《計(jì)算機(jī)網(wǎng)絡(luò)管理》課件第7章

第七章Windows網(wǎng)絡(luò)管理7.1科來(lái)網(wǎng)絡(luò)分析系統(tǒng)簡(jiǎn)介圖7-1科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的界面

(1)友好的用戶界面?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)采用簡(jiǎn)潔、直觀的界面把網(wǎng)絡(luò)信息統(tǒng)計(jì)和診斷結(jié)果呈現(xiàn)給用戶。在自定義圖表、專家診斷、概要統(tǒng)計(jì)、協(xié)議統(tǒng)計(jì)和節(jié)點(diǎn)統(tǒng)計(jì)等視圖上提供了詳細(xì)的網(wǎng)絡(luò)故障、性能分析和安全數(shù)據(jù)信息，讓管理人員可以快速發(fā)現(xiàn)并解決網(wǎng)絡(luò)中的問(wèn)題。

(2)方便部署。科來(lái)網(wǎng)絡(luò)分析系統(tǒng)可以部署在內(nèi)網(wǎng)中，也可以部署在內(nèi)網(wǎng)與外網(wǎng)之間的界面上，它能夠跨VLAN進(jìn)行數(shù)據(jù)監(jiān)測(cè)，不需要安裝到每一臺(tái)機(jī)器上，只需安裝在一臺(tái)管理機(jī)器上即可以對(duì)局域網(wǎng)進(jìn)行監(jiān)視和分析。管理人員可以根據(jù)需要來(lái)決定系統(tǒng)的安裝位置。

(3)網(wǎng)絡(luò)檔案功能。網(wǎng)絡(luò)檔案用于保存某個(gè)特定網(wǎng)絡(luò)的配置信息。在不同的網(wǎng)絡(luò)位置進(jìn)行實(shí)時(shí)抓包分析，可以為每個(gè)網(wǎng)絡(luò)創(chuàng)建對(duì)應(yīng)的網(wǎng)絡(luò)檔案。用戶可以自行定義和配置網(wǎng)絡(luò)檔案，還可以添加、編輯、刪除或者復(fù)制網(wǎng)絡(luò)檔案，直接調(diào)用新的網(wǎng)絡(luò)檔案進(jìn)行網(wǎng)絡(luò)分析。

(4)靈活的分析方案。系統(tǒng)提供了多樣化的網(wǎng)絡(luò)分析解決方案。所有的分析方案均提供相同的視圖呈現(xiàn)，但是根據(jù)不同的設(shè)置，其診斷和統(tǒng)計(jì)的網(wǎng)絡(luò)事件和分析對(duì)象有所不同。用戶可以根據(jù)分析需求自行添加、刪除或編輯分析方案，以達(dá)到更具針對(duì)性的分析目的。

(5)專家診斷功能。在無(wú)需人工參與的情況下，專家診斷功能可以實(shí)時(shí)診斷出網(wǎng)絡(luò)中的故障，并自動(dòng)告訴用戶發(fā)生故障的原因和推薦的解決方案。系統(tǒng)的診斷視圖采用3個(gè)分隔的子窗口，顯示不同的數(shù)據(jù)信息，用戶可以直觀地看到每個(gè)診斷事件的詳細(xì)描述。

(6)豐富的診斷工具?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)裝備了豐富的網(wǎng)絡(luò)診斷工具，如過(guò)濾器、常規(guī)網(wǎng)絡(luò)分析視圖、科來(lái)ping工具、MAC地址掃描器、科來(lái)數(shù)據(jù)包播放器和科來(lái)數(shù)據(jù)包生成器等網(wǎng)絡(luò)監(jiān)視和故障診斷的工具。7.1.2科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的部署和安裝

1．科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的部署

(1)在共享式網(wǎng)絡(luò)中部署。如果網(wǎng)絡(luò)系統(tǒng)是由一臺(tái)集線器連接的共享式網(wǎng)絡(luò)，系統(tǒng)部署則非常方便。只需在集線器上連接的任意一臺(tái)計(jì)算機(jī)上安裝該系統(tǒng)，即可對(duì)網(wǎng)絡(luò)中的所有數(shù)據(jù)包進(jìn)行捕獲和分析。共享式網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖7-2所示。圖7-2共享式網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

(2)在交換式網(wǎng)絡(luò)中部署。當(dāng)公司系統(tǒng)是由一臺(tái)交換機(jī)連接的網(wǎng)絡(luò)時(shí)，由于交換機(jī)轉(zhuǎn)發(fā)機(jī)制的原因，在一臺(tái)計(jì)算機(jī)上部署的系統(tǒng)不會(huì)接收到網(wǎng)絡(luò)中的所有數(shù)據(jù)包。這時(shí)可以在交換機(jī)上配置端口鏡像，將該系統(tǒng)部署在鏡像端口上，這樣就可以對(duì)網(wǎng)絡(luò)中的所有數(shù)據(jù)包進(jìn)行捕獲和分析。

有些交換機(jī)不具備管理功能，不能夠通過(guò)端口鏡像來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控分析，在這種情況下，可串接一個(gè)分接器(Tap)或者集線器(Hub)來(lái)進(jìn)行系統(tǒng)部署。串接Tap的方案如圖7-3所示。圖7-3串接Tap的方案

串接Tap時(shí)需在管理機(jī)上安裝雙網(wǎng)卡，并且管理機(jī)不能上網(wǎng)，僅能對(duì)網(wǎng)絡(luò)信息進(jìn)行捕獲和分析。如需上網(wǎng)，需另外安裝網(wǎng)卡，因此該種方式成本較高。

