計(jì)算機(jī)網(wǎng)絡(luò)管理第六章-網(wǎng)絡(luò)分析系統(tǒng)課件

1、第六章 網(wǎng)絡(luò)分析系統(tǒng)科來網(wǎng)絡(luò)分析系統(tǒng)是一種優(yōu)秀的網(wǎng)絡(luò)分析產(chǎn)品，在任何有問題的地方采集網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行實(shí)時(shí)的故障診斷，也可以通過回放由數(shù)據(jù)包組成的存檔文件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)歷史問題的回溯分析。6.1 科來網(wǎng)絡(luò)分析系統(tǒng)簡(jiǎn)介6.1.1 科來網(wǎng)絡(luò)分析系統(tǒng)的特性1友好的用戶界面。采用簡(jiǎn)潔、直觀的界面把網(wǎng)絡(luò)信息統(tǒng)計(jì)和診斷結(jié)果呈現(xiàn)給用戶。2方便部署。它可以部署在內(nèi)網(wǎng)中，也可以部署內(nèi)網(wǎng)與外網(wǎng)之間的界面上，能夠跨VLAN進(jìn)行數(shù)據(jù)監(jiān)測(cè)。3網(wǎng)絡(luò)檔案功能。在不同的網(wǎng)絡(luò)位置進(jìn)行實(shí)時(shí)抓包分析，可以為每個(gè)網(wǎng)絡(luò)創(chuàng)建對(duì)應(yīng)的網(wǎng)絡(luò)檔案。4靈活的分析方案。提供了多樣化的網(wǎng)絡(luò)分析解決方案，所有的分析方案均提供相同的視圖呈現(xiàn)。5專家診斷功能。

2、可實(shí)時(shí)診斷出網(wǎng)絡(luò)中的故障，并自動(dòng)告訴用戶發(fā)生故障的原因和推薦的解決方案。6豐富的診斷工具。裝備了豐富的網(wǎng)絡(luò)診斷工具，如過濾器、常規(guī)網(wǎng)絡(luò)分析視圖、ping工具等。6.1.2 科來網(wǎng)絡(luò)分析系統(tǒng)的部署和安裝1.部署（1）在共享式網(wǎng)絡(luò)中部署共享式網(wǎng)絡(luò)（2）在交換式網(wǎng)絡(luò)中部署串接Hub串接Tab（3）對(duì)網(wǎng)絡(luò)進(jìn)行定點(diǎn)分析的部署定點(diǎn)分析一個(gè)網(wǎng)段（4）使用代理服務(wù)器使用代理服務(wù)器2.安裝 安裝科來網(wǎng)絡(luò)分析系統(tǒng)選擇安裝組件產(chǎn)品激活向?qū)л斎胄蛄刑?hào)使用在線激活成功使用授權(quán)文件激活使用授權(quán)文件激活成功科來網(wǎng)絡(luò)分析系統(tǒng)界面6.1.3 分析方案1.分析模式：（1）實(shí)時(shí)分析：對(duì)當(dāng)前選定的網(wǎng)絡(luò)適配器上捕獲的數(shù)據(jù)包進(jìn)行分析；（

3、2）回放分析：對(duì)之前保存的數(shù)據(jù)包進(jìn)行回溯分析。2.選擇適配器開始分析任務(wù)之前，必須選擇網(wǎng)絡(luò)適配器。系統(tǒng)會(huì)自動(dòng)獲取主機(jī)上所有網(wǎng)卡的相關(guān)信息并列表顯示。網(wǎng)卡的顯示內(nèi)容為：網(wǎng)卡名稱、IP地址、傳輸速度、總數(shù)據(jù)包個(gè)數(shù)等。3選擇分析方案針對(duì)不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用問題，科來網(wǎng)絡(luò)分析系統(tǒng)2010提供了多樣化的分析方案。分析方案由若干分析設(shè)置組合而成，包括數(shù)據(jù)統(tǒng)計(jì)設(shè)置、分析模塊設(shè)置、診斷設(shè)置、日志設(shè)置、警報(bào)設(shè)置、圖表設(shè)置等。常規(guī)的分析方案（1）全面分析：對(duì)網(wǎng)絡(luò)對(duì)象進(jìn)行精細(xì)的分析。（2）高性能分析：針對(duì)大流量網(wǎng)絡(luò)環(huán)境而提供的快速流量統(tǒng)計(jì)分析方案，以較高的性能分析網(wǎng)絡(luò)中的主要對(duì)象。（3）安全分析：對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)

