网络管理解决方案

1、谢谢观赏Sniffer网络管理解决方案1闻名业界的Sniffer网络管理解决方案作为被誉为业界降低网络故障的首选解决方案，Sniffer网络分析仪为用户提供了屡获大奖的网络管理工具，凭借先进的性能，Sniffer可以帮助用户主动监测网络，在瓶颈造成故障之前，将其完满解决。Sniffer网络分析仪是一个排除网络故障和对网络性能进行有效管理的可靠工具，它能够自动帮助网络专业人员维护网络，查找故障，协助扩展多拓朴结构、多协议的网络，极大地简化了发现及解决网络问题的过程。Sniffer网络分析仪作为业界用于企业网络故障和性能管理领域最为智能和强大的工具系列，目前，已在世界上得到了广泛的应用，财富排名前

2、1000家企业中有80%选择其作为网络信息安全解决方案，分析、维护、开发他们的网络产品，其中包括Cisco、3COM、Lucent及AT&T。伴随着1998年NAI进入中国，Sniffer也来到了广大中国用户面前。现在，越来越多的中国企事业单位采用了Sniffer的安全解决方案，其中包括：中国人民银行、中国建设银行、中国工商银行等。Sniffer网络分析仪的基本性能专家分析系统Sniffer能够监视并捕获所有网络上的信息数据包，同时建立一个特有网络环境下的目标知识库。经过将问题分离、分析和归类，Sniffer可实时、自动地发出警告，解释问题的性质并提出解决方案。Sniffer与其他网络协议分析

3、仪最大的差别在于它的人工智能专家系统(ExpertSystem),有了Sniffer的专家系统，用户无需知道那些数据包构成的网络问题，也不必熟悉网络协议，更不用去了解这些数据包的内容，便能轻松解决问题。此外，Sniffer还提供了专家配制功能，用户可以自已设定专家系统判断故障发生的触发条件。Sniffer能够自动实时监视网络、捕捉数据、识别网络配置，自动发现网络故障并进行告警，它能指出网络故障发生的位置，出现在OSI的第几层，网络故障的性质，产生故障的可能原因以及为解决故障建议采取的行动。Sniffer可进行全OSI七层解码Sniffer可以在全部七层OSI协议上进行解码，目前其他厂商还没有任

4、何一个系统可以做到对协议如此透彻的分析。Sniffer采用类似剥洋葱的方式，从最低层开始，一直到第七层，甚至对ORACAL与SYBASE的数据库都可以进行协议分析，每一层使用不同的颜色加以区别。Sniffer对每一层都提供了Summary（解码主要规程要素）、Detail（解码全部规程要素）及Hex（十六进制码）等几种解码窗口。在同一时间，用户最多可以打开六个观察窗口。此外，Sniffer还可以实施强制解码功能，如果网络线路上运行的是非标准协议，Sniffer可以使用一个现有标准协议样板去尝试解释捕获的数据。实时监控统计和报警功能根据用户习惯，Sniffer可提供实时数据或图表方式显示统计结果

5、，统计内容包括如下几个方面。网络统计：如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等；协议统计：如协议的网络利用率、协议个数、协议的字节数以及每种协议中各种不同类型的帧统计等；差错统计：如错误的CRC校验数、发生的碰撞数、错误帧数等；站统计：如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等，Sniffer最多可统计1024个站；帧长统计：如某一帧长的帧所占百分比、某一帧长的帧数等。此外，当网络某些指标超过规定的级限时，Sniffer可自动显示或采用有声形式的告警。Sniffer还可根据网络管理者的要求，自动将统计结果生成多种统计报

6、告格式，并可存盘或打印输出。Sniffer报表生成器Sniffer报表生成器允许用户创建图形报告，该报告建立在Sniffer所收集的RMON和类似于RMON2的数据基础之上。那些经预先存储的、易于生成的报告可以提供快速显示受监测网段的全部统计数据以及网络层主机、矩阵和协议分配。这些报告还可以提供针对用户网络通讯趋势的重要信息，例如，用户可评估哪种资源、哪种协议占用了大部分的带宽。这些数据不仅能帮助网络管理者预测额外的带宽需求，还可以帮助用户分配网络资源。Sniffer报表生成器在网络性能下降发展成为严重的网络故障之前，协助用户预测并更正这些问题。Sniffer网络分析仪的超强功能故障定位及排除

7、Sniffer涉及到系统、设备、应用等多个层面，因此将网络性能报告或网络故障准确定位在涉及到（线路、设备、服务器、操作系统、电子邮件）的具体位置，是Sniffer提供的基本功能。预防问题通过在广域网上对网络设备和网络流量的实施监控和分析，Sniffer有效预防网络故障的发生，即使在系统出现性能抖动时，Sniffer也会及时发现，同时建议系统管理员采用正确的处理方法。优化性能通过对线路和其他系统进行透视化的管理，用户可利用Sniffer管理系统提供的特殊功能对系统性能进行优化。提供整体网络运行的健康分析及发展趋势分析Sniffer可对网络系统的整体运行情况作出长期的健康分析与发展趋势报告，分析系

