隨著信息化和互聯(lián)網(wǎng)的普及發(fā)展網(wǎng)絡(luò)規(guī)模不斷擴(kuò)張，使用網(wǎng)絡(luò)的人群越來(lái)越復(fù)雜，由此導(dǎo)致網(wǎng)絡(luò)環(huán)境也越來(lái)越繁雜，各種網(wǎng)絡(luò)故障以及網(wǎng)絡(luò)安全事件頻繁發(fā)生。另一方面，網(wǎng)管人員由于不了解網(wǎng)絡(luò)全景信息，不能全面掌握越來(lái)越多的網(wǎng)絡(luò)設(shè)備和產(chǎn)品應(yīng)用，在網(wǎng)絡(luò)管理措施處理上比較盲目，由此嚴(yán)重影響了網(wǎng)絡(luò)健康維護(hù)。怎么樣快速有效的排查解決故障？怎么樣使網(wǎng)絡(luò)管理更具有時(shí)效性？怎么樣將網(wǎng)絡(luò)危害降低到最低點(diǎn)呢？歐美等成熟IT市場(chǎng)網(wǎng)絡(luò)管理方法特別值得借鑒。

技術(shù)門診是51CTO社區(qū)品牌欄目，每周邀請(qǐng)一位客座專家，為廣大技術(shù)網(wǎng)友解答疑問(wèn)。從熱門技術(shù)到前沿知識(shí)，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個(gè)主題，站在最新最熱的技術(shù)前沿為你引航！

本期門診特邀請(qǐng)科來(lái)軟件中國(guó)區(qū)技術(shù)總監(jiān)高彥剛與我們大家分享解析如何更好的管理企業(yè)網(wǎng)絡(luò)、分析網(wǎng)絡(luò)環(huán)境的健康狀況等。

姓　　名：高彥剛

擅長(zhǎng)領(lǐng)域：網(wǎng)絡(luò)分析、網(wǎng)絡(luò)管理

科來(lái)軟件中國(guó)區(qū)技術(shù)總監(jiān)。13年的金融、電信、政府等行業(yè)大客戶技術(shù)服務(wù)經(jīng)驗(yàn)與網(wǎng)絡(luò)及應(yīng)用分析技術(shù)經(jīng)驗(yàn)，熟悉網(wǎng)絡(luò)分析技術(shù)的最新現(xiàn)狀與發(fā)展趨勢(shì)。曾任職于NetScout公司、Network General、清華紫光等IT企業(yè)。著有《實(shí)用網(wǎng)絡(luò)流量分析技術(shù)》。

查看本期門診精彩實(shí)錄：http://doctor.51cto.com/develop-160.html

參與最新技術(shù)門診：http://doctor.51cto.com/

精選本期網(wǎng)友提問(wèn)與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：專家好，我們?cè)趯?shí)際工作中，網(wǎng)絡(luò)突然緩慢，在非常重要的時(shí)間段給我們響應(yīng)時(shí)間只有寶貴的十幾分鐘。蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)速度的影響越來(lái)越嚴(yán)重，它們導(dǎo)致被感染的用戶只要一連上網(wǎng)就不停地往外發(fā)郵件，病毒選擇用戶PC中的隨機(jī)文檔附加在用戶的通訊簿上，通過(guò)隨機(jī)地址進(jìn)行郵件發(fā)送。成百上千的這種垃圾郵件有的排著隊(duì)往外發(fā)送，有的又成批地被退回來(lái)堆在服務(wù)器上。造成網(wǎng)骨干線路出現(xiàn)明顯擁塞，甚至在蠕蟲(chóng)泛濫的局域網(wǎng)中，癱瘓的事件屢有發(fā)生。 我們 這時(shí)候應(yīng)該怎么妥善的處理與應(yīng)急呢？

A： 你好！蠕蟲(chóng)病毒泛濫確實(shí)會(huì)對(duì)網(wǎng)絡(luò)性能造成嚴(yán)重影響，感染蠕蟲(chóng)病毒的主機(jī)會(huì)向網(wǎng)絡(luò)中大量發(fā)送數(shù)據(jù)包導(dǎo)致網(wǎng)絡(luò)性能下降，甚至造成網(wǎng)絡(luò)癱瘓。這些感染蠕蟲(chóng)病毒的主機(jī)一般其網(wǎng)絡(luò)流量特征非常明顯，大多是大量發(fā)送數(shù)據(jù)包，和大量主機(jī)通訊，同時(shí)發(fā)包數(shù)遠(yuǎn)遠(yuǎn)高于收?qǐng)?bào)數(shù)，在網(wǎng)絡(luò)性能嚴(yán)重下降的時(shí)候，我們可以通過(guò)流量分析工具快速找到具備這些流量特征的主機(jī)，從而迅速定位疑似感染蠕蟲(chóng)病毒的主機(jī)進(jìn)行隔離殺毒。另外，我們?cè)趯?shí)際的網(wǎng)絡(luò)管理工作中，建立日常的網(wǎng)絡(luò)分析機(jī)制是非常必要的，能做到及時(shí)發(fā)現(xiàn)行為異常的主機(jī)并處理，從而避免過(guò)多的異常流量主機(jī)造成網(wǎng)絡(luò)的性能嚴(yán)重下降甚至癱瘓。

Q：請(qǐng)問(wèn)專家：一般遇到網(wǎng)絡(luò)過(guò)慢，流量過(guò)低的情況該如何入手，有那幾個(gè)步驟呢？另外為了保證公司網(wǎng)絡(luò)的通常我們應(yīng)該做好那些的基礎(chǔ)工作？

A：一般說(shuō)的造成網(wǎng)絡(luò)過(guò)慢原因非常多，很多網(wǎng)絡(luò)用戶把應(yīng)用訪問(wèn)慢、甚至客戶端本身反應(yīng)慢都說(shuō)成是網(wǎng)絡(luò)太慢。網(wǎng)絡(luò)技術(shù)人員遇到這種情況，首先要詳細(xì)了解慢的現(xiàn)象，就像醫(yī)生看病一樣，如果你指告訴醫(yī)生疼，他連你哪疼都不知道，診斷就無(wú)從談起。一般網(wǎng)絡(luò)過(guò)慢，我們應(yīng)該了解運(yùn)行什么應(yīng)用的時(shí)候慢，訪問(wèn)哪些服務(wù)慢、有多慢？等等。

在詳細(xì)了解慢的現(xiàn)象后，我們需要針對(duì)性的去分析，比如說(shuō)對(duì)訪問(wèn)一個(gè)web server慢進(jìn)行分析，我們需要針對(duì)性的捕獲訪問(wèn)數(shù)據(jù)，有的時(shí)候要在網(wǎng)絡(luò)中多點(diǎn)捕獲數(shù)據(jù)，通過(guò)訪問(wèn)數(shù)據(jù)的特點(diǎn)來(lái)判斷是服務(wù)器響應(yīng)慢還是網(wǎng)絡(luò)時(shí)延或者網(wǎng)絡(luò)丟包等原因造成的慢。

掌握好分析方法和分析技術(shù)是非常重要的，在這方面我們科來(lái)提供高級(jí)的分析技術(shù)認(rèn)證培訓(xùn)，能有效的提高技術(shù)人員的分析能力。

保證公司網(wǎng)絡(luò)需要做的基礎(chǔ)工作很多，尤其是一個(gè)大的關(guān)鍵的企業(yè)級(jí)網(wǎng)絡(luò)，但最基本的是我們的技術(shù)人員要對(duì)我們的網(wǎng)絡(luò)系統(tǒng)建立深層次的了解，不僅僅是網(wǎng)絡(luò)設(shè)備和拓?fù)?，還要包括主要應(yīng)用特點(diǎn)、流量特性等等，深入的了解是做好網(wǎng)絡(luò)管理的基礎(chǔ)。

Q：高老師:您好! 請(qǐng)問(wèn)大型網(wǎng)絡(luò)一般用什么進(jìn)行流量監(jiān)控\分析\數(shù)據(jù)包分析等,流量\數(shù)據(jù)包等異常報(bào)警？

A：你好！大型網(wǎng)絡(luò)的流量監(jiān)控分析需求比較復(fù)雜，針對(duì)核心網(wǎng)絡(luò)、廣域網(wǎng)、接入網(wǎng)、IDC網(wǎng)絡(luò)的流量分析需求都不一樣，目前的流量監(jiān)控分析系統(tǒng)種類也很多，包括通過(guò)網(wǎng)絡(luò)設(shè)備本身提供的flow進(jìn)行流量監(jiān)控的，包括直接通過(guò)分析數(shù)據(jù)包進(jìn)行監(jiān)控分析的，有的設(shè)備分析針對(duì)性很強(qiáng)的比如專門的入侵檢測(cè)分析和行為審計(jì)分析等。一般來(lái)講，需要針對(duì)性的分析不同的需求，部署不同的分析設(shè)備來(lái)進(jìn)行監(jiān)控分析報(bào)警。

比如說(shuō)在Internet出口鏈路上分析，那主要的需求就是分析帶寬的占用、有沒(méi)有異常流量、有沒(méi)有攻擊、主要的smtp、http等服務(wù)的運(yùn)行質(zhì)量等。這樣就需要專用的分析系統(tǒng)來(lái)做。如果是一些廣域網(wǎng)的，主要需求是監(jiān)控統(tǒng)計(jì)帶寬的占用情況，做容量規(guī)劃，可以采用基于flow的方式來(lái)統(tǒng)計(jì)分析。

