1、科来网络分析系统是一种优秀的网络分析产品,在任何有问题的地方采集网络数据包并进行实时的故障诊断,也可以通过回放由数据包组成的存档文件,实现对网络历史问题的回溯分析。1友好的用户界面。采用简洁、直观的界面把网络信息统计和诊断结果呈现给用户。2方便部署。它可以部署在内网中,也可以部署内网与外网之间的界面上,能够跨VLAN进行数据监测。3网络档案功能。在不同的网络位置进行实时抓包分析,可以为每个网络创建对应的网络档案。4灵活的分析方案。提供了多样化的网络分析解决方案,所有的分析方案均提供相同的视图呈现。5专家诊断功能。可实时诊断出网络中的故障,并自动告诉用户发生故障的原因和推荐的解决方案。6丰富的诊
2、断工具。装备了丰富的网络诊断工具,如过滤器、常规网络分析视图、ping工具等。1.部署(1)在共享式网络中部署共享式网络(2)在交换式网络中部署串接Hub串接Tab(3)对网络进行定点分析的部署定点分析一个网段(4)使用代理服务器使用代理服务器2.安装 安装科来网络分析系统选择安装组件产品激活向导输入序列号使用在线激活成功使用授权文件激活使用授权文件激活成功科来网络分析系统界面1.分析模式:(1)实时分析:对当前选定的网络适配器上捕获的数据包进行分析;(2)回放分析:对之前保存的数据包进行回溯分析。2.选择适配器开始分析任务之前,必须选择网络适配器。系统会自动获取主机上所有网卡的相关信息并列表
3、显示。网卡的显示内容为:网卡名称、IP地址、传输速度、总数据包个数等。3 3选择分析方案选择分析方案针对不同的网络业务应用问题,科来网络分析系统2010提供了多样化的分析方案。分析方案由若干分析设置组合而成,包括数据统计设置、分析模块设置、诊断设置、日志设置、警报设置、图表设置等。常规的分析方案(1)全面分析:对网络对象进行精细的分析。(2)高性能分析:针对大流量网络环境而提供的快速流量统计分析方案,以较高的性能分析网络中的主要对象。(3)安全分析:对网络系统进行安全评估和攻击检测,发现潜藏的安全隐患,并以多种方式报告给网络管理者。(4)DNS应用分析:主要分析DNS网络应用,诊断DNS网络应
4、用的故障、性能,并保存DNS日志记录。(5)HTTP应用分析:主要分析HTTP网络应用的数据流量、客户端和服务器的流量统计、诊断HTTP网络应用的故障,并分析其性能。(6)Email应用分析:主要统计SMTP和POP3协议的流量,并进行故障诊断。(7)FTP应用分析:主要统计FTP网络应用流量、日志记录,并进行故障诊断。主要内容:概要统计:提供了近百个统计计数器,快照功能允许用户对特定时段的数据变化进行比较。端点统计:以独立的视图分别展现物理地址和IP地址等通信信息。协议统计:用不同的色彩,按照网络协议封装顺序展现每个协议的统计信息。会话统计:根据物理地址、IP地址、TCP连接、UDP会话来统
5、计网络中的会话信息,并在子窗口中显示当前选定会话的数据包等信息。矩阵统计:可对网络中通信的节点和会话进行详细统计,可以通过不同的统计类型来查看矩阵视图,此外,还能自定义显示选项。图表统计:提供灵活的图表自定义功能,用户可以创建各种类型的图表,还支持采集和显示每个协议和网络端点的数据图表。报表统计:自动生成多种类型的报表,包括概要统计、诊断统计、TOP N统计等报表。统计分析是对网络进行实时监控和实时分析,并将统计结果自动展现在各个视图中。1.系统主菜单主要包含系统主菜单、功能区、节点浏览器、主视图区、警报浏览器和分析状态栏这6部分.捕捉部分:网络适配器是选择和确认捕获数据的网络适配器;过滤器是
