范偉導(dǎo)老師Sniffer課程資料

gexian 2013-02-15

展開全文

大家好!歡迎大家參加Sniffer的認(rèn)證課程！
先自我介紹一下！我叫范偉導(dǎo)，這是我的郵件，我現(xiàn)在沒有工作（同學(xué)們：自由職業(yè)者）可以這么說。
介紹一下我的經(jīng)歷：畢業(yè)后我在一個臺資電腦廠工作了一年，做硬件的。
后來到了日本三洋工作，作X400的軟件開發(fā)，做ERP，用RPG開發(fā)，做了4年
后來到了神州數(shù)碼，作CISCO網(wǎng)絡(luò)，原來在技術(shù)中心做實施，后來在培訓(xùn)中心做講師，一共做了5年。
現(xiàn)在我是CISCO和Sniffer的授權(quán)講師，不過現(xiàn)在我不想做CISCO了，想做Sniffer，因為我覺得網(wǎng)絡(luò)分析是一個很好的技術(shù)方向。等一下我還會跟大家聊一聊我們該往哪一個方向發(fā)展。
先看一下我們這個課程，這個課程事實上是兩門課，第一門我們介紹怎樣用Sniffer來做網(wǎng)絡(luò)故障診斷，還有網(wǎng)絡(luò)管理的一些方法和思路，第二門課我們介紹如何做應(yīng)用的分析，這是Sniffer的新課程，我個人覺得非常好，以前的幾個班學(xué)員也很喜歡。第一門課我們會講3天，第二門課我們會講2天。

接下來的半個小時我們不講書本知識，講講我的經(jīng)歷和Sniffer究竟能用來做什么，我們?yōu)槭裁匆獙W(xué)Sniffer，其實我的目的是提起大家的學(xué)習(xí)興趣，大家愿意學(xué)，我才講的起勁。要不我一邊講，大家在噼噼啪啪上網(wǎng)，那我就講不下去了（同學(xué)們笑）。
大家做網(wǎng)絡(luò)都很多年了，想想我們以前的10兆以太網(wǎng)，現(xiàn)在的萬兆以太網(wǎng)，想想14.4k的modem,現(xiàn)在的2M寬帶，以前的x25,楨中繼，現(xiàn)在的SDH,MSTP,裸光纖。大家都經(jīng)歷這些，但我們才工作幾年？就這幾年，變化這么大，我不知道大家的工資有沒有變化這么大,(同學(xué)們大笑），從10兆到萬兆，1000倍，幾年工資張1000倍。有點難（同學(xué)們：不是有點難，是很難，不可能）。
再看看我們工作的變化，以前能配配路由器就很牛了，現(xiàn)在似乎誰都會了，記得幾年前，我?guī)鸵粋€小集成商配一臺4000系列交換機，收了2000元，15分鐘搞定。（同學(xué)們：好爽，介紹一些給我們做），沒有了
說說你們的工作。平常工作中做些什么（同學(xué)們：做做網(wǎng)線，殺病毒，幫領(lǐng)導(dǎo)裝機器）
大家想想，這是我們想做的工作嗎，以前這些都不用我們做，現(xiàn)在大家感覺是不是地位在下降，工資也不漲，好歹我們也是蜘蛛級的人物呀，不是有個笑話說蜜蜂是空姐，做網(wǎng)絡(luò)的是蜘蛛嗎。（同學(xué)們笑）
我們該怎么辦?

現(xiàn)在說說我的觀點，我們都希望工資能年年漲，不要求1000倍，（同學(xué)們：不要求那么高，一年20%就行了），
20%？不止吧，從畢業(yè)到現(xiàn)在，你們工資不止年均漲不止20%吧。（同學(xué)們：我們不能跟您比）
也有可能，你們的起點高，我畢業(yè)的時候才有650元。