8、统目前的使用情况，以及对新系统的规划作出精确的报告。Sniffer网络分析仪的优势网络瘫痪时间是衡量现代企业工作效率的一个标准。当用户抱怨网络太慢”时，可以打开Sniffer,为网段做一次信息捕获。作为用于网络故障与性能管理的业界标准分析工具，Sniffer为用户的网络提供了领先于其他解决方案的分析、协议解释、自动化与可见性等功能。Sniffer网络分析仪具有如下优势。快速解决问题：利用自动的问题识别、分析与推荐方案，用户可从根本上精简故障诊断时间；优化投资：利用网络性能降级原因的精确信息，用户可以有效避免因某个偶然问题而草率投入大量资金的错误，利用Sniffer，用户可以明智地根据分析结果作

9、出周密的网络管理计划；提高生产率：通过自动、连续地了解网络配置，Sniffer减少了网络例行维护时间，由此提高效率和生产率；全方位满足用户需求，Sniffer在网络性能受到影响前会自动地传送预先警告，使用户能够在事件发生之前主动地调整网络，保证终端用户的持续工作。Sniffer应用实例分析国内某大型企业的网络主干是ATM网络，2001年8月，网络性能突然急剧下降，导致企业的网上应用全部陷于瘫痪。网络管理人员不但无法确定引起网络瘫痪的原因，在甚至连最基本的网络连接也无法恢复。而在这种了无头绪的状态下，Sniffer却显示出强大的网络管理能力。Sniffer工程师采用了ATM专用的Sniffer设

10、备对该公司的ATM主干网络进行了测试，以下为测试的全部过程。-工程师首先调用了Sniffer的Dashboard功能对网络的整体流量状况进行了监控，该监控功能旨在对网络的带宽利用率（总体流量）、网络每秒钟的数据包数，以及网络中每秒钟的错误包数进行监控。从这些监控中，Sniffer的技术人员发现用户的整体网络带宽占用率并不高（如左边的仪表盘所示），只有10%左右，网络中的绝对流量也不大，但工程师同时发现网络中的数据包却非常多（如中间的仪表盘所示），甚至超过了Sniffer缺省定义的警戒值。从详细的数值可以看出，网络中64个字节以下的小包最多，因此，技术人员初步断定，网络中太多的小包可能是引起网络

11、瘫痪的原因。为了确定到底是那些计算机在生成这些数据包，技术人员又调用了Sniffer的另外一个流量监控功能HostTable，HostTable可监控网络中每台计算机的流量状况，包括每台计算机收到的数据包数、数据包字节数、每台计算机发出的数据包数、发出数据包的字节数、总的包数和总的字节数等流量信息。在监控中，技术人员很快发现了用户网络中发包最多的那些计算机的网络流量都有一个共同特点，即他们收到的数据包非常少，有的计算机甚至为零。这些计算机在网络中拼命发数据包，是非常不正常的，而这也正是当时爆发的CodeRedII病毒的特征，感染了CodeRed病毒的计算机会往网络中发送大量的数据包，最终导致网

12、络的瘫痪。通过这些特征，技术人员已经十分确定用户网络的瘫痪原因是由于图三中所示的那些计算机感染了CodeRed病毒引起的。为了进一步确定CodeRed病毒的特征，技术人员用Sniffer的Capture功能进行了抓包，并将数据包进行解码分析，图四就是Sniffer对CodeRed病毒产生的数据包的解码分析报告，从中可以清楚地看到CodeRed就是通过发送特定的HttpGet请求，利用微软IIS的漏洞进行传播的，这些请求在传播过程中产生大量的数据包，使网络路由器和交换机陷于瘫痪。正是采用了Sniffer网络分析仪使用户得以迅速地查明了网络瘫痪的原因，并监控到了每个感染CodeRed病毒的计算机情

13、况，从而在很短的时间内将这些计算机中的病毒进行彻底清除，使用户网络得以快速恢复，有效避免了更大的损失。基于出色的性能，Sniffer近年获得的全球性大奖超过45个，在2000年荣获美国知名媒体NetwWorkComputing十年来最佳网络产品奖，同获此殊荣的产品包括：MSWindowsNT、NovellNetware、Cisco路由器与ApacheWeb服务器。NetwWorkComputing的资深专家一致认为，随着网络复杂度的日渐增长，使网络保持平稳运作的需求也与日俱增，但Sniffer仍然是该行业的最佳产品。一、sniffer原理sniffer是用于高级分组检错的工具。它可提供分组获取

14、和译码的功能，它可以提供图形以确切的指出在你的网络中哪里正出现严重的业务拥塞。在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。在正常的情况下，一个网络接口应该只响应这样的两种数据帧：1 与自己硬件地址相匹配的数据祯2 .

15、发向所有机器的广播数据帧。在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式：广播方式：该模式下的网卡能够接收网络中的广播信息。组播方式：设置在该模式下的网卡能够接收组播数据。直接方式：在这种模式下，只有目的网卡才能接收该数据。混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。总结一下，首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式(promiscuous)，在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理：让网卡接收一切他所能接收的数据。二、网络监控的几种模式1、moniterchosttable图中不同颜色的区块代表了同一网段内与你的