6、启用过滤功能,显示符合条件的捕获数据包;开始和停止按钮用于控制数据捕获和分析的过程。网络档案设置部分:包括基本设置、网络分组和名字表等。分析方案设置部分包括:要分析的对象、数据包存储设置、日志设置、诊断设置等。数据存储部分:对数据包和日志文件的保存进行设置,这些功能要在开始分析任务之前配置完毕。仪表盘部分:显示当前网络的实际利用率和正在运行的分析工程的每秒数据包个数。流量趋势图实时显示当前网络流量趋势。数据包缓存部分直观地显示当前捕捉的数据包对缓存的占用情况;可以对数据包缓存进行导出、清空和锁定等操作。2.全局功能区(1)分析标签:主要用于分析工程中相关信息的设置和修改。(2)系统标签:包括资
7、源和产品两部分资源部分用于访问科来官方网站和CSNA网络分析社区;产品部分用于检查产品的授权号码和更新软件、查看当前软件版本等相关信息。(3)工具标签:包含系统自带的网络分析小工具:ping工具、数据包播放器、数据包生成器和MAC地址扫描器等。这些工具用于分析和检测特殊网络状况。(4)视图标签:显示/隐藏、物理地址显示格式和IP地址显示格式显示/隐藏部分用于选择是否显示或隐藏节点浏览器/警报浏览器以及在线资源窗口。物理地址显示格式部分用于设置物理地址显示格式:仅显示物理地址、仅显示物理名字、同时显示物理名字和地址,以及显示物理厂商。IPIP地址显示格式部分用于设置节点IP地址的显示方式,包括仅
8、显示IP地址、仅显示IP名字、IP名字和地址3个选项。3.节点浏览器节点浏览器工具栏能够快速选择需要查看的节点,查看该节点对应的网络数据。用户可以很方便地定位到整个网络,也可以定位到某个IP段,或某个IP地址。4.警报浏览器警报浏览器主要提供实时的全局警报,以醒目的方式提醒管理员当前发生的事件,并在主视图右下角最小化显示当前触发的警报数量。警报类型分为安全警报、性能警报和故障警报3类。5.状态栏状态栏最左侧是当前网络分析工程的基本情况和分析方案名称,通过它可以快速了解当前分析的方案。左边第二个按钮是选择适配器按钮,此处显示当前分析工程中使用的网络适配器,已经选用的网络适配器和可以选用的适配器均
9、显示。过滤按钮显示当前分析工程是否使用了过滤器,使用过滤器时,过滤器按钮为点亮状态,未启用时,过滤器按钮为灰色。持续时间部分显示当前工程中已经持续捕获和分析的时间。捕获状态显示在当前分析工程中捕获的数据包个数和过滤的数据包个数。6.系统选项(1)解码器选项显示系统支持的所有协议解码模块,可以选择和组合协议解码模块进行解码分析。(2)定制协议分析一个目标网络时,允许用户根据自己的需要定义未知协议。(3)定时分析添加定时分析任务,当达到指定时间时,系统自动开始捕捉数据并进行分析。通过过滤器,可以只捕获所需的特定数据包,把重要的数据分离出来。1.使用简单过滤器简单过滤器可以使用一些常用的条件对数据包
10、进行筛选和过滤,也可以设定数据包的传输方向。2 2使用高级过滤器使用高级过滤器高级过滤器增加了“数据包值”、数据包大小和数据包模式配置3个筛选条件,并提供了多种逻辑关系组合条件对数据包进行筛选。(1)使用数据包值进行过滤(2)使用数据包大小进行过滤(3)通过数据包内容进行过滤系统提供了“我的图表”功能,让统计分析数据的展现更为直观易读。系统提供的视图有折线图、柱状图、面积图、饼图等多种形式。除了系统提供的内建图表形式以外,系统还提供了自定义图表功能。单击图表视图工具栏中的“新建面板”按钮,可新建一个图表面板。针对网络中不同节点的性质,图表功能为不同的网络节点提供了多种数据类型的统计。建立图表之
11、后,如果需要更改图表类型,可以在图表显示区单击鼠标右键,在快捷菜单中选择适当的图表类型或者图例类型,以及刷新时间等选项。诊断视图主要提供专家诊断功能,系统将诊断的网络事件按OSI模型分层显示,实时报告网络中出现的错误和故障,并分析故障原因,准确定位故障点的位置,提供有关故障的专家建议。系统提供的诊断视图分隔成3个子窗口,包括诊断分层、诊断发生的地址以及详细的事件描述窗口。目前的产品支持4个层次的故障诊断:应用层、传输层、网络层和数据链路层。故障信息按类型分为故障、性能和安全3种。通过协议视图对各协议占用的网络流量进行统计。协议统计视图采用树状层级方式显示网络中使用的全部协议。系统提供详细的协议
