《網(wǎng)絡(luò)竊密、監(jiān)聽(tīng)和防泄密技術(shù)》第10章 典型的網(wǎng)絡(luò)監(jiān)聽(tīng)與協(xié)議分析解決方案

第10章典型的網(wǎng)絡(luò)監(jiān)聽(tīng)與協(xié)議分析解決方案10.1NetworkGeneral公司(NetScout公司)解決方案10.2科來(lái)網(wǎng)絡(luò)分析系統(tǒng)201010.3其他知名公司的網(wǎng)絡(luò)監(jiān)聽(tīng)和協(xié)議分析軟件產(chǎn)品

(1)基于SNMP的簡(jiǎn)單網(wǎng)絡(luò)管理。

本類(lèi)型解決方案僅能對(duì)網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，可以獲得設(shè)備端口的實(shí)時(shí)或者歷史的流入/流出帶寬、丟包、誤包等性能指標(biāo)，但無(wú)法分析具體的用戶(hù)流量和協(xié)議組成。通過(guò)擴(kuò)展實(shí)現(xiàn)RMON和RMONII，該方法可在網(wǎng)絡(luò)2層到4層實(shí)現(xiàn)有限的端到端通信會(huì)話(huà)數(shù)據(jù)分析、TopN用戶(hù)統(tǒng)計(jì)等功能。相關(guān)的產(chǎn)品有HP的OpenViewNNM、CA的UniCenter、Oetiker的MRTG等。因其具有實(shí)現(xiàn)簡(jiǎn)單、標(biāo)準(zhǔn)統(tǒng)一、接口開(kāi)放的特點(diǎn)，故被業(yè)界廣泛采用。

(2)基于流的流量分析。

目前基于流的解決方案主要有兩種：基于sFlow和基于NetFlow。sFlow是由InMon、HP和FoundryNetworks聯(lián)合開(kāi)發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可以適應(yīng)超大網(wǎng)絡(luò)流量(如大于10Gb/s)環(huán)境下的流量分析，讓用戶(hù)詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問(wèn)題。目前，僅有HP、Foundry和ExtremeNetworks等廠商的部分型號(hào)的交換機(jī)支持sFlow。NetFlow是Cisco機(jī)構(gòu)開(kāi)發(fā)的技術(shù)，它既是一種交換技術(shù)，又是一種流量分析技術(shù)。它可以回答有關(guān)IP流量的如下問(wèn)題：誰(shuí)在什么時(shí)間、在什么地方、使用何種協(xié)議、訪問(wèn)誰(shuí)、具體的流量是多少等。

(3)基于網(wǎng)絡(luò)探針的遠(yuǎn)程分布式協(xié)議分析。

本類(lèi)型解決方案的數(shù)據(jù)抓包、分析和統(tǒng)計(jì)等功能一般都在網(wǎng)絡(luò)探針上以硬件方式實(shí)現(xiàn)，分析的結(jié)果存儲(chǔ)在探針的內(nèi)存或磁盤(pán)中，具體的前端性能與相應(yīng)的專(zhuān)業(yè)軟件有關(guān)。因此具有效率高、可靠性高、高速運(yùn)行不丟包的特點(diǎn)。這種方式可深入地對(duì)網(wǎng)絡(luò)2層、3層甚至7層的特性進(jìn)行詳細(xì)分析。常見(jiàn)的產(chǎn)品有Agilent的NetMetrix、NetScout的nGeniusPerformanceManager等。

(4)基于主機(jī)代理/便攜式協(xié)議分析器的實(shí)時(shí)抓包分析。

基于主機(jī)代理/便攜式協(xié)議分析器的實(shí)時(shí)抓包的分析技術(shù)，提供詳細(xì)的從物理層到應(yīng)用層的數(shù)據(jù)分析。但該方法主要側(cè)重于協(xié)議分析，而非用戶(hù)流量訪問(wèn)統(tǒng)計(jì)和趨勢(shì)分析，僅能在短時(shí)間內(nèi)對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析，無(wú)法滿(mǎn)足大流量、長(zhǎng)期的抓包和趨勢(shì)分析的要求。一般應(yīng)用于對(duì)小型公司的網(wǎng)絡(luò)進(jìn)行簡(jiǎn)單故障分析或?qū)Υ笮凸镜木W(wǎng)絡(luò)進(jìn)行現(xiàn)場(chǎng)局部分析等場(chǎng)合。常見(jiàn)的產(chǎn)品有NetScout的SnifferPro、Cola(科來(lái))的網(wǎng)絡(luò)協(xié)議分析器、免費(fèi)的tcpdump、ethereal等。由于基于SNMP的簡(jiǎn)單網(wǎng)絡(luò)管理在很多經(jīng)典網(wǎng)絡(luò)教材中已有詳細(xì)介紹，各種解決方案的資料也非常豐富，所以在此不再贅述。同時(shí)，Cisco網(wǎng)絡(luò)學(xué)院的各類(lèi)教材中也已經(jīng)詳細(xì)介紹了基于流的流量分析技術(shù)及其相關(guān)的解決方案，因此也不宜直接“轉(zhuǎn)載”。作者本人作為SnifferCertifiedMaster，對(duì)于NetworkGeneral和NetScout公司的相關(guān)技術(shù)及產(chǎn)品較為熟悉，因此本章將重點(diǎn)介紹這兩個(gè)公司(目前兩者已經(jīng)合并為新的NetScout)的基于軟件協(xié)議分析器和基于網(wǎng)絡(luò)探針的便攜式/分布式協(xié)議分析解決方案。我們欣喜地看到，作為國(guó)內(nèi)頂尖的公司，科來(lái)(Cola)公司憑借其強(qiáng)大的研發(fā)實(shí)力、堅(jiān)持自主創(chuàng)新的頑強(qiáng)意志和開(kāi)放友好的CSNA技術(shù)社區(qū)，正日益受到國(guó)內(nèi)外用戶(hù)的廣泛接受。因此本章也將詳細(xì)介紹科來(lái)2010網(wǎng)絡(luò)分析系統(tǒng)軟件。10.1NetworkGeneral公司(NetScout公司)解決方案

10.1.1NetworkGeneral公司和NetScout公司的淵源

成立于1984年的NetScout公司與成立于1986年的NetworkGeneral(下稱(chēng)NG)公司，同樣是網(wǎng)絡(luò)和性能分析領(lǐng)域的老牌廠商，而兩者的命運(yùn)截然不同。在20多年的發(fā)展歷史中，兩家機(jī)構(gòu)都是業(yè)內(nèi)的領(lǐng)軍廠商，而各自卻具有區(qū)別明顯的技術(shù)優(yōu)勢(shì)。NetScout更注重統(tǒng)計(jì)報(bào)告的呈現(xiàn)，為用戶(hù)提供統(tǒng)一的高層次分析和管理視圖，而NG則以強(qiáng)大的解碼功能和專(zhuān)家系統(tǒng)著稱(chēng)，其早期產(chǎn)品Sniffer

Portable(SnifferPro)至今仍是眾多網(wǎng)絡(luò)管理技術(shù)人士手邊的一把利器。

Sniffer

Portable(SnifferPro)外觀樸實(shí)而功能強(qiáng)大，參數(shù)眾多甚至十分煩瑣，但是結(jié)構(gòu)嚴(yán)謹(jǐn)，對(duì)于每一個(gè)協(xié)議，每一個(gè)事件都設(shè)計(jì)了極其具有針對(duì)性的解碼和分析模型。而正是這種嚴(yán)謹(jǐn)成就了SnifferPortable的精髓：解碼模塊和專(zhuān)家系統(tǒng)識(shí)別相互關(guān)聯(lián)的數(shù)據(jù)包，并把它們解構(gòu)成表征問(wèn)題本質(zhì)的事件和度量值。其協(xié)議解碼的深度以及專(zhuān)家系統(tǒng)針對(duì)網(wǎng)絡(luò)層和應(yīng)用層事件發(fā)現(xiàn)的廣度和精確度即使歷經(jīng)多年，也仍然保持著活力和競(jìng)爭(zhēng)力。

然而，NG在發(fā)展后期，在其旗下的眾多產(chǎn)品線中SnifferPortable僅占有了銷(xiāo)售額的一小部分，戲份更多的主角是Sniffer企業(yè)級(jí)解決方案?？吹骄W(wǎng)絡(luò)和應(yīng)用架構(gòu)的發(fā)展趨勢(shì)和市場(chǎng)需求，NG后來(lái)開(kāi)發(fā)了高性能的硬件平臺(tái)InfiniStream、面向應(yīng)用的Intelligence以及Visualizer、Administrator、NetVigil統(tǒng)一管理平臺(tái)，軟、硬件結(jié)合，分布式的三層架構(gòu)組成Sniffer企業(yè)級(jí)解決方案。同樣是面向企業(yè)級(jí)用戶(hù)，在NetScout收購(gòu)NG之前兩家機(jī)構(gòu)即是競(jìng)爭(zhēng)對(duì)手，在產(chǎn)品架構(gòu)和功能上有一定的重疊。NetScout企業(yè)級(jí)解決方案的硬件探針和nGeniusPerformanceManager(nGeniusPM)管理平臺(tái)具有深厚的技術(shù)功底，高度的統(tǒng)一性、可擴(kuò)展性和強(qiáng)大的統(tǒng)計(jì)信息報(bào)表功能更加適用于企業(yè)級(jí)應(yīng)用環(huán)境。不論是設(shè)計(jì)理念還是產(chǎn)品成熟度，NG原有的Visualizer、Administrator、NetVigil在管理平臺(tái)這個(gè)層面上都不及nGeniusPM，因此在產(chǎn)品的整合階段陸續(xù)結(jié)束生命周期也就理所當(dāng)然了。自收購(gòu)之日算起，歷經(jīng)一年的產(chǎn)品整合期，初步整合之后的新產(chǎn)品終于在2009年9月份發(fā)布。如圖10-1所示，NG原有的Sniffer