Q：高老師，你好，我最近在工作中遇到一個(gè)問(wèn)題，想請(qǐng)您解惑。理論上網(wǎng)關(guān)設(shè)置錯(cuò)誤應(yīng)該不能和其他網(wǎng)段發(fā)生通信。但是我公司現(xiàn)在出現(xiàn)一種現(xiàn)象，就是網(wǎng)關(guān)設(shè)置錯(cuò)誤，也照樣可以訪問(wèn)局域網(wǎng)的其他網(wǎng)段和上互聯(lián)網(wǎng)。

 例如，網(wǎng)絡(luò)設(shè)置是這樣 IP 192.168.3.1 子網(wǎng)掩碼是 255.255.255.0 網(wǎng)關(guān)應(yīng)該是192.168.3.254，但是現(xiàn)在我就算設(shè)置成192.168.8.112都照樣沒(méi)有問(wèn)題（我們公司有8網(wǎng)段，但是這個(gè)IP地址沒(méi)有任何設(shè)備使用）。如果網(wǎng)關(guān)空，則不能和其他網(wǎng)段發(fā)生通信，請(qǐng)問(wèn)這會(huì)是什么問(wèn)題？

A：這取決于你的三層交換機(jī)的工作原理，如果對(duì)不是本網(wǎng)段ip的arp請(qǐng)求也回應(yīng)成網(wǎng)關(guān)的mac，那不管把網(wǎng)關(guān)地址設(shè)成什么（非本網(wǎng)段）都能通信。你可以用科來(lái)網(wǎng)絡(luò)通訊分析系統(tǒng)捕獲一下數(shù)據(jù)包，看看整個(gè)通訊流程是什么，是不是發(fā)出的arp請(qǐng)求不是本網(wǎng)段ip網(wǎng)關(guān)也會(huì)有回應(yīng)。

Q：您好，最近公司的網(wǎng)絡(luò)經(jīng)常出現(xiàn)ARP病毒，導(dǎo)致網(wǎng)絡(luò)質(zhì)量下降，嚴(yán)重的影響了用戶的上網(wǎng)，因?yàn)楸旧碛脩舻腎P就是和MAC綁定的，每次臨時(shí)解決的方法就是在網(wǎng)關(guān)把用戶的IP與MAC重新綁定，在用戶端把網(wǎng)關(guān)的ip和MAC綁定，或者找到與釋放ARP欺騙的MAC對(duì)應(yīng)的IP，直接給T掉線，但是這樣解決不了根本的問(wèn)題，現(xiàn)在用戶的上網(wǎng)方式又改成了PPPOE的方式，不用記錄用戶端的MAC，這樣更無(wú)從下手了，有沒(méi)有更好的辦法解決局域網(wǎng)中ARP欺騙的方法？

A：ARP病毒確實(shí)是比較讓網(wǎng)管人員頭疼的問(wèn)題，當(dāng)然最好的解決辦法是防止感染，裝防病毒軟件。

有些公司為了避免有人感染arp病毒導(dǎo)致網(wǎng)段內(nèi)其他主機(jī)無(wú)法上網(wǎng)，采用每臺(tái)主機(jī)采用一個(gè)不同網(wǎng)段的方法，可以有效避免arp病毒影響他人，這需要交換機(jī)支持。

 當(dāng)出現(xiàn)arp病毒影響的時(shí)候，可以通過(guò)流量分析手段很容易定位哪些主機(jī)感染了病毒，通過(guò)查看交換機(jī)中的mac表、進(jìn)出流量也能很容易定位主機(jī)，但都是時(shí)候處理。最好是先防毒！

Q：您好！最外層一臺(tái)思科PIX515E防火墻E0 接外網(wǎng)，E1（172.16.2.1）接核心三層交換機(jī)思科3560，DMZ區(qū)接了一個(gè)小交換機(jī)帶2臺(tái)內(nèi)部服務(wù)器。3560交換機(jī)f0/1（172.16.2.2)轉(zhuǎn)為三層接口接防火墻f0/1，f0/1到f0/12 分別是12條vlan且端口帶寬限速1M，每條vlan接DLINK24口交換機(jī)帶整個(gè)局域網(wǎng)，大概有150臺(tái)機(jī)器。

現(xiàn)在的情況是：

1.我內(nèi)部ping172.16.2.2延遲都是小于1ms，但是ping172.16.2.1時(shí)，延遲幾乎都在100ms以上，且有時(shí)候超時(shí)一下，但是整體上網(wǎng)

倒是沒(méi)有太大的影響。后來(lái)咨詢了一位NP的工程師，他說(shuō)這個(gè)情況是正常的，因?yàn)閮?nèi)網(wǎng)所有數(shù)據(jù)都從172.16.2.1這個(gè)端口往外發(fā)送

數(shù)據(jù)負(fù)載大就會(huì)這樣，但是我覺(jué)得應(yīng)該不會(huì)這么大，而且我ping172.16.2.2的時(shí)候是正常的，這個(gè)口也負(fù)載著所有vlan的數(shù)據(jù)包向

防火墻的傳送啊。

2.劃分每個(gè)vlan 后，vlan內(nèi)部的共享文件訪問(wèn)速度很快。但是訪問(wèn)另外vlan 的共享文件就超慢，（我設(shè)置的是vlan可以互訪），

但是訪問(wèn)外網(wǎng)速度就很正常。百思不得其解。

A： ping防火墻慢，但訪問(wèn)外網(wǎng)不慢，最有可能是防火墻響應(yīng)ping比較慢，可以通過(guò)網(wǎng)絡(luò)分析軟件捕獲交換機(jī)接防火墻的接口流量來(lái)驗(yàn)證。

Vlan間的互訪是通過(guò)交換機(jī)路由的，不清楚你說(shuō)的共享文件慢是查找主機(jī)慢還是文件傳輸慢，如果是查找主機(jī)慢可能是沒(méi)有dns和域服務(wù)器的原因，可以通過(guò)捕獲相關(guān)訪問(wèn)數(shù)據(jù)包來(lái)判斷。

Q：作為一個(gè)小的公司,十幾個(gè)人,adsl共享上網(wǎng),這樣的小型網(wǎng)絡(luò)采用什么樣的管理方式好?

A：一般的小公司，網(wǎng)絡(luò)主要功能是郵件收發(fā)和對(duì)外聯(lián)系通訊（msn、qq），以及上網(wǎng)瀏覽，在管理上的投入不會(huì)很大，一般采購(gòu)一個(gè)實(shí)用的防火墻設(shè)備或一體化設(shè)備，能對(duì)應(yīng)用和用戶的帶寬占用進(jìn)行一定限制，能保證主要應(yīng)用能正常運(yùn)行，避免由于個(gè)別用戶大量占用帶寬導(dǎo)致其他人上網(wǎng)緩慢就行了。如果對(duì)安全要求高些可以采用分析設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控或定期分析，另外，防病毒很重要。

Q：高老師你好，在企業(yè)網(wǎng)絡(luò)中流量管理非常重要，如何為客戶端分配流量，如何禁止某些員工上網(wǎng)看視頻，下載等等，這些很耗網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)速很慢，有沒(méi)有好的辦法更好的管理網(wǎng)絡(luò)流量??？

A：你好！很多網(wǎng)絡(luò)設(shè)備都能夠有效的限制應(yīng)用和用戶的網(wǎng)絡(luò)帶寬占用，管理帶寬，但我們做限制和管理時(shí)一般要進(jìn)行深入分析，包括網(wǎng)絡(luò)中的客戶的網(wǎng)絡(luò)行為，主要關(guān)鍵的需要保障的應(yīng)用和這些應(yīng)用的帶寬需求，等等。有了更深入的了解才能夠有效的指定管理策略。當(dāng)然，有的時(shí)候制度管理是很重要的，不一定是技術(shù)上的限制，技術(shù)上的限制也要在制度基礎(chǔ)之上，比如禁止利用公司的網(wǎng)絡(luò)看視頻，就可以作為一個(gè)制度，一旦發(fā)現(xiàn)有相應(yīng)的處罰措施，這些通過(guò)流量分析手段是很容易發(fā)現(xiàn)的。有了制度和相應(yīng)的手段是好的管理的基礎(chǔ)。

Q：高老師,你好.網(wǎng)絡(luò)分析很重要.但我覺(jué)得很多情況下還要理清整個(gè)網(wǎng)絡(luò)拓?fù)?因?yàn)橹挥腥W(wǎng)各個(gè)地方都已理清才能定位出最容易出問(wèn)題的地方.一直以來(lái),個(gè)人感覺(jué),網(wǎng)絡(luò)分析,拓?fù)涫腔A(chǔ).所有只有基于拓?fù)涞那闆r下才能更好解決問(wèn)題.而不是一味的一出問(wèn)題就抓包的這種做法!也許是受以前老師的影響吧!當(dāng)時(shí)只要一問(wèn)問(wèn)題,他們就讓我拿拓?fù)?