串接Hub的方案如圖7-4所示，將管理機(jī)連接在集線器上，這樣就可以對(duì)網(wǎng)絡(luò)中的信息進(jìn)行捕獲和分析，但是在網(wǎng)絡(luò)流量大時(shí)對(duì)傳輸性能會(huì)有影響。這種方式成本較低。圖7-4串接Hub的方案

(3)對(duì)網(wǎng)絡(luò)進(jìn)行定點(diǎn)分析的部署方法。在互聯(lián)規(guī)模較大、拓?fù)浣Y(jié)構(gòu)較復(fù)雜的網(wǎng)絡(luò)中，一般的做法是對(duì)網(wǎng)絡(luò)中一個(gè)特定的部分進(jìn)行分析和檢測(cè)。這種情況下可以把網(wǎng)絡(luò)分接器或集線器串接在網(wǎng)絡(luò)的特定部分，這樣就可以方便地進(jìn)行局部數(shù)據(jù)的捕獲和分析，如圖7-5所示。圖7-5定點(diǎn)分析一個(gè)網(wǎng)段

(4)使用代理服務(wù)器。如果網(wǎng)絡(luò)中存在代理服務(wù)器，只需將該系統(tǒng)部署在代理服務(wù)器上即可對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行捕獲和分析，如圖7-6所示。圖7-6使用代理服務(wù)器

2．科來(lái)網(wǎng)絡(luò)信息分析系統(tǒng)的安裝

1)安裝步驟

首先以管理員權(quán)限登錄Windows，并下載科來(lái)網(wǎng)絡(luò)分析系統(tǒng)。下載完成后，雙擊安裝文件，出現(xiàn)如圖7-7所示的安裝界面。(下載網(wǎng)址：/download/capsa.php。)圖7-7安裝界面點(diǎn)擊“下一步”繼續(xù)安裝，出現(xiàn)選擇安裝組件的窗口，如圖7-8所示。圖7-8選擇安裝組件

選擇所有組件，并點(diǎn)擊“下一步”，直到出現(xiàn)“安裝完成”按鈕，點(diǎn)擊后即完成安裝過(guò)程。

2)軟件的激活和授權(quán)

產(chǎn)品激活是驗(yàn)證產(chǎn)品授權(quán)的措施，是保護(hù)合法用戶使用權(quán)益的有效手段，產(chǎn)品激活后才能正常使用。一個(gè)產(chǎn)品授權(quán)只能綁定在一臺(tái)服務(wù)器(或PC)上。系統(tǒng)提供兩種激活方式：在線激活和授權(quán)文件激活。激活步驟如下。

在產(chǎn)品安裝完成后，會(huì)彈出“科來(lái)產(chǎn)品激活向?qū)А睂?duì)話框，如圖7-9所示。圖7-9科來(lái)產(chǎn)品激活向?qū)?/p>

單擊“下一步”，進(jìn)入序列號(hào)輸入頁(yè)面，在此頁(yè)面中輸入產(chǎn)品序列號(hào)，如圖7-10所示。圖7-10輸入產(chǎn)品序列號(hào)

同時(shí)，用戶還需要選擇激活方式。如果安裝產(chǎn)品的服務(wù)器(或PC)能夠連接到互聯(lián)網(wǎng)，請(qǐng)選擇“在線激活”。選擇后單擊“下一步”，激活成功后，會(huì)出現(xiàn)“產(chǎn)品激活成功”的提示信息，如圖7-11所示。圖7-11使用在線激活成功

如果選擇“導(dǎo)入授權(quán)文件激活”，單擊“下一步”，進(jìn)入授權(quán)文件激活界面，如圖7-12所示。圖7-12授權(quán)文件激活界面

有兩種方法可以獲取授權(quán)文件:

方法一，適用于安裝產(chǎn)品的服務(wù)器(或PC)能夠連接到互聯(lián)網(wǎng)但是無(wú)法正常在線激活的情況。點(diǎn)擊對(duì)話框中的鏈接，進(jìn)入Web頁(yè)面，將激活信息保存為授權(quán)文件。

方法二，適用于安裝產(chǎn)品的服務(wù)器(或PC)沒(méi)有連接到互聯(lián)網(wǎng)的情況。用戶要將“產(chǎn)品序列號(hào)”和“產(chǎn)品安裝號(hào)”發(fā)送到support@郵箱，返回的授權(quán)文件里面包含產(chǎn)品激活號(hào)，用戶將激活號(hào)輸入到指定地方，即可完成產(chǎn)品激活。

導(dǎo)入授權(quán)文件后，單擊“下一步”，產(chǎn)品進(jìn)行離線激活，激活成功后，出現(xiàn)的提示信息如圖7-13所示。圖7-13使用授權(quán)文件激活成功

3)系統(tǒng)啟動(dòng)方式

安裝完成后，可以在桌面和開(kāi)始菜單上建立系統(tǒng)快捷方式。也可以在開(kāi)始菜單上選擇“運(yùn)行”，直接輸入命令csnas或者csnas.exe來(lái)啟動(dòng)程序。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的啟動(dòng)界面如圖7-14所示。圖7-14科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的啟動(dòng)界面7.1.3分析方案

在圖7-14所示的系統(tǒng)界面上，包括如下一些選項(xiàng)。

1．選擇分析模式

(1)實(shí)時(shí)分析。實(shí)時(shí)分析就是指對(duì)當(dāng)前選定的網(wǎng)絡(luò)適配器上所捕獲的數(shù)據(jù)包進(jìn)行分析。實(shí)時(shí)分析提供了直觀的適配器流量現(xiàn)狀顯示。