Portable(SnifferPro)轉(zhuǎn)變?yōu)镾nifferGlobal，Sniffer

InfiniStream和SnifferIntelligence被保留了下來(lái)，并且與NetScout原有的nGenius

AFMon無(wú)縫整合在一起。整合之后的新產(chǎn)品被命名為nGenius

InfiniStream，在功能上具備了原來(lái)兩家機(jī)構(gòu)各自的技術(shù)優(yōu)勢(shì)，具體體現(xiàn)在如今的InfiniStream既可以使用nGeniusPM的全部功能，又獲得了Sniffer解碼模塊、專(zhuān)家系統(tǒng)和SnifferIntelligence的絕技真?zhèn)鳌D10-1NetScout新的產(chǎn)品線10.1.2原NetworkGeneral公司解決方案系列概述

原NetworkGeneralSniffer網(wǎng)絡(luò)分析系統(tǒng)產(chǎn)品線包括分布式Sniffer(SnifferDistributed，Sniffer

Infinistream)、SnifferEnterpriseVisualizer、SnifferEnterpriseManager，從而實(shí)現(xiàn)對(duì)有線/無(wú)線網(wǎng)絡(luò)及網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)通信的長(zhǎng)期實(shí)時(shí)監(jiān)控、分析、告警和長(zhǎng)期趨勢(shì)性分析，并且和第三方的網(wǎng)絡(luò)管理平臺(tái)相集成，構(gòu)成一體化的網(wǎng)絡(luò)監(jiān)聽(tīng)、安全與管理系統(tǒng)。如圖10-2所示，包括如下幾種監(jiān)聽(tīng)設(shè)備：

(1)?SnifferVoice：用于VoIP分析，支持H323、H263和其他協(xié)議的專(zhuān)家分析，支持Jitter分析及丟包和包的統(tǒng)計(jì)。

(2)?SnifferMobile：用于無(wú)線移動(dòng)通信分析。無(wú)線移動(dòng)協(xié)議解碼和過(guò)濾，支持多種網(wǎng)絡(luò)拓?fù)洹?/p>

(3)?SnifferWireless：用于無(wú)線WLAN分析，支持802.11a/b/g，增強(qiáng)的過(guò)濾器及實(shí)時(shí)解碼。

(4)?SnifferApplicationIntelligence：用于應(yīng)用性能分析、鎖定過(guò)濾深入分析、應(yīng)用自動(dòng)發(fā)現(xiàn)、實(shí)時(shí)性能監(jiān)控。

(5)?SnifferMultiSegmentIntelligence：用于多對(duì)象關(guān)聯(lián)性分析、應(yīng)用邏輯圖分析、多網(wǎng)段流量分析、多層Web應(yīng)用分析。

(6)?SnifferDistributed：用于分布式分析。支持多種網(wǎng)絡(luò)拓?fù)浜投鄥f(xié)議、實(shí)時(shí)專(zhuān)家分析。

(7)?Sniffer

InfiniStream：用于增強(qiáng)型分布式大型網(wǎng)絡(luò)分析。支持實(shí)時(shí)統(tǒng)計(jì)監(jiān)控和告警，長(zhǎng)期千兆線速捕獲網(wǎng)絡(luò)流量，具備數(shù)據(jù)挖掘能力，長(zhǎng)期捕獲能力。

(8)?SnifferPortable：便攜式分析軟件，可安裝在PC上，隨時(shí)進(jìn)行本地?cái)?shù)據(jù)包捕獲，實(shí)時(shí)解碼和專(zhuān)家分析，實(shí)時(shí)監(jiān)控。國(guó)內(nèi)使用最多、最廣泛的也是該軟件。圖10-2原NetworkGeneralSniffer產(chǎn)品體系10.1.3NetScout

nGenius性能管理解決方案

1．?dāng)?shù)據(jù)源1—NetScout硬件RMON、VoIP、URTMIB探針

對(duì)網(wǎng)絡(luò)端到端的可視性是性能管理的重要環(huán)節(jié)。數(shù)據(jù)源則是網(wǎng)絡(luò)可視性的基礎(chǔ)。NetScout硬件探針為用戶(hù)提供了豐富、可靠的數(shù)據(jù)源。NetScout硬件探針包含RMONMIB、VoIPMIB和監(jiān)控響應(yīng)時(shí)間的URTMIB(UniversalResponseTimeMIB)，獲取有關(guān)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施性能的重要信息。這些有關(guān)網(wǎng)絡(luò)性能的信息包括網(wǎng)流和應(yīng)用的使用率、會(huì)話(huà)、錯(cuò)誤情況、資源利用率、響應(yīng)時(shí)間和數(shù)據(jù)捕捉。NetScout硬件探針支持多種多樣的網(wǎng)絡(luò)類(lèi)型、協(xié)議和應(yīng)用系統(tǒng)。這些硬件探針獨(dú)特的可擴(kuò)容的系統(tǒng)結(jié)構(gòu)能夠滿(mǎn)足當(dāng)今復(fù)雜的企業(yè)網(wǎng)絡(luò)的多種需求。NetScout硬件探針以“非侵入式”的工作方式采集網(wǎng)絡(luò)的流量統(tǒng)計(jì)信息，統(tǒng)計(jì)內(nèi)容包含RMON及RMON2的所有組別并覆蓋OSI的全部七層，即從物理層到應(yīng)用層，在網(wǎng)絡(luò)信息流經(jīng)過(guò)時(shí)不間斷地對(duì)其監(jiān)控(不是定時(shí)抽查)。硬件探針能透視網(wǎng)絡(luò)的復(fù)雜性。與NetScout的nGenius性能管理系統(tǒng)一起使用，硬件探針能提供最精確最強(qiáng)有力的網(wǎng)絡(luò)性能統(tǒng)計(jì)數(shù)據(jù)來(lái)達(dá)到對(duì)網(wǎng)絡(luò)任何時(shí)間任何地點(diǎn)的可視性和控制。硬件探針的優(yōu)點(diǎn)還包括：

(1)同時(shí)支持監(jiān)控語(yǔ)音的VoIPMIB、監(jiān)控應(yīng)用程序和網(wǎng)站響應(yīng)時(shí)間的URTMIB；

(2)以透明方式工作，不影響網(wǎng)絡(luò)性能；

(3)支持多種網(wǎng)絡(luò)拓?fù)洌↙AN/WAN、千兆、ATM、SDH/SONET、SAN；

(4)能夠透視網(wǎng)絡(luò)，取得任何時(shí)間任何地點(diǎn)的可視性；

(5)對(duì)虛擬網(wǎng)絡(luò)提供廣泛的支持；

(6)同時(shí)監(jiān)測(cè)多個(gè)VLAN、DLCI和PVC；

(7)為聯(lián)網(wǎng)的應(yīng)用信息流提供端到端的可視性。

NetScout網(wǎng)絡(luò)探針支持對(duì)多種鏈路的監(jiān)聽(tīng)，包括10/100/1000兆以太網(wǎng)、千兆EtherChannel、T1/E1WAN、OC-3/OC-12ATM、PoS(PacketoverSONET/SDH)以及SAN(StorageAreaNetwork)。NetScout網(wǎng)絡(luò)探針能支持不同的接口，型號(hào)超過(guò)120種。每部網(wǎng)絡(luò)探針最多能監(jiān)控8個(gè)同拓?fù)涞逆溌罚⒛鼙O(jiān)控負(fù)載均衡、冗余備份鏈路，是業(yè)界首創(chuàng)。NetScout的探針均能放置于機(jī)架上，有1U和3U的規(guī)格，并符合國(guó)際電器ClassA安全標(biāo)準(zhǔn)，安裝于機(jī)房，能24小時(shí)安全運(yùn)行。