A：你說(shuō)的很對(duì)，網(wǎng)絡(luò)分析的基礎(chǔ)是對(duì)網(wǎng)絡(luò)的了解，網(wǎng)絡(luò)拓?fù)涫欠浅Ｖ匾?，除了網(wǎng)絡(luò)拓?fù)浒☉?yīng)用拓?fù)?、?yīng)用邏輯拓?fù)?、網(wǎng)絡(luò)行為模型等都是非常重要的信息。

網(wǎng)絡(luò)分析重要的是針對(duì)性的分析，針對(duì)不同問(wèn)題要制定針對(duì)性的分析方案，而分析方案的制定是建立在詳細(xì)了解網(wǎng)絡(luò)和應(yīng)用架構(gòu)以及詳細(xì)問(wèn)題現(xiàn)象基礎(chǔ)之上的。

這就像醫(yī)生看病，醫(yī)生給人看病診斷的基礎(chǔ)是對(duì)人體結(jié)構(gòu)、機(jī)能、各系統(tǒng)運(yùn)行原理、各種病理特性等等的了解基礎(chǔ)上的，網(wǎng)絡(luò)分析也一樣，不了解談不上分析。

Q：專家您好：我們公司局域網(wǎng)經(jīng)常發(fā)生ARP的攻擊，雖然此前我們統(tǒng)計(jì)了一份全公司電腦IP地址和MAC地址對(duì)應(yīng)表，但是有些客戶端電腦可能利用類似"網(wǎng)絡(luò)執(zhí)法官"等軟件虛擬出幾個(gè)虛假的MAC地址，導(dǎo)致我們即使使用網(wǎng)絡(luò)分析（抓包）軟件也很難定位到發(fā)動(dòng)ARP攻擊的地方，只能采用笨辦法，在交換機(jī)上拔網(wǎng)線來(lái)慢慢定位，但這種辦法太不高效，請(qǐng)問(wèn)專家我們這種情況，有什么好的辦法？

A：出現(xiàn)arp攻擊后，最有效的發(fā)現(xiàn)可以通過(guò)交換機(jī)的端口mac表，端口進(jìn)出流量來(lái)判斷，如果一個(gè)端口對(duì)應(yīng)的mac、ip很多一般就不正常了，當(dāng)然需要交換機(jī)支持了。防病毒很重要。

Q：專家好，我們公司內(nèi)網(wǎng)經(jīng)常有人通過(guò)BT或者電驢下載電影或者其他東西，導(dǎo)致整個(gè)網(wǎng)絡(luò)網(wǎng)速很慢，請(qǐng)問(wèn)專家能否針對(duì)我們這種情況提出好的解決辦法？

A：通過(guò)網(wǎng)絡(luò)分析系統(tǒng)能很容易判別這些通過(guò)p2p軟件下載的主機(jī)，詳細(xì)的分析方法可以到科來(lái)論壇上去找，如何避免大量下載導(dǎo)致網(wǎng)絡(luò)很慢的發(fā)生，可以通過(guò)制度管理、以及采用相應(yīng)的技術(shù)手段，如分析手段、帶寬控制手段來(lái)避免。

Q：科來(lái)的網(wǎng)絡(luò)分析軟件與其他網(wǎng)絡(luò)分析軟件相比有什么特色和優(yōu)勢(shì)?比如sniffer.

A：科來(lái)網(wǎng)絡(luò)分析系統(tǒng)是我們科來(lái)自主研發(fā)的高性能全功能網(wǎng)絡(luò)分析軟件，我們?cè)谶@個(gè)領(lǐng)域擁有多項(xiàng)專利技術(shù)，使分析性能遠(yuǎn)遠(yuǎn)高于同類產(chǎn)品。

同時(shí)融合了我們中國(guó)人的聰明才智，使功能、界面設(shè)置都更加的人性化，包括節(jié)點(diǎn)瀏覽器、端點(diǎn)分析功能、訪問(wèn)日志分析、最新版本網(wǎng)絡(luò)分析方案和網(wǎng)絡(luò)檔案的設(shè)定等等，同時(shí)采用最新最流行的界面設(shè)計(jì)，更貼近于使用者的習(xí)慣，更貼合分析流程，使分析效率大大提高。

更關(guān)鍵的是我們?cè)陲w快的進(jìn)步中，sniffer pro軟件從上個(gè)世紀(jì)90年代到現(xiàn)在就沒(méi)有什么變化和發(fā)展，目前來(lái)講從功能上和我們已經(jīng)有了很大的差距。

我們一直在網(wǎng)絡(luò)分析技術(shù)方面不斷努力，也取得了很大成功，這也得益于廣大用戶的支持，我相信我們會(huì)在不遠(yuǎn)的將來(lái)在技術(shù)和市場(chǎng)方面全面領(lǐng)先。

#p#

Q：我們公司的網(wǎng)絡(luò)里有幾百臺(tái)電腦，除了機(jī)房的核心交換機(jī)以外，在客戶端的分支還放有很多分支桌面級(jí)的交換機(jī)，但是經(jīng)常發(fā)生客戶端分支交換機(jī)被人惡意造成環(huán)路的情況（即一根網(wǎng)絡(luò)插在了一個(gè)交換機(jī)的兩個(gè)端口上），請(qǐng)問(wèn)針對(duì)這種情況，專家有什么好的解決方案？

A：防止惡意制造環(huán)路，采用有回環(huán)檢測(cè)功能的交換機(jī)最好。

Q：老師您好: 在日常網(wǎng)絡(luò)管理活動(dòng)中有些困惑,望解答.一是網(wǎng)絡(luò)基線如何建立,特別是在一個(gè)多子網(wǎng)的環(huán)境下不知道如何入手,也就是想問(wèn)問(wèn)網(wǎng)絡(luò)基線的建立有沒(méi)有規(guī)范?如果有,必須按照什么規(guī)范建立.二是在多子網(wǎng)的環(huán)境下如何進(jìn)行網(wǎng)絡(luò)監(jiān)控?謝謝! 

A：網(wǎng)絡(luò)基線一般指網(wǎng)絡(luò)中一些重要流量參數(shù)在正常條件下運(yùn)行的數(shù)值，當(dāng)然每個(gè)網(wǎng)絡(luò)有自己的流量特點(diǎn)，其基線特點(diǎn)也不同，有些網(wǎng)絡(luò)流量不會(huì)出現(xiàn)明顯的規(guī)律，這和網(wǎng)絡(luò)上的應(yīng)用特點(diǎn)是相關(guān)的。

一般來(lái)說(shuō)，網(wǎng)絡(luò)層面，網(wǎng)絡(luò)中的bps和pps參數(shù)是重要的建立基準(zhǔn)的參數(shù)，可以將一段時(shí)間內(nèi)的這兩個(gè)參數(shù)進(jìn)行統(tǒng)計(jì)，一般按相應(yīng)的應(yīng)用運(yùn)行規(guī)律來(lái)確定基線的確定方式，時(shí)間規(guī)律很重要，如有的網(wǎng)絡(luò)中是按每天時(shí)間特點(diǎn)規(guī)律明顯，有的是按每星期的運(yùn)行規(guī)律明顯，如星期一和下星期一的有可比性，這都是計(jì)算基線時(shí)應(yīng)該考慮的。

多子網(wǎng)環(huán)境下可以采用多點(diǎn)部署的方式進(jìn)行監(jiān)控，當(dāng)然如果都在一個(gè)物理交換機(jī)上的多子網(wǎng)可以集中做鏡像進(jìn)行監(jiān)控。

Q：1.我的網(wǎng)絡(luò)股票軟件挺正常啊，可是網(wǎng)頁(yè)有時(shí)候不能瀏覽

2. 網(wǎng)速特別慢，重啟有一定作用，怎么用科來(lái)分析啊

3.我能嗅探到內(nèi)網(wǎng)的用戶系統(tǒng)或者郵箱的密碼嗎：

4.前段時(shí)間在測(cè)試一款設(shè)備的時(shí)候發(fā)現(xiàn)，由其發(fā)出來(lái)的UDP包(大于1500Bytes)，會(huì)被分片(fragment)。

5.84這臺(tái)機(jī)向194發(fā)送 ack 包，但所有的 序列號(hào)都相同？這是為什么

一幫84向194發(fā)一個(gè)包，194回應(yīng)三個(gè)包，在第三個(gè)包中 置PUSH位為1

請(qǐng)幫忙，分析一個(gè)這個(gè)數(shù)據(jù)包到底存在哪些問(wèn)題，謝謝！

6.局域網(wǎng)的IP如下設(shè)置，有個(gè)問(wèn)題很有趣，望大家共同解決為感：

網(wǎng)關(guān)：218.219.220.2子網(wǎng)掩碼：255.255.255.248如此設(shè)置的話，還有 5 個(gè)IP可用，218.219.220.1

218.219.220.3

218.219.220.4

218.219.220.5

218.219.220.6

218.219.220.2已經(jīng)設(shè)為網(wǎng)關(guān)，余下 5 個(gè)ip地位相等，分給5個(gè)機(jī)子，理論上5個(gè)機(jī)子都能上網(wǎng)才對(duì)，

偏偏出現(xiàn)這個(gè)問(wèn)題，IP設(shè)置為218.219.220.3 的機(jī)子上不了網(wǎng)，這是為什麼？

問(wèn)題補(bǔ)充：

電腦沒(méi)問(wèn)題，操作系統(tǒng)都一樣【XP】，四臺(tái)機(jī)子連在5口的交換機(jī)上，網(wǎng)關(guān)218.219.220.2的機(jī)子用星空極速聯(lián)網(wǎng)并共享出來(lái)【W(wǎng)indows本身的共享功能】，218.219.220.3的IP換在任何機(jī)子上則該機(jī)無(wú)法上網(wǎng)，現(xiàn)象很奇怪，剩下的IP都能用。

A：1.這要具體抓取數(shù)據(jù)包來(lái)分析，確定是網(wǎng)絡(luò)服務(wù)問(wèn)題還是應(yīng)用服務(wù)問(wèn)題。

2.可以通過(guò)捕獲相關(guān)流量，分析是由于網(wǎng)絡(luò)丟包、延遲造成的慢還是由于應(yīng)用響應(yīng)慢造成的慢。

3.如果內(nèi)網(wǎng)用戶的口令采用明文傳輸，并且你能捕獲到相應(yīng)數(shù)據(jù)包，可以解碼查看用戶和口令。

4.以太網(wǎng)最大的幀是1518bytes，ip包超過(guò)一定長(zhǎng)度，會(huì)被fragment成多個(gè)幀，才能在網(wǎng)絡(luò)中傳輸。

