網(wǎng)絡(luò)分析器是當(dāng)分組在一個(gè)或者多個(gè)網(wǎng)段上傳輸時(shí)，用于收集分組的工具。這些工具用于查找錯(cuò)誤和監(jiān)視網(wǎng)絡(luò)，也用于開發(fā)和調(diào)試協(xié)議。

1．故障排除

分析器可以用來排除許多種類的網(wǎng)絡(luò)問題，包括NIC故障、啟動(dòng)問題、廣播風(fēng)暴和錯(cuò)誤的應(yīng)用、下面足一個(gè)網(wǎng)絡(luò)分析器用于排除故障的例子：

網(wǎng)絡(luò)的用戶正在報(bào)告極慢的響應(yīng)，盡管所有的用戶都能訪問網(wǎng)絡(luò)。明智的管理員將要做的第一件事就是詢問自從網(wǎng)絡(luò)運(yùn)行很好以來發(fā)生了什么變化。如果沒有滿意的答復(fù)，管理員會(huì)在用戶爪在報(bào)告慢響應(yīng)時(shí)間的本地網(wǎng)絡(luò)段放置一個(gè)網(wǎng)絡(luò)分析器。

各種各樣的統(tǒng)計(jì)會(huì)立即取到，比如壞幀的數(shù)目、廣播信息的數(shù)目或者甚至在兩臺(tái)計(jì)算機(jī)之間的—…次特殊交談。在我們的例子當(dāng)中，查明在一臺(tái)計(jì)算機(jī)中由于NIC故障而導(dǎo)致出現(xiàn)了大量的萎縮幀b功能紊亂的NIC反復(fù)重傳一個(gè)小幀——塞滿了本地網(wǎng)絡(luò)以致于其他的通信不能正常流通。

2．分析器的其他使用

網(wǎng)絡(luò)分析器除了故障排除之外還有其他應(yīng)用。例如，大部分分析器能記錄網(wǎng)絡(luò)通信量并在以后播放回網(wǎng)絡(luò)，這被稱做通信量回放或通信量再生。在你想測(cè)試其他系統(tǒng)對(duì)一個(gè)特定的請(qǐng)求的反應(yīng)且你想控制請(qǐng)求時(shí)可能相當(dāng)有用。另外，你可以產(chǎn)生通信量來重點(diǎn)測(cè)試你的系統(tǒng)及在它們崩潰之前決定它們的最大負(fù)載。下面是這種應(yīng)用的一個(gè)例子：

Cisc02500系列路由器在一個(gè)大型網(wǎng)絡(luò)中會(huì)間歇性地崩潰。從路由器來的唯一錯(cuò)誤表明路由器上的記賬進(jìn)程發(fā)生了故障。然而，當(dāng)這些路由器放在實(shí)驗(yàn)室里時(shí)，它們不會(huì)崩潰。因?yàn)閷?shí)驗(yàn)室單的通信量相比較產(chǎn)品網(wǎng)絡(luò)而言是較小的，通信負(fù)載本身被懷疑和崩潰有關(guān)系。分析器被用來通過路由器散布通信量。事實(shí)表明，路由器開始崩潰。在Cisco的IOS中有一個(gè)在特定情況下當(dāng)記賬服務(wù)打開時(shí)導(dǎo)致崩潰的錯(cuò)誤(錯(cuò)誤已經(jīng)被修復(fù))。正像前面提到的，分析器能夠用來規(guī)范由單個(gè)應(yīng)用產(chǎn)生的網(wǎng)絡(luò)通信，因?yàn)榉治銎髂軌蚋鶕?jù)主機(jī)或目標(biāo)地址過濾通信量。

大多數(shù)網(wǎng)絡(luò)分析器都實(shí)現(xiàn)成專用平臺(tái)或者是現(xiàn)有主機(jī)(如PC或者UNⅨ工作站)的附加軟件。通過使一個(gè)或者是多個(gè)LAN接口處于雜湊(promiscuous)模式，它們可以接收所連網(wǎng)段上傳輸?shù)乃蟹纸M。用于點(diǎn)到點(diǎn)介質(zhì)(如同步串行線)的網(wǎng)絡(luò)分析器都通過直通(pass-through)或者是Y型電纜實(shí)現(xiàn)，這樣，監(jiān)視者可以透明地接收傳輸?shù)乃蟹纸M。

任何實(shí)現(xiàn)RFCl757的RMON(Remote Network Monitoring，遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視)[2561MIB的變量的主機(jī)或路由器都可以用于獲取分組并為以后分析存儲(chǔ)分組。網(wǎng)絡(luò)管理站或是其他基于MIB的工具都可以用于實(shí)現(xiàn)典型網(wǎng)絡(luò)分析器的顯示和過濾功能。

對(duì)于調(diào)試復(fù)雜協(xié)議間的互相作用，網(wǎng)絡(luò)分析器有很高的價(jià)值。我們?cè)陂_發(fā)OSPF協(xié)議期間舉行了許多場(chǎng)聚會(huì)；各種實(shí)現(xiàn)的所有作者聚在一起進(jìn)行了幾天測(cè)試。當(dāng)兩個(gè)實(shí)現(xiàn)不能互操作時(shí)，我們總是使用網(wǎng)絡(luò)分析器來捕獲正在發(fā)送的分組，此技術(shù)發(fā)現(xiàn)了大量實(shí)現(xiàn)錯(cuò)誤和一些協(xié)議錯(cuò)誤。在聚會(huì)結(jié)束后，我經(jīng)常帶著一大堆分組跟蹤記錄回家，并用這些記錄分析OSPF協(xié)議的性能。