2．?dāng)?shù)據(jù)源2—仿真代理

仿真代理(ActiveTestAgent)可以讓管理員根據(jù)其需要，設(shè)置模擬應(yīng)用層業(yè)務(wù)請(qǐng)求(transaction)，從客戶(hù)端按照所設(shè)定的間隔定時(shí)發(fā)出，并由探針的URTMIB收集，以實(shí)現(xiàn)24小時(shí)服務(wù)水平監(jiān)控(SeviceLevelManagement)。仿真代理是一個(gè)微型的Java程序，安裝在一般的PC上，所占用的資源很少，而且由管理員完全操控，并可以即插即用，不必長(zhǎng)期放在網(wǎng)絡(luò)上。因?yàn)榉抡娲硎前此ㄩg隔自動(dòng)模擬的，所以在任何時(shí)候都能夠進(jìn)行模擬并量度服務(wù)水平數(shù)值，就像24小時(shí)都有人訪問(wèn)服務(wù)器，讓管理員真正確保服務(wù)器24小時(shí)也能提供良好和不中斷的服務(wù)，是排除應(yīng)用程序和網(wǎng)站內(nèi)容響應(yīng)問(wèn)題的理想工具。當(dāng)有客戶(hù)報(bào)告問(wèn)題時(shí)，管理員就能夠遠(yuǎn)程控制屬于客戶(hù)當(dāng)?shù)氐摹胺抡娲怼?，或馬上拿一臺(tái)已安裝“仿真代理”的筆記本電腦到現(xiàn)場(chǎng)，進(jìn)行不同的應(yīng)用程序測(cè)試。這包括了網(wǎng)上業(yè)務(wù)(E-commerce)、DNS、數(shù)據(jù)庫(kù)、網(wǎng)站瀏覽(Web)、E-mail等。測(cè)試是透過(guò)“仿真代理”的Java程序，模仿客戶(hù)訪問(wèn)服務(wù)的行為，記錄整個(gè)過(guò)程的響應(yīng)時(shí)間。測(cè)試結(jié)果會(huì)傳到同時(shí)監(jiān)控這個(gè)客戶(hù)的探針，探針會(huì)把這個(gè)結(jié)果儲(chǔ)存在探針內(nèi)存(RAM)中的URTMIB。nGeniusPM會(huì)訪問(wèn)探針，把URTMIB和RMONMIB存放在nGeniusPM的數(shù)據(jù)庫(kù)中。

3．管理軟件—nGeniusPerformanceManager

nGeniusPerformanceManager(簡(jiǎn)稱(chēng)nGeniusPM)是一個(gè)單一、擴(kuò)展性高、基于Web的平臺(tái)。這個(gè)平臺(tái)通過(guò)實(shí)時(shí)性和歷史性的監(jiān)控、預(yù)防性的故障排除、VoIP電話(huà)監(jiān)控、容量計(jì)劃及自動(dòng)化報(bào)表生成等功能來(lái)幫助優(yōu)化網(wǎng)絡(luò)性能。PM從各種RMON數(shù)據(jù)源收集統(tǒng)計(jì)數(shù)據(jù)，提供對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)性能全面的可視性。PM將各種管理工具整合在一起組成一個(gè)全面的解決方案，從而提高網(wǎng)絡(luò)運(yùn)作和網(wǎng)絡(luò)管理工作人員的效率。

nGeniusPM是NetScout作為數(shù)據(jù)收集、分析和綜合的網(wǎng)絡(luò)管理平臺(tái)，同時(shí)包含實(shí)時(shí)監(jiān)控與歷史趨勢(shì)分析，分析的數(shù)據(jù)能從路由器、交換機(jī)、服務(wù)器、NetFlow、sFlow、nGenius網(wǎng)絡(luò)探針。nGeniusPM主要提供下面網(wǎng)絡(luò)性能管理方面的6大需求的解決方案：

(1)故障排除(FaultTroubleshooting)；

(2)故障預(yù)防(FaultPrevention)；

(3)服務(wù)水平管理(ServiceLevelManagement)；

(4)應(yīng)用效能監(jiān)控(ApplicationPerformanceMonitoring)；

(5)網(wǎng)絡(luò)監(jiān)控(NetworkMonitoring)；

(6)容量計(jì)劃和趨勢(shì)分析(CapacityPlanningandTrendAnalysis)。透過(guò)使用通用瀏覽器(如InternetExplorer或Netscape)，網(wǎng)絡(luò)管理員連接到nGeniusPM，實(shí)現(xiàn)6種網(wǎng)絡(luò)性能管理功能，它們的內(nèi)容和特點(diǎn)如下：

(1)實(shí)時(shí)監(jiān)控和故障排除。

PM與安置在網(wǎng)絡(luò)中的NetScout硬件探針一起持續(xù)不斷地監(jiān)測(cè)網(wǎng)絡(luò)性能并主動(dòng)地提供告警，從而使網(wǎng)管員能及時(shí)迅速解決問(wèn)題，避免對(duì)業(yè)務(wù)產(chǎn)生影響。PM實(shí)時(shí)地顯示哪些應(yīng)用和哪些用戶(hù)在影響網(wǎng)絡(luò)性能。對(duì)于比較復(fù)雜的問(wèn)題，用戶(hù)可以進(jìn)行基于Web的數(shù)據(jù)包捕捉和解碼。PM使用戶(hù)能同時(shí)監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)、單個(gè)網(wǎng)段或一組網(wǎng)段，可減少用戶(hù)花在診斷上的時(shí)間。①實(shí)時(shí)了解網(wǎng)絡(luò)流量情況(包括網(wǎng)絡(luò)探針、路由器、交換機(jī)、NetFlow/sFlow信息)；

②數(shù)據(jù)包捕獲，協(xié)議解碼分析；

③實(shí)時(shí)提供網(wǎng)絡(luò)上各鏈路的應(yīng)用分類(lèi)、吞吐量和利用率，了解網(wǎng)絡(luò)情況；

④主動(dòng)式預(yù)先告警，并得到導(dǎo)致告警的應(yīng)用、主機(jī)和通信對(duì)，了解流量異常的根源；

⑤病毒的根源，包括發(fā)病毒的IP主機(jī)、被攻擊的目標(biāo)IP地址、病毒的特征、出現(xiàn)的網(wǎng)段；

⑥協(xié)議解碼：每個(gè)包最高層匯總、規(guī)程分析、原始碼(Hex和ASCII顯示)。

(2)故障預(yù)防。

①主動(dòng)式觸發(fā)告警，提早獲得流量異常的提示，預(yù)防問(wèn)題的發(fā)生；

②告警門(mén)限可根據(jù)總流量、廣播包占用量、包CRCErrors、Multicast包占用量、不同應(yīng)用的時(shí)延設(shè)置；

③探針默認(rèn)每60秒查看一次，一旦發(fā)現(xiàn)達(dá)到所設(shè)定的門(mén)限，探針即發(fā)出告警到nGeniusPM和指定的SNMPTrap接收系統(tǒng)(例如惠普OpenView)。

(3)服務(wù)級(jí)別管理。

①同時(shí)反映應(yīng)用程序的響應(yīng)與網(wǎng)絡(luò)效率的關(guān)系；

②數(shù)據(jù)具體到每種應(yīng)用、每個(gè)服務(wù)器與用戶(hù)；

③同時(shí)具備實(shí)時(shí)與歷史數(shù)據(jù)；

④能區(qū)分網(wǎng)絡(luò)傳輸時(shí)間與服務(wù)器響應(yīng)時(shí)間；

⑤確定時(shí)延導(dǎo)致根源，分析究竟是服務(wù)器、應(yīng)用，還是網(wǎng)絡(luò)造成的。

(4)應(yīng)用效能監(jiān)控。

①簡(jiǎn)單方式定制需要監(jiān)控的新應(yīng)用；

②對(duì)于標(biāo)準(zhǔn)的應(yīng)用，會(huì)通過(guò)AutoApplicationsDiscovery(自動(dòng)應(yīng)用識(shí)別)功能，根據(jù)TCP和UDP端口號(hào)來(lái)自動(dòng)監(jiān)控；

③?IP語(yǔ)音監(jiān)控，分析IP語(yǔ)音的丟包、抖動(dòng)、帶寬占用情況；

④儲(chǔ)存網(wǎng)(SAN)監(jiān)控，分析儲(chǔ)存設(shè)備的讀/寫(xiě)效能；

⑤顯示全雙工信息入站、出站和總流量。

(5)網(wǎng)絡(luò)監(jiān)控。

①支持監(jiān)控路由器的SNMPMIB2和幀中繼MIB、交換機(jī)的SNMPRMONMIB、HubMIB、服務(wù)器SNMPMIB2、防火墻SNMPMIB等等；

②支持CiscoNetFlow和FoundrysFlow監(jiān)控；

③再加上網(wǎng)絡(luò)探針，監(jiān)控主干上的OSI7層流量信息；

④于同一個(gè)圖中，顯示多個(gè)網(wǎng)點(diǎn)信息，作簡(jiǎn)易和直觀的比較；

⑤于同一個(gè)圖中，顯示同一交換機(jī)或不同交換機(jī)所有端口的總流量、誤碼、廣播風(fēng)暴、包大小、包類(lèi)型等鏈路層資料；

⑥全雙工界面上的入站、出站和全部的統(tǒng)計(jì)數(shù)據(jù)顯示。PM在鏈接層、協(xié)議層和應(yīng)用層使用圖中都顯示入站、出站和總流量信息。

(6)容量計(jì)劃和報(bào)告。

PM提供有數(shù)量依據(jù)的信息來(lái)支持容量計(jì)劃方面的決定。PM幫助用戶(hù)把握什么是用戶(hù)網(wǎng)絡(luò)的“正?！本W(wǎng)流以?xún)?yōu)化網(wǎng)絡(luò)資源。它同時(shí)幫助用戶(hù)預(yù)防性地管理和規(guī)劃網(wǎng)絡(luò)增長(zhǎng)，防止瓶頸，減少費(fèi)用。借助PM提供的各應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)資源消耗情況的演示報(bào)告、增長(zhǎng)趨勢(shì)和使用模式分析功能，用戶(hù)可以調(diào)整活動(dòng)時(shí)間，重新將信息流分配給不同的網(wǎng)段，或者制定新的使用規(guī)章制度，并為制定增長(zhǎng)方針提供依據(jù)。PM能夠提供從網(wǎng)絡(luò)總體性能評(píng)估到各網(wǎng)段具體資源消耗情況的各種類(lèi)型的報(bào)表，滿(mǎn)足從高層領(lǐng)導(dǎo)到網(wǎng)絡(luò)維護(hù)工程師的不同需求。10.1.4SnifferPortablePro便攜式網(wǎng)絡(luò)分析儀

