網(wǎng)絡(luò)分析器是當分組在一個或者多個網(wǎng)段上傳輸時，用于收集分組的工具。這些工具用于查找錯誤和監(jiān)視網(wǎng)絡(luò)，也用于開發(fā)和調(diào)試協(xié)議。

1．故障排除

分析器可以用來排除許多種類的網(wǎng)絡(luò)問題，包括NIC故障、啟動問題、廣播風(fēng)暴和錯誤的應(yīng)用、下面足一個網(wǎng)絡(luò)分析器用于排除故障的例子：

網(wǎng)絡(luò)的用戶正在報告極慢的響應(yīng)，盡管所有的用戶都能訪問網(wǎng)絡(luò)。明智的管理員將要做的第一件事就是詢問自從網(wǎng)絡(luò)運行很好以來發(fā)生了什么變化。如果沒有滿意的答復(fù)，管理員會在用戶爪在報告慢響應(yīng)時間的本地網(wǎng)絡(luò)段放置一個網(wǎng)絡(luò)分析器。

各種各樣的統(tǒng)計會立即取到，比如壞幀的數(shù)目、廣播信息的數(shù)目或者甚至在兩臺計算機之間的—…次特殊交談。在我們的例子當中，查明在一臺計算機中由于NIC故障而導(dǎo)致出現(xiàn)了大量的萎縮幀b功能紊亂的NIC反復(fù)重傳一個小幀——塞滿了本地網(wǎng)絡(luò)以致于其他的通信不能正常流通。

2．分析器的其他使用

網(wǎng)絡(luò)分析器除了故障排除之外還有其他應(yīng)用。例如，大部分分析器能記錄網(wǎng)絡(luò)通信量并在以后播放回網(wǎng)絡(luò)，這被稱做通信量回放或通信量再生。在你想測試其他系統(tǒng)對一個特定的請求的反應(yīng)且你想控制請求時可能相當有用。另外，你可以產(chǎn)生通信量來重點測試你的系統(tǒng)及在它們崩潰之前決定它們的最大負載。下面是這種應(yīng)用的一個例子：

Cisc02500系列路由器在一個大型網(wǎng)絡(luò)中會間歇性地崩潰。從路由器來的唯一錯誤表明路由器上的記賬進程發(fā)生了故障。然而，當這些路由器放在實驗室里時，它們不會崩潰。因為實驗室單的通信量相比較產(chǎn)品網(wǎng)絡(luò)而言是較小的，通信負載本身被懷疑和崩潰有關(guān)系。分析器被用來通過路由器散布通信量。事實表明，路由器開始崩潰。在Cisco的IOS中有一個在特定情況下當記賬服務(wù)打開時導(dǎo)致崩潰的錯誤(錯誤已經(jīng)被修復(fù))。正像前面提到的，分析器能夠用來規(guī)范由單個應(yīng)用產(chǎn)生的網(wǎng)絡(luò)通信，因為分析器能夠根據(jù)主機或目標地址過濾通信量。

大多數(shù)網(wǎng)絡(luò)分析器都實現(xiàn)成專用平臺或者是現(xiàn)有主機(如PC或者UNⅨ工作站)的附加軟件。通過使一個或者是多個LAN接口處于雜湊(promiscuous)模式，它們可以接收所連網(wǎng)段上傳輸?shù)乃蟹纸M。用于點到點介質(zhì)(如同步串行線)的網(wǎng)絡(luò)分析器都通過直通(pass-through)或者是Y型電纜實現(xiàn)，這樣，監(jiān)視者可以透明地接收傳輸?shù)乃蟹纸M。

任何實現(xiàn)RFCl757的RMON(Remote Network Monitoring，遠程網(wǎng)絡(luò)監(jiān)視)[2561MIB的變量的主機或路由器都可以用于獲取分組并為以后分析存儲分組。網(wǎng)絡(luò)管理站或是其他基于MIB的工具都可以用于實現(xiàn)典型網(wǎng)絡(luò)分析器的顯示和過濾功能。

對于調(diào)試復(fù)雜協(xié)議間的互相作用，網(wǎng)絡(luò)分析器有很高的價值。我們在開發(fā)OSPF協(xié)議期間舉行了許多場聚會；各種實現(xiàn)的所有作者聚在一起進行了幾天測試。當兩個實現(xiàn)不能互操作時，我們總是使用網(wǎng)絡(luò)分析器來捕獲正在發(fā)送的分組，此技術(shù)發(fā)現(xiàn)了大量實現(xiàn)錯誤和一些協(xié)議錯誤。在聚會結(jié)束后，我經(jīng)常帶著一大堆分組跟蹤記錄回家，并用這些記錄分析OSPF協(xié)議的性能。

