关于科来网络分析。。。。。

longyan333 · 发表于 2008-8-4 10:19:47

我用的是演示版的。我在我们网吧任何一台机器（包括下面客户端）装了演示版的科来网络系统，都可以监控到在线的机器，而且留意了下，好像没什么不对劲的，我也用它来解决过网络故障的（比如：arp攻击、流量过大。。），本人懂点基本的。不知道有没有什么影响，比如：会不会有监控数据不正确那些？？？（光纤——网关——三层交换机——二层交换机——客户机这是我们网吧的设备连接）

还有就是监空流量过程中，有一项是interner地址也有很多的流量是不是也占我们网吧的带宽，也会影响到网络质量。

oldjiang · 发表于 2008-8-4 10:35:59

1、要接在镜像端口才能监控到其他机器的流量。我觉得“装在任何一台机器都可以监控到在线的机器”应该是不对的，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的3#验证一下部署。
2、装科来的机器，只要接在镜像端口，不配置网卡协议也能抓包，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9237。科来本身不发包，不会影响到你的网络。
3、建议在三层交换机上做端口镜像

从零开始 · 发表于 2008-8-4 14:10:57

建议楼主下载技术交流版，按照oldjiang版主的回复重新部署；
不需要在每个客户端都安装，这样岂不太麻烦了？

longyan333 · 发表于 2008-8-4 14:26:29

不是每台机器都安装，就是随便找台机器安装测试了一下。就是觉得奇怪，我都没有做什么端口镜像。按道理说是不能捕获到其他机器的数据包。但是我随便找一台装了一下看，都可以捕获到数据包、流量、电驴下载、arp欺骗的机器、日志。。。等等都可以啊还用来解决个网络故障呢。就是不知道像这种情况有些东西会不会不准确？

我用过sniffer同时捕获来比较过。查看所占流量最大的机器，不一样。郁闷！！！

徐徐渐进 · 发表于 2008-8-4 14:47:38

To 4#:

这就怪了，楼主可否相应的截几张图来看看，如矩阵的图。

longyan333 · 发表于 2008-8-4 20:50:36

好的，下次截下来让看看，还有很多要请教的呢

longyan333 · 发表于 2008-8-5 13:45:22

这是我在截的几张图，早上上网的人比较少。不知道有没有什么问题，不懂看：）。

未命名5那张图 00：0E：0C：37：79：5F这台机器老是提示arp太多请求不应答，不知道有什么毛病，怎么去解决？那台机器是服务器来的，有三张网卡绑定起来的，三个ip，但是老是提示这块网卡有arp太多请求不应答。FF：FF：FF：FF：FF：FF又是什么来的？？？不懂

longyan333 · 发表于 2008-8-5 16:22:17

那是我随便找到机器装的。怎么没人恢复啊！！！！！郁闷

huamao2006 · 发表于 2008-8-5 16:50:03

楼主有3M左右的数据包吗，麻烦传些上来，大家给你分析分析啊！

徐徐渐进 · 发表于 2008-8-5 16:53:20

把数据包传上来看看呢。

oldjiang · 发表于 2008-8-5 23:57:08

FF：FF：FF：FF：FF：FF是广播地址
从截图来看，很多节点的数据包是单向的
部署是否正确，除了网络适配器-测试，还要看单播矩阵
能否把这个包贴上来看看

longyan333 · 发表于 2008-8-6 07:57:10

不好意思，你们说的是捕获整个子网的数据包截图是吗？

对了，版主很多都是单向的，网络会不会是有什么毛病啊，还有我截的（未命名5）那张图的那个物理地址的机器是不是有问题啊？老是提示arp太多不应答包。

oldjiang · 发表于 2008-8-6 08:17:34

不是截图，是科来的工程文件，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的10#
三层交换机是什么型号？我想找手册看看

longyan333 · 发表于 2008-8-6 09:44:58

三层交换机是华为S5000

oldjiang · 发表于 2008-8-6 10:24:11

华为网站基本没有手册，你看看光盘吧，应该有镜像功能的

longyan333 · 发表于 2008-8-6 10:25:16

这是几分钟的工程文件，有什么问题的话，请版主说说哦。

oldjiang · 发表于 2008-8-6 14:20:24

16#的数据包
1、除了本机外，唯一的单播包是192.168.2.4机器的

定位他，查看会话，只有一个UDP会话，单向数据包

下回你再抓到类似的单向单播包，看看交换机的mac地址表，有无相应的mac，至少华为S5000交换机是可以看的
比如这个机器的mac是

2、下图可能跟服务器上的某些程序有关吧，ARP包的数量不多，应该没什么影响

3、这几个都是服务器的网卡？“三张网卡绑定起来的，三个ip”，怎么绑定？绑定做何用途？

longyan333 · 发表于 2008-8-6 14:52:02

好的。那是游戏+加电影服务器来的，三块网卡，虚拟成一张网卡来使用的，同时添加了两个ip。
版主，你看了我的工程图了，我想问下，部署方面没什么问题吧？像那样的话，应该可以正常使用科来网络分析系统吧？

oldjiang · 发表于 2008-8-6 15:02:08

最好在华为S5000交换机上做镜像来部署，这样能抓到网络上尽可能多的包，特别是访问外网的包
如果光盘上有手册，贴上来看看如何做镜像

longyan333 · 发表于 2008-8-6 16:44:03

不好意思！没有光盘了。

longyan333 · 发表于 2008-8-9 09:27:38

runescape shop
Runescape Gold
Runescape Powerleveling
Runescape Power leveling
Runescape money
runescape shop

请问，这是什么意思啊？？？

关于科来网络分析。。。。。

回复 7# 的帖子

回复 12# 的帖子

回复 18# 的帖子