SnifferPortablePro是一款一流的便攜式網(wǎng)絡(luò)和應(yīng)用故障診斷分析軟件，不管是在有線網(wǎng)絡(luò)還是在無(wú)線網(wǎng)絡(luò)中，它都能夠賦予網(wǎng)絡(luò)管理人員實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)視、數(shù)據(jù)包捕獲以及故障診斷分析能力?；赟nifferPortablePro的便攜式軟件解決方案具有很高的性?xún)r(jià)比，能為用戶(hù)提供針對(duì)網(wǎng)絡(luò)/應(yīng)用問(wèn)題的快速現(xiàn)場(chǎng)分析和故障診斷能力。建立在行業(yè)內(nèi)最領(lǐng)先并且廣泛使用的網(wǎng)絡(luò)分析軟件基礎(chǔ)之上，SnifferPortablePro具備出色的網(wǎng)絡(luò)和應(yīng)用性能故障診斷功能。智能化的專(zhuān)家分析系統(tǒng)協(xié)助用戶(hù)在進(jìn)行數(shù)據(jù)包捕獲、實(shí)時(shí)解碼的同時(shí)快速識(shí)別各種異常事件；數(shù)據(jù)包解碼模塊支持廣泛的網(wǎng)絡(luò)和應(yīng)用協(xié)議，不僅僅限于Oracle，還包括VoIP類(lèi)協(xié)議金融行業(yè)專(zhuān)用協(xié)議和移動(dòng)網(wǎng)絡(luò)類(lèi)協(xié)議等。SnifferPortablePro不僅提供直觀易用的儀表板、各種統(tǒng)計(jì)數(shù)據(jù)和邏輯拓?fù)湟晥D，而且提供能夠深入到數(shù)據(jù)包的點(diǎn)擊關(guān)聯(lián)分析能力。在同一平臺(tái)上支持10/100/1000M以太網(wǎng)絡(luò)以及802.11a/b/g/n網(wǎng)絡(luò)分析，因此，不管是有線網(wǎng)絡(luò)還是無(wú)線網(wǎng)絡(luò)，都具備相同的操作方式和分析功能，有效減少了因管理人員的桌面工具過(guò)多而帶來(lái)的額外工作量，極大加速了故障診斷速度。

SnifferPortablePro采用儀表板視圖的方式向用戶(hù)實(shí)時(shí)提供各種網(wǎng)絡(luò)流量和應(yīng)用性能的統(tǒng)計(jì)信息視圖，這些視圖描繪了網(wǎng)絡(luò)流量和應(yīng)用性能相關(guān)的重要數(shù)據(jù)，借助這些視圖，管理人員可以快速了解當(dāng)前的網(wǎng)絡(luò)活動(dòng)以及應(yīng)用的運(yùn)行狀態(tài)。SnifferPortablePro能夠?qū)钟蚓W(wǎng)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)分析，如圖10-3和表10-1所示，根據(jù)用戶(hù)習(xí)慣，對(duì)每個(gè)鏈路上的網(wǎng)絡(luò)流量可以提供以表格或圖形(條形圖、餅狀圖和矩陣圖等)方式顯示的統(tǒng)計(jì)分析結(jié)果，內(nèi)容包括：

(1)網(wǎng)絡(luò)總體流量實(shí)時(shí)監(jiān)控統(tǒng)計(jì)：如當(dāng)前網(wǎng)絡(luò)利用率和平均網(wǎng)絡(luò)利用率、總幀數(shù)和當(dāng)前幀數(shù)、字節(jié)數(shù)、總網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)和激活的網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)、當(dāng)前幀數(shù)和總的平均幀長(zhǎng)等。

(2)協(xié)議使用和分布統(tǒng)計(jì)：如協(xié)議類(lèi)型、協(xié)議數(shù)量、協(xié)議的網(wǎng)絡(luò)利用率、協(xié)議的字節(jié)數(shù)以及每種協(xié)議中各種不同類(lèi)型的幀的數(shù)量等。Sniffer包含通用的TCP和UDP網(wǎng)絡(luò)應(yīng)用協(xié)議如HTTP、Telnet、SNMP和FTP等。同時(shí)，Sniffe特有的靈活性，允許增加自定義的應(yīng)用。一旦應(yīng)用協(xié)議加入Sniffer，針對(duì)應(yīng)用的所有監(jiān)控、報(bào)警和報(bào)告便自動(dòng)生效。

(3)包尺寸分布統(tǒng)計(jì)：如某一幀長(zhǎng)的幀所占百分比、某一幀長(zhǎng)的幀數(shù)等。

(4)錯(cuò)誤信息統(tǒng)計(jì)：如錯(cuò)誤的CRC校驗(yàn)數(shù)、發(fā)生的碰撞數(shù)、錯(cuò)誤幀數(shù)等。

(5)主機(jī)流量實(shí)時(shí)監(jiān)控統(tǒng)計(jì)：如進(jìn)出每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的總字節(jié)數(shù)和數(shù)據(jù)包數(shù)、前x個(gè)最忙的網(wǎng)絡(luò)節(jié)點(diǎn)等。

(6)會(huì)話(huà)對(duì)流量實(shí)時(shí)監(jiān)控統(tǒng)計(jì)：每對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)間傳送的總字節(jié)數(shù)和數(shù)據(jù)包數(shù)、前x個(gè)最忙的會(huì)話(huà)節(jié)點(diǎn)對(duì)等。圖10-3SnifferPortablePro的實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)分析功能界面

(7)?Sniffer還提供歷史統(tǒng)計(jì)分析功能，可以使用戶(hù)查看網(wǎng)絡(luò)中一段時(shí)間內(nèi)的流量運(yùn)行狀況，幫助用戶(hù)更好地進(jìn)行流量分析和監(jiān)控。

Sniffer可以設(shè)置監(jiān)視(Monitor)、捕獲(Capture)和顯示(Display)三種類(lèi)型的過(guò)濾器，每種過(guò)濾器可以根據(jù)不同的條件，如網(wǎng)段、IP地址、MAC地址、協(xié)議類(lèi)型、數(shù)據(jù)包大小、數(shù)據(jù)包錯(cuò)誤類(lèi)型(RuntFrames、OversizeFrames、CRCerrors、Fragments、Jabbers、Alignmenterrors)、數(shù)據(jù)包內(nèi)容等，并可根據(jù)上述不同條件進(jìn)行邏輯與、或、非組合。定義過(guò)濾器時(shí)可以從一個(gè)樣本文件(Profile)中導(dǎo)入，可以通過(guò)將捕獲的數(shù)據(jù)包解碼后設(shè)置，也可以手工編寫(xiě)。過(guò)濾器可以根據(jù)地址、通信內(nèi)容、大小、協(xié)議種類(lèi)進(jìn)行多種條件的疊加過(guò)濾，集中針對(duì)相應(yīng)主機(jī)、網(wǎng)段、應(yīng)用、協(xié)議進(jìn)行深入的故障管理。通過(guò)定義過(guò)濾器，網(wǎng)絡(luò)管理員可以快速縮減特定問(wèn)題的監(jiān)視范圍，確保相應(yīng)網(wǎng)絡(luò)中的問(wèn)題能夠被及時(shí)追蹤和排除。實(shí)時(shí)Expert分析可實(shí)時(shí)查找網(wǎng)絡(luò)異常，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)問(wèn)題。根據(jù)對(duì)當(dāng)前情況的綜合分析來(lái)查找引起網(wǎng)絡(luò)速度下降或中斷的原因。這種自動(dòng)化的分析加快了解決問(wèn)題的速度，提高了網(wǎng)絡(luò)管理員的工作效率。Sniffer在監(jiān)控網(wǎng)絡(luò)流量和性能的同時(shí)，更加關(guān)注網(wǎng)絡(luò)應(yīng)用的運(yùn)行狀況和性能管理。應(yīng)用響應(yīng)時(shí)間(ART)功能是Sniffer中重要的組成部分，不僅提供對(duì)應(yīng)用響應(yīng)時(shí)間的實(shí)時(shí)監(jiān)控，也提供對(duì)應(yīng)用響應(yīng)時(shí)間的長(zhǎng)期監(jiān)控和分析能力。首先ART監(jiān)控功能提供了整體的應(yīng)用性能響應(yīng)時(shí)間，讓用戶(hù)以多種方式把握當(dāng)前網(wǎng)絡(luò)通信中的各類(lèi)應(yīng)用響應(yīng)時(shí)間的對(duì)比情況，如客戶(hù)機(jī)/服務(wù)器響應(yīng)時(shí)間、最快響應(yīng)時(shí)間、最慢響應(yīng)時(shí)間、平均響應(yīng)時(shí)間和90%的請(qǐng)求的響應(yīng)時(shí)間等。主要應(yīng)用環(huán)境：