4、估和攻擊檢測(cè)，發(fā)現(xiàn)潛藏的安全隱患，并以多種方式報(bào)告給網(wǎng)絡(luò)管理者。（4）DNS應(yīng)用分析：主要分析DNS網(wǎng)絡(luò)應(yīng)用，診斷DNS網(wǎng)絡(luò)應(yīng)用的故障、性能，并保存DNS日志記錄。（5）HTTP應(yīng)用分析：主要分析HTTP網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)流量、客戶端和服務(wù)器的流量統(tǒng)計(jì)、診斷HTTP網(wǎng)絡(luò)應(yīng)用的故障，并分析其性能。（6）Email應(yīng)用分析：主要統(tǒng)計(jì)SMTP和POP3協(xié)議的流量，并進(jìn)行故障診斷。（7）FTP應(yīng)用分析：主要統(tǒng)計(jì)FTP網(wǎng)絡(luò)應(yīng)用流量、日志記錄，并進(jìn)行故障診斷。主要內(nèi)容：概要統(tǒng)計(jì)：提供了近百個(gè)統(tǒng)計(jì)計(jì)數(shù)器，快照功能允許用戶對(duì)特定時(shí)段的數(shù)據(jù)變化進(jìn)行比較。端點(diǎn)統(tǒng)計(jì)：以獨(dú)立的視圖分別展現(xiàn)物理地址和IP地址等通信信息。協(xié)

5、議統(tǒng)計(jì)：用不同的色彩，按照網(wǎng)絡(luò)協(xié)議封裝順序展現(xiàn)每個(gè)協(xié)議的統(tǒng)計(jì)信息。會(huì)話統(tǒng)計(jì)：根據(jù)物理地址、IP地址、TCP連接、UDP會(huì)話來統(tǒng)計(jì)網(wǎng)絡(luò)中的會(huì)話信息，并在子窗口中顯示當(dāng)前選定會(huì)話的數(shù)據(jù)包等信息。矩陣統(tǒng)計(jì)：可對(duì)網(wǎng)絡(luò)中通信的節(jié)點(diǎn)和會(huì)話進(jìn)行詳細(xì)統(tǒng)計(jì)，可以通過不同的統(tǒng)計(jì)類型來查看矩陣視圖，此外，還能自定義顯示選項(xiàng)。圖表統(tǒng)計(jì)：提供靈活的圖表自定義功能，用戶可以創(chuàng)建各種類型的圖表，還支持采集和顯示每個(gè)協(xié)議和網(wǎng)絡(luò)端點(diǎn)的數(shù)據(jù)圖表。報(bào)表統(tǒng)計(jì)：自動(dòng)生成多種類型的報(bào)表，包括概要統(tǒng)計(jì)、診斷統(tǒng)計(jì)、TOP N統(tǒng)計(jì)等報(bào)表。統(tǒng)計(jì)分析是對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控和實(shí)時(shí)分析，并將統(tǒng)計(jì)結(jié)果自動(dòng)展現(xiàn)在各個(gè)視圖中。6.1.4 系統(tǒng)界面1.系統(tǒng)主菜

