巧用工具判断网络延时

童 桦

（武汉船用电力推进装置研究所，湖北 武汉 430064）

引言

随着应用的增长以及IT技术的飞速发展，网络设备、安全设备、应用系统数量不断激增，网络工程师除了要完成诸如将设备添加至网络的简单任务外，更多的时候还需要去即时处理和解决一些复杂的网络问题，保证网络正常快速的运行。这样，管理员如果利用一些网络工具可以快速地获取想要的信息，准确定位影响网络的原因，将大大提升网络管理员的工作效率。

一、工具介绍

在本文的案例中，网络管理员用到了Wireshark和Httpwatch。

Wireshark是一个网络封包分析软件，可以截取网络封包，并尽可能显示出最为详细的网络封包资料。启动Wireshark后，操作系统会将经过网卡的所有数据包都复制一份并提供给它。这样不管数据包来自哪里，还是去往何处，经过这个网卡的数据包都会被Wireshark所获取了，这也意味着网络管理员就可以通过Wireshark查看所有进出本机的数据包。网络管理员可用它来分析网络底层协议、寻找网络安全问题、网络流量检测等，通过分析Wireshark截取的数据包能够帮助网络管理员对网络行为有更清楚的了解。例如:我们使用浏览器访问了HTTP服务器,这个过程一共只用了几秒(甚至更短),在这个过程中都发生了什么呢,我们对此一无所知。但是,我们可以在Wireshark的帮助下来解读浏览访问所经历的一切。Wireshark将捕获到的二进制数据转换为我们容易理解的形式，同时也会将捕获到的数据包按照顺序进行组装。Wireshark将会对捕获到的数据包进行分析。这些分析包括识别数据包所使用的协议类型、源地址、目的地址、源端口和目的端口等。Wireshark有时也会根据自带的协议解析器来深入地分析数据包的内容。当你需要对网络进行研究时，Wireshark绝对是一个最为理想的帮手。以前的很多网络分析工具都采用了先捕获网络中的数据，等到捕获停止的时候，再显示出这些数据的工作方式。这样使用者是无法实时地观察网络中的运行情况的。而Wireshark采用了实时地工作方式，它可以立刻将捕获到的数据显示出来，以便我们对网络进行实时的监控，及时掌握整个网络的运行状况。

Wireshark是开源项目，所有爱好者都可以参与Wireshark的开发。只有你有需求，就可以自己编写代码来实现，Wireshark有极为友好的扩展功能开发环境，是一个可以生产各种“武器”的“兵工厂”，得到了几乎所有网络行业人员的喜爱。

HttpWatch是一款强大的网页抓包数据分析工具，用于录制HTTP请求信息的工具，由Simtec Limited公司开发，HttpWatch只支持IE和Firefox，也就是说只有当你用IE或Firefox访问网页时，它才会进行录制，不像Sniあer和Omnipeek那样监控所有数据，但对于网站分析来说，已经是不可多得的利器了。它会自动对网站与浏览器之间的需求/回复的通讯情况进行分析，它不用代理服务器或一些复杂的网络监控工具，就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓存和IE之间的交换信息，集成在Internet Explorer工具栏，包括：网页摘要、Cookies管理、缓存管理、消息头发送/接收、字符查询、POST数据和目录管理功能。Httpwatch是一款能够收集并显示页面深层信息的软件[1]。

HttpWatch的安装很简单，没什么说的，来看看它的组成，HttpWatch有两部分组成：

1.一个是嵌入到IE或Firefox中用于收集、查看、保存HTTP信息的插件；

2.一个是独立运行的日志查看器，叫做HttpWatch Studio。

二、案例分析

在我们的生活和工作中，网络未必总是可以正常地完成任务。如果你是一位从事网络方面工作的工程师，那么应该经常会听到别人向你抱怨“为什么我又上不去网了？”“为什么我又打不开这个网页了？”“怎么今天网速这么慢？”这些让人头疼的故障。

笔者单位数据中心防火墙上线，在完成相应的安全策略配置工作后，进行业务测试。发现OA系统访问速度变慢，且部分业务模块无法正常加载。管理员第一时间开始检查防火墙状态，并采用debug观察业务访问数据包。发现防火墙运行状态正常，CPU、内存利用率均在正常范围内，业务数据包并未发现异常。同时，防火墙上没有开启IPS、AV等功能模块，没有出现误判等情况。为排除网络设备的硬件问题，又对防火墙、网络设备进行了硬件测试。测试流程如下。