網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)故障診斷；

應(yīng)用流量分析及故障診斷(已上線或?qū)⒁暇€的應(yīng)用)；

網(wǎng)絡(luò)病毒流量、異常流量檢測(cè)；

無(wú)線網(wǎng)絡(luò)分析、非法接入設(shè)備檢查；

網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)行為審計(jì)。關(guān)鍵特性：

便攜式軟件，接入靈活，操作方便；

提高網(wǎng)絡(luò)和應(yīng)用的故障診斷速度；

儀表板式圖形化分析界面，并關(guān)聯(lián)至深入的數(shù)據(jù)包分析；

在同一平臺(tái)上支持有線和無(wú)線網(wǎng)絡(luò)分析；

具備一流的網(wǎng)絡(luò)和應(yīng)用分析功能。

SnifferPortablePro3.0便攜式應(yīng)用故障診斷分析軟件具有上千種協(xié)議分析和數(shù)百種專(zhuān)家分析模塊，增加了對(duì)新協(xié)議的支持，主要包括移動(dòng)網(wǎng)絡(luò)專(zhuān)用協(xié)議(BSSGP等)、VoIP協(xié)議(Megaco、CiscoSCCP)、金融行業(yè)專(zhuān)用協(xié)議(FIX4.0、IBMLLM等)、結(jié)合了最新的802.11n/a/b/g等無(wú)線網(wǎng)絡(luò)(WLAN)分析、TD-SCDMA/CDMA2000/WCDMA等3G核心網(wǎng)絡(luò)分析以及數(shù)據(jù)庫(kù)中間件等分析能力。當(dāng)今機(jī)構(gòu)的信息化環(huán)境中，數(shù)據(jù)庫(kù)一直扮演著極其重要的角色，它往往是后臺(tái)的核心，管理著對(duì)機(jī)構(gòu)至關(guān)重要的各種數(shù)據(jù)。既然支撐著大部分機(jī)構(gòu)的核心數(shù)據(jù)，那么如何保證其始終運(yùn)行在良好的狀態(tài)，則一直是網(wǎng)絡(luò)管理團(tuán)隊(duì)關(guān)注的問(wèn)題。因?yàn)橛脩?hù)都清楚，數(shù)據(jù)庫(kù)如果發(fā)生性能問(wèn)題，那么會(huì)對(duì)各種業(yè)務(wù)都產(chǎn)生不良的影響，而一旦數(shù)據(jù)庫(kù)出現(xiàn)嚴(yán)重故障，帶來(lái)的則是直接的商業(yè)利益損失。當(dāng)問(wèn)題發(fā)生時(shí)，SnifferPro攜最新的DecodePackV9為數(shù)據(jù)庫(kù)應(yīng)用的性能分析提供了全新的觀察視角。作為業(yè)界對(duì)各種數(shù)據(jù)庫(kù)支持得最好的流量分析系統(tǒng)，SnifferPortableProfessional對(duì)數(shù)據(jù)庫(kù)的支持和解碼深度尤為出色，如圖10-4所示，用戶(hù)對(duì)Oracle、SQLServer、Sybase等各類(lèi)數(shù)據(jù)庫(kù)訪問(wèn)的每一個(gè)細(xì)節(jié)都無(wú)法逃過(guò)Sniffer的“眼睛”，從登錄、認(rèn)證過(guò)程、執(zhí)行SQL語(yǔ)句、獲得返回?cái)?shù)據(jù)、再繼續(xù)交互，每一步都可以通過(guò)Sniffer分析得非常透徹，并且其中每個(gè)環(huán)節(jié)的狀態(tài)和延遲差異，讓我們更直觀地把握數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)上運(yùn)行的性能。圖10-4還原整個(gè)客戶(hù)端訪問(wèn)數(shù)據(jù)庫(kù)SQL查詢(xún)數(shù)據(jù)的過(guò)程10.1.5SnifferDistributed分布式設(shè)備

SnifferDistributed支持各種主要的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、速度和連接方法。支持的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：

(1)?LAN：10/100M以太網(wǎng)(共享式、交換式、半雙工、全雙工)、100M全雙工以太網(wǎng)、千兆以太網(wǎng)(SX/LX/TX)、令牌環(huán)網(wǎng)和FDDI。

(2)?WAN(HDLC幀數(shù)據(jù))：EIA-232(RS232)、T1、E1、FractionalT1(通道和非通道)、FractionalE1(通道和非通道)、V.35、X.21(V.10/V.11)、RS-530、RS-449(RS-422/RS-423)、ISDNPRI、DS3(非通道)和HSSI。

(3)?ATM：DS1(非通道)、DS3(非通道)、E3(非通道)、OC-3cSM、MM(STM-1)、OC-12cSM和MM(STM-4)。如圖10-5所示，Sniffer分布式設(shè)備s4000系列產(chǎn)品是一個(gè)靈活的功能強(qiáng)大的平臺(tái)，支持各種主要拓?fù)浣Y(jié)構(gòu)，提供對(duì)網(wǎng)絡(luò)無(wú)以倫比的網(wǎng)絡(luò)監(jiān)視、協(xié)議解碼和Expert專(zhuān)家分析功能。采用分布式管理體系，所有數(shù)據(jù)的采集、分析工作在設(shè)備本身進(jìn)行，只將結(jié)果傳送到控制臺(tái)，極大地減少了網(wǎng)絡(luò)流量，不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)行造成影響。它提供一個(gè)ATM端口(ATMSARCard+Pod)的網(wǎng)絡(luò)監(jiān)控接口，支持OC3SMF/MMF，采用無(wú)源的分離器(Splitter)接入ATM鏈路，不會(huì)對(duì)網(wǎng)絡(luò)造成影響。圖10-5SnifferDistributeds4000圖10-6SnifferDistributeds6000使用其模塊化設(shè)計(jì)，s6040可以擴(kuò)展到容納4個(gè)全雙工的千兆位接口模塊，共支持8千兆的容量。用戶(hù)只需購(gòu)買(mǎi)當(dāng)前需要數(shù)量的接口模塊并在容量改變時(shí)添加新的模塊。SnifferTechnologiess6040提供專(zhuān)門(mén)生產(chǎn)的硬件，以使在用戶(hù)的網(wǎng)絡(luò)核心進(jìn)行快速診斷并使監(jiān)視更加容易，同時(shí)實(shí)現(xiàn)4條全雙工千兆鏈路的線速捕獲，在一個(gè)單一的4通道聚合骨干上實(shí)現(xiàn)同時(shí)捕獲和監(jiān)視，聚合多個(gè)數(shù)據(jù)流生成一個(gè)單一的追蹤文件，提供更大的緩沖區(qū)容量(512MB)，以增加捕獲的數(shù)據(jù)量，而且保證數(shù)據(jù)包不丟失，支持更大的RMON表大小(最大為125000個(gè)條目)以確保保留用戶(hù)需要的統(tǒng)計(jì)數(shù)據(jù)，把數(shù)據(jù)聚合到單一的視圖。

SnifferTechnologiess6040能夠聚合來(lái)自4條全雙工鏈路的任何組合的數(shù)據(jù)?，F(xiàn)在用戶(hù)可以輕松地監(jiān)視和診斷非對(duì)稱(chēng)路由和負(fù)載平衡的鏈路。非對(duì)稱(chēng)路由通過(guò)不同的路徑發(fā)送同一會(huì)話(huà)的數(shù)據(jù)包以便有效地利用所有的鏈路；負(fù)載平衡技術(shù)是從單個(gè)應(yīng)用程序或會(huì)話(huà)通過(guò)不同的路徑發(fā)送數(shù)據(jù)以便平均地分配整個(gè)系統(tǒng)的流量負(fù)載。

通過(guò)s6040的聚合功能，用戶(hù)可以查看到一個(gè)完整的會(huì)話(huà)，就好像它發(fā)生在一條鏈路上一樣。用戶(hù)還可以使用這種方式來(lái)查看內(nèi)容詳細(xì)的追蹤文件和更高級(jí)別的流量統(tǒng)計(jì)，降低了手工組合這些數(shù)據(jù)所需要的大量時(shí)間，同時(shí)避免了出錯(cuò)的可能。此外，還有SnifferReporter，它允許用戶(hù)根據(jù)Sniffer分布式設(shè)備收集的RMON、RMON2數(shù)據(jù)來(lái)生成圖形報(bào)告。在此基礎(chǔ)上，預(yù)先定義的和易于生成的報(bào)告可以快速顯示被監(jiān)測(cè)網(wǎng)段的全部統(tǒng)計(jì)數(shù)據(jù)以及主機(jī)列表、流量矩陣和協(xié)議分布等報(bào)告。這些報(bào)告有助于網(wǎng)絡(luò)管理員預(yù)測(cè)額外的帶寬需求，并重新分配網(wǎng)絡(luò)資源。結(jié)合Sniffer專(zhuān)家分析，SnifferReport可以在網(wǎng)絡(luò)性能下降問(wèn)題發(fā)展成為嚴(yán)重的網(wǎng)絡(luò)故障之前，就予以識(shí)別和修復(fù)。

10.1.6Sniffer

Infinistream網(wǎng)絡(luò)流量監(jiān)控和解碼分析系統(tǒng)

Sniffer

Infinistream集成了Sniffer業(yè)界領(lǐng)先的網(wǎng)絡(luò)流量監(jiān)控和解碼分析能力以及專(zhuān)家系統(tǒng)，同時(shí)具備大容量的存儲(chǔ)能力，提供了業(yè)界領(lǐng)先的網(wǎng)絡(luò)故障隔離和性能管理解決方案。Infinistream具備如下技術(shù)特點(diǎn)：

