演示:使用Sniffer统计与分析流量
Sniffer是统计与分析网络数据流量的一个很好的选择。因为Sniffer的“混杂”模式会接收到同一个物理网络内的所有数据帧,无论是广播帧还是发送到一个具体地址的数据帧。如果需要Sniffer监听到所处物理网络不同的数据帧,只需与“端口镜像技术”相结合就可以完成。它拥有强大的统计分析能力,并可以形象地显示统计与分析结果,支持报表制作。所以企业网络发生异常时,通常会首选Sniffer作为流量统计与分析的工具。
演示:利用Sniffer统计与分析流量
演示目标:
(1)识别具体流量类型,以及会话层、传输层和应用层协议的分布情况。
(2)确定当前网络每秒发送数据包的速度。
(3)收集网络上所有的节点信息,提供每个节点相应的统计结果。
(4)统计网络上所有主机的会话列表。
(5)统计应用层协议的响应时间。
(6)统计5分钟内网络数据包的变化情况
(7)对整个网络规模和利用率分布做统计结果。
演示环境:如图6.1所示。
演示步骤:
第一步:在如图6.1所示的演示环境中的交换机S1上配置端口镜像功能,将网络主干链路端口Fa0/1的所有流量镜像一份到Fa0/4作统计与分析,在交换机S1上的配置如下所示,然后在协议分析平台上启动Sniffer_Pro就可以对网络的整体流量情况做完整的统计与分析。
s1(config)#monitor session 1 source interfacefastEthernet 0/1
s1(config)#monitor session 1 destination interfacefastEthernet 0/4
注意:利用Sniffer统计整个网络实时流量时,不需要启动“开始捕获”按钮。只需要与交换机的“端口镜像”技术结合,启动Sniffer就可以完成流量统计。
第二步:在主机192.168.2.2上发起如下会话,完成如下所要求的流量模拟。
(1)在192.168.2.2的主机上发起对www.sniffer_flow.com的Web访问。
(2)在192.168.2.2的主机上ping 192.168.1.2 –t –l 500,其意思是指示192.168.2.2不间断地ping192.168.1.2,并携带500个包的大小。
(3)在192.168.2.2的主机上访问ftp.sniffer_flow.com的FTP服务器。
(4)在192.168.2.2的主机上访问192.168.1.3的共享文件夹“test”。
第三步:开始统计数据,单击如图6.2所示的各个按钮。统计具体流量类型,包括会话层、传输层和应用层协议流量的分布情况,可以清晰地看到Sniffer统计出的网络协议使用情况,其中包括HTTP、FTP、ICMP流量。流量统计结果如图6.3所示,FTP的流量最高,其次是ICMP。
第四步:确定当前网络每秒发送数据包的速度,如图6.4所示。
第五步:收集网络上所有的IP节点信息,提供每个节点相应的统计结果,如图6.5所示。
第六步:统计网络上所有主机的会话列表,如图6.6所示。
第七步:统计应用层协议的响应时间,如图6.7所示。
第八步:统计5秒内网络数据包的变化情况,如图6.8所示。
第九步:统计整个网络规模和利用率分布,如图6.9所示。