6、單主要包含系統(tǒng)主菜單、功能區(qū)、節(jié)點(diǎn)瀏覽器、主視圖區(qū)、警報(bào)瀏覽器和分析狀態(tài)欄這6部分.捕捉部分：網(wǎng)絡(luò)適配器是選擇和確認(rèn)捕獲數(shù)據(jù)的網(wǎng)絡(luò)適配器；過濾器是啟用過濾功能，顯示符合條件的捕獲數(shù)據(jù)包；開始和停止按鈕用于控制數(shù)據(jù)捕獲和分析的過程。網(wǎng)絡(luò)檔案設(shè)置部分：包括基本設(shè)置、網(wǎng)絡(luò)分組和名字表等。分析方案設(shè)置部分包括：要分析的對(duì)象、數(shù)據(jù)包存儲(chǔ)設(shè)置、日志設(shè)置、診斷設(shè)置等。數(shù)據(jù)存儲(chǔ)部分：對(duì)數(shù)據(jù)包和日志文件的保存進(jìn)行設(shè)置，這些功能要在開始分析任務(wù)之前配置完畢。儀表盤部分：顯示當(dāng)前網(wǎng)絡(luò)的實(shí)際利用率和正在運(yùn)行的分析工程的每秒數(shù)據(jù)包個(gè)數(shù)。流量趨勢(shì)圖實(shí)時(shí)顯示當(dāng)前網(wǎng)絡(luò)流量趨勢(shì)。數(shù)據(jù)包緩存部分直觀地顯示當(dāng)前捕捉的數(shù)據(jù)包對(duì)緩存的

7、占用情況；可以對(duì)數(shù)據(jù)包緩存進(jìn)行導(dǎo)出、清空和鎖定等操作。2.全局功能區(qū)(1)分析標(biāo)簽:主要用于分析工程中相關(guān)信息的設(shè)置和修改。(2)系統(tǒng)標(biāo)簽：包括資源和產(chǎn)品兩部分資源部分用于訪問科來官方網(wǎng)站和CSNA網(wǎng)絡(luò)分析社區(qū)；產(chǎn)品部分用于檢查產(chǎn)品的授權(quán)號(hào)碼和更新軟件、查看當(dāng)前軟件版本等相關(guān)信息。(3)工具標(biāo)簽：包含系統(tǒng)自帶的網(wǎng)絡(luò)分析小工具：ping工具、數(shù)據(jù)包播放器、數(shù)據(jù)包生成器和MAC地址掃描器等。這些工具用于分析和檢測(cè)特殊網(wǎng)絡(luò)狀況。(4)視圖標(biāo)簽：顯示/隱藏、物理地址顯示格式和IP地址顯示格式顯示/隱藏部分用于選擇是否顯示或隱藏節(jié)點(diǎn)瀏覽器/警報(bào)瀏覽器以及在線資源窗口。物理地址顯示格式部分用于設(shè)置物理地址

8、顯示格式：僅顯示物理地址、僅顯示物理名字、同時(shí)顯示物理名字和地址，以及顯示物理廠商。IP地址顯示格式部分用于設(shè)置節(jié)點(diǎn)IP地址的顯示方式，包括僅顯示IP地址、僅顯示IP名字、IP名字和地址3個(gè)選項(xiàng)。3.節(jié)點(diǎn)瀏覽器節(jié)點(diǎn)瀏覽器工具欄能夠快速選擇需要查看的節(jié)點(diǎn)，查看該節(jié)點(diǎn)對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)。用戶可以很方便地定位到整個(gè)網(wǎng)絡(luò)，也可以定位到某個(gè)IP段，或某個(gè)IP地址。4.警報(bào)瀏覽器警報(bào)瀏覽器主要提供實(shí)時(shí)的全局警報(bào)，以醒目的方式提醒管理員當(dāng)前發(fā)生的事件，并在主視圖右下角最小化顯示當(dāng)前觸發(fā)的警報(bào)數(shù)量。警報(bào)類型分為安全警報(bào)、性能警報(bào)和故障警報(bào)3類。5.狀態(tài)欄狀態(tài)欄最左側(cè)是當(dāng)前網(wǎng)絡(luò)分析工程的基本情況和分析方案名稱，通過