(1)千兆位網(wǎng)絡(luò)流量數(shù)據(jù)捕獲和存儲(chǔ)。Infinistream能夠捕獲全雙工千兆的網(wǎng)絡(luò)流量的線速捕，Infinistream采用了stream-to-disk技術(shù)，實(shí)現(xiàn)高達(dá)1800Mb/s的捕獲存儲(chǔ)性能，能夠有效地捕獲、檢索和存儲(chǔ)網(wǎng)絡(luò)中的所有數(shù)據(jù)包，并提供全面、明確的分析數(shù)據(jù)。

(2)大容量存儲(chǔ)。Infinistream的最大4TB的磁盤(pán)空間可以支持長(zhǎng)時(shí)間的網(wǎng)絡(luò)流量的保存。

(3)方便快速的數(shù)據(jù)檢索。Infinistream采用特殊設(shè)計(jì)的文件和索引系統(tǒng)，減少了需要檢索和分析的數(shù)據(jù)的總量，這個(gè)智能化的數(shù)據(jù)采集過(guò)程可快速創(chuàng)建一個(gè)含有數(shù)據(jù)流圖示的Windows界面，用戶(hù)可以通過(guò)該界面迅速地檢索到所需的數(shù)據(jù)，從而可節(jié)省大量的時(shí)間。

(4)數(shù)據(jù)重建和回放。利用Infinistream，用戶(hù)可以對(duì)HTTP、POP3、SMTP、FTP應(yīng)用進(jìn)行數(shù)據(jù)重建和回放，可將應(yīng)用過(guò)程進(jìn)行實(shí)際重現(xiàn)，幫助用戶(hù)進(jìn)行網(wǎng)絡(luò)問(wèn)題和應(yīng)用問(wèn)題的分析。

Infinistream給用戶(hù)提供了強(qiáng)大的網(wǎng)絡(luò)流量數(shù)據(jù)存檔分析和事后分析功能，大大地提高了用戶(hù)進(jìn)行故障分析的能力和安全分析的能力。Sniffer

InfiniStream

可以譯解最新的組播協(xié)議，識(shí)別關(guān)鍵的協(xié)議指標(biāo)，包括PIM和IGMPMulticast協(xié)議。此外，Sniffer

InfiniStream能分析業(yè)內(nèi)最廣泛的活動(dòng)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序協(xié)議，如語(yǔ)音IP、CitrixICA、MSExchange、FIX、MPLS、Oracle數(shù)據(jù)流量及其他符合行業(yè)標(biāo)準(zhǔn)的協(xié)議。此外，還可以選擇適用于3G無(wú)線協(xié)議解碼的SnifferMobileIntelligence。ExpertAnalysis有助于深入了解數(shù)據(jù)流，最為全面地檢測(cè)網(wǎng)絡(luò)及應(yīng)用程序異常情況。10.1.7SnifferIntelligence應(yīng)用分析平臺(tái)

越來(lái)越多的業(yè)務(wù)應(yīng)用運(yùn)行在網(wǎng)絡(luò)上，網(wǎng)絡(luò)結(jié)構(gòu)自身和應(yīng)用體系架構(gòu)的日益復(fù)雜使得應(yīng)用和網(wǎng)絡(luò)密不可分。SnifferIntelligence系列產(chǎn)品的設(shè)計(jì)理念就是在網(wǎng)絡(luò)的基礎(chǔ)上，面向應(yīng)用層定義了各種關(guān)鍵性能因素，再結(jié)合網(wǎng)絡(luò)層的傳輸效能數(shù)據(jù)，為用戶(hù)呈現(xiàn)一個(gè)完整的業(yè)務(wù)應(yīng)用性能視圖。其中不難發(fā)現(xiàn)，從網(wǎng)絡(luò)層到應(yīng)用層，針對(duì)關(guān)鍵性能因素的度量值設(shè)計(jì)和嚴(yán)謹(jǐn)?shù)挠?jì)算公式，SnifferIntelligence在很大程度上繼承了SnifferPortable解碼和專(zhuān)家系統(tǒng)的精髓，這是NG發(fā)展20多年積累下來(lái)的寶貴經(jīng)驗(yàn)。而面向業(yè)務(wù)應(yīng)用的能力讓SnifferIntelligence站在一個(gè)前所未有的高度，用那些表征關(guān)鍵性能因素的度量值解構(gòu)了如今聚合網(wǎng)絡(luò)環(huán)境下的復(fù)雜應(yīng)用，從而為用戶(hù)提供了一個(gè)保障其業(yè)務(wù)應(yīng)用高效運(yùn)行的全景視圖，這就是它的價(jià)值所在。

SnifferIntelligence最終為用戶(hù)提供了一個(gè)靈活的應(yīng)用分析平臺(tái)，其工作臺(tái)上所有的面板均可以隨意定制、拖曳、排列，用戶(hù)可以任意選取相關(guān)的元素組成圖形、數(shù)據(jù)表，也可以用鼠標(biāo)左右鍵任意篩選關(guān)鍵數(shù)據(jù)，只要有想象力，可以任意發(fā)揮。

其中，ApplicationIntelligence解決方案是一個(gè)附加的軟件包，它利用現(xiàn)成的分布式Sniffer的架構(gòu)，其主要功能是發(fā)現(xiàn)應(yīng)用、定制應(yīng)用及強(qiáng)大的應(yīng)用性能分析。ApplicationIntelligence應(yīng)用管理選件自動(dòng)地發(fā)現(xiàn)大量的應(yīng)用，包括Oracle、PeopleSoft及SAP，也可定義和命名自己定制的應(yīng)用，提供對(duì)內(nèi)部定制應(yīng)用的可視性。

ApplicationIntelligence應(yīng)用管理選件提供對(duì)應(yīng)用性能多角度的分析，此外，還提供對(duì)關(guān)鍵參數(shù)的準(zhǔn)確測(cè)量，如網(wǎng)絡(luò)和服務(wù)器的響應(yīng)時(shí)間、延遲以及網(wǎng)絡(luò)或VLAN的利用率。可鎖定或者詳細(xì)展開(kāi)下列五種參數(shù)：應(yīng)用、客戶(hù)機(jī)、服務(wù)器、VLAN和時(shí)間。這使得能聚焦于單一參數(shù)進(jìn)行徹底的分析并可快速地查看其他不同的參數(shù)。例如，如果一個(gè)用戶(hù)打電話(huà)到技術(shù)服務(wù)部門(mén)投訴SAP系統(tǒng)性能很差，那么網(wǎng)絡(luò)管理人員可以利用ApplicationIntelligence快速了解是否有其他的用戶(hù)在使用SAP系統(tǒng)中遇到同樣的問(wèn)題，網(wǎng)絡(luò)管理人員還能夠迅速地鎖定該用戶(hù)，了解他目前是否使用其他的應(yīng)用以及這些應(yīng)用的運(yùn)行性能和對(duì)網(wǎng)絡(luò)帶寬的消耗情況。這樣，網(wǎng)絡(luò)管理人員可以迅速斷定是SAP系統(tǒng)問(wèn)題還是其他問(wèn)題導(dǎo)致SAP系統(tǒng)訪問(wèn)性能很差，如用戶(hù)電腦中運(yùn)行的流媒體應(yīng)用影響了系統(tǒng)的性能。通過(guò)ApplicationIntelligence解決方案提供的高級(jí)應(yīng)用視圖，網(wǎng)絡(luò)和應(yīng)用部門(mén)可發(fā)現(xiàn)一種通用的解決辦法來(lái)測(cè)量和改善應(yīng)用性能問(wèn)題，共同合作以發(fā)現(xiàn)問(wèn)題的根源，能更好地定位性能問(wèn)題的根本原因。

Sniffer

AppintellAppliance是ApplicationIntelligence解決方案中用于高性能的千兆全雙工分布式網(wǎng)絡(luò)協(xié)議分析的專(zhuān)用硬件設(shè)備，如圖10-7所示，具有1個(gè)千兆以太網(wǎng)絡(luò)全雙工監(jiān)控分析端口(兩個(gè)千兆接口)和1個(gè)10/100M以太網(wǎng)絡(luò)監(jiān)控分析端口，可以同時(shí)監(jiān)控分析1個(gè)1000M全雙工以太網(wǎng)絡(luò)鏈路或兩個(gè)1000M鏡像接口流量和1個(gè)10/100M以太網(wǎng)絡(luò)鏈路，同時(shí)具有1個(gè)10/100M以太網(wǎng)絡(luò)管理端口，可以部署在關(guān)鍵的以太網(wǎng)絡(luò)鏈路上，智能化監(jiān)控分析關(guān)鍵應(yīng)用的運(yùn)行狀態(tài)。圖10-7Sniffer