5.如果只是ack包，沒(méi)有有效的載荷，序列號(hào)是不會(huì)增加。tcp傳輸數(shù)據(jù)時(shí)會(huì)分成多個(gè)分段（最大1460bytes）發(fā)送，一般最后一個(gè)分段push位為1，提示傳輸層將數(shù)據(jù)提交應(yīng)用層處理?？茨阏f(shuō)的這種情況不存在什么傳輸問(wèn)題。

6.這個(gè)問(wèn)題很奇怪啊，訪問(wèn)不了其他的主機(jī)還是不能通過(guò)共享上網(wǎng)呢？可以用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)抓個(gè)包看看。

Q：高老師你好：在網(wǎng)速非常慢的情況下，怎么對(duì)客戶端進(jìn)行實(shí)時(shí)監(jiān)控？

A：是訪問(wèn)internet很慢嗎，如果是internet出口分析主要可以通過(guò)流量分析手段監(jiān)控哪些主機(jī)的流量比較大，如bps、發(fā)送接收字節(jié)數(shù)或發(fā)送接收數(shù)據(jù)包數(shù)以及ip會(huì)話數(shù)量及tcp會(huì)話數(shù)量等，如有主機(jī)占用的帶寬很大，可進(jìn)一步分析其網(wǎng)絡(luò)行為，是否是由于下載或上傳大量流量導(dǎo)致帶寬擁塞。如果是發(fā)送大量的數(shù)據(jù)包，或存在大量的ip會(huì)話或短時(shí)間內(nèi)建立大量的tcp連接，則要分析是否存在網(wǎng)絡(luò)攻擊的行為導(dǎo)致網(wǎng)絡(luò)性能下降。

Q：專家你好！我想問(wèn)一下使用科來(lái)軟件能實(shí)現(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控嗎？這個(gè)軟件是不是能實(shí)現(xiàn)問(wèn)題發(fā)現(xiàn)并給出相應(yīng)的應(yīng)對(duì)策略呢？

A：你好，科來(lái)的網(wǎng)絡(luò)分析系統(tǒng)就是實(shí)時(shí)的網(wǎng)絡(luò)流量分析系統(tǒng)，能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控，提供網(wǎng)絡(luò)的可視性。

這種監(jiān)控是基于對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包的分析來(lái)實(shí)現(xiàn)的，不僅僅能夠?qū)W(wǎng)絡(luò)的運(yùn)行情況進(jìn)行分析監(jiān)控，還能對(duì)網(wǎng)絡(luò)行為、應(yīng)用行為進(jìn)行監(jiān)控分析。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010能根據(jù)網(wǎng)絡(luò)和應(yīng)用的異常流量特征進(jìn)行智能診斷分析，提供相應(yīng)的對(duì)策，同時(shí)，我們也提供專業(yè)的分析技術(shù)培訓(xùn)，提高技術(shù)人員的網(wǎng)絡(luò)問(wèn)題分析能力。

Q：高老師,你好!提一個(gè)實(shí)際中遇到的一個(gè)問(wèn)題.我們宿舍里公司給配的是無(wú)線路由,每次只要我一回去,打開(kāi)無(wú)線連接,很快我們的網(wǎng)絡(luò)就慢下來(lái)了.我看了下數(shù)據(jù)包的發(fā)送與接收.正常情況下,每次都是成三位數(shù)的跳動(dòng)!開(kāi)機(jī)時(shí)就開(kāi)了一個(gè)卡巴斯基,就想是不是它的原因.可是將卡巴退了以后,數(shù)據(jù)包發(fā)送數(shù)還是以四三位數(shù)跳動(dòng)!感覺(jué)是不是有什么可疑進(jìn)程,進(jìn)去看了以后,也沒(méi)有什么問(wèn)題?

A： 可能有進(jìn)程在向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。可以裝一個(gè)軟件捕獲一下網(wǎng)絡(luò)流量，分析一下在向外面發(fā)送那種流量，和什么主機(jī)通訊。進(jìn)一步可以分析哪個(gè)進(jìn)程在進(jìn)行這種通訊。用 netstat -abn命令可以看到哪些進(jìn)程在通訊。

Q：除了用端口鏡像，hub欺騙的的方式，還有沒(méi)有別的方法去截取網(wǎng)絡(luò)上的報(bào)文?。?/span>

A： 網(wǎng)絡(luò)上物理流量的獲取，除了端口鏡像和采用hub外，還可以采用分路器（TAP）的方式。

Q：請(qǐng)教高老師：我們公司開(kāi)視頻會(huì)議的時(shí)候莫名其妙的斷了，屏幕上，整個(gè)會(huì)場(chǎng)都不顯示了，但是視頻系統(tǒng)顯示五個(gè)視頻地點(diǎn)也都是連接的，網(wǎng)絡(luò)連接顯示正常。重新建立網(wǎng)絡(luò)視頻會(huì)議又能重新顯示，不知道可能是什么原因？請(qǐng)幫忙分析一下。我們用的是公網(wǎng)IP。

A：視頻會(huì)議系統(tǒng)本身有問(wèn)題或當(dāng)時(shí)網(wǎng)絡(luò)傳輸有問(wèn)題都有可能是問(wèn)題發(fā)生的原因，具體的分析可以采用分析系統(tǒng)在開(kāi)視頻會(huì)議的時(shí)候進(jìn)行流量捕獲，一旦發(fā)生問(wèn)題，分析當(dāng)時(shí)的數(shù)據(jù)流是否正常，才能真正判定問(wèn)題發(fā)生的原因。

Q：您上面提到的"歐美等成熟IT市場(chǎng)網(wǎng)絡(luò)管理方法"是指什么?

A： IT管理在歐美的發(fā)展比在國(guó)內(nèi)要早，在一些管理體系建立方面相對(duì)成熟，至于網(wǎng)絡(luò)管理的方法不同類型，不同規(guī)模的企業(yè)也完全不同，根據(jù)自身特點(diǎn)建立一個(gè)以業(yè)務(wù)保障為核心的網(wǎng)絡(luò)管理的服務(wù)體系是核心關(guān)鍵。網(wǎng)絡(luò)目前支撐的是業(yè)務(wù)，這里面需要圍繞保障業(yè)務(wù)持續(xù)、高效、安全運(yùn)行建立完整的網(wǎng)絡(luò)管理體系，網(wǎng)絡(luò)管理體系的組成是專業(yè)人員、策略、流程、手段和方法的集合體，核心是人員，根據(jù)自身特點(diǎn)來(lái)采用合理的手段和方法很重要。

Q：我的一個(gè)使用無(wú)線路由器、交換機(jī)、在網(wǎng)微機(jī)23臺(tái)的網(wǎng)絡(luò)環(huán)境突然全部不能打開(kāi)http網(wǎng)頁(yè)，但是qq、msn可以正常使用。將全部微機(jī)關(guān)機(jī)，一臺(tái)一臺(tái)開(kāi)，發(fā)現(xiàn)就全部都恢復(fù)正常了。這是不是網(wǎng)絡(luò)風(fēng)暴，是病毒引起的還是什么別的原因？該怎么確定？請(qǐng)專家?guī)兔Ψ治龇治觯。。?/span>

A：通過(guò)你講的現(xiàn)象，可能的原因會(huì)很多，網(wǎng)絡(luò)擁塞、DNS解析問(wèn)題等都有可能造成這樣的原因，最好的分析方法就是利用網(wǎng)絡(luò)分析工具捕獲當(dāng)時(shí)的網(wǎng)絡(luò)流量，分析相關(guān)訪問(wèn)的過(guò)程，是否是由于擁塞或其他原因引起，能夠準(zhǔn)確的定位問(wèn)題的原因。

Q：最近半年網(wǎng)絡(luò)經(jīng)常斷線，重啟路由就好一會(huì)就斷了。PING 網(wǎng)關(guān)不通，PING別的IP通。這是什么原因??？請(qǐng)專家?guī)兔Ψ治鲆幌隆?/span>

A： 你說(shuō)的現(xiàn)象是路由器無(wú)法正常工作，或稱拒絕服務(wù)的現(xiàn)象，造成這種問(wèn)題的可能原因包括網(wǎng)絡(luò)DoS攻擊、大量的會(huì)話無(wú)法處理（路由器本身是否具備防火墻的功能？），路由器本身性能問(wèn)題（在流量大或數(shù)據(jù)包多的時(shí)候無(wú)法正常運(yùn)行），ARP攻擊行為等等，你可以下載一個(gè)科來(lái)的技術(shù)交流版，出問(wèn)題時(shí)捕獲一下網(wǎng)絡(luò)流量，分析一下具體原因。

Q：CISCO-1841路由器,串口模塊啟用后一直向局域網(wǎng)內(nèi)發(fā)送ARP包,用抓包工具抓包，結(jié)果顯示路由器向同一網(wǎng)段的大部分IP請(qǐng)求應(yīng)答,不知道是什么原因？應(yīng)該要怎么解決？請(qǐng)專家?guī)兔獯鹨幌隆?/span>

A：路由器會(huì)和局域網(wǎng)內(nèi)所有的主機(jī)通訊，發(fā)送向局域網(wǎng)段主機(jī)ARP包也是正常現(xiàn)象，關(guān)鍵要分析網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)通訊是否異常，如果是在短時(shí)間內(nèi)大量發(fā)送ARP請(qǐng)求可能是廣域網(wǎng)上有主機(jī)對(duì)局域網(wǎng)內(nèi)主機(jī)進(jìn)行掃描所致，可以分析一下主機(jī)的會(huì)話，有沒(méi)有外部單臺(tái)主機(jī)和大量局域網(wǎng)主機(jī)試圖建立連接。