(2)回放分析?；胤欧治鍪侵笇?duì)之前保存的數(shù)據(jù)包進(jìn)行回溯分析?；胤欧治鰰r(shí)，可選擇本地磁盤(pán)中一個(gè)或多個(gè)數(shù)據(jù)包文件，系統(tǒng)會(huì)將這些文件添加到回放分析數(shù)據(jù)包列表中。

2．選擇網(wǎng)絡(luò)適配器

開(kāi)始分析任務(wù)之前，必須選擇網(wǎng)絡(luò)適配器。系統(tǒng)會(huì)自動(dòng)獲取主機(jī)上所有網(wǎng)卡的相關(guān)信息并列表顯示。網(wǎng)卡的顯示內(nèi)容為：網(wǎng)卡名稱、IP地址、傳輸速度、總數(shù)據(jù)包個(gè)數(shù)、每秒位數(shù)(b/s)、每秒數(shù)據(jù)包數(shù)(p/s)以及利用率等。

3．選擇分析方案

針對(duì)不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用問(wèn)題，科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010提供了多樣化的分析方案。分析方案由若干分析設(shè)置組合而成，包括數(shù)據(jù)統(tǒng)計(jì)設(shè)置、分析模塊設(shè)置、診斷設(shè)置、日志設(shè)置、警報(bào)設(shè)置、圖表設(shè)置等。對(duì)于每一次分析任務(wù)，用戶都可以根據(jù)分析需求自行定義、添加、刪除或編輯分析方案，以達(dá)到更具針對(duì)性地分析目的。

系統(tǒng)默認(rèn)提供7個(gè)常規(guī)的分析方案：

(1)全面分析。全面分析方案對(duì)網(wǎng)絡(luò)對(duì)象進(jìn)行精細(xì)的分析，包括物理地址、IPv4地址、物理地址分組、IPv4地址分組、協(xié)議、物理流、IPv4流、TCP流、UDP流，以及每個(gè)物理地址、IPv4地址、物理地址分組、IPv4地址分組的協(xié)議明細(xì)和流量，并且能夠自動(dòng)診斷和分析網(wǎng)絡(luò)故障事件，創(chuàng)建警報(bào)，自定義繪制報(bào)表和圖表。

(2)高性能分析。高性能分析方案是針對(duì)大流量網(wǎng)絡(luò)環(huán)境而提供的快速流量統(tǒng)計(jì)分析方案，以較高的性能分析網(wǎng)絡(luò)中的主要對(duì)象，包括物理地址、IPv4地址、物理地址分組、IPv4地址分組、協(xié)議、物理流、IPv4流、TCP流和UDP流，以及每個(gè)對(duì)象的流量，并繪制用戶選定的圖表和報(bào)表。

(3)安全分析。安全分析方案對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估和攻擊檢測(cè)，發(fā)現(xiàn)潛藏的安全隱患，并以多種方式報(bào)告給網(wǎng)絡(luò)管理者。

安全分析又分為安全綜合分析和應(yīng)用層安全分析兩種，前者分析各個(gè)協(xié)議層的安全事件，而后者針對(duì)HTTP協(xié)議、POP3和SMTP協(xié)議、DNS協(xié)議以及FTP協(xié)議分析其安全性。

(4)DNS應(yīng)用分析。DNS應(yīng)用分析方案主要分析DNS網(wǎng)絡(luò)應(yīng)用，診斷DNS網(wǎng)絡(luò)應(yīng)用的故障、性能并保存DNS日志記錄。

(5)?HTTP應(yīng)用分析。HTTP應(yīng)用分析方案主要分析HTTP網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)流量、客戶端和服務(wù)器的流量統(tǒng)計(jì)、診斷HTTP網(wǎng)絡(luò)應(yīng)用的故障，并分析其性能。

(6)郵件應(yīng)用分析。郵件高級(jí)分析方案主要用于SMTP和POP3協(xié)議的流量統(tǒng)計(jì)與故障診斷。

(7)?FTP應(yīng)用分析。FTP應(yīng)用分析方案主要針對(duì)FTP網(wǎng)絡(luò)應(yīng)用進(jìn)行流量統(tǒng)計(jì)、日志記錄與故障診斷。

統(tǒng)計(jì)分析對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控、實(shí)時(shí)分析，并將統(tǒng)計(jì)結(jié)果自動(dòng)展現(xiàn)在各個(gè)視圖中。用戶可以對(duì)統(tǒng)計(jì)分析結(jié)果進(jìn)行復(fù)制、導(dǎo)出、打印、生成日志和生成報(bào)表等各種操作。

在科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010中，網(wǎng)絡(luò)計(jì)數(shù)器多達(dá)上百種，增加了網(wǎng)絡(luò)錯(cuò)誤的檢測(cè)，增加了數(shù)據(jù)包大小分布的統(tǒng)計(jì)，加強(qiáng)了利用率的分析，增加了協(xié)議樹(shù)的拓展分析，增加了圖形化統(tǒng)計(jì)。

統(tǒng)計(jì)分析包括：

概要統(tǒng)計(jì)：提供了近百個(gè)統(tǒng)計(jì)計(jì)數(shù)器，快照功能允許用戶對(duì)特定時(shí)段的數(shù)據(jù)變化進(jìn)行比較。每個(gè)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)端點(diǎn)都有自己的概要統(tǒng)計(jì)，用戶可以開(kāi)啟多個(gè)窗口，比較不同協(xié)議或端點(diǎn)之間的概要統(tǒng)計(jì)。