大家回顧一下，做IT的誰的收入高？
1、銷售
2、領(lǐng)導(dǎo)
3、咨詢專家
4、售前工程師
5、售后工程師
我們在座的有3個是網(wǎng)絡(luò)中心的主任或科長，他們的收入肯定比一般工程師高，我祝愿你們步步高升，收入節(jié)節(jié)高。
在座大多數(shù)是網(wǎng)絡(luò)工程師，我們該怎么走，其實你們現(xiàn)在的單位都很好，但將來怎樣很難知道，比如前幾年銀行的收入令人羨慕，現(xiàn)在他們卻擔(dān)心降工資，現(xiàn)在移動的收入不錯吧，我有汽車廠商的學(xué)員，他告訴我他們的收入比移動好點，（同學(xué)們：哇）這是他們自己說的，好多少就沒說了，還有某政府單位的，什么單位不便說，他們沒告訴我他們的收入，只說，價格少于4萬的筆記本他們不用，哇靠，4萬的筆記本，什么配置？（同學(xué)們：那是服務(wù)器）
我們不能比，人比人，氣死人。我們沒法進入這些公司的，還是腳踏實地一點好，但我們做技術(shù)的也要考慮如何提高我們的收入，做技術(shù)的要提高收入，地位是關(guān)鍵，前面大家說只做做線，殺殺病毒，我們的地位在下降，工資怎么長得起來呢？想想我們做技術(shù)的，誰的收入高，做數(shù)據(jù)庫的比做服務(wù)器的高，為什么Oracle那么火，做服務(wù)器的比寫程序的高，寫程序的比做網(wǎng)絡(luò)高，這是普遍現(xiàn)象，不說特殊情況。其實大家發(fā)現(xiàn)一個特點沒有，凡是掌握企業(yè)關(guān)鍵業(yè)務(wù)的收入都很高，你看作數(shù)據(jù)庫的，數(shù)據(jù)庫壞了，企業(yè)完蛋了，領(lǐng)導(dǎo)當(dāng)然重視，現(xiàn)在不僅講存儲，還講災(zāi)備，你看很多銀行，北京一個數(shù)據(jù)中心，上海一個數(shù)據(jù)中心。
我們網(wǎng)絡(luò)怎樣，設(shè)計的都是高可靠性的端到端備份，出問題的機會很少，而當(dāng)應(yīng)用出什么問題，都說是網(wǎng)絡(luò)問題。舉個例子，有個單位（稅務(wù)的學(xué)員告訴我的），有一天應(yīng)用突然變慢，大家都說網(wǎng)絡(luò)慢了，我們用盡troubleshooting的技術(shù)也發(fā)現(xiàn)不了問題，結(jié)果作數(shù)據(jù)庫的工程師偷偷改一下表空間，好了，沒問題了，我們不知道怎么好了，做數(shù)據(jù)庫的不說他們有問題，還說網(wǎng)絡(luò)好了，領(lǐng)導(dǎo)問我網(wǎng)絡(luò)怎么好的，我不知道呀，領(lǐng)導(dǎo)說：趕快查出原因，避免再出現(xiàn)類似問題，哇塞，怎么查，本來網(wǎng)絡(luò)就沒問題，查什么查。（同學(xué)們笑）
所以現(xiàn)在大家用一個字來形容我們的工作？你們會用什么字（同學(xué)們：累、苦）
很貼切，苦、累
所以我們不能一直停留在網(wǎng)絡(luò)的troubleshooting,我們必須提高我們的地位，要不我們會累死。
怎么提高地位，我們必須了解我們的業(yè)務(wù)，也就是要了解應(yīng)用，了解應(yīng)用在我們網(wǎng)絡(luò)上的行為特征，很重要的一個詞行為特征。當(dāng)我們了解了業(yè)務(wù)的行為特征，我們能定位某一個問題的真正故障點，舉個例子：網(wǎng)絡(luò)應(yīng)用變慢，可能的原因有什么？網(wǎng)絡(luò)問題，服務(wù)器問題，數(shù)據(jù)庫問題，應(yīng)用程序問題，客戶機問題。如果我們能夠判斷是哪一部分問題，我們就有發(fā)言權(quán)了，比如說剛才那種情況，如果我們直接說這是數(shù)據(jù)庫問題，不是網(wǎng)絡(luò)問題，領(lǐng)導(dǎo)會問，你憑什么說是數(shù)據(jù)庫問題，你可以拿出Sniffer，專家系統(tǒng)上寫著，DB Slow Server response診斷，（范老師在演示）再看解碼，做一個用戶驗證操作，花了1.731秒，有根有據(jù)，大家想一想，有了Sniffer我們可以了解我們的業(yè)務(wù)行為特征，可以排除我們的責(zé)任，不但工作輕松了，地位也提高了。（同學(xué)們笑）

以前我們應(yīng)用出現(xiàn)問題的時候我們總是分頭查找問題，結(jié)果往往是沒有結(jié)果，因為這種查找方式范圍太大了，我們做troubleshooting第一步應(yīng)該是：隔離故障。

如果我們有了Sniffer，首先用Sniffer看一下，最有可能是哪一部分問題，再安排檢查，這樣不但節(jié)省人力，速度會更快，效率也更高。

如果有人問我們Sniffer是什么？大家都會說是協(xié)議分析儀，你看sniffer網(wǎng)站（[url]www.[/url])
上說的是應(yīng)用和網(wǎng)絡(luò)分析系統(tǒng)。究竟Sniffer是什么樣的一個東西，我們要了解他的發(fā)展過程。其實很多類似的產(chǎn)品比如ethereal,netscout,wildpacket等都有類似的發(fā)展過程