Q：HTTP服務(wù)器慢響應(yīng)是怎么回事兒？還有就是：TCP什么重復(fù)嘗試，我的網(wǎng)絡(luò)監(jiān)測(cè)到很多這種東西。

A：Http服務(wù)器慢響應(yīng)是指服務(wù)器處理客戶端的應(yīng)用交易處理請(qǐng)求的響應(yīng)時(shí)間超過(guò)了分析系統(tǒng)設(shè)定的閥值，比如你請(qǐng)求一個(gè)網(wǎng)頁(yè)，客戶端會(huì)向服務(wù)器發(fā)送一個(gè)"get"請(qǐng)求，服務(wù)器收到后會(huì)處理響應(yīng)，這個(gè)響應(yīng)時(shí)間是服務(wù)器的響應(yīng)時(shí)間。

TCP重復(fù)的嘗試是指客戶端重復(fù)發(fā)送連接請(qǐng)求數(shù)據(jù)包，一般是在第一次連接服務(wù)器沒(méi)有得到響應(yīng)后，再次試圖發(fā)起連接的過(guò)程?？赡苡捎诜?wù)器性能下降或網(wǎng)絡(luò)丟包引起。

Q：你好，我的2950接到核心交換機(jī)是通過(guò)光電轉(zhuǎn)換器接的，接光電轉(zhuǎn)換器的端口燈是橙色的，但是鏈路和協(xié)議都是起來(lái)的，就是不通是怎么回事？

A：你可以用臺(tái)主機(jī)直接連光電轉(zhuǎn)換器看是不是通的，這樣可以排除是不是光電轉(zhuǎn)換器的問(wèn)題，然后換臺(tái)交換機(jī)試試，有可能是不匹配的問(wèn)題。

Q：如果一個(gè)大型網(wǎng)絡(luò)中出現(xiàn)大面積的arp病毒，應(yīng)該如何著手進(jìn)行處理。

A： 最好是全面部署防病毒軟件，分析arp病毒。

Q：專家您好，我想問(wèn)一下，對(duì)于一般中小型網(wǎng)絡(luò)，有沒(méi)有根據(jù)流量自動(dòng)限制帶寬的方案？因?yàn)槌隹趲挷蛔悖医?jīng)常遇到這樣的困擾。

A：現(xiàn)在很多為中小型企業(yè)設(shè)計(jì)的多功能防火墻、路由器都有帶寬限制功能，能限制單臺(tái)主機(jī)、應(yīng)用的帶寬占用。

Q：當(dāng)發(fā)現(xiàn)公司網(wǎng)絡(luò)突然變慢 在看arp和網(wǎng)絡(luò)有沒(méi)有P2P之外  還要從哪里入手呢？想知道專家一般在查看局域網(wǎng)的時(shí)候用什么網(wǎng)絡(luò)分析軟件 而且抓包后查看數(shù)據(jù)包那些重點(diǎn)？

A：首先要了解是什么慢，是訪問(wèn)internet慢還是內(nèi)部訪問(wèn)慢。是所有的訪問(wèn)都慢還是部分訪問(wèn)慢。

如果是訪問(wèn)internet慢，可能的原因主要有帶寬擁塞（p2p下載）、連接數(shù)量過(guò)多防火墻路由器處理慢等，可以對(duì)出口流量進(jìn)行捕獲，查看帶寬的擁塞情況（bps）和數(shù)據(jù)包收發(fā)情況（pps），如果擁塞，分析是哪些主機(jī)的流量較大，造成擁塞，并進(jìn)一步分析其網(wǎng)絡(luò)行為特點(diǎn)，訪問(wèn)情況，采用協(xié)議等。

Q：高老師您好，有時(shí)企業(yè)網(wǎng)絡(luò)進(jìn)/出流量突然增高，有可能是哪些方面原因?qū)е拢?/span>

A：可能的原因很多，流量是主機(jī)的應(yīng)用引起的，要分析是哪些主機(jī)的流量突然增高導(dǎo)致進(jìn)出流量的突然增高，然后針對(duì)性分析這些主機(jī)的流量來(lái)確定其應(yīng)用，從而確定是否正常。

Q：你好，我是在電信做客戶端維護(hù)工作的人員，最近在處理一個(gè)故障時(shí)碰到了問(wèn)題，網(wǎng)絡(luò)結(jié)構(gòu)是這樣的電信bras----匯聚層交換機(jī)8512在---（單模單芯光纖）DLINK的3628小區(qū)中心---3226小區(qū)樓層交換機(jī)，現(xiàn)在在3628上測(cè)試iptv有馬賽克，但是斷開(kāi)所有下聯(lián)3226樓層，單單看iptv是正常的，而且測(cè)試光路正常，中心交換機(jī)流量在30M左右，屬于正常范圍，中心設(shè)備收發(fā)器及局端收發(fā)器都更換過(guò)，而且下聯(lián)每個(gè)用戶使用的一個(gè)vlan，邏輯上流量應(yīng)該是隔離的，請(qǐng)問(wèn)能否通過(guò)抓包分析故障嗎？

A： iptv有馬賽克本身可能是由于傳輸丟包或傳輸時(shí)延過(guò)大所致，造成丟包的主要原因包括帶寬擁塞、交換機(jī)路由器處理性能下降等，可以捕獲3628上聯(lián)端口的流量來(lái)判斷是否是由于丟包所致，如果是的話，在什么情況下造成的丟包，是否是流量到達(dá)一定程度開(kāi)始丟包。另外分析iptv對(duì)帶寬的需求是什么，在沒(méi)有其他流量的時(shí)候分析iptv的帶寬占用情況，一般流媒體應(yīng)用要保證穩(wěn)定的帶寬，可以在匯聚交換機(jī)上設(shè)定QoS保證iptv的帶寬。

Q：專家你好,我們的CIO經(jīng)常讓我們使用基于Linux下的網(wǎng)絡(luò)監(jiān)測(cè)軟件，我們常用MRTG ,ntop等，覺(jué)得效果不錯(cuò)，和那樣花錢買的專用的軟件相比，功能一點(diǎn)不差，節(jié)省了成本，我知科來(lái)也做網(wǎng)絡(luò)監(jiān)測(cè)，科來(lái)的軟件與上述的基于Linux下的開(kāi)放軟件有優(yōu)勢(shì)嗎？或者說(shuō)和它們有什么不通之處？

A： 開(kāi)放的軟件由于不是商業(yè)化開(kāi)發(fā)，在產(chǎn)品功能上不可能做到非常完善，當(dāng)然根據(jù)自身的網(wǎng)絡(luò)管理需求的不同采用開(kāi)源的軟件也是無(wú)可厚非的。你說(shuō)的mrtg和ntop能夠提供流量的統(tǒng)計(jì)監(jiān)控，但功能相對(duì)簡(jiǎn)單，缺乏應(yīng)用層分析能力和會(huì)話分析能力，視圖相對(duì)也簡(jiǎn)單，如果只是做簡(jiǎn)單的流量監(jiān)測(cè)是非常實(shí)用的工具了。但是我們?cè)趯?shí)際工作中網(wǎng)絡(luò)管理非常復(fù)雜，不只是要做好流量監(jiān)測(cè)，需要及時(shí)采取措施，更需要及時(shí)的進(jìn)行匯報(bào)和總結(jié)。

科來(lái)網(wǎng)絡(luò)通訊分析系統(tǒng)功能非常完善，包括全面的圖形化流量監(jiān)測(cè)功能，實(shí)時(shí)監(jiān)控和告警，多角度的分析能力，使操作管理非常方便。如我們僅僅對(duì)ip端點(diǎn)的數(shù)據(jù)分析就能提供30多個(gè)參數(shù)，智能化分析，能根據(jù)流量特征智能化提供從數(shù)據(jù)鏈路層到應(yīng)用層以及網(wǎng)絡(luò)安全方面的多種診斷分析，還有數(shù)據(jù)包級(jí)的分析能力，更為有可視化的統(tǒng)計(jì)工具，便于進(jìn)行工作匯報(bào)…這些都是mrtg類軟件所無(wú)法提供的，你可以下載一個(gè)技術(shù)交流版實(shí)際體驗(yàn)一下，切身感受一下與他們的區(qū)別。

Q：局域網(wǎng)中有很多不必要的程序占用網(wǎng)速，并且用戶還不知情，比如一些軟件在后臺(tái)自動(dòng)升級(jí)，還有就是中了木馬，導(dǎo)致占用很多流量，怎樣才能避免這種情況呢，我知道避免木馬就是用殺毒軟件，但是一些常用軟件就不行了，還有好多windows的自動(dòng)更新都是默認(rèn)開(kāi)啟的，可是用戶并不知道，，主要就是怎么避免不必要的流量丟失。

A：確實(shí)是這樣，網(wǎng)絡(luò)中很多的流量并不是實(shí)際真正需要發(fā)生的流量，但能大量占用網(wǎng)絡(luò)資源，不同類型的網(wǎng)絡(luò)行為可能需要不同的手段去進(jìn)行管理，如病毒可能要采用防病毒系統(tǒng)、自動(dòng)升級(jí)可以進(jìn)行設(shè)置或采用內(nèi)部的升級(jí)服務(wù)器避免大量占用互聯(lián)網(wǎng)帶寬等。這就要我們能更加了解我們的網(wǎng)絡(luò)系統(tǒng)，在這方面，網(wǎng)絡(luò)分析是非常好的手段，利用網(wǎng)絡(luò)分析不但能看到所有的網(wǎng)絡(luò)行為，并加以歸類分析，發(fā)現(xiàn)異?，F(xiàn)象，分析各種網(wǎng)絡(luò)行為對(duì)網(wǎng)絡(luò)的影響，從而能夠根據(jù)不同的問(wèn)題指定不同的管理策略，采用不同的網(wǎng)絡(luò)管理手段來(lái)避免。你可以去科來(lái)官網(wǎng)下載一個(gè)交流版的網(wǎng)絡(luò)分析軟件，做個(gè)評(píng)估檢測(cè)。