端點(diǎn)統(tǒng)計(jì)：以獨(dú)立的視圖分別展現(xiàn)物理地址和IP地址的通信信息。通過(guò)網(wǎng)絡(luò)端點(diǎn)統(tǒng)計(jì)分析功能，用戶可以快速查找定位通信量最大的IP端點(diǎn)和物理端點(diǎn)。系統(tǒng)還支持每個(gè)網(wǎng)絡(luò)協(xié)議的端點(diǎn)流量的統(tǒng)計(jì)排名，例如用戶可以知道使用HTTP協(xié)議流量最大的前5個(gè)IP端點(diǎn)。

協(xié)議統(tǒng)計(jì)：用不同的色彩，按照網(wǎng)絡(luò)協(xié)議封裝順序給用戶展現(xiàn)每個(gè)協(xié)議的統(tǒng)計(jì)信息。除了全局的協(xié)議統(tǒng)計(jì)，還可提供每個(gè)網(wǎng)絡(luò)端點(diǎn)下的協(xié)議統(tǒng)計(jì)數(shù)據(jù)。

會(huì)話統(tǒng)計(jì)：根據(jù)物理地址、IP地址、TCP連接、UDP會(huì)話來(lái)統(tǒng)計(jì)網(wǎng)絡(luò)中的會(huì)話信息，并在子窗口中顯示當(dāng)前選定會(huì)話的數(shù)據(jù)包等信息。通過(guò)查看每條會(huì)話，我們可以知道其源地址、目標(biāo)地址、收發(fā)的各個(gè)數(shù)據(jù)包以及數(shù)據(jù)包的大小等信息。

矩陣統(tǒng)計(jì)：可對(duì)網(wǎng)絡(luò)中通信的節(jié)點(diǎn)和會(huì)話進(jìn)行詳細(xì)統(tǒng)計(jì)，用戶可以通過(guò)不同的統(tǒng)計(jì)類型來(lái)查看矩陣視圖，此外，用戶還能自定義顯示選項(xiàng)。

圖表統(tǒng)計(jì)：為用戶提供靈活的圖表自定義功能，用戶可以創(chuàng)建各種類型的圖表，除了全局圖表，也支持每個(gè)協(xié)議和網(wǎng)絡(luò)端點(diǎn)的圖表數(shù)據(jù)采集和顯示。

報(bào)表統(tǒng)計(jì)：自動(dòng)生成多種類型的報(bào)表，包括概要統(tǒng)計(jì)、診斷統(tǒng)計(jì)、TOPN統(tǒng)計(jì)等。用戶可以選擇報(bào)表選項(xiàng)。生成報(bào)表后，用戶還可以將生成的報(bào)表以html、pdf及mht格式保存到磁盤(pán)中。7.1.4系統(tǒng)界面

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的主界面包含系統(tǒng)主菜單、功能區(qū)、節(jié)點(diǎn)瀏覽器、主視圖區(qū)、警報(bào)瀏覽器和分析狀態(tài)欄等幾個(gè)部分，下面對(duì)這個(gè)界面作簡(jiǎn)要介紹。

當(dāng)用戶選擇好網(wǎng)絡(luò)適配器并設(shè)置了分析方案后，點(diǎn)擊界面中的“開(kāi)始”按鈕(見(jiàn)圖7-14)，將進(jìn)入分析系統(tǒng)主界面，如圖7-15所示。圖7-15科來(lái)網(wǎng)絡(luò)分析系統(tǒng)主界面圖7-16系統(tǒng)主菜單

2．全局功能區(qū)

全局功能區(qū)如圖7-17所示，這些是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲和分析時(shí)所使用的功能按鈕，其中有分析、系統(tǒng)、工具和視圖4個(gè)標(biāo)簽。分析標(biāo)簽中主要包含分析工程中相關(guān)信息的設(shè)置和修改；系統(tǒng)標(biāo)簽中主要包含系統(tǒng)全局配置菜單及關(guān)于系統(tǒng)版本和授權(quán)等信息；工具標(biāo)簽主要用于添加和配置網(wǎng)絡(luò)分析輔助工具，如ping工具、數(shù)據(jù)包播放器等；視圖標(biāo)簽用于對(duì)系統(tǒng)信息的表現(xiàn)方式進(jìn)行修改和設(shè)置。圖7-17全局功能區(qū)

1)分析標(biāo)簽

分析標(biāo)簽包含6個(gè)部分。

(1)捕捉部分中有4個(gè)按鈕：網(wǎng)絡(luò)適配器、過(guò)濾器、開(kāi)始和停止。網(wǎng)絡(luò)適配器按鈕用于選擇和確認(rèn)捕獲數(shù)據(jù)的網(wǎng)絡(luò)適配器；過(guò)濾器按鈕用于啟用過(guò)濾功能，顯示符合條件的捕獲數(shù)據(jù)包；開(kāi)始和停止兩個(gè)按鈕用于控制數(shù)據(jù)捕獲和分析的過(guò)程。在開(kāi)始捕獲當(dāng)前的工程數(shù)據(jù)包之后，系統(tǒng)將對(duì)之前的所有捕獲數(shù)據(jù)進(jìn)行清空，然后重新開(kāi)始捕獲數(shù)據(jù)。