12、参数统计,包括通信流量、数据包个数、每秒字节数、每秒比特数等多种参数。在端口视图中,对捕获的数据包进行详细分析,展示网络中的端口信息,列出了端口号、协议类型、数据包数量、字节数等多种参数,并在下方的窗口中显示与当前选定端口关联的TCP会话或者UDP会话。数据包视图主要用于查看数据包解码的相关内容。数据包解码由概要解码、字段解码、十六进制解码组成。数据包的概要信息(作用以及提取的重要值)。网络中数据包的类型。网络中传输的数据包是否正确。网络中IP数据包的版本。目标主机是否在运行客户端主机请求的服务。源主机到目标主机间的路由时间(即链路长度)。目标主机对客户端主机请求的服务的响应时间。网络中传输的
13、数据是否为紧急数据。数据包在网络中经过的路由跳数。网络中是否存在环路现象。用户访问目标主机某服务的原始步骤。是否存在伪造数据包,即不正常的数据通信。TCP数据流分析是根据TCP会话的特征和通信状态,详细分析TCP的传输性能。当网络发生传输性能下降或基于TCP的网络应用发生故障时,这个功能可以起到非常关键的诊断作用。TCP数据流分析包括TCP交易时序图和TCP交易统计图两种。1 1TCPTCP交易交易列表列表。以客户端或服务器的一次交易为一行显示,一次交易由一个或多个数据包组成。2 2交易时序交易时序图图。在交易列表中选择相应的交易时,时序图将以阴影部分显示此次交易的时序图。TCP交易统计详细统
14、计出一次TCP交易的通信数据,并以图形显示关键交易参数的时间比例,帮助用户快速分析网络传输性能及网络应用故障。科来网络分析工具提供了4个网络管理和分析的工具:ping工具、MAC地址扫描器、数据包播放器、数据包生成器。ping工具既可以对一个IP地址,或者一个域名进行ping操作,也可以同时对多个IP地址、多个域名进行ping操作。科来ping工具初始界面ping单个目标 ping多个目标ping参数设置对话框MAC地址扫描器是自动检测网络中IP与MAC地址对应关系的扫描工具。扫描视图包括IP地址、MAC地址、主机名、网卡厂商、比较结果6列选项。MAC地址扫描器设置MAC地址扫描并发数数据包播
15、放器是系统提供的数据包回放工具,它可以回放科来网络分析系统的数据包文件和原始数据包文件,以重现网络的通信情况。数据包生成器是一个强大的数据包生成工具,它可以对科来网络分析系统捕获的数据包进行编辑以及生成新的数据包文件。(1)添加和插入新数据包:可以在数据包列表窗口导入已捕获的数据包,也可以使用数据包生成器提供的模板生成新的数据包(目前提供了4种数据包模板:ARP、IP、TCP、UDP)。(2)编辑数据包:可以在字段解码窗口和十六进制解码窗口编辑数据包。(3)发送数据包:数据包生成器可以将编辑好的数据包文件通过指定的网卡发送到网络。“添加数据包”对话框发送选择的数据包发送数据包窗口 编辑数据包可
16、以利用科来网络分析系统检查网络故障原因,进而排除故障。1 1故障描述故障描述部门A和部门B之间通过光电转换器用光纤连接,部门B还连接着一台防火墙。在部门B进行网络测试时,在路由器上ping部门A的出口路由器,较大的包出现丢包现象,但较小的包能正常传送。公司网络拓扑结构2 2故障分析故障分析在部门B的光电转换器和路由器之间部署科来网络分析系统,通过端口镜像对流经的数据包进行捕获和分析。在路由器接口上进行ping测试,并捕获数据包。数据包捕获数据内容原因可能是:传送大数据包时,由于网络中“最大传输单元”的限制,对超大数据包会进行分片操作。而当每一个数据分片到达目标端时,又要对其进行重装配,如果有一