Q：我們公司接入2M的網(wǎng)通和2M的ADSL，上網(wǎng)還會(huì)很慢？問(wèn)可不可以把這兩條線合成4M？

A：很多多功能路由設(shè)備具備廣域網(wǎng)鏈路合并功能。

增加帶寬會(huì)改善上網(wǎng)速度，決定"上網(wǎng)速度"的不僅僅是帶寬，還有流量。打個(gè)比方，一條四車道的路和一條單車道的路比，當(dāng)然按理說(shuō)四車道的比單車道的要好走，但北京的西二環(huán)也是四車道的，由于車太多，基本上都很擁堵，但一條單車道的鄉(xiāng)間小路，車流很少，反而可能更好走。這就需要我們具體對(duì)流量進(jìn)行分析，同時(shí)要增加管理手段，才能保證正常的上網(wǎng)質(zhì)量。

Q：為什么我的CPU和網(wǎng)速很差我用的網(wǎng)卡是2M的CPU是雙核64MM的。

A：可能原因很多，如果是cpu利用率高，你可以用資源管理器查查哪些進(jìn)程占用cpu資源。如果是上網(wǎng)速度慢，你可以用我們的網(wǎng)絡(luò)分析系統(tǒng)分析一下上網(wǎng)的流量。

#p#

Q：您好！我想請(qǐng)教下.現(xiàn)在我的電腦的CPU在20-100怎么辦？聽(tīng)別人說(shuō)360殺軟很雞肋.是真的嗎？那我該用什么殺軟比較好？我的電腦是兩臺(tái)在一起用的2M 怎么一臺(tái)電腦沒(méi)工作.另一臺(tái)電腦的網(wǎng)速很差？打開(kāi)個(gè)網(wǎng)頁(yè)有時(shí)都要級(jí)分鐘甚至十幾分鐘？太浪費(fèi)時(shí)間了.

A：我對(duì)防病毒軟件也沒(méi)有很深研究，上網(wǎng)速度慢的可能原因很多，有可能是網(wǎng)絡(luò)性能差、應(yīng)用慢、主機(jī)本身性能慢都有可能，最好用網(wǎng)絡(luò)分析系統(tǒng)捕獲一下上網(wǎng)的流量數(shù)據(jù)，分析一下問(wèn)題原因。

Q：我的問(wèn)題是，h3c 3100的交換機(jī)光口和思科的交換機(jī)光口無(wú)法連接時(shí)說(shuō)明原因，怎么才能解決？謝謝！

A： 先檢查光纖，如果光纖沒(méi)問(wèn)題，可能是兩個(gè)交換機(jī)不能自動(dòng)協(xié)商的原因，檢查兩個(gè)交換機(jī)互聯(lián)的端口配置，可以手工設(shè)定端口配置，如全雙工等參數(shù)。

Q：您好，我們公司內(nèi)網(wǎng)經(jīng)常有人通過(guò)BT或者電驢下載電影或者其他東西，導(dǎo)致整個(gè)網(wǎng)絡(luò)網(wǎng)速很慢，流量過(guò)低，請(qǐng)問(wèn)專家能否針對(duì)我們這種情況提出好的解決辦法？

A： 你好！這是很多網(wǎng)絡(luò)經(jīng)常遇到的問(wèn)題，一方面還是網(wǎng)絡(luò)管理策略定制的問(wèn)題，其實(shí)不光是BT和電驢會(huì)占據(jù)大量帶寬會(huì)影響網(wǎng)絡(luò)性能，包括一些視頻應(yīng)用、qq傳文件甚至一些股票信息軟件都可能消耗大量帶寬，導(dǎo)致網(wǎng)絡(luò)性能下降，在這種情況下需要我們的網(wǎng)絡(luò)管理人員具備網(wǎng)絡(luò)監(jiān)控分析能力，借助網(wǎng)絡(luò)分析軟件能夠清晰地觀察到網(wǎng)絡(luò)內(nèi)的所有應(yīng)用變化。由于網(wǎng)絡(luò)應(yīng)用和用戶的網(wǎng)絡(luò)行為都是動(dòng)態(tài)的，不是一直不變的，要根據(jù)實(shí)際情況指定網(wǎng)絡(luò)管理策略，包括制定相應(yīng)規(guī)章制度，另外現(xiàn)在很多網(wǎng)絡(luò)設(shè)備都有帶寬管理控制的功能，可以根據(jù)實(shí)際情況來(lái)定制規(guī)則控制相關(guān)流量。

Q：高老師，我是一個(gè)大型制造企業(yè)的網(wǎng)管，前段時(shí)間由于我的管理不慎，導(dǎo)致生產(chǎn)部的員工私自操作交換機(jī)。將一根網(wǎng)線的兩頭插在一個(gè)交換機(jī)上，造成回路廣播風(fēng)暴。讓我花了很多時(shí)間進(jìn)行排查，主要是查看交換機(jī)的指示燈。我想請(qǐng)教一下高老師，如何高效地防范和檢測(cè)回路或者廣播風(fēng)暴的產(chǎn)生。

A：物理環(huán)路造成廣播風(fēng)暴會(huì)造成網(wǎng)絡(luò)直接宕機(jī)，交換機(jī)都無(wú)法訪問(wèn)，一般只能通過(guò)物理方法來(lái)判定環(huán)路在哪，你可以采用具備防止環(huán)路功能的交換機(jī)，如果你的交換機(jī)支持這個(gè)功能，可以啟用，能有效防止回路的出現(xiàn)。

Q：高老師,你好!個(gè)人是搞接入網(wǎng)的,對(duì)snffier不是太過(guò)了解。但聽(tīng)說(shuō)過(guò)很多的無(wú)線破解技術(shù),個(gè)人感覺(jué),它們的原理是不是相同.都是通過(guò)截取數(shù)據(jù)包后,通過(guò)分析數(shù)據(jù)包中的相關(guān)字節(jié).從而讀出無(wú)線的密碼?比如TCP包中的第8個(gè)字節(jié)有數(shù)據(jù)包的VLAN ID.而后面字節(jié)中相應(yīng)會(huì)有信息的內(nèi)容.不知道這樣理解,對(duì)嗎?

A：你好！網(wǎng)絡(luò)分析技術(shù)主要是通過(guò)分析網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)提供對(duì)網(wǎng)絡(luò)運(yùn)行情況、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)應(yīng)用的分析，你的理解沒(méi)錯(cuò)，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)都是按照相關(guān)的規(guī)則，也就是我們所說(shuō)的網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行封裝，在網(wǎng)絡(luò)中傳輸?shù)模虼宋覀円步袇f(xié)議分析，根據(jù)協(xié)議規(guī)則將網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)報(bào)文進(jìn)行分析，分析網(wǎng)絡(luò)中的各層流量，達(dá)到網(wǎng)絡(luò)分析的目的。

Q：您好，我現(xiàn)在碰到一個(gè)問(wèn)題，描述如下：?jiǎn)挝凰诰W(wǎng)絡(luò)為政府集中辦公大樓，所有設(shè)備都統(tǒng)一放在機(jī)房當(dāng)中，辦公室和會(huì)議室都是通過(guò)信息產(chǎn)業(yè)部門統(tǒng)一部署的網(wǎng)絡(luò)直接訪問(wèn)互聯(lián)網(wǎng)。現(xiàn)在需要在市區(qū)的某個(gè)單位（也是直接連接的互聯(lián)網(wǎng)），將視頻監(jiān)控傳輸?shù)綍?huì)議室，并投放到大屏幕上；同時(shí)在辦公室的pc上也可以看到視頻，并能控制視頻監(jiān)控。此種情況，該如何實(shí)現(xiàn)？謝謝！

A：理論上網(wǎng)絡(luò)能通就何以，可以具體咨詢提供視頻系統(tǒng)的技術(shù)人員。

Q：如果做企業(yè)網(wǎng)管，需要哪些知識(shí)？

A：不同企業(yè)的網(wǎng)管需要的知識(shí)會(huì)有很大區(qū)別，即使是同一個(gè)企業(yè)的網(wǎng)管，根據(jù)工作不同，需要的具體知識(shí)也不一樣，要看你的實(shí)際工作需要。當(dāng)然，作為一個(gè)網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)基礎(chǔ)知識(shí)、TCP/IP基礎(chǔ)知識(shí)是必須的。

Q：專家您好！有一局域網(wǎng)（有近100臺(tái)計(jì)算機(jī)），都同時(shí)接入到了互聯(lián)網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)也比較簡(jiǎn)單，外網(wǎng)進(jìn)來(lái)接的是俠諾路由器，路由器下接的是俠諾三層交換機(jī)，在交換機(jī)上做了VLAN劃分，192.168.0.0/24為服務(wù)器群，其中，192.168.0.3同時(shí)提供DHCP、DNS以及AD域控服務(wù)，其他的VLAN有192.168.10.0/24、192.168.20.0/24等共5個(gè)VLAN，局域網(wǎng)網(wǎng)絡(luò)運(yùn)行一直比較穩(wěn)定。由于最近網(wǎng)絡(luò)做了改造，采用了雙WAN口訪問(wèn)，所以重新配置了路由器，網(wǎng)絡(luò)產(chǎn)生了一些異常故障，具體現(xiàn)象為：某VLAN內(nèi)的主機(jī)突然發(fā)生網(wǎng)絡(luò)傳輸中斷故障，不能連接192.168.0.3服務(wù)器，但是一段時(shí)間后（幾分鐘或幾小時(shí)）又自動(dòng)恢復(fù)正常，產(chǎn)生這種故障的主機(jī)不確定是某一臺(tái)，偶爾是這臺(tái)，偶爾又是另外一臺(tái)，在故障發(fā)生的時(shí)候，ping服務(wù)器192.168.0.3，均能夠ping通IP地址，但卻不能ping通域名，檢查DNS服務(wù)器，未發(fā)現(xiàn)任何錯(cuò)誤。請(qǐng)問(wèn)如何分析解決？