(2)網(wǎng)絡(luò)檔案設(shè)置部分包括基本設(shè)置、網(wǎng)絡(luò)分組和名字表等。

(3)分析方案設(shè)置部分包括分析對(duì)象、數(shù)據(jù)包存儲(chǔ)、日志設(shè)置、診斷設(shè)置。

1)分析標(biāo)簽

分析標(biāo)簽包含6個(gè)部分。

(1)捕捉部分中有4個(gè)按鈕：網(wǎng)絡(luò)適配器、過(guò)濾器、開(kāi)始和停止。網(wǎng)絡(luò)適配器按鈕用于選擇和確認(rèn)捕獲數(shù)據(jù)的網(wǎng)絡(luò)適配器；過(guò)濾器按鈕用于啟用過(guò)濾功能，顯示符合條件的捕獲數(shù)據(jù)包；開(kāi)始和停止兩個(gè)按鈕用于控制數(shù)據(jù)捕獲和分析的過(guò)程。在開(kāi)始捕獲當(dāng)前的工程數(shù)據(jù)包之后，系統(tǒng)將對(duì)之前的所有捕獲數(shù)據(jù)進(jìn)行清空，然后重新開(kāi)始捕獲數(shù)據(jù)。

(2)網(wǎng)絡(luò)檔案設(shè)置部分包括基本設(shè)置、網(wǎng)絡(luò)分組和名字表等。

(3)分析方案設(shè)置部分包括分析對(duì)象、數(shù)據(jù)包存儲(chǔ)、日志設(shè)置、診斷設(shè)置。

數(shù)據(jù)包存儲(chǔ)部分是對(duì)數(shù)據(jù)包和日志文件的保存進(jìn)行設(shè)置，這些功能要在開(kāi)始分析任務(wù)之前配置完畢。對(duì)正在運(yùn)行的分析工程，如果更改數(shù)據(jù)包緩存的大小，將會(huì)清空數(shù)據(jù)包緩存中的所有數(shù)據(jù)包。

(4)儀表盤(pán)部分顯示當(dāng)前網(wǎng)絡(luò)的實(shí)際利用率和正在運(yùn)行的分析工程的每秒數(shù)據(jù)包個(gè)數(shù)。

(5)流量趨勢(shì)圖實(shí)時(shí)顯示當(dāng)前網(wǎng)絡(luò)流量趨勢(shì)。

(6)數(shù)據(jù)包緩存部分直觀地顯示當(dāng)前捕捉的數(shù)據(jù)包對(duì)緩存的占用情況?？梢詫?duì)數(shù)據(jù)包緩存進(jìn)行導(dǎo)出、清空和鎖定等操作。如果要修改當(dāng)前正在運(yùn)行的分析工程的數(shù)據(jù)包緩存，可點(diǎn)擊“清空”按鈕。在將當(dāng)前數(shù)據(jù)包緩存中的所有數(shù)據(jù)包清空后，再進(jìn)行重新捕獲和分析。2)系統(tǒng)標(biāo)簽系統(tǒng)標(biāo)簽如圖7-18所示圖7-18系統(tǒng)標(biāo)簽3)工具標(biāo)簽工具標(biāo)簽如圖7-19所示。圖7-19工具標(biāo)簽4)視圖標(biāo)簽視圖標(biāo)簽如圖7-20所示。圖7-20視圖標(biāo)簽

視圖標(biāo)簽中包括三個(gè)部分：顯示/隱藏、物理地址顯示格式和IP地址顯示格式。

顯示/隱藏部分用于選擇是否顯示或隱藏節(jié)點(diǎn)瀏覽器/警報(bào)瀏覽器以及在線資源窗口。

物理地址顯示格式部分用于設(shè)置物理地址顯示格式，包括僅顯示物理地址、僅顯示物理名字、物理名字和地址以及顯示物理廠商。

IP地址顯示格式部分用于設(shè)置節(jié)點(diǎn)IP地址的顯示方式，包括僅顯示IP地址、僅顯示IP名字、IP名字和地址3個(gè)選項(xiàng)。

3．節(jié)點(diǎn)瀏覽器

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的節(jié)點(diǎn)瀏覽器界面如圖7-21所示。

節(jié)點(diǎn)瀏覽器是科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的特色功能之一，其快速的節(jié)點(diǎn)定位和數(shù)據(jù)過(guò)濾功能使得用戶可以非常方便地進(jìn)行故障分析，極大程度地提高了網(wǎng)絡(luò)分析的效率。其最大的用途，就是能快速地選擇需要查看的節(jié)點(diǎn)，查看該節(jié)點(diǎn)對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)。用戶可以很方便地定位到整個(gè)網(wǎng)絡(luò)，也可以定位到某個(gè)IP段，或是某個(gè)IP地址。右邊的視圖區(qū)會(huì)根據(jù)選擇的節(jié)點(diǎn)顯示相關(guān)的數(shù)據(jù)信息。

在節(jié)點(diǎn)瀏覽器中每個(gè)節(jié)點(diǎn)前面均有一個(gè)小圖標(biāo)，該小圖標(biāo)可顯示節(jié)點(diǎn)的地址類型。

節(jié)點(diǎn)瀏覽器支持鍵盤(pán)上的方向鍵操作，可以使用向上或者向下箭頭選擇數(shù)據(jù)包，用向左或者向右箭頭收縮或者展開(kāi)相應(yīng)節(jié)點(diǎn)。

節(jié)點(diǎn)瀏覽器中最上方有一個(gè)工具欄，如圖7-22所示。圖7-21科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的節(jié)點(diǎn)瀏覽器界面圖7-22節(jié)點(diǎn)瀏覽器工具欄