AppintellAppliance同屬于Intelligence系列的SnifferMulti-SegmentAnalysis(簡(jiǎn)稱(chēng)MSA，主要由Multi-segmentAnalysis和Multi-TierAnalysis共同組成)，則能夠自動(dòng)把用戶(hù)訪問(wèn)業(yè)務(wù)應(yīng)用的整個(gè)數(shù)據(jù)路徑分解為一個(gè)個(gè)可能導(dǎo)致性能瓶頸的網(wǎng)段或者節(jié)點(diǎn)進(jìn)行數(shù)據(jù)統(tǒng)計(jì)和關(guān)聯(lián)分析，幫助用戶(hù)更加細(xì)致地去定位瓶頸所在。其中Multi-SegmentAnalysis分解用戶(hù)訪問(wèn)業(yè)務(wù)應(yīng)用時(shí)，數(shù)據(jù)所經(jīng)過(guò)的網(wǎng)絡(luò)節(jié)點(diǎn)或者網(wǎng)段，給出經(jīng)過(guò)每個(gè)節(jié)點(diǎn)或者網(wǎng)段的網(wǎng)絡(luò)延遲以及數(shù)據(jù)流傳輸?shù)母黜?xiàng)統(tǒng)計(jì)信息；Multi-TierAnalysis分解在多層架構(gòu)的業(yè)務(wù)應(yīng)用下(如前端Web服務(wù)器、中間應(yīng)用服務(wù)器和后端數(shù)據(jù)庫(kù)服務(wù)器)，每一層應(yīng)用服務(wù)器各自處理數(shù)據(jù)所花費(fèi)的時(shí)間，并把它們所處理的同一個(gè)數(shù)據(jù)流關(guān)聯(lián)在一起。

10.2科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010是一個(gè)集數(shù)據(jù)包采集、解碼、協(xié)議分析、統(tǒng)計(jì)、圖表、報(bào)表等多種功能為一體的綜合網(wǎng)絡(luò)分析平臺(tái)。它可以幫助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)監(jiān)測(cè)，定位網(wǎng)絡(luò)故障，排查網(wǎng)絡(luò)內(nèi)部的安全隱患。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010是科來(lái)網(wǎng)絡(luò)分析平臺(tái)的重要組成部分。它采用完全自主設(shè)計(jì)開(kāi)發(fā)的第二代網(wǎng)絡(luò)分析引擎，提供海量數(shù)據(jù)采集和高性能實(shí)時(shí)診斷分析，全方位地展現(xiàn)企業(yè)內(nèi)網(wǎng)的全景信息，有效地幫助網(wǎng)絡(luò)管理者精確定位網(wǎng)絡(luò)故障，預(yù)先防范網(wǎng)絡(luò)安全隱患，多方位進(jìn)行性能監(jiān)控和優(yōu)化?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)可安裝在移動(dòng)手提電腦中，基于以太網(wǎng)嗅探技術(shù)，以旁路接入的方式工作，在任何有問(wèn)題的地方即時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)。通過(guò)多種方式采集網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)時(shí)進(jìn)行故障診斷，或通過(guò)回放數(shù)據(jù)包存檔文件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)歷史問(wèn)題的回溯分析。通過(guò)應(yīng)用分析方案實(shí)現(xiàn)精準(zhǔn)分析，能更有效地幫助用戶(hù)解決網(wǎng)絡(luò)中發(fā)現(xiàn)的問(wèn)題，實(shí)現(xiàn)精確定位和高效分析。

通過(guò)創(chuàng)新的第二代網(wǎng)絡(luò)分析引擎，科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010能夠?qū)崟r(shí)采集和處理海量的數(shù)據(jù)信息，幫助企業(yè)網(wǎng)絡(luò)完成以下工作：

網(wǎng)絡(luò)流量分析；

網(wǎng)絡(luò)通信監(jiān)視；

網(wǎng)絡(luò)錯(cuò)誤和故障診斷；

網(wǎng)絡(luò)安全分析；

網(wǎng)絡(luò)性能檢測(cè)；

網(wǎng)絡(luò)協(xié)議分析。10.2.1基本工作原理和工作步驟

從本書(shū)第8章8.2.2節(jié)的介紹可知，雖然網(wǎng)卡在默認(rèn)情況下僅能接收發(fā)給自己的數(shù)據(jù)和網(wǎng)絡(luò)中的廣播數(shù)據(jù)，但可以強(qiáng)制將網(wǎng)卡置于混雜模式工作，那么此時(shí)該網(wǎng)卡便會(huì)接收所有通過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)，而不管該數(shù)據(jù)的目的地在何處。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)基于以太網(wǎng)嗅探技術(shù)，以旁路接入的方式工作。系統(tǒng)首先將安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的機(jī)器的網(wǎng)卡置為混雜模式，使其通過(guò)嗅探技術(shù)捕獲網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包，然后將這些數(shù)據(jù)包傳遞到系統(tǒng)內(nèi)部進(jìn)行分析，再將分析結(jié)果實(shí)時(shí)顯示在系統(tǒng)界面中，并自動(dòng)診斷出網(wǎng)絡(luò)中存在的故障?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)的設(shè)計(jì)思想嚴(yán)格遵循以太網(wǎng)工作模式。在系統(tǒng)中，將網(wǎng)絡(luò)中的每一部分都抽象為一種對(duì)象，如IP地址、物理地址、協(xié)議、數(shù)據(jù)包，將這些對(duì)象有機(jī)地結(jié)合起來(lái)，就構(gòu)成了系統(tǒng)中用到的術(shù)語(yǔ)“工程”，而工程文件中不斷變化的對(duì)象，則表示網(wǎng)絡(luò)中相應(yīng)數(shù)據(jù)通信的實(shí)時(shí)變化。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)針對(duì)典型的分析使用場(chǎng)景內(nèi)建了若干的分析方案供用戶(hù)選擇，每個(gè)分析方案對(duì)應(yīng)一個(gè)特定的分析需求。一個(gè)分析任務(wù)通常采用以下六步完成：

(1)選擇分析模式。

①提供兩種數(shù)據(jù)采集分析模式，實(shí)時(shí)分析和回放分析；

②在實(shí)時(shí)分析模式中可選擇設(shè)置網(wǎng)絡(luò)適配器；

③在回放分析模式中可選擇文件和回放速度；

④兩種模式都可以另外設(shè)置數(shù)據(jù)包捕捉過(guò)濾器。

(2)選擇網(wǎng)絡(luò)適配器。選擇用于采集數(shù)據(jù)的網(wǎng)絡(luò)適配器，可以同時(shí)選擇一塊或多塊網(wǎng)卡進(jìn)行數(shù)據(jù)捕獲。

(3)設(shè)置數(shù)據(jù)捕捉過(guò)濾器。新建數(shù)據(jù)包捕捉過(guò)濾器，快速捕獲數(shù)據(jù)來(lái)源。

(4)選擇網(wǎng)絡(luò)檔案。

①選擇系統(tǒng)默認(rèn)提供的網(wǎng)絡(luò)檔案；

②新建或編輯網(wǎng)絡(luò)檔案。

(5)選擇分析方案。根據(jù)實(shí)際需求，有針對(duì)性地選擇相關(guān)分析方案，達(dá)到最佳分析應(yīng)用。

(6)開(kāi)始分析。10.2.2面向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的分析方案

分析方案用于保存某個(gè)特定分析需求的配置信息，包括分析引擎的參數(shù)配置、加載的高級(jí)分析模塊以及每個(gè)高級(jí)分析模塊的詳細(xì)參數(shù)設(shè)置。分析方案是針對(duì)網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用問(wèn)題而提供的解決分析方案，它由若干分析設(shè)置集合而成，包括網(wǎng)絡(luò)對(duì)象數(shù)據(jù)統(tǒng)計(jì)設(shè)置、分析模塊設(shè)置、診斷設(shè)置、日志設(shè)置、圖表設(shè)置等。用戶(hù)可根據(jù)自己實(shí)際的分析任務(wù)，選擇合適的分析方案，這樣，不僅能夠提升系統(tǒng)分析性能，而且有助于提高用戶(hù)的分析效率。一個(gè)分析方案是由多個(gè)分析模塊組成。系統(tǒng)提供自定義分析方案功能，用戶(hù)可以根據(jù)實(shí)際分析需求新建分析方案，也可編輯和修改系統(tǒng)初始的分析方案。在一個(gè)分析方案中，用戶(hù)可自定義添加或刪除不同的分析模塊，以達(dá)到最佳的分析結(jié)果。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010提供常見(jiàn)的面向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的分析方案，包括全面分析、高性能分析、精確分析、安全分析和常見(jiàn)應(yīng)用協(xié)議分析，詳見(jiàn)表10-2。10.2.3數(shù)據(jù)包捕捉過(guò)濾和流量分析

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的數(shù)據(jù)包過(guò)濾器，是一種根據(jù)用戶(hù)定義的規(guī)則和策略，來(lái)實(shí)現(xiàn)數(shù)據(jù)篩選的技術(shù)。通過(guò)使用過(guò)濾器，可以減少數(shù)據(jù)干擾、利于網(wǎng)絡(luò)分析、降低系統(tǒng)負(fù)載，從而提高分析效率。默認(rèn)情況下，系統(tǒng)不會(huì)使用任何過(guò)濾器，此時(shí)，網(wǎng)絡(luò)中的所有數(shù)據(jù)包都會(huì)被系統(tǒng)捕獲分析。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的數(shù)據(jù)包過(guò)濾器，提供接受和拒絕兩種狀態(tài)。系統(tǒng)允許同時(shí)使用接受和拒絕的過(guò)濾條件，同時(shí)添加兩種過(guò)濾條件后，系統(tǒng)將首先匹配拒絕條件，再匹配接受條件?？苼?lái)網(wǎng)絡(luò)分析系統(tǒng)可自定義的過(guò)濾條件有6種，它們是地址、端口、協(xié)議、數(shù)據(jù)包大小、數(shù)據(jù)包值和數(shù)據(jù)包模式匹配。其中，地址、端口和協(xié)議三種過(guò)濾條件，由于其使用的頻率較高，且相對(duì)易用，故我們稱(chēng)它們?yōu)楹?jiǎn)單過(guò)濾器，另外三種稱(chēng)為高級(jí)過(guò)濾器，對(duì)高級(jí)過(guò)濾器，用戶(hù)可以對(duì)上述六種過(guò)濾條件進(jìn)行任意邏輯(與、或、非)組合。