9、它可以快速了解當(dāng)前分析的方案。左邊第二個(gè)按鈕是選擇適配器按鈕，此處顯示當(dāng)前分析工程中使用的網(wǎng)絡(luò)適配器，已經(jīng)選用的網(wǎng)絡(luò)適配器和可以選用的適配器均顯示。過濾按鈕顯示當(dāng)前分析工程是否使用了過濾器，使用過濾器時(shí)，過濾器按鈕為點(diǎn)亮狀態(tài)，未啟用時(shí)，過濾器按鈕為灰色。持續(xù)時(shí)間部分顯示當(dāng)前工程中已經(jīng)持續(xù)捕獲和分析的時(shí)間。捕獲狀態(tài)顯示在當(dāng)前分析工程中捕獲的數(shù)據(jù)包個(gè)數(shù)和過濾的數(shù)據(jù)包個(gè)數(shù)。6.系統(tǒng)選項(xiàng)（1）解碼器選項(xiàng)顯示系統(tǒng)支持的所有協(xié)議解碼模塊，可以選擇和組合協(xié)議解碼模塊進(jìn)行解碼分析。（2）定制協(xié)議分析一個(gè)目標(biāo)網(wǎng)絡(luò)時(shí)，允許用戶根據(jù)自己的需要定義未知協(xié)議。（3）定時(shí)分析添加定時(shí)分析任務(wù)，當(dāng)達(dá)到指定時(shí)間時(shí)，系統(tǒng)自動(dòng)開

10、始捕捉數(shù)據(jù)并進(jìn)行分析。6.1.5 過濾器通過過濾器，可以只捕獲所需的特定數(shù)據(jù)包，把重要的數(shù)據(jù)分離出來。1.使用簡(jiǎn)單過濾器簡(jiǎn)單過濾器可以使用一些常用的條件對(duì)數(shù)據(jù)包進(jìn)行篩選和過濾，也可以設(shè)定數(shù)據(jù)包的傳輸方向。2使用高級(jí)過濾器高級(jí)過濾器增加了“數(shù)據(jù)包值”、數(shù)據(jù)包大小和數(shù)據(jù)包模式配置3個(gè)篩選條件，并提供了多種邏輯關(guān)系組合條件對(duì)數(shù)據(jù)包進(jìn)行篩選。（1）使用數(shù)據(jù)包值進(jìn)行過濾（2）使用數(shù)據(jù)包大小進(jìn)行過濾（3）通過數(shù)據(jù)包內(nèi)容進(jìn)行過濾系統(tǒng)提供了“我的圖表”功能，讓統(tǒng)計(jì)分析數(shù)據(jù)的展現(xiàn)更為直觀易讀。系統(tǒng)提供的視圖有折線圖、柱狀圖、面積圖、餅圖等多種形式。除了系統(tǒng)提供的內(nèi)建圖表形式以外，系統(tǒng)還提供了自定義圖表功能。6.

11、2 常規(guī)分析視圖6.2.1 我的圖表單擊圖表視圖工具欄中的“新建面板”按鈕，可新建一個(gè)圖表面板。針對(duì)網(wǎng)絡(luò)中不同節(jié)點(diǎn)的性質(zhì)，圖表功能為不同的網(wǎng)絡(luò)節(jié)點(diǎn)提供了多種數(shù)據(jù)類型的統(tǒng)計(jì)。建立圖表之后，如果需要更改圖表類型，可以在圖表顯示區(qū)單擊鼠標(biāo)右鍵，在快捷菜單中選擇適當(dāng)?shù)膱D表類型或者圖例類型，以及刷新時(shí)間等選項(xiàng)。6.2.2 診斷視圖診斷視圖主要提供專家診斷功能，系統(tǒng)將診斷的網(wǎng)絡(luò)事件按OSI模型分層顯示，實(shí)時(shí)報(bào)告網(wǎng)絡(luò)中出現(xiàn)的錯(cuò)誤和故障，并分析故障原因，準(zhǔn)確定位故障點(diǎn)的位置，提供有關(guān)故障的專家建議。系統(tǒng)提供的診斷視圖分隔成3個(gè)子窗口，包括診斷分層、診斷發(fā)生的地址以及詳細(xì)的事件描述窗口。目前的產(chǎn)品支持4個(gè)層次的