4．警報(bào)瀏覽器

警報(bào)瀏覽器主要提供實(shí)時(shí)的全局警報(bào)，以醒目的方式提醒管理員當(dāng)前發(fā)生的事件，并在主視圖右下角最小化顯示當(dāng)前觸發(fā)的警報(bào)數(shù)量。用戶還可以自定義警報(bào)功能，從其他幾個(gè)視圖中選擇需要的網(wǎng)絡(luò)對(duì)象進(jìn)行警報(bào)創(chuàng)建。系統(tǒng)默認(rèn)情況下，并不提供任何警報(bào)預(yù)設(shè)。用戶可根據(jù)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境和要求創(chuàng)建所需要的警報(bào)。警報(bào)瀏覽器窗口如圖7-23所示?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)的警報(bào)類型分為安全警報(bào)、性能警報(bào)和故障警報(bào)3類。所有警報(bào)按照樹(shù)狀方式統(tǒng)計(jì)并顯示在警報(bào)瀏覽器窗口中。在該區(qū)域，可以對(duì)已創(chuàng)建的警報(bào)進(jìn)行修改、解除和創(chuàng)建新的警報(bào)等操作。

在警報(bào)瀏覽器標(biāo)題欄下方，是警報(bào)統(tǒng)計(jì)管理區(qū)工具欄，工具欄功能從左至右分別是：顯示切換、生成警報(bào)、刪除警報(bào)、已觸發(fā)警報(bào)、已解除警報(bào)、屬性和警報(bào)設(shè)置按鈕。警報(bào)瀏覽器按鈕的功能描述如表7-2所示。圖7-23警報(bào)瀏覽器窗口圖7-24警報(bào)瀏覽器最小化5．狀態(tài)欄分析狀態(tài)欄如圖7-25所示。圖7-25分析狀態(tài)欄

狀態(tài)欄中最左方是當(dāng)前網(wǎng)絡(luò)分析工程的基本情況和分析方案名稱，通過(guò)它可以快速了解當(dāng)前分析的方案。

左邊第二個(gè)按鈕是選擇適配器按鈕，此處顯示當(dāng)前分析工程中所使用的網(wǎng)絡(luò)適配器，對(duì)已經(jīng)選用的網(wǎng)絡(luò)適配器和可以選用的適配器均有所顯示。點(diǎn)擊它可以方便地對(duì)當(dāng)前所使用的適配器進(jìn)行查看、更改和啟用。

左邊第三個(gè)按鈕是過(guò)濾按鈕，它顯示了當(dāng)前分析工程是否啟用了過(guò)濾器。當(dāng)啟用過(guò)濾器時(shí)，過(guò)濾器按鈕為點(diǎn)亮狀態(tài)，未啟用時(shí)，過(guò)濾器按鈕為灰色狀態(tài)。

持續(xù)時(shí)間部分顯示了當(dāng)前工程中已經(jīng)持續(xù)捕獲和分析的時(shí)間。

持續(xù)時(shí)間部分的右邊顯示的是捕獲狀態(tài)，它顯示了在當(dāng)前分析工程中所捕獲的數(shù)據(jù)包個(gè)數(shù)以及過(guò)濾的數(shù)據(jù)包個(gè)數(shù)。

6．系統(tǒng)選項(xiàng)

系統(tǒng)選項(xiàng)功能用于系統(tǒng)常規(guī)設(shè)置和解碼器設(shè)置，如果需要更改某些設(shè)置，可以單擊系統(tǒng)左上角的主菜單按鈕，打開(kāi)系統(tǒng)菜單，在該菜單的右下角，單擊“系統(tǒng)選項(xiàng)”按鈕(參見(jiàn)圖7-16)，打開(kāi)“系統(tǒng)選項(xiàng)”對(duì)話框。

1)解碼器選項(xiàng)

圖7-26所示為“系統(tǒng)選項(xiàng)”中“解碼器”的內(nèi)容，其中顯示了科來(lái)網(wǎng)絡(luò)分析系統(tǒng)所支持的所有協(xié)議解碼模塊，可以對(duì)其選擇和組合，進(jìn)行解碼分析。默認(rèn)情況下，系統(tǒng)開(kāi)啟所有的解碼模塊對(duì)數(shù)據(jù)包進(jìn)行解碼分析。圖7-26系統(tǒng)選項(xiàng)中“解碼”器的內(nèi)容

2)定制協(xié)議

對(duì)一個(gè)目標(biāo)網(wǎng)絡(luò)進(jìn)行分析時(shí)，允許用戶根據(jù)自己的需要定義未知協(xié)議。自定義的協(xié)議和被系統(tǒng)支持的所有協(xié)議均可以在協(xié)議視圖中被統(tǒng)計(jì)和分析出來(lái)。用戶可以通過(guò)圖7-27所示的示例格式自行定制協(xié)議。圖7-27自定義協(xié)議示例

3)定時(shí)分析

當(dāng)需要對(duì)目標(biāo)網(wǎng)絡(luò)在特定的時(shí)間段內(nèi)進(jìn)行數(shù)據(jù)分析時(shí)，可以添加定時(shí)分析任務(wù)，當(dāng)達(dá)到指定時(shí)間時(shí)，系統(tǒng)自動(dòng)開(kāi)始進(jìn)行數(shù)據(jù)捕捉并分析。

在系統(tǒng)選項(xiàng)對(duì)話框中，選擇“定時(shí)分析”，并點(diǎn)擊“添加”按鈕，即可打開(kāi)定時(shí)分析設(shè)置窗口，如圖7-28所示。圖7-28定時(shí)分析設(shè)置窗口7.1.5過(guò)濾器

1．使用簡(jiǎn)單過(guò)濾器

在圖7-17所示的界面中，點(diǎn)擊“過(guò)濾器”按鈕，可啟用過(guò)濾器，并進(jìn)入過(guò)濾器設(shè)置對(duì)話框。其中，數(shù)據(jù)包過(guò)濾器的設(shè)置頁(yè)面如圖7-29所示。圖7-29數(shù)據(jù)包過(guò)濾器設(shè)置頁(yè)面圖7-30簡(jiǎn)單過(guò)濾器設(shè)置頁(yè)面

