一个中间设备时，它必然会被中间设备转发到其某一个出口。如下图所示：

中间设备数据包转发示意图

    当数据包进入中间设备入口后，经过中间设备的处理，其必然会被转发到中间设备的出口1或者出口2。

对比分析法的应用范围

1）分析设备转发延时

    设备转发延时是衡量设备处理性能的一个指标，也是测试网络延时时需要关注的一点，我们可以通过对比分析的方法计算出设备的转发延时，具体如下图所示：

设备转发延时计算示意图

2）分析设备是否丢包

    数据包可能在网络传输过程中由于各种难以预料的原因（如性能问题、不当的策略、设备本身处理的BUG等），可能会导致数据包被中间设备丢弃，那么，当出现这种情况时，我们可以通过对比分析法，定位出丢包的具体位置和设备。

通过对比分析法判断设备是否丢包示意图

3）分析中间设备对数据包的更改

    当一个数据包进入一个中间设备之后，中间设备可能对该数据包做相应的改动后，再将其向外转发出去，很多情况下，这种改动对网络数据交互是没有什么影响的，如路由对数据包的NAT处理，但是有的时候，某些更改就有可能给网络数据交互带来某些难以预料的后果，如果将数据包的TCP窗口改小、修改TCP的选项等。我们在分析的过程中，主要关注中间设备对数据包做了哪些改动以及这些更改可能给网络数据交互带来的后果，主要包括数据包源IP地址、目的IP地址、IP标识、源端口、目的端口、数据包窗口大小、TCP选项、数据包有效载荷大小等。

4）分析异常时与正常时的差异

    结合各种网络或业务系统的运行基线，我们通过将异常时的网络交互情况与正常时的网络交互基线参数数值进行分析比对，可以帮助我们快速发现业务异常以及可能的原因。