12、故障診斷：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層。故障信息按類型分為故障、性能和安全3種。通過協(xié)議視圖對(duì)各協(xié)議占用的網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)。協(xié)議統(tǒng)計(jì)視圖采用樹狀層級(jí)方式顯示網(wǎng)絡(luò)中使用的全部協(xié)議。系統(tǒng)提供詳細(xì)的協(xié)議參數(shù)統(tǒng)計(jì)，包括通信流量、數(shù)據(jù)包個(gè)數(shù)、每秒字節(jié)數(shù)、每秒比特?cái)?shù)等多種參數(shù)。6.2.3 協(xié)議視圖在端口視圖中，對(duì)捕獲的數(shù)據(jù)包進(jìn)行詳細(xì)分析，展示網(wǎng)絡(luò)中的端口信息，列出了端口號(hào)、協(xié)議類型、數(shù)據(jù)包數(shù)量、字節(jié)數(shù)等多種參數(shù)，并在下方的窗口中顯示與當(dāng)前選定端口關(guān)聯(lián)的TCP會(huì)話或者UDP會(huì)話。6.2.4 端口視圖數(shù)據(jù)包視圖主要用于查看數(shù)據(jù)包解碼的相關(guān)內(nèi)容。數(shù)據(jù)包解碼由概要解碼、字段解碼、十六進(jìn)制解碼組成。6.2.5

13、 數(shù)據(jù)包視圖數(shù)據(jù)包的概要信息（作用以及提取的重要值）。網(wǎng)絡(luò)中數(shù)據(jù)包的類型。網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否正確。網(wǎng)絡(luò)中IP數(shù)據(jù)包的版本。目標(biāo)主機(jī)是否在運(yùn)行客戶端主機(jī)請(qǐng)求的服務(wù)。源主機(jī)到目標(biāo)主機(jī)間的路由時(shí)間（即鏈路長(zhǎng)度）。目標(biāo)主機(jī)對(duì)客戶端主機(jī)請(qǐng)求的服務(wù)的響應(yīng)時(shí)間。網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是否為緊急數(shù)據(jù)。數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過的路由跳數(shù)。網(wǎng)絡(luò)中是否存在環(huán)路現(xiàn)象。用戶訪問目標(biāo)主機(jī)某服務(wù)的原始步驟。是否存在偽造數(shù)據(jù)包，即不正常的數(shù)據(jù)通信。TCP數(shù)據(jù)流分析是根據(jù)TCP會(huì)話的特征和通信狀態(tài)，詳細(xì)分析TCP的傳輸性能。當(dāng)網(wǎng)絡(luò)發(fā)生傳輸性能下降或基于TCP的網(wǎng)絡(luò)應(yīng)用發(fā)生故障時(shí)，這個(gè)功能可以起到非常關(guān)鍵的診斷作用。TCP數(shù)據(jù)流分析包括

14、TCP交易時(shí)序圖和TCP交易統(tǒng)計(jì)圖兩種。6.3 TCP數(shù)據(jù)流分析6.3.1 TCP交易時(shí)序圖1TCP交易列表。以客戶端或服務(wù)器的一次交易為一行顯示，一次交易由一個(gè)或多個(gè)數(shù)據(jù)包組成。2交易時(shí)序圖。在交易列表中選擇相應(yīng)的交易時(shí)，時(shí)序圖將以陰影部分顯示此次交易的時(shí)序圖。TCP交易統(tǒng)計(jì)詳細(xì)統(tǒng)計(jì)出一次TCP交易的通信數(shù)據(jù)，并以圖形顯示關(guān)鍵交易參數(shù)的時(shí)間比例，幫助用戶快速分析網(wǎng)絡(luò)傳輸性能及網(wǎng)絡(luò)應(yīng)用故障。6.3.2 TCP交易統(tǒng)計(jì)科來網(wǎng)絡(luò)分析工具提供了4個(gè)網(wǎng)絡(luò)管理和分析的工具：ping工具、MAC地址掃描器、數(shù)據(jù)包播放器、數(shù)據(jù)包生成器。6.4 網(wǎng)絡(luò)工具的使用ping工具既可以對(duì)一個(gè)IP地址，或者一個(gè)域名進(jìn)行

