科来网络分析系统工作原理介绍

xwy3260

科来网络分析系统工作原理介绍
最近一段时间，论坛里有一部份兄弟姐妹提出了科来网络分析系统在工作时是否会扫描整个网络、或者向网络里发包之类的问题；这是一个误解，在这里我们对科来网络分析系统的工作原理做一下详细的介绍。
科来网络分析系统工作原理
科来网络分析系统被动的工作在网络中，通过正确的部署方式对网络的数据包进行采集、解码、分析等。网络管理人员可以通过它进行网络监测、定位网络故障、排查网络的安全隐患等。
科来网络分析系统通过旁路的方式接入网络，工作时将网卡设置成混杂模式（promiscuous）被动的捕获整个网络中传输的数据包，然后进行内部分析，从而达到分析网络的目的。
相关知识
１．网卡的工作模式
在以太网络中，所有通讯都是以广播方式进行的，在正常情况下，一个网络接口只能响应以下两种数据：与自己MAC地址相匹配的数据和发向所有机器的广播数据。在实际的网络中，数据的收发一般都是由网卡完成，而网卡的工作模式有以下4种：
广播模式（Broad Cast Model）：网卡接收发给自己的数据和广播数据（默认）；
多播模式（MultiCast Model）：网卡接收所有的多播传送帧，而不论它是不是组内成员；
直接模式（Direct Model）：网卡只接收发送给自己的数据；
混杂模式（Promiscuous Model）：网卡接收所有的流过网卡的数据。所谓混杂模式，就是把所有的数据包接收下来放入内存，然后通过专业的工具来对数据进行分析。
２．以太网的分类和部署
共享式以太网：广播方式工作，共享带宽，即一个端口工作时其它所有的端口都能够收听到信息。在共享式网络里，可以将科来网络分析统接入任意端口，就可达到网络分析的目的。
交换式以太网：工作时独享带宽，发出请求端口和目的端口不影响其它端口。在交换式网络里，需要借助端口镜像或TAP设备进行捕包分析。

[ 本帖最后由 xwy3260 于 2007-12-6 09:37 编辑 ]

sina.com

问下，既然混杂模式可以分析数据，为什么还要做端口镜像呢？

xwy3260

原帖由 sina.com 于 2007-12-4 13:07 发表
问下，既然混杂模式可以分析数据，为什么还要做端口镜像呢？

不开网卡的混杂模式，你就无法通过科来分析流经你网卡的数据；
没有用端口镜像，你只能看到流经你网卡的数据；
在交换环境下，你是看不到其他机器的通讯流量，除非它的流量类型是广播或者多播。

lbzxy

原帖由 sina.com 于 2007-12-4 13:07 发表
问下，既然混杂模式可以分析数据，为什么还要做端口镜像呢？

我认为这是两个概念：
楼主都说了，网卡设置为混杂模式后，就会接收所有的流过该网卡的数据，
而做端口镜像指的是将网络中所以的流量镜像到（相当于复制）一个端口，再这个镜像端口接科来分析，这样才能捕获网络中所有的数据包。

koma0769

我认为像科来软件只有在大型企业里才能有立足之地，最起码的，它对硬件的配置也是很高的，比如交换机、路由器等。
比如我公司属于小型企业里，共20台电脑，网络结构也很简单，
1、电信2M商用型宽带            600元/年
2、TLINK R460+宽带路由器      210元
3、世纪飞扬 16口的交换机        320元
4、TPLINK 5口的交换机5个       200块
你说去装一个科来软件怎么用？装上去顶多只能分析自己的数据包，再者不可能20台电脑都装上去吧``````


所以，像没有大型网络设备的企业或公司，装这个真的是“郁闷”啊~~~~~

xwy3260

原帖由 koma0769 于 2007-12-4 14:32 发表
我认为像科来软件只有在大型企业里才能有立足之地，最起码的，它对硬件的配置也是很高的，比如交换机、路由器等。
比如我公司属于小型企业里，共20台电脑，网络结构也很简单，
1、电信2M商用型宽带            600 ...

楼主可以用科来支持50节点的技术交流版。
个人认为，网络分析在国内还是一个较新的行业，在不久的将来，网络安装协议分析软件就像当今安装防火墙一样重要。

[ 本帖最后由 xwy3260 于 2007-12-5 11:28 编辑 ]

菜鸟人飞

原帖由 koma0769 于 2007-12-4 14:32 发表
我认为像科来软件只有在大型企业里才能有立足之地，最起码的，它对硬件的配置也是很高的，比如交换机、路由器等。
比如我公司属于小型企业里，共20台电脑，网络结构也很简单，
1、电信2M商用型宽带            600 ...

科来网络分析系统仅仅对安装科来的机器有一定的要求，即要求这台机器或服务器的性能高一些，这样便于更快捷地分析。

对于交换机等网络设备，仅仅需要其支持镜像即可，当然，在不支持镜像的情况下，我们也可以通过其它方法进行部署，详细参见http://www.csna.cn/forum.php?mod ... &extra=page%3D1。

在koma0769兄的网络中，其实可以将安装科来的机器，接到宽带路由器上（R460好像支持镜像功能），这样，分析到的数据是全网，而非仅仅是自己。同时，科来网络分析系统只安装到一台机器即可，不管你是否有条件，均请不要安装到多台，安装一台即可解决问题，何必安装多台？

另外，任何一个网络，不管网络节点的多少、拓扑结构、硬件配置情况等等，都肯定会存在网络故障，只有要网络故障的地方，科来就有用武之地。大企业大公司我们提供了商业授权的正式版本，而像koma0769兄这样的网络，我们提供的技术交流版，不正合适吗？

koma0769

楼主

1、TPLINKD R460+才200RMB，不支持镜像功能。
2、如果我把交换机上接一个HUB，我接在HUB上面，这样可以吗？

菜鸟人飞

如果确定R460不支持镜像，那就在它前面串接一个HUB吧，安装科来的机器接到HUB上即可，这样是可行的。