第一，实际应用中防火墙和交换机互联采用的交叉链路方式，临时改为口字型互联，保证单链路传输数据。

第二，进行防火墙HA切换，将数据流量从主防火墙切换到备份防火墙上。

经过上述测试，我们发现网络连通性正常，但是访问OA业务的延时现象并未改善。通过该测试，我们排除了防火墙硬件问题导致OA业务延时。

既然排除了硬件故障，那么结合网络拓扑图（图1），分析整个OA业务的处理流程。

图1 网络拓扑图

网络拓扑如图1所示，路由配置在交换机1上，OA系统服务器IP地址为xxx.12.150.166，数据库服务器IP地址为xxx.12.151.26，两台服务器分属于不同的网段。用户（如：xxx.12.105.4）办理OA业务时，OA系统需要与数据库产生交互。所以OA系统与数据库的交互过程为：OA服务器（xxx.12.150.166）→交换机2→防火墙→交换机1→防火墙→交换机2→数据库服务器（xxx.12.151.26）→交换机2→防火墙→交换机1→防火墙→交换机2→OA服务器。观察这一过程可以发现，一次完整的访问需要经过4次防火墙。于是，怀疑问题可能出现在OA服务器与数据库服务器之间的通讯上。为了验证此怀疑，通过梳理业务处理流程，结合网络拓扑图，采用Wireshark进行网络分析，对业务互访的数据报文进行了详细的比对：当客户端上应用程序产生的请求发送出去后，经过路径到达服务器之后，服务器会给出回应。这两个数据包之间的时间就是数据包传送的时间加上服务器上应用程序的响应时间。

从wireshark抓包信息可以看到以下信息。

图2为wireshark抓包软件中的记录的信息，由图2可见从客户端（xxx.12.105.4）发起请求（第1个框）与对应的响应（第2个框），中间耗时22.47-15.09=7.38秒。此外，从wireshark抓包的记录中可以发现，发起请求的数据报文为No.43308，而响应的报文是从No.117257开始的，到No.117260结束。我们考虑到进行抓包测试的时间为中午，而且发布过断网调试的公告，所以这个期间其他的业务流量相对很少。在网络相对空闲的时段，从请求到响应之间，出现了117257-43308=73949个报文。

图2 Wireshark抓包信息

图3为同一次请求中，截取的数据包情况。分析可见从发起请求到对应的响应之间存在大量OA与数据库的request和response互动过程。此时可以发现，浏览器的一次请求，OA需要与数据库做大量的查询，有时查询返回数据较大，会进行网络分片。这些数据包在经过防火墙存在一定转发延时。

图3 Wireshark截取数据包信息

防火墙设备，在数据包通过的时候，需要进行相应的处理、转发，在这个过程中存在延时，是无法避免的。我们为了验证这种延时的存在，进行了以下测试实验：

1.搭建测试环境，部署类似的网络架构：核心交换机—防火墙—服务器接入交换机，串联组网，部署php+mysql模拟应用模型。

2.浏览器发起访问请求，应用去数据库进行查询。对比通过防火墙和不通过防火墙，浏览器wait时间，用Httpwatch对通讯情况进行分析。

Httpwatch 菜单区表示的含义如下：

Started: 表示开始记录请求一个URL时间

Time: 表示记录请求耗费的时间

Sent: 表示客户端向服务器端发送请求字节大小

Reveived:表示客户端收到服务端发送请求字节大小

Method: 表示请求URL方式

Result: 表示服务器返回到客户端结果

我们的实验网络虽然简化了很多，但是运行原理和真实网络是完全一样的。刚刚，我们使用客户端的浏览器访问了服务器，这个过程很短，但是这个过程发生了什么呢。我们对此一无所知，那么现在，我们就在Httpwatch的帮助下来解读刚刚所经历的一切。在本次实验中，相关结果及记录如图4所示：

图4 Httpwatch截图信息

第1个框：不通过防火墙设备，浏览器发起请求，应用去数据库查询1000次，整个过程用时8.912秒。

第2个框：通过防火墙设备，浏览器发起请求，应用去数据库查询1000次，整个过程用时9.610秒。分析对比，通过防火墙后，用时增加9.610-8.912=0.698秒。

第3个框：不通过防火墙设备，浏览器发起请求，应用去数据库查询3000次，整个过程用时26.498秒。

第4个框：通过防火墙设备，浏览器发起请求，应用去数据库查询3000次，整个过程用时28.447秒。分析对比，通过防火墙后，用时增加28.447-26.498=1.949秒。

由此可见，数据包多次经过防火墙确实会导致网络延时：数据包在经过防火墙之后，业务之间互访的用时会增加，而且随着数据包的增加，用时的增量也会增加。由于前期路由规划的不合理，造成用户办理OA业务时，数据包多次经过防火墙，从而导致业务用时增加。管理员经过分析，认为OA系统服务器和数据库服务器属于同一安全域，有相同的安全保护需求，并具有相同的安全访问控制和边界控制策略。为了减少OA系统到数据库的访问用时，将VLAN150和VLAN151的路由调整至交换机2。路由调整后，应用系统到数据库的访问不需要经过防火墙，访问过程简化为：OA系统（xxx.12.150.166）→交换机2→数据库（xxx.12.151.26）→交换机2→OA系统，这样大大降低了延时。路由调整后，再次尝试办理OA业务，发现OA业务用时正常，与防火墙部署前一致。

结语

我们在生活和工作中经常会遇到应用程序可以使用，但是速度却变得十分缓慢的情况。对于大多数人来说，这是一个非常棘手的问题，因为在这个过程中有很多设备参与其中，情况错综复杂。这时，网络工具就体现出优势了，网络工具可以给管理员的运维工作带来极大便利，让管理员的工作达到事半功倍的效果。管理员合理利用网络工具，从微观层面分析网络，对发生的问题可以迅速定位和修复，提高了网络管理员的劳动效率和工作质量，保证了信息系统的正常运行。