15、ping操作，也可以同時(shí)對(duì)多個(gè)IP地址、多個(gè)域名進(jìn)行ping操作。6.4.1 ping工具科來ping工具初始界面ping單個(gè)目標(biāo) ping多個(gè)目標(biāo)ping參數(shù)設(shè)置對(duì)話框MAC地址掃描器是自動(dòng)檢測(cè)網(wǎng)絡(luò)中IP與MAC地址對(duì)應(yīng)關(guān)系的掃描工具。掃描視圖包括IP地址、MAC地址、主機(jī)名、網(wǎng)卡廠商、比較結(jié)果6列選項(xiàng)。6.4.2 MAC地址掃描器MAC地址掃描器設(shè)置MAC地址掃描并發(fā)數(shù)數(shù)據(jù)包播放器是系統(tǒng)提供的數(shù)據(jù)包回放工具，它可以回放科來網(wǎng)絡(luò)分析系統(tǒng)的數(shù)據(jù)包文件和原始數(shù)據(jù)包文件，以重現(xiàn)網(wǎng)絡(luò)的通信情況。6.4.3 數(shù)據(jù)包播放器數(shù)據(jù)包生成器是一個(gè)強(qiáng)大的數(shù)據(jù)包生成工具，它可以對(duì)科來網(wǎng)絡(luò)分析系統(tǒng)捕獲的數(shù)據(jù)包進(jìn)行編

16、輯以及生成新的數(shù)據(jù)包文件。6.4.4 數(shù)據(jù)包生成器（1）添加和插入新數(shù)據(jù)包：可以在數(shù)據(jù)包列表窗口導(dǎo)入已捕獲的數(shù)據(jù)包，也可以使用數(shù)據(jù)包生成器提供的模板生成新的數(shù)據(jù)包（目前提供了4種數(shù)據(jù)包模板：ARP、IP、TCP、UDP）。（2）編輯數(shù)據(jù)包：可以在字段解碼窗口和十六進(jìn)制解碼窗口編輯數(shù)據(jù)包。（3）發(fā)送數(shù)據(jù)包：數(shù)據(jù)包生成器可以將編輯好的數(shù)據(jù)包文件通過指定的網(wǎng)卡發(fā)送到網(wǎng)絡(luò)。“添加數(shù)據(jù)包”對(duì)話框發(fā)送選擇的數(shù)據(jù)包發(fā)送數(shù)據(jù)包窗口 編輯數(shù)據(jù)包可以利用科來網(wǎng)絡(luò)分析系統(tǒng)檢查網(wǎng)絡(luò)故障原因，進(jìn)而排除故障。6.5 網(wǎng)絡(luò)故障案例分析6.5.1 Ping數(shù)據(jù)包丟失故障1故障描述部門A和部門B之間通過光電轉(zhuǎn)換器用光纖連接，部

17、門B還連接著一臺(tái)防火墻。在部門B進(jìn)行網(wǎng)絡(luò)測(cè)試時(shí)，在路由器上ping部門A的出口路由器，較大的包出現(xiàn)丟包現(xiàn)象，但較小的包能正常傳送。公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)2故障分析在部門B的光電轉(zhuǎn)換器和路由器之間部署科來網(wǎng)絡(luò)分析系統(tǒng)，通過端口鏡像對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行捕獲和分析。在路由器接口上進(jìn)行ping測(cè)試，并捕獲數(shù)據(jù)包。數(shù)據(jù)包捕獲數(shù)據(jù)內(nèi)容原因可能是：傳送大數(shù)據(jù)包時(shí)，由于網(wǎng)絡(luò)中“最大傳輸單元”的限制，對(duì)超大數(shù)據(jù)包會(huì)進(jìn)行分片操作。而當(dāng)每一個(gè)數(shù)據(jù)分片到達(dá)目標(biāo)端時(shí)，又要對(duì)其進(jìn)行重裝配，如果有一個(gè)數(shù)據(jù)分片丟失，重裝配就會(huì)失敗。3分析小結(jié)在本案例中，數(shù)據(jù)包經(jīng)過的是一組光電轉(zhuǎn)換設(shè)備，最有可能的是在經(jīng)過光電轉(zhuǎn)換時(shí)造成了數(shù)據(jù)包的丟失，