網(wǎng)絡(luò)分析器在任何多廠商測(cè)試環(huán)境下廣泛使用。例如，INTEROPShowNet的構(gòu)造很典型，因此網(wǎng)絡(luò)分析器可以加在任何給定網(wǎng)段上。網(wǎng)絡(luò)操作中心可以快速解決諸如“24廳沒有接收到路由選擇通告”的典型抱怨。

用網(wǎng)絡(luò)分析器查看協(xié)議交換信息是了解協(xié)議如何工作的好辦法。這是我們?cè)诒緯幸氪罅烤W(wǎng)絡(luò)分析器跟蹤記錄的原因。

網(wǎng)絡(luò)分析器需要獲得被監(jiān)視網(wǎng)段的物理訪問權(quán)。要么是在網(wǎng)段上加一個(gè)專用的硬件，要么是在網(wǎng)段已有主機(jī)上加一個(gè)專用軟件。如果路由器或者主機(jī)實(shí)現(xiàn)了RMONMIB中的變量，那么就可以用它收集分組。通常這是一個(gè)先有雞還是先有蛋的問題。直到問題出現(xiàn)才監(jiān)視某個(gè)網(wǎng)段，可能會(huì)錯(cuò)過問題的根源。在互操作測(cè)試期間，這種現(xiàn)象在我身上發(fā)生了多次。

當(dāng)網(wǎng)段完全利用時(shí)，大多數(shù)純軟件分析器不能收集所有的分組。專用平臺(tái)通?？梢匀偈占纸M，但是價(jià)格昂貴。

網(wǎng)絡(luò)分析器通常是被動(dòng)的。你可以看到網(wǎng)段上正在發(fā)生的一切，但是你不能測(cè)試你自己選擇的狀態(tài)下設(shè)備的反應(yīng)。

網(wǎng)絡(luò)分析器善于把分組分割成它們的組成字段和做簡(jiǎn)單的計(jì)算，如校驗(yàn)和驗(yàn)證，但這是分析器智能的頂點(diǎn)。分組跟蹤信息的問題診斷通常由對(duì)正在調(diào)試的協(xié)議有豐富知識(shí)的人宋完成。

使用網(wǎng)絡(luò)分析器引發(fā)了隱私和安全問題。由于它們可以獲取給定網(wǎng)段上的傳輸?shù)乃邢ⅲ治銎鞅挥米鹘孬@敏感數(shù)據(jù)，如用戶口令。這就是UNIX系統(tǒng)上網(wǎng)絡(luò)分析器需要根權(quán)限的原因。

為了排除故障或網(wǎng)絡(luò)計(jì)劃的目標(biāo)就要捕獲網(wǎng)絡(luò)通信量，你只需要一臺(tái)計(jì)算機(jī)和一個(gè)在混雜模式下操作的NIC(許多網(wǎng)絡(luò)適配卡就行)，以及一些特殊的軟件。這些數(shù)據(jù)捕獲工具分為兩個(gè)主要的組：網(wǎng)絡(luò)分析器和網(wǎng)絡(luò)探測(cè)器。盡管兩者服務(wù)于各自特殊的目的，對(duì)你的網(wǎng)絡(luò)分析任務(wù)工作而言，這些設(shè)備的功能還是有一些重疊。

網(wǎng)絡(luò)探測(cè)器是一種專門的設(shè)備，典型地，它位于路由器、集線器和其他類似的網(wǎng)絡(luò)設(shè)備附近。探測(cè)器每天24dx時(shí)接入到網(wǎng)絡(luò)段內(nèi)部并觀察通信量。在探測(cè)器中，通信量模式被總結(jié)為各種各樣的統(tǒng)計(jì)。一個(gè)網(wǎng)絡(luò)管理站查詢?cè)S多探測(cè)器并收到統(tǒng)計(jì)的一個(gè)總結(jié)。

探測(cè)器可以是PC機(jī)，其上安裝了探測(cè)器軟件，或者它們也可以是比PC機(jī)小的沒有監(jiān)視器或鍵盤的分離的硬件設(shè)備。無論哪一種方式，它們都靜靜地附屬于網(wǎng)絡(luò)并收集預(yù)定義的數(shù)據(jù)。

網(wǎng)絡(luò)分析器像探測(cè)器一樣能夠提供詳細(xì)的網(wǎng)絡(luò)信息，但它們也能提供單個(gè)數(shù)據(jù)包的分析。因?yàn)榫W(wǎng)絡(luò)分析器捕獲所有的通信量并且比探測(cè)器少做合并，它們能在短期內(nèi)收集大量的數(shù)據(jù)。這就是為什么分析器常用于LAN的故障排除或在受控制環(huán)境下測(cè)試單個(gè)應(yīng)用。

分析器通常是帶有特殊軟件比如網(wǎng)絡(luò)監(jiān)視器、分布式檢漏(Sniffer)系統(tǒng)或Net X-Ray的PC機(jī)。這些機(jī)器沒有固定的地點(diǎn)，除非它是在一個(gè)測(cè)試實(shí)驗(yàn)室里或一個(gè)中斷網(wǎng)絡(luò)段上。