網(wǎng)絡(luò)分析器在任何多廠商測試環(huán)境下廣泛使用。例如，INTEROPShowNet的構(gòu)造很典型，因此網(wǎng)絡(luò)分析器可以加在任何給定網(wǎng)段上。網(wǎng)絡(luò)操作中心可以快速解決諸如“24廳沒有接收到路由選擇通告”的典型抱怨。

用網(wǎng)絡(luò)分析器查看協(xié)議交換信息是了解協(xié)議如何工作的好辦法。這是我們在本書中引入大量網(wǎng)絡(luò)分析器跟蹤記錄的原因。

網(wǎng)絡(luò)分析器需要獲得被監(jiān)視網(wǎng)段的物理訪問權(quán)。要么是在網(wǎng)段上加一個專用的硬件，要么是在網(wǎng)段已有主機上加一個專用軟件。如果路由器或者主機實現(xiàn)了RMONMIB中的變量，那么就可以用它收集分組。通常這是一個先有雞還是先有蛋的問題。直到問題出現(xiàn)才監(jiān)視某個網(wǎng)段，可能會錯過問題的根源。在互操作測試期間，這種現(xiàn)象在我身上發(fā)生了多次。

當網(wǎng)段完全利用時，大多數(shù)純軟件分析器不能收集所有的分組。專用平臺通?？梢匀偈占纸M，但是價格昂貴。

網(wǎng)絡(luò)分析器通常是被動的。你可以看到網(wǎng)段上正在發(fā)生的一切，但是你不能測試你自己選擇的狀態(tài)下設(shè)備的反應(yīng)。

網(wǎng)絡(luò)分析器善于把分組分割成它們的組成字段和做簡單的計算，如校驗和驗證，但這是分析器智能的頂點。分組跟蹤信息的問題診斷通常由對正在調(diào)試的協(xié)議有豐富知識的人宋完成。

使用網(wǎng)絡(luò)分析器引發(fā)了隱私和安全問題。由于它們可以獲取給定網(wǎng)段上的傳輸?shù)乃邢ⅲ治銎鞅挥米鹘孬@敏感數(shù)據(jù)，如用戶口令。這就是UNIX系統(tǒng)上網(wǎng)絡(luò)分析器需要根權(quán)限的原因。

為了排除故障或網(wǎng)絡(luò)計劃的目標就要捕獲網(wǎng)絡(luò)通信量，你只需要一臺計算機和一個在混雜模式下操作的NIC(許多網(wǎng)絡(luò)適配卡就行)，以及一些特殊的軟件。這些數(shù)據(jù)捕獲工具分為兩個主要的組：網(wǎng)絡(luò)分析器和網(wǎng)絡(luò)探測器。盡管兩者服務(wù)于各自特殊的目的，對你的網(wǎng)絡(luò)分析任務(wù)工作而言，這些設(shè)備的功能還是有一些重疊。

網(wǎng)絡(luò)探測器是一種專門的設(shè)備，典型地，它位于路由器、集線器和其他類似的網(wǎng)絡(luò)設(shè)備附近。探測器每天24dx時接入到網(wǎng)絡(luò)段內(nèi)部并觀察通信量。在探測器中，通信量模式被總結(jié)為各種各樣的統(tǒng)計。一個網(wǎng)絡(luò)管理站查詢許多探測器并收到統(tǒng)計的一個總結(jié)。

探測器可以是PC機，其上安裝了探測器軟件，或者它們也可以是比PC機小的沒有監(jiān)視器或鍵盤的分離的硬件設(shè)備。無論哪一種方式，它們都靜靜地附屬于網(wǎng)絡(luò)并收集預(yù)定義的數(shù)據(jù)。

網(wǎng)絡(luò)分析器像探測器一樣能夠提供詳細的網(wǎng)絡(luò)信息，但它們也能提供單個數(shù)據(jù)包的分析。因為網(wǎng)絡(luò)分析器捕獲所有的通信量并且比探測器少做合并，它們能在短期內(nèi)收集大量的數(shù)據(jù)。這就是為什么分析器常用于LAN的故障排除或在受控制環(huán)境下測試單個應(yīng)用。

分析器通常是帶有特殊軟件比如網(wǎng)絡(luò)監(jiān)視器、分布式檢漏(Sniffer)系統(tǒng)或Net X-Ray的PC機。這些機器沒有固定的地點，除非它是在一個測試實驗室里或一個中斷網(wǎng)絡(luò)段上。