18、從而導(dǎo)致最終數(shù)據(jù)包發(fā)送超時(shí)。當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常數(shù)據(jù)包時(shí)，需要通過抓包來對(duì)異常數(shù)據(jù)包進(jìn)行分析和查看，弄清楚是何種數(shù)據(jù)包，以及傳輸過程中對(duì)數(shù)據(jù)包做了哪些處理。通過對(duì)異常數(shù)據(jù)包的檢查和分析，一般可以快速、準(zhǔn)確地找到網(wǎng)絡(luò)故障的原因，并將其排除。6.5.2 不定期出現(xiàn)網(wǎng)絡(luò)延遲故障1故障描述某單位的局域網(wǎng)總會(huì)不定期地出現(xiàn)網(wǎng)絡(luò)速度非常低下的問題，持續(xù)時(shí)間少則幾秒，多則幾十秒甚至數(shù)分鐘。經(jīng)過對(duì)實(shí)際情況的調(diào)查并排查了有問題的主機(jī)之后，網(wǎng)速低下的問題依然存在。某單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)2故障分析為了能夠?qū)W(wǎng)絡(luò)中的故障進(jìn)行準(zhǔn)確的定位，管理員在核心交換機(jī)上利用端口鏡像功能，將ISP1和ISP2端口的進(jìn)出流量鏡像到一個(gè)空閑端口

19、上，并連接科來網(wǎng)絡(luò)分析系統(tǒng)，對(duì)流經(jīng)核心交換機(jī)的所有數(shù)據(jù)包進(jìn)行捕獲。短時(shí)間數(shù)據(jù)包捕獲統(tǒng)計(jì)3故障重現(xiàn)長(zhǎng)時(shí)間數(shù)據(jù)包捕獲統(tǒng)計(jì)數(shù)據(jù)包視圖4故障分析通過以上的數(shù)據(jù)包捕獲可以發(fā)現(xiàn)，網(wǎng)絡(luò)中在短時(shí)間內(nèi)出現(xiàn)了大量的數(shù)據(jù)流量和大量的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包的大小固定，來源相同，發(fā)送的目的地雖然偶有不同，但是基本方向一致。因此根據(jù)這個(gè)特點(diǎn)，判斷是源節(jié)點(diǎn)上的計(jì)算機(jī)感染了病毒，導(dǎo)致不斷向外發(fā)送數(shù)據(jù)包，從而引起網(wǎng)絡(luò)性能下降。5故障排除小結(jié)網(wǎng)絡(luò)突然出現(xiàn)性能低下網(wǎng)速變慢，一般都是由于網(wǎng)絡(luò)中的流量突然增加引起的。而導(dǎo)致網(wǎng)絡(luò)流量突然增加的原因又是多種多樣的，其中病毒是一種常見的原因。具體的故障原因和故障節(jié)點(diǎn)，需要捕獲實(shí)際網(wǎng)絡(luò)中的數(shù)據(jù)包，并對(duì)數(shù)據(jù)包的特點(diǎn)進(jìn)行分析之后才能確定?？苼砭W(wǎng)絡(luò)分析系統(tǒng)提供的數(shù)據(jù)包捕獲和數(shù)據(jù)包分析工具是檢測(cè)和定位網(wǎng)絡(luò)故障的有力工具。6.5.3 ARP欺騙故障1故障描述網(wǎng)絡(luò)中的內(nèi)網(wǎng)用戶均為辦公室中的辦公用機(jī)，使用的IP地址段