簡(jiǎn)單過(guò)濾器可以使用一些常用的條件對(duì)數(shù)據(jù)包進(jìn)行篩選和過(guò)濾，例如IP地址、MAC地址、端口號(hào)和協(xié)議等。也可以設(shè)定數(shù)據(jù)包的傳輸方向，例如地址1→地址2、地址2→地址1或者地址1?地址2等，從而更加具體和精確地進(jìn)行數(shù)據(jù)篩選和過(guò)濾。

對(duì)于端口號(hào)的過(guò)濾條件設(shè)定，與地址設(shè)定方式相同。

點(diǎn)擊“協(xié)議規(guī)則”并點(diǎn)擊“選擇”按鈕，即可打開(kāi)協(xié)議規(guī)則對(duì)話框，如圖7-31所示。在協(xié)議過(guò)濾方式中，系統(tǒng)提供了完整的協(xié)議樹(shù)展示結(jié)構(gòu)，可以選擇一種或多種協(xié)議作為過(guò)濾條件。在選擇協(xié)議時(shí)，可以采用協(xié)議類型的列表方式或分層方式來(lái)顯示，以便于對(duì)協(xié)議進(jìn)行選擇和設(shè)定協(xié)議過(guò)濾條件。圖7-31協(xié)議規(guī)則對(duì)話框

2．使用高級(jí)過(guò)濾器

點(diǎn)擊圖7-30中的“高級(jí)過(guò)濾器”選項(xiàng)卡，可打開(kāi)“高級(jí)篩選”對(duì)話框。

簡(jiǎn)單過(guò)濾器通過(guò)使用IP地址、端口號(hào)等對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。高級(jí)過(guò)濾器增加了數(shù)據(jù)包值、數(shù)據(jù)包大小和數(shù)據(jù)包模式配置三個(gè)篩選條件，并且提供了多種邏輯關(guān)系組合條件對(duì)數(shù)據(jù)包進(jìn)行篩選。

在高級(jí)過(guò)濾器中，系統(tǒng)提供了一個(gè)過(guò)濾關(guān)系圖，從過(guò)濾關(guān)系圖可以非常直觀地看到系統(tǒng)對(duì)數(shù)據(jù)包的過(guò)濾情況。過(guò)濾關(guān)系圖通過(guò)網(wǎng)卡到達(dá)主機(jī)的路徑，非常精確和直觀地將網(wǎng)絡(luò)管理人員所設(shè)定的過(guò)濾條件的邏輯關(guān)系展現(xiàn)出來(lái)，如圖7-32所示。圖7-32高級(jí)過(guò)濾器設(shè)置頁(yè)面

在創(chuàng)建高級(jí)過(guò)濾器時(shí)，可以通過(guò)過(guò)濾器的工具條組合各種條件，圖7-32是一個(gè)監(jiān)測(cè)某段網(wǎng)絡(luò)范圍的使用BT的過(guò)濾器設(shè)置。

第一個(gè)條件：滿足一個(gè)網(wǎng)段范圍，～00；

第二個(gè)條件：排除一個(gè)IP：5；

第三個(gè)條件：滿足其中一種條件，使用BitTorrent協(xié)議，或者端口范圍為6881～6889的數(shù)據(jù)包。

在設(shè)置的每個(gè)過(guò)濾條件中，單擊右鍵，有相關(guān)的屬性設(shè)置，可以編輯或刪除過(guò)濾條件，可以新增過(guò)濾條件，可以顯示或隱藏過(guò)濾條件的細(xì)節(jié)信息等。

除了使用過(guò)濾條件邏輯組合以外，高級(jí)過(guò)濾器還可以通過(guò)更為精準(zhǔn)的條件進(jìn)行過(guò)濾：

(1)使用數(shù)據(jù)包值進(jìn)行過(guò)濾?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)的高級(jí)過(guò)濾器中，可以設(shè)定數(shù)據(jù)包值的規(guī)則來(lái)對(duì)經(jīng)過(guò)網(wǎng)絡(luò)適配器的數(shù)據(jù)包進(jìn)行過(guò)濾。設(shè)定數(shù)據(jù)包值規(guī)則的窗口如圖7-33所示。圖7-33設(shè)定數(shù)據(jù)包值規(guī)則的窗口

(2)使用數(shù)據(jù)包大小進(jìn)行過(guò)濾?？梢栽O(shè)定數(shù)據(jù)包的大小來(lái)對(duì)經(jīng)過(guò)網(wǎng)絡(luò)適配器的數(shù)據(jù)包進(jìn)行過(guò)濾。設(shè)定數(shù)據(jù)包大小規(guī)則的窗口如圖7-34所示。

(3)通過(guò)數(shù)據(jù)包內(nèi)容進(jìn)行過(guò)濾?？梢栽O(shè)定具體數(shù)據(jù)包的內(nèi)容來(lái)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，設(shè)定數(shù)據(jù)包內(nèi)容規(guī)則的窗口如圖7-35所示。圖7-34設(shè)定數(shù)據(jù)包大小規(guī)則的窗口圖7-35設(shè)定數(shù)據(jù)包內(nèi)容規(guī)則的窗口 7.2常規(guī)分析視圖7.2.1我的圖表我的圖表如圖7-36所示。圖7-36我的圖表圖7-37新建圖表7.2.2診斷視圖

診斷視圖主要提供專家診斷功能，系統(tǒng)將診斷的網(wǎng)絡(luò)事件按OSI模型分層顯示，實(shí)時(shí)報(bào)告網(wǎng)絡(luò)中出現(xiàn)的錯(cuò)誤和故障，并分析故障原因，準(zhǔn)確定位故障點(diǎn)的位置，提供有關(guān)故障的專家建議。通過(guò)查看診斷視圖，用戶不必了解數(shù)據(jù)包的詳細(xì)內(nèi)容，便可以從專家診斷模塊中獲得網(wǎng)絡(luò)內(nèi)部的錯(cuò)誤和故障分析結(jié)果。

