科来网络分析系统概要介绍

转自：[url]http://www.csna.cn/viewthread.php?tid=10545[/url]

（小窍门：如何用50节点的技术交流版诊断50节点以上的网络，本人现在的网络有90个节点，依然可以完整的看到超过50节点以上的全网数据通讯。）

只有在正确了部署了科来网络分析系统以后，我们才可以抓到全网的数据包，才能完整的分析网络性能或故障。本周的内容，我继续和大家来讨论科来网络分析系统的使用，我个人觉得，只有在熟练的掌握了产品的使用以后，才能更加快速的查找网络故障、分析网络性能等等。所以，接下来的内容，我们就来讨论科来网络分析系统的使用。（当然，这只是我个人的一些看法和使用经验，如有写的不对或不够全面的话，欢迎大家指正。同时，也非常感谢科来的官方技术人员对我的帮助）

1、科来工程与Sniffer的Agent

科来网络分析系统通过捕获网络中传输的数据包来分析网络的运行状态以及网络应用，通过旁路方式接入网络，对网络运行不会产生任何影响，同时，通过其实时的数据包捕获和分析能力，能够快速的发现网络故障、查找网络故障源头，对网络的流量及带宽占用等都能做到全面的监控。在实际应用中，由于科来网络分析系统提供了50节点的技术交流版，方便了网络分析爱好者学习以及在一些较小的网络进行分析，但是，对于一些超过50节点不太多的网络还能否使用技术交流版进行完整的分析呢？我们首先来了解工程的概念：在科来网络分析系统中，每进行一次抓包，就是一次工程，相当于一次任务，科来能够同时新建多个工程同时抓包，也就是同时执行多个任务，如工程1，工程2，工程3……，每一个工程，能够定义不同的过滤器、不同的阀值，因此，对于主机数不是很多但又超过50的网络，用技术交流版还是能够进行分析。不过，技术交流版毕竟是免费提供的，功能是上还是会有很多限制。然后，我们来对比一下Sniffer中的Agent设置。

在Sniffer中，没有工程的概念，而是叫做Agent，如果有多个网卡，用不同的网卡，可以做不同的Agent，一块网卡，同样可以做不同的Agent，如下图。不同的Agent，同样能够定义不同的过滤器、触发器等（与科来非常类似）。个人觉得，稍微不同的是：Sniffer的Agent设置对多人共同使用一台电脑时非常方便，每个人可以定义自己的Agent、过滤器等参数，互不影响，当需要分析时，只需要选择自己的Agent，就能够快速的抓包了。

1、科来网络分析系统的使用

科来的使用较为简单，在开始页面，单击“立即开始采集”或工具栏的“开始”按钮，

默认情况下，会弹出工程设置对话框：

在该对话框中，可以根据捕获的目的进行相应的设置，如选择捕获的网卡，设置过滤器等，一般情况下，不用进行任何设置，就可以直接开始捕获数据。（请注意：这时捕获的数据包全都存在缓冲区里，只有手动保存或导出数据包以后，才会将整个数据包保存在硬盘中）

在科来的主视图区，左边是节点浏览器及工程状态栏。节点浏览器不仅能够快速的定位节点、过滤数据，而且能够快速的查看网络中是否存在伪造的MAC或IP地址；工程状态栏则显示了当前工程中的数据包捕获及缓存利用率情况等；在分析视图，共有10个视图区用于数据的分析，概要统计、诊断、协议等每个视图区都提供了较为丰富的数据信息，如诊断视图，提供了几十种的故障诊断事件，我个人非常喜欢这个功能，当网络出现问题的时候，我会首先看诊断事件，然后再结合其他视图进行分析。个人觉得，很多兄弟帖到论坛上的工程文件，都没有部署正确，这里我和大家交流一下我的经验：首先，看矩阵视图，如果产品部署正确，那么，各主机的通讯流量应该基本都是双向流量，而如果没有正确部署，那么，除了本机是双向流量以外，其他均为单向流量，因为全是广播或组播数据；其次，根据会话视图也能够看出双向或单向数据。

现在很多人将科来与目前的网管软件（如上网行为管理、桌面管理、网络监控审计等产品）混为一谈，其实二者区别挺大的。科来是一款协议分析产品，通过对网络中的数据包进行捕获和分析，就好像对网络进行体检，而传统的网管软件更注重行为管理和控制，比如控制一个人可以做什么，不能做什么，当这个人生病的时候，是无法找到病原的，协议分析，则可以快速的找到病原，从而对症下药，快速解决问题。

转载于:https://blog.51cto.com/lbzxy/124315