微突发流量检测与分析：IOTA让网络监控更精准-电子发烧友网

网络流量中的微突发问题常常难以察觉，但它们可能对网络性能产生显著影响。这篇文章深入探讨了如何利用IOTA来捕捉和分析微突发，帮助您快速有效地解决网络中的突发流量问题。

什么是微突发（Microburst）流量？

微突发是指接口在极短时间（毫秒级别）内收到大量突发流量，以至于瞬时速率达到平均速率的数十倍、数百倍，甚至超过接口带宽的现象。网络流量通常使用链路的平均利用率来衡量，即5分钟的输入或输出率，单位为Mbps或Gbps。5分钟平均值，甚至1秒钟平均值通常都很平滑，显示了网络的稳定状态。如果以更细的粒度（如每毫秒）查看网络中的实际流量，则会发现突发流量要大得多。这些突发非常细微，以至于标准监控工具经常会忽略它们。微突发就是网络流量中的这些短时间峰值。

问题描述

网络中的短期过载（即所谓的Microburst）会影响应用程序的服务质量。传统方法（如交换机和路由器上的接口统计数据以及SNMP数据）很难或根本无法检测到这种情况。这是因为这些方法通常只能评估较长的时间间隔。因此，微突发分析给IT经理的故障排除工作带来了真正的挑战。

入门

下面的示例逐步概述了如何使用IOTA进行微突发分析。

第一步，我们需要配置物理接口。为此，我们导航到左侧菜单树中的捕获菜单，然后导航到接口配置部分。在所示配置中，接口配置为10/100/1000 Mbit/s自动协商的内联模式，这意味着物理接口可以直接从内联链路看到并捕获要分析的流量。如果要将IOTA设置为带外捕获，以接收来自TAP或SPAN端口的流量，则必须取消勾选内联模式框，并单击保存按钮。

图1 物理接口的配置。在本例中，10/100/1000 Mbit/s自动协商为内联模式。

IOTA的放置

为进行微突发错误模式分析，应通过IOTA的集成端口或使用TAP内联部署IOTA。

为了获得真实的场景，IOTA应尽可能靠近发生错误的地点。但是，如果大量客户出现瓶颈，首先必须确定他们使用哪些组件和接口进行通信，以确定适当的点。这通常是向提供商的广域网过渡。

图2 IOTA的位置，用于数据包平均和随后的微突发分析。

开始捕获

放置好IOTA并准备好物理接口后，我们连接到适当的电缆，然后导航到捕获控制部分并单击屏幕底部的开始捕获按钮，开始捕获过程。

图3 使用“捕获控制”部分的“开始捕获”按钮开始捕获。

微突发分析

当用户报告性能问题时，我们首先会询问发生的时间。这通常只是一个非常粗略的时间：例如2023年5月20日，18:50至19:00。在后续工作中，我们首先将时间间隔限制在这个范围内。为此，我们使用时间范围的相对或绝对规格，或“向下钻取”。然后，我们使用导航菜单切换到Microburst仪表板。

图4 使用屏幕右上角的导航菜单切换到Microburst仪表板。

在该仪表板上，可以对负载范围进行下钻，以缩小时间范围。

如图5所示，微突发仪表板根据很短的时间间隔显示微突发。IOTA会自动选择适当的接口，并在右下方窗格中显示以Mb/s为单位的最大入站和出站微突发，以及上方时间间隔内传输的字节数和数据包数。在图表中，传出流量显示为红色，传入流量显示为蓝色。

向下钻取到相应的时间范围后，我们可以看到以200毫秒为时间间隔的微突发发显示。我们检测到1 Gbit/s连接的利用率为998 Mbit/s，相当于满负荷。这一瓶颈导致了性能问题。

图5 以200毫秒的时间间隔钻取后的Microburst仪表板。

不过，我们仍然需要分析是哪个网络流“拖慢”了应用程序。为此，我们需要通过导航菜单切换到应用程序概览仪表板。

图6 应用程序概览仪表板，其中指出了造成被检查微突发的根本原因。

在应用程序概览仪表板上，我们可以看到IOTA识别的应用程序。IOTA使用深度数据包检测来识别使用过的应用程序。如图6所示，Google共享服务的流量导致了微突发。因此，我们回到问题开始的客户端，查看此刻使用了哪些Google服务。我们看到，此时正在运行备份到Google Drive的服务，占用了整个链接容量。

如果应用程序概览仪表板无法识别应用程序，IOTA可以选择在Microburst仪表板中导出相应的时间段。我们可以回到该仪表板，单击导航菜单左侧的下载按钮，这样就可以在需要时使用Wireshark等其他工具分析PCAP。

图7 从Microburst面板直接下载相应时间间隔的数据。