A：1.  網(wǎng)絡(luò)是否能通，捕獲客戶端和服務(wù)器端兩端的ping流量，查看其是否正常，服務(wù)器是否能收到ping，服務(wù)器是否能回應(yīng)ping，是否存在arp欺騙。

2.  服務(wù)是否正常，服務(wù)器是否能收到dns請(qǐng)求，服務(wù)器收到dns請(qǐng)求后是否有正確響應(yīng)，客戶端是否收到dns響應(yīng)，客戶端是否存在arp欺騙。

Q：高老師，你好，我是一個(gè)技術(shù)愛(ài)好者，對(duì)網(wǎng)絡(luò)分析也非常感興趣，前一陣再論壇看到一個(gè)帖子，地址：http://bbs.51cto.com/thread-653506-1.html，大致說(shuō)的是交換機(jī)端口內(nèi)環(huán)導(dǎo)致網(wǎng)絡(luò)不通的情況，我想問(wèn)一下交換機(jī)端口內(nèi)環(huán)或者說(shuō)就針對(duì)帖子里的問(wèn)題，如何通過(guò)網(wǎng)絡(luò)分析來(lái)查原因并找到故障點(diǎn)，謝謝解答！

A： 你好！這個(gè)帖子上也看不出具體的問(wèn)題原因是什么，如果交換機(jī)出現(xiàn)物理環(huán)路，通過(guò)網(wǎng)絡(luò)分析手段能夠看到大量的廣播風(fēng)暴數(shù)據(jù)包。不過(guò)具體是哪里形成環(huán)路一般要通過(guò)人工方式排查，如果廣播風(fēng)暴不是非常厲害可以通過(guò)查看交換機(jī)端口狀態(tài)來(lái)判斷形成環(huán)路的端口，一般打環(huán)的 端口必定收到大量的數(shù)據(jù)包。

Q：專家好！現(xiàn)在有個(gè)網(wǎng)絡(luò)環(huán)境：一臺(tái)cisco3560交換機(jī)；局域網(wǎng)內(nèi)有8臺(tái)服務(wù)器，其中4臺(tái)是UNIX系統(tǒng)，另外4臺(tái)是Windows 2003系統(tǒng)。出現(xiàn)故障：1、內(nèi)部關(guān)鍵業(yè)務(wù)響應(yīng)很慢，信息處理不流暢；2、服務(wù)器和交換機(jī)的CPU和內(nèi)存利用率低；3、無(wú)法定位查找到網(wǎng)絡(luò)響應(yīng)慢的原因。請(qǐng)問(wèn)如何現(xiàn)場(chǎng)診斷？

A：這需要利用網(wǎng)絡(luò)分析軟件進(jìn)行交易處理級(jí)的分析，即捕獲相關(guān)的響應(yīng)慢的交易處理數(shù)據(jù)包，分析整個(gè)交易處理過(guò)程，來(lái)判斷是哪個(gè)服務(wù)響應(yīng)慢，是那個(gè)交易處理響應(yīng)慢，或是數(shù)據(jù)傳輸出現(xiàn)問(wèn)題。如果在同一個(gè)交換機(jī)上，網(wǎng)絡(luò)出現(xiàn)問(wèn)題的幾率較小，但也不是不可能，比如端口速率不匹配，線纜質(zhì)量差導(dǎo)致傳輸差等都可能造成傳輸性能很差。

Q：請(qǐng)問(wèn)專家：如何用科來(lái)查找出局域網(wǎng)中的Skiller或幻境網(wǎng)盾的使用者（一些人濫用這軟件，致使它對(duì)局域網(wǎng)的安全穩(wěn)定性造成極壞影響）？

A：沒(méi)有接觸過(guò)類似軟件，但這些軟件一般是通過(guò)arp欺騙或發(fā)送連接重置數(shù)據(jù)包組織他人訪問(wèn)網(wǎng)絡(luò)，可以通過(guò)分析軟件捕獲相應(yīng)流量，分析是哪些主機(jī)在做，同時(shí)可以通過(guò)查看交換機(jī)端口狀態(tài)和mac、ip列表來(lái)確定運(yùn)行這些軟件的主機(jī)接在哪些物理端口上。

Q：專家您好！最近有一客戶網(wǎng)吧發(fā)生網(wǎng)絡(luò)故障，而網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)很普通，通過(guò)電信和網(wǎng)通雙出口訪問(wèn)外網(wǎng)，在近一段時(shí)間，網(wǎng)絡(luò)時(shí)常中斷，拔掉網(wǎng)通的外網(wǎng)出口，網(wǎng)絡(luò)又恢復(fù)正常，插上后，一會(huì)便又?jǐn)嗑€。請(qǐng)問(wèn)這主要是怎么引起的？如何排查解決？

A：這種現(xiàn)象的排查需要用網(wǎng)絡(luò)分析軟件捕獲一下外網(wǎng)口的流量來(lái)分析一下，看當(dāng)時(shí)的數(shù)據(jù)流來(lái)進(jìn)行分析，一般路由環(huán)路、地址欺騙攻擊、DoS攻擊甚至網(wǎng)絡(luò)設(shè)備問(wèn)題等都有可能。

Q：高總好！請(qǐng)教一個(gè)網(wǎng)絡(luò)方面的問(wèn)題，我們公司是一個(gè)中小型公司，我全面負(fù)責(zé)公司的網(wǎng)絡(luò)。雖然是個(gè)小公司，但是網(wǎng)絡(luò)結(jié)構(gòu)還是蠻復(fù)雜的，我們主要應(yīng)用了遠(yuǎn)程桌面技術(shù)把整個(gè)公司從最底層的服務(wù)器到外網(wǎng)切成了三個(gè)網(wǎng)段，員工在中間的網(wǎng)段，如果要上網(wǎng)就要通過(guò)遠(yuǎn)程桌面登陸到外網(wǎng)的網(wǎng)段服務(wù)器訪問(wèn)外網(wǎng)，如果要訪問(wèn)內(nèi)網(wǎng)服務(wù)器就要使用遠(yuǎn)程桌面登陸到內(nèi)網(wǎng)訪問(wèn)服務(wù)器。最近發(fā)生了一個(gè)奇怪的現(xiàn)象，無(wú)法確定是服務(wù)的問(wèn)題還是網(wǎng)絡(luò)的問(wèn)題，就是遠(yuǎn)程桌面到服務(wù)器的過(guò)程中斷開(kāi)鏈接兩秒鐘又自動(dòng)連上，沒(méi)有規(guī)律，不一定什么時(shí)候就發(fā)生這種現(xiàn)象。

還有一個(gè)問(wèn)題就是平時(shí)我們級(jí)聯(lián)交換機(jī)都是使用一根網(wǎng)線鏈接兩個(gè)交換機(jī)。如果兩個(gè)交換機(jī)之間使用兩個(gè)網(wǎng)線相互鏈接會(huì)發(fā)生那些危險(xiǎn)？

A：1、你好！一般我們需要在網(wǎng)絡(luò)中長(zhǎng)時(shí)間捕獲訪問(wèn)服務(wù)器的相關(guān)訪問(wèn)流量，出現(xiàn)問(wèn)題的時(shí)候針對(duì)性的分析當(dāng)時(shí)的流量數(shù)據(jù)，判斷是由于當(dāng)時(shí)服務(wù)器沒(méi)有響應(yīng)還是網(wǎng)絡(luò)傳輸問(wèn)題導(dǎo)致的連接中斷。

2、兩個(gè)網(wǎng)線連兩個(gè)交換機(jī)可能會(huì)出現(xiàn)物理環(huán)路的情況，如國(guó)spanning tree配置有問(wèn)題或工作不正常有可能出現(xiàn)物理環(huán)路從而引起廣播風(fēng)暴。

Q：專家您好，我想問(wèn)一下一般網(wǎng)絡(luò)環(huán)境下ip地址沖突問(wèn)題怎么解決，再就是怎么樣才能杜絕用戶端私自修改ip地址和mac地址造成的沖突。在交換機(jī)上實(shí)現(xiàn)DHCP Snooping+IPSG+DAI是否可行？

A： 采用DHCP Snooping+IPSG+DAI當(dāng)然是可行的，但要交換機(jī)支持。但如果是對(duì)付私自修改mac地址的行為，就要通過(guò)管理手段來(lái)制止了。

Q：高老師你好，我經(jīng)常用科來(lái)軟件，有一次我用科來(lái)軟件制作了一個(gè)ARP的假數(shù)據(jù)包（目的設(shè)為網(wǎng)關(guān)，源我隨便用了一個(gè)和內(nèi)網(wǎng)同一網(wǎng)段的地址），這樣發(fā)廣播包，模擬ARP病毒。我想問(wèn)的是這樣做，我沒(méi)法查找ARP的源了，除了監(jiān)測(cè)網(wǎng)絡(luò)中的流量，還有更好的辦法嗎？

A： 你好，如果是采用假的源mac地址的數(shù)據(jù)包，僅通過(guò)檢測(cè)網(wǎng)絡(luò)中的流量還不夠，要配合分析交換機(jī)端口的mac表來(lái)斷定發(fā)送偽造數(shù)據(jù)包的物理端口。