系統(tǒng)提供的診斷視圖分隔成3個(gè)子窗口，包括診斷分層、診斷發(fā)生的地址以及詳細(xì)的事件描述窗口。如果在診斷分層窗口中選擇了某個(gè)事件，系統(tǒng)自動(dòng)過(guò)濾出觸發(fā)該事件的主機(jī)地址，在事件窗口中顯示該事件的詳細(xì)描述。用戶可以直觀地看到每個(gè)診斷信息是由哪些主機(jī)觸發(fā)的，從而快速分析各種網(wǎng)絡(luò)故障的原因。診斷視圖如圖7-38所示。圖7-38診斷視圖7.2.3協(xié)議視圖

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)將捕獲的所有網(wǎng)絡(luò)通信協(xié)議按實(shí)際封裝順序?qū)哟位卣宫F(xiàn)給用戶，不同的協(xié)議賦予不同的色彩。除了全局的協(xié)議統(tǒng)計(jì)，還提供每個(gè)網(wǎng)絡(luò)對(duì)象的協(xié)議統(tǒng)計(jì)數(shù)據(jù)。通過(guò)協(xié)議視圖對(duì)各協(xié)議占用的網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，用戶可以看出當(dāng)前網(wǎng)絡(luò)中占用流量最多的協(xié)議，即占用流量最多的服務(wù)類型，這樣就可以幫助用戶排查網(wǎng)絡(luò)速度慢、郵件蠕蟲(chóng)病毒攻擊、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)以及用戶無(wú)法上網(wǎng)等網(wǎng)絡(luò)故障。

協(xié)議統(tǒng)計(jì)視圖采用樹(shù)狀層級(jí)方式顯示網(wǎng)絡(luò)中所使用的全部協(xié)議。系統(tǒng)提供詳細(xì)的協(xié)議參數(shù)統(tǒng)計(jì)，包括通信流量、數(shù)據(jù)包個(gè)數(shù)、每秒字節(jié)數(shù)、每秒比特?cái)?shù)等多種參數(shù)。有線網(wǎng)絡(luò)數(shù)據(jù)捕獲分析的協(xié)議視圖界面如圖7-39所示。圖7-39有線網(wǎng)絡(luò)數(shù)據(jù)捕獲分析的協(xié)議視圖界面圖7-40無(wú)線網(wǎng)絡(luò)捕獲分析的協(xié)議視圖界面7.2.4端口視圖

在端口視圖中，對(duì)所捕獲的數(shù)據(jù)包進(jìn)行詳細(xì)分析，展示網(wǎng)絡(luò)中的端口信息，如圖7-41所示。對(duì)于每個(gè)端口，都列出了端口號(hào)、協(xié)議類型、數(shù)據(jù)包數(shù)量、字節(jié)數(shù)等多種參數(shù)，并在下方的窗口中顯示出當(dāng)前選定端口關(guān)聯(lián)的TCP會(huì)話或者UDP會(huì)話。圖7-41端口視圖7.2.5數(shù)據(jù)包視圖

數(shù)據(jù)包視圖主要幫助網(wǎng)絡(luò)管理人員查看數(shù)據(jù)包解碼的相關(guān)內(nèi)容。數(shù)據(jù)包解碼是網(wǎng)絡(luò)分析的高級(jí)應(yīng)用，主要用于快速定位可疑的網(wǎng)絡(luò)數(shù)據(jù)包。

數(shù)據(jù)包解碼由概要解碼、字段解碼、十六進(jìn)制解碼組成。概要解碼是自動(dòng)進(jìn)行的，用戶也可以選擇概要解碼的協(xié)議層，幫助用戶快速定位可疑的網(wǎng)絡(luò)數(shù)據(jù)包，用戶還可以選擇單個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)解碼，詳細(xì)解碼字段可以和數(shù)據(jù)包原始數(shù)據(jù)互動(dòng)，即便是精心偽造的網(wǎng)絡(luò)攻擊、欺騙數(shù)據(jù)包，在這種模式下也無(wú)所遁形。數(shù)據(jù)包視圖如圖7-42所示。圖7-42數(shù)據(jù)包視圖通過(guò)數(shù)據(jù)包解碼，可以了解以下信息：

數(shù)據(jù)包的概要信息(作用以及提取的重要值)；

網(wǎng)絡(luò)中的數(shù)據(jù)包的類型；

網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否正確；

網(wǎng)絡(luò)中IP數(shù)據(jù)包的版本；

目標(biāo)主機(jī)是否在運(yùn)行客戶端主機(jī)所請(qǐng)求的服務(wù)；

源主機(jī)到目標(biāo)主機(jī)間的路由時(shí)間(即鏈路長(zhǎng)度)；

目標(biāo)主機(jī)對(duì)客戶端主機(jī)請(qǐng)求的服務(wù)的響應(yīng)時(shí)間；

網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是否為緊急數(shù)據(jù)；

數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過(guò)的路由跳數(shù)；

網(wǎng)絡(luò)中是否存在環(huán)路現(xiàn)象；

用戶訪問(wèn)目標(biāo)主機(jī)某服務(wù)的原始步驟；

是否存在偽造數(shù)據(jù)包，即不正常的數(shù)據(jù)通信。7.3TCP數(shù)據(jù)流分析7.3.1TCP交易時(shí)序圖

雙擊TC