流量分析是科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的主要功能之一，通過(guò)此功能，用戶(hù)可以快速查找定位通信量最大的IP主機(jī)點(diǎn)和物理主機(jī)。系統(tǒng)還支持每個(gè)網(wǎng)絡(luò)協(xié)議的端點(diǎn)流量明晰統(tǒng)計(jì)排名，如用戶(hù)可以快速查找定位網(wǎng)絡(luò)中使用HTTP協(xié)議的前5個(gè)IP主機(jī)。利用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的流量分析功能，可以分析出網(wǎng)絡(luò)中的具體流量占用情況，如總流量最大的主機(jī)、發(fā)送流量最大的主機(jī)、接收流量最大的主機(jī)、收發(fā)數(shù)據(jù)包數(shù)最多的主機(jī)、發(fā)送數(shù)據(jù)包最多的主機(jī)、接收數(shù)據(jù)包最多的主機(jī)、內(nèi)部流量以及廣播流量最大的主機(jī)等信息。通過(guò)這些信息，我們可以確定網(wǎng)絡(luò)中是否存在廣播/組播風(fēng)暴，并幫助用戶(hù)排查網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)、蠕蟲(chóng)病毒攻擊、DoS攻擊、以及用戶(hù)無(wú)法上網(wǎng)等網(wǎng)絡(luò)故障。10.2.4專(zhuān)家診斷

專(zhuān)家診斷是一種智能化的網(wǎng)絡(luò)故障診斷功能。科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010采用了新的診斷視圖布局，將診斷事件統(tǒng)計(jì)信息、觸發(fā)診斷事件的主機(jī)地址、診斷事件詳細(xì)描述等通過(guò)分隔窗口直觀地展現(xiàn)，同時(shí)，對(duì)于診斷事件、觸發(fā)地址，科來(lái)網(wǎng)絡(luò)分析系統(tǒng)支持?jǐn)?shù)據(jù)顯示過(guò)濾。當(dāng)用戶(hù)選擇某條診斷事件時(shí)，自動(dòng)過(guò)濾出觸發(fā)該診斷事件的主機(jī)地址；而當(dāng)用戶(hù)選擇某個(gè)主機(jī)地址時(shí)，則詳細(xì)顯示該主機(jī)的診斷日志。

系統(tǒng)支持四個(gè)層次的故障診斷，即應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層。用戶(hù)可以快速地了解到以下信息：

(1)每條診斷的參考信息，提供該診斷的描述，存在原因與解決方法。

(2)每個(gè)診斷信息提供關(guān)聯(lián)的TopN主機(jī)排行顯示?？芍庇^得到每個(gè)診斷事件是由哪些主機(jī)觸發(fā)的。

(3)與主機(jī)關(guān)聯(lián)的診斷事件日志，幫助用戶(hù)更迅速地發(fā)現(xiàn)問(wèn)題主機(jī)。

(4)與事件相關(guān)的數(shù)據(jù)包挖掘，通過(guò)雙擊，彈出新窗口顯示。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010支持應(yīng)用層、傳輸層、網(wǎng)絡(luò)層以及數(shù)據(jù)鏈路層故障診斷，如表10-3所示，支持39種不同類(lèi)型的事件。

10.3其他知名公司的網(wǎng)絡(luò)監(jiān)聽(tīng)和協(xié)議分析軟件產(chǎn)品

10.3.1WildPackets公司

2003年以后，WildPackets推出了分布式分析產(chǎn)品OmniPeek，足足比SnifferDistributed晚了8年。Omni平臺(tái)實(shí)現(xiàn)了從單一控制臺(tái)進(jìn)行全網(wǎng)范圍的分析與故障診斷，包括廣域網(wǎng)、無(wú)線網(wǎng)絡(luò)。結(jié)合OmniDNX分布式引擎和專(zhuān)家分析系統(tǒng)，使用Omni的OmniPeek控制臺(tái)能夠并發(fā)、獨(dú)立監(jiān)控分析多個(gè)網(wǎng)段，管理員可以快速恢復(fù)業(yè)務(wù)系統(tǒng)，使網(wǎng)絡(luò)可用時(shí)間最大化。圖10-8OmniApplianceUltraEngine4000超高性能數(shù)據(jù)采集分析平臺(tái)如圖10-8所示，WildPackets的

OmniAppliance是一個(gè)基于硬件的網(wǎng)絡(luò)分析與監(jiān)控解決方案，能為網(wǎng)絡(luò)管理部門(mén)提供對(duì)遠(yuǎn)程網(wǎng)段的歷史數(shù)據(jù)分析與預(yù)測(cè)、實(shí)時(shí)流量采集與分析的強(qiáng)大監(jiān)控能力。每一個(gè)OmniAppliance硬件平臺(tái)都運(yùn)行著WildPackets的OmniEngine并將實(shí)時(shí)分析和監(jiān)控結(jié)果發(fā)送到OmniPeek控制臺(tái)。對(duì)于網(wǎng)絡(luò)取證應(yīng)用(使用戶(hù)能夠同時(shí)捕獲和監(jiān)視網(wǎng)絡(luò)通信中的各種類(lèi)型的不符合規(guī)范的內(nèi)容，如攻擊者攻擊、間歇性故障分析)來(lái)說(shuō)，OmniAppliance是一個(gè)理想的數(shù)據(jù)采集和分析平臺(tái)，并且提供數(shù)據(jù)完整、準(zhǔn)確的重建和回放。

OmniAppliance設(shè)計(jì)簡(jiǎn)單緊湊，易于操作并可實(shí)現(xiàn)快速、方便的機(jī)動(dòng)部署，完成整個(gè)系統(tǒng)的安裝、配置和上線過(guò)程所需時(shí)間不超過(guò)1小時(shí)。此外，如表10-4所示，該設(shè)備設(shè)計(jì)冗余度高，可基本保證24?×?7小時(shí)全天候不中斷工作。無(wú)論是針對(duì)1G/10G園區(qū)網(wǎng)或WAN等有線網(wǎng)絡(luò)還是WCDMA、WLAN等無(wú)線網(wǎng)絡(luò)，OmniAppliance都能提供面向網(wǎng)絡(luò)通信各個(gè)邏輯層次的有效監(jiān)控和分析能力。10.3.2SolarWinds公司

1．SolarWindsOrion

Orion網(wǎng)絡(luò)性能監(jiān)視器是一個(gè)完全Web化的網(wǎng)絡(luò)故障、流量和性能監(jiān)視管理軟件，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的可視化管理和實(shí)時(shí)監(jiān)控，Orion只需要幾分鐘時(shí)間就可以安裝、配置完成，并易于使用。同時(shí)可以適應(yīng)任何大小網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)管理的需求。

Orion與現(xiàn)在市面上任何一款網(wǎng)絡(luò)管理系統(tǒng)相比，在系統(tǒng)的初始實(shí)施與總體價(jià)格上都是最劃算的。無(wú)論是中小型公司還是大型企業(yè)，網(wǎng)絡(luò)工程師和網(wǎng)絡(luò)管理員在使用Orion后，都能夠得到實(shí)際的效益和投資回報(bào)。Orion是一個(gè)全面的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)性能管理平臺(tái)，它能隨網(wǎng)絡(luò)的快速發(fā)展以及不斷擴(kuò)張的網(wǎng)絡(luò)需求而靈活應(yīng)變。

Orion的網(wǎng)絡(luò)性能管理功能包括：

(1)實(shí)時(shí)監(jiān)測(cè)和分析，深入的網(wǎng)絡(luò)性能度量，適用于路由器、交換機(jī)、服務(wù)器以及其他任何具有SNMP功能的設(shè)備；

(2)提供了一個(gè)可定制的網(wǎng)頁(yè)界面，可支持多種用戶(hù)的意見(jiàn)，以及對(duì)用戶(hù)的整個(gè)網(wǎng)絡(luò)的地圖式瀏覽；

(3)可以為相關(guān)事件、持續(xù)的條件以及復(fù)雜的設(shè)備狀態(tài)組合提供先進(jìn)的信號(hào)預(yù)警；

(4)靈活應(yīng)變和適應(yīng)不斷增長(zhǎng)的網(wǎng)絡(luò)性能管理需求；

(5)延伸網(wǎng)絡(luò)性能管理能力，包括netflow流量、VOIP網(wǎng)絡(luò)電話(huà)、無(wú)線設(shè)備、應(yīng)用軟件和服務(wù)器。

2．OrionNetFlowAnalyzer流量分析器

OrionNetFlow流量分析提供了對(duì)網(wǎng)絡(luò)流量行為和趨勢(shì)的分析。網(wǎng)絡(luò)工程師現(xiàn)在可以更深層次地分析網(wǎng)絡(luò)流量，包括對(duì)于帶寬利用的全局瀏覽以及設(shè)備流量的詳細(xì)信息。NetFlow流量分析能提供更深層次的分析，即哪個(gè)用戶(hù)及哪個(gè)應(yīng)用(如HTTP、FTP、VoIP)占用了絕大部分的帶寬。NetFlow流量分析能夠把