文档介绍：第10章典型的网络监听与协议分析解决方案
Scout公司)解决方案
科来网络分析系统2010
其他知名公司的网络监听和协议分析软件产品
(1) 基于SNMP的简单网络管理。 本类型解决方案仅能对网络设备端口的整体流量进行分析,可以获得设备端口的实时或者历史的流入/流出带宽、丢包、误包等性能指标,但无法分析具体的用户流量和协议组成。通过扩展实现RMON和RMON II,该方法可在网络2层到4层实现有限的端到端通信会话数据分析、TopN用户统计等功能。相关的产品有HP的OpenView NNM、CA的UniCenter、Oetiker的MRTG等。因其具有实现简单、标准统一、接口开放的特点,故被业界广泛采用。
(2) 基于流的流量分析。 目前基于流的解决方案主要有两种:Flow。sFlow是由InMon、works联合开发的一种网络监测技术,它采用数据流随机采样技术,可以适应超大网络流量(如大于10 Gb/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。目前,仅有HP、Foundry和 Flow是Cisco机构开发的技术,它既是一种交换技术,又是一种流量分析技术。它可以回答有关IP流量的如下问题:谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等。
(3) 基于网络探针的远程分布式协议分析。 本类型解决方案的数据抓包、分析和统计等功能一般都在网络探针上以硬件方式实现,分析的结果存储在探针的内存或磁盘中,具体的前端性能与相应的专业软件有关。因此具有效率高、可靠性高、高速运行不丢包的特点。这种方式可深入地对网络2层、3层甚至7层的特性进行详细分析。Scout的nGenius Performance Manager等。
(4) 基于主机代理/便携式协议分析器的实时抓包分析。 基于主机代理/便携式协议分析器的实时抓包的分析技术,提供详细的从物理层到应用层的数据分析。但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。一般应用于对小型公司的网络进行简单故障分析或对大型公司的网络进行现场局部分析等场合。Scout的Sniffer Pro、Cola(科来)的网络协议分析器、免费的tcpdump、ethereal等。
由于基于SNMP的简单网络管理在很多经典网络教材中已有详细介绍,各种解决方案的资料也非常丰富,所以在此不再赘述。同时,Cisco网络学院的各类教材中也已经详细介绍了基于流的流量分析技术及其相关的解决方案,因此也不宜直接“转载”。作者本人作为Sniffer Certified Master,work Scout公司的相关技术及产品较为熟悉,因此本章将重点介绍这两个公司(Scout)的基于软件协议分析器和基于网络探针的便携式/分布式协议分析解决方案。我们欣喜地看到,作为国内顶尖的公司,科来(Cola)公司凭借其强大的研发实力、坚持自主创新的顽强意志和开放友好的CSNA技术社区,正日益受到国内外用户的广泛接受。因此本章也将详细介绍科来2010网络分析系统软件。
Scout公司)解决方案 Scout公司的渊源 work General(下称NG)公司,同样是网络和性能分析领域的老牌厂商,而两者的命运截然不同。在20多年的发展历史中,两家机构都是业内的领军厂商,Scout更注重统计报告的呈现,为用户提供统一的高层次分析和管理视图,而NG则以强大的解码功能和专家系统著称,其早期产品Sniffer Portable(Sniffer Pro)至今仍是众多网络管理技术人士手边的一把利器。
Sniffer Portable(Sniffer Pro)外观朴实而功能强大,参数众多甚至十分烦琐,但是结构严谨,对于每一个协议,每一个事件都设计了极其具有针对性的解码和分析模型。而正是这种严谨成就了Sniffer Portable的精髓:解码模块和专家系统识别相互关联的数据包,并把它们解构成表征问题本质的事件和度量值。其协议解码的深度以及专家系统针对网络层和应用层事件发现的广度和精确度即使历经多年,也仍然保持着活力和竞争力。 然而,NG在发展后期,在其旗下的众多产品线中Sniffer Portable仅占有了销售额的一小部分,戏份更多的主角是Sniffer企业级解决方案。看到网络和应用架构的发展趋势和市场需求,NG后来开发了高性能的硬件平台InfiniStream、面向应用的Intelligence以及Visualizer、Vigil统一管理平台,软、硬件结合,分布式的三层架构组成Sniffer企业级解决方案。
同样是面