17、个数据分片丢失,重装配就会失败。3 3分析小结分析小结在本案例中,数据包经过的是一组光电转换设备,最有可能的是在经过光电转换时造成了数据包的丢失,从而导致最终数据包发送超时。当网络中出现异常数据包时,需要通过抓包来对异常数据包进行分析和查看,弄清楚是何种数据包,以及传输过程中对数据包做了哪些处理。通过对异常数据包的检查和分析,一般可以快速、准确地找到网络故障的原因,并将其排除。1 1故障描述故障描述某单位的局域网总会不定期地出现网络速度非常低下的问题,持续时间少则几秒,多则几十秒甚至数分钟。经过对实际情况的调查并排查了有问题的主机之后,网速低下的问题依然存在。某单位的网络拓扑结构2 2故障分析
18、故障分析为了能够对网络中的故障进行准确的定位,管理员在核心交换机上利用端口镜像功能,将ISP1和ISP2端口的进出流量镜像到一个空闲端口上,并连接科来网络分析系统,对流经核心交换机的所有数据包进行捕获。短时间数据包捕获统计3 3故障故障重现重现长时间数据包捕获统计数据包视图4 4故障分析故障分析通过以上的数据包捕获可以发现,网络中在短时间内出现了大量的数据流量和大量的数据包,每个数据包的大小固定,来源相同,发送的目的地虽然偶有不同,但是基本方向一致。因此根据这个特点,判断是源节点上的计算机感染了病毒,导致不断向外发送数据包,从而引起网络性能下降。5 5故障排除小结故障排除小结网络突然出现性能低
19、下网速变慢,一般都是由于网络中的流量突然增加引起的。而导致网络流量突然增加的原因又是多种多样的,其中病毒是一种常见的原因。具体的故障原因和故障节点,需要捕获实际网络中的数据包,并对数据包的特点进行分析之后才能确定。科来网络分析系统提供的数据包捕获和数据包分析工具是检测和定位网络故障的有力工具。1 1故障描述故障描述网络中的内网用户均为办公室中的办公用机,使用的IP地址段属于192.168.200.0/24网段。网关地址为192.168.200.254,该地址部署在三层交换机上,服务器的地址段为10.10.20.0/24。为了简化办公室的网络配置,所有办公用机均使用DHCP动态获取IP地址。当不
20、能访问网络时,可重新获取IP地址,在使用一段时间后,又会出现无法访问网络的情况。某单位的网络拓扑结构2 2网络分析测试网络分析测试使用ping命令测试服务器,发现无法ping通,再ping办公网关地址,仍旧无法ping通。查看本地的ARP表项,发现网关对应的MAC地址为全0地址。数据包分析显示arp-a命令显示结果故障的原因很可能是网络中存在ARP欺骗。为验证猜测的正确性,网络管理员在二层交换机和三层交换机之间部署了科来网络分析系统进行数据包捕获。在分析数据包时,发现网络确实存在大量的IP地址冲突。分析视图物理视图当管理员ping网关时,所请求的是错误的网关地址,而真正的网关没有收到请求,从而
21、导致主机无法学习到正确的网关MAC地址。因此导致网络不能访问的原因是,地址为192.168.200.33的主机感染了ARP病毒,在局域网中造成了ARP欺骗。3 3分析分析结论结论网络中的故障是由于192.168.200.33主机感染了ARP病毒,从而将自己的MAC地址伪装成了网关的MAC地址,以欺骗该网段内的主机。该网段内的主机访问网关时,使用的是学习到的错误的网关地址,导致请求无法到达真正的网关,从而造成网络无法访问。4 4故障排除小结故障排除小结在定位到感染ARP病毒的计算机后,只需要对感染的主机查杀病毒即可排除故障。关键在于如何定位感染ARP病毒的计算机,在这个过程中,科来网络分析系统的物理视图能够为管理员提供帮助。