Q：公司上外網(wǎng)是有有線和無(wú)線兩種方式。都需要通過(guò)輸入用戶名密碼及當(dāng)天的附加碼才能接通。當(dāng)用戶遇到有線接口不夠電腦又沒(méi)有無(wú)線上網(wǎng)卡時(shí)，常通過(guò)上無(wú)線的人共享出無(wú)線網(wǎng)卡，利用交叉線來(lái)連接兩機(jī)，就可繞過(guò)認(rèn)證直接連通外網(wǎng)了。請(qǐng)問(wèn)，怎么阻止這種通過(guò)共享繞過(guò)認(rèn)證的非法接入？

 A：像沒(méi)有太好的技術(shù)手段，只能加強(qiáng)管理了。

Q：網(wǎng)絡(luò)做了nat后，有個(gè)問(wèn)題，上網(wǎng)用戶都說(shuō)上網(wǎng)慢了，打開(kāi)門戶網(wǎng)站 總是解析還是下載好長(zhǎng)時(shí)間，半分鐘吧。單獨(dú)下載速度還可以。不知道問(wèn)題出在什么地方啊內(nèi)網(wǎng)分析需要隨時(shí) 實(shí)時(shí)分析 還是 抽空啟動(dòng)分析呢？

A：有可能是連接數(shù)不足或dns解析問(wèn)題，可以捕獲當(dāng)時(shí)的流量，查看是否存在dns解析慢的現(xiàn)象，以及是否存在tcp連接無(wú)響應(yīng)的現(xiàn)象。

Q：高老師好，目前客戶針對(duì)科來(lái)產(chǎn)品的評(píng)價(jià)還是不錯(cuò)的，但是還是有些客戶更傾向于硬件產(chǎn)品的購(gòu)買，請(qǐng)問(wèn)科來(lái)有沒(méi)有做一下硬件上的策略呢？謝謝

A： 你好！的確很多客戶希望能購(gòu)買一體化的設(shè)備，在這方面我們正在努力，會(huì)很快推出相應(yīng)的硬件化產(chǎn)品供客戶選擇。

Q：同一個(gè)網(wǎng)段的兩臺(tái)機(jī)器為什么ping不通呢？

linux機(jī)器:

IP:192.168.1.202

netmask:255.255.255.0

GW:192.168.1.1

linux機(jī)器自己能ping通自己（127.0.0.1，192.168.1.202），但ping不通其他的機(jī)器

網(wǎng)線和網(wǎng)口都試過(guò)了，沒(méi)有問(wèn)題。

window機(jī)器：

IP:192.168.1.114

netmask:255.255.255.0

GW:192.168.1.1

這臺(tái)機(jī)器能ping通其他的機(jī)器。什么原因?。?/span>

A： 在linux服務(wù)器上執(zhí)行service network start，另外檢查linux的網(wǎng)卡配置文件是否正常，這個(gè)很明顯是linux主機(jī)有問(wèn)題。

#p#

Q：高老師！你好ARP主要使用什么協(xié)議和端口號(hào)呢？

A：ARP全名為Address resolution protocol，地址解析協(xié)議，主要是解析ip地址對(duì)應(yīng)的mac地址，不是tcp層協(xié)議，沒(méi)有端口號(hào)。

Q：三分技術(shù)，七分管理，在我們的網(wǎng)絡(luò)中，最大的問(wèn)題還是內(nèi)部員工不遵守紀(jì)律，胡亂上網(wǎng)，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)重大故障，很多時(shí)候根據(jù)協(xié)議分析抓出了故障源泉，但我們還是沒(méi)有嚴(yán)格的執(zhí)法力度，導(dǎo)致，只是能抓出禍根，卻處罰不了禍根，這我非常郁悶。

A：需要建立良好的企業(yè)管理制度。

Q：你好，高老師！我想問(wèn)一下，一般的網(wǎng)絡(luò)設(shè)備都支持通過(guò)snmp進(jìn)行管理，那么我想問(wèn)一下，除了通過(guò)snmp查詢網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)之外，能否通過(guò)SNMP對(duì)網(wǎng)絡(luò)設(shè)備直接進(jìn)行的操作，例如直接通過(guò)snmp在路由器的mac緩存列表中添加ip-mac的綁定，或者說(shuō)snmp有沒(méi)有提供相應(yīng)的接口對(duì)路由器進(jìn)行直接的操作（除了查詢之外）？謝謝！

A：你好！我也不是這方面的專家，但snmp是可以支持寫(xiě)入的，理論上是可以直接做操作的，具體要看你用的網(wǎng)絡(luò)設(shè)備是否支持。

Q：高老師，你好，我是在一家酒店做網(wǎng)絡(luò)維護(hù)，首先我先說(shuō)一下酒店目前的網(wǎng)絡(luò)情況，我們酒店的是電信的10M光纖接入，核心交換機(jī)是華為3552的三層交換機(jī)，各樓層交換機(jī)也是華為的。在核心交換機(jī)上劃分有共9個(gè)VLAN，其中行政辦公區(qū)和酒店客房歸屬于不同的VLAN，現(xiàn)在就是存在一個(gè)這樣的問(wèn)題，酒店的網(wǎng)絡(luò)時(shí)快時(shí)慢，而且網(wǎng)絡(luò)的實(shí)際使用情況也沒(méi)有辦法檢測(cè)，所以想問(wèn)下高老師，有沒(méi)有一個(gè)很好的辦法，謝謝！

A： 首先你要有能力分析慢的原因，一般來(lái)說(shuō)需要在出口部署分析系統(tǒng)，通過(guò)分析出口的流量，能夠直觀的看到看網(wǎng)絡(luò)慢的原因，是由于網(wǎng)絡(luò)擁塞引起的還是由于丟包引起的，找到了慢的原因，才可以針對(duì)性的采取相應(yīng)措施去應(yīng)對(duì)。

Q：高老師，我是一個(gè)剛出道的新人，我想問(wèn)問(wèn)該怎么樣去做好一個(gè)IDC數(shù)據(jù)中心的網(wǎng)絡(luò)流量的監(jiān)控和分析呢？？希望高老師百忙中能給個(gè)詳細(xì)的方法。剛畢業(yè)的新人，謝謝老師了！

A：IDC數(shù)據(jù)中心主要對(duì)外提供各種應(yīng)用服務(wù)，流量特點(diǎn)和數(shù)據(jù)中心中的應(yīng)用服務(wù)類型相關(guān)，在IDC數(shù)據(jù)中心進(jìn)行流量監(jiān)控和分析，主要是面向應(yīng)用服務(wù)的流量監(jiān)控和分析。

一般來(lái)說(shuō)在總體流量方面，要監(jiān)控網(wǎng)絡(luò)利用率和數(shù)據(jù)包率，以及數(shù)據(jù)包分布情況，另外對(duì)每個(gè)應(yīng)用的bps、pps都要有監(jiān)控分析，通過(guò)長(zhǎng)期監(jiān)控分析能建立網(wǎng)絡(luò)正常運(yùn)行狀態(tài)下的流量模型，也就是我們常說(shuō)的基準(zhǔn)線，能幫助我們快速發(fā)現(xiàn)異常。

另外要建立對(duì)TCP連接狀態(tài)的監(jiān)控，包括tcp syn數(shù)量、tcp syn ack數(shù)量等，通過(guò)這些數(shù)據(jù)指標(biāo)可以發(fā)現(xiàn)是否出現(xiàn)DDoS攻擊現(xiàn)象。

流量監(jiān)控和分析不是簡(jiǎn)單幾句話能說(shuō)清楚的，如果你感興趣可以參加我們的專業(yè)技術(shù)培訓(xùn)，能在網(wǎng)絡(luò)分析原理、實(shí)用網(wǎng)絡(luò)分析技術(shù)方面得到很大提高。

Q：高老師，你好.有兩臺(tái)客戶機(jī)A，B。系統(tǒng)都是XP，安裝殺毒軟件也一樣。

A:ip地址10.102.20.39/255.255.255.224；

B:ip地址10.102.20.40/255.255.255.224；

A，B網(wǎng)關(guān)都一樣。

現(xiàn)象是：A拼不通B，B能拼通A。

謝謝老師解答?？赡阏f(shuō)的"通過(guò)分析系統(tǒng)在兩臺(tái)主機(jī)上分別捕獲兩臺(tái)主機(jī)互相ping的流量。"請(qǐng)問(wèn)用什么分析系統(tǒng)呢？你指的是利用Sniffer之類嗎？謝謝。

A： 你好！可以通過(guò)分析系統(tǒng)在兩臺(tái)主機(jī)上分別捕獲兩臺(tái)主機(jī)互相ping的流量，重點(diǎn)確定如下數(shù)據(jù)：

1. A是否發(fā)出icmp echo報(bào)文

2. B是否收到從A發(fā)出的icmp echo報(bào)文

3. B是否向A發(fā)出了icmp reply報(bào)文

如A發(fā)出了，B沒(méi)有收到，可能是網(wǎng)絡(luò)問(wèn)題，如有arp欺騙，或地址沖突。如A發(fā)出了，B收到了，但B沒(méi)有回應(yīng)，可能是B的防火墻策略設(shè)置或其他配置問(wèn)題。

查看更多精彩門診：http://doctor.51cto.com/

 

【編輯推薦】

1. [第146期] 學(xué)習(xí)紅帽Linux虛擬化 探索KVM內(nèi)核
2. [第144期]“萬(wàn)能遙控器”讓企業(yè)數(shù)據(jù)管理更輕松
3. [第140期] 與專家互動(dòng)：如何做好win7的安全管理