第一階段是抓包和解碼，也就是把網(wǎng)絡(luò)上的數(shù)據(jù)包抓下來，然后進行解碼，那時候誰能解開的協(xié)議多，誰就是老大，Sniffer當(dāng)時能解開的協(xié)議最多，也就理所當(dāng)然地成了老大，現(xiàn)在Sniffer能解開550種協(xié)議，還是業(yè)界最多的，
第二階段是專家系統(tǒng)，也就是通過抓下來的數(shù)據(jù)包，根據(jù)他的特征和前后時間戳的關(guān)系，判斷網(wǎng)絡(luò)的數(shù)據(jù)流有沒有問題，是哪一層的問題，有多嚴(yán)重，專家系統(tǒng)都會給出建議和解決方案，現(xiàn)在Sniffer的專家系統(tǒng)還是業(yè)界最強的
第三階段：是把網(wǎng)絡(luò)分析工具發(fā)展成網(wǎng)絡(luò)管理工具，為什么要這樣，如果Sniffer知識用作網(wǎng)絡(luò)分析，那Sniffer的軟件就夠用了，現(xiàn)在軟件的portable基本上都是盜版的，sniffer沒錢賺了，所以它必須往網(wǎng)絡(luò)管理方向轉(zhuǎn)，要作為網(wǎng)絡(luò)管理工具，就必須能部署在網(wǎng)絡(luò)中心，能長期監(jiān)控，能主動管理網(wǎng)絡(luò)，能排除潛在問題，要做到這些，就要求有更高的性能，所以Sniffer就有了相應(yīng)的硬件產(chǎn)品，比如說分布式硬件平臺，InfiniStream等，我知道在座各位都買了Sniffer的硬件，這時候如果用軟件的Sniffer性能就不行了。

#p#

我們來看一下Sniffer的七大monitor功能，有Dashboard,hosttable,matrix,ART，protocol distribution,history sample,global statistics
我們一個一個來看，先看dashboard。

這個大家很熟悉了，我不用多講，dashboard有3個儀表，分別是使用率，每秒鐘包數(shù)量，每秒鐘錯誤率，下面都有兩個數(shù)字，前面一個表示當(dāng)前值，后面一個表示最大值。
下面還有l(wèi)ong term,和short term
Long term 每30分鐘采樣一次，一共可以采樣24小時，short term 每30秒鐘采樣一次，可以采樣25分鐘
大家自己試一下，首先把file里面的loopback 選上，這樣我們發(fā)的數(shù)據(jù)包就不會發(fā)到網(wǎng)絡(luò)中去，然后打開101目錄里的TCPdemo7a那個trace file ,再用packet general 發(fā)包，選send current buffer，連續(xù)發(fā)送。（我們是跟著范老師做的）

好了，大家試了一遍，感覺應(yīng)該是一樣的，就是這有什么用？沒用，對吧，我也這樣覺得（同學(xué)們笑）
但如果你要監(jiān)控某一臺服務(wù)器的時候，這個是有用的，比如你把一臺服務(wù)器的接口monitor 過來，這樣你就可以看到這臺服務(wù)器的流量狀況了，這就是一個很好的基準(zhǔn)線呀。當(dāng)然大家用的是硬件產(chǎn)品，就更方便了。
大家注意到下面還有錯誤報的統(tǒng)計，要注意的是一般的網(wǎng)卡是抓不了錯誤包的，要用專用網(wǎng)卡，一塊網(wǎng)卡上萬塊，NG好黑呀（同學(xué)們笑）
其實大家知道通過交換機的存儲轉(zhuǎn)發(fā)，基本上很少錯誤包，所以不用關(guān)注它。

在這里我想解釋一下以太網(wǎng)的錯誤包，這對大家學(xué)習(xí)網(wǎng)絡(luò)是很有幫助的，特別是了解一下封裝的概念。

（請看下一頁：以太網(wǎng)為什么要64個字節(jié)）

(這是范老師的板書,我畫不出來,大家將就點吧)
(這是范老師的板書,我畫不出來,大家將就點吧)

以太網(wǎng)是無連接的，不可靠的服務(wù)，采用盡力傳輸?shù)臋C制。以太網(wǎng)CSMA/CD我就不多講了，我相信大家都了解這個原理。
以太網(wǎng)是不可靠的，這意味著它并不知道對方有沒有收到自己發(fā)出的數(shù)據(jù)包，但如果他發(fā)出的數(shù)據(jù)包發(fā)生錯誤，他會進行重傳。以太網(wǎng)的錯誤主要是發(fā)生碰撞，碰撞是指兩臺機器同時監(jiān)聽到網(wǎng)絡(luò)是空閑的，同時發(fā)送數(shù)據(jù)，就會發(fā)生碰撞，碰撞對于以太網(wǎng)來說是正常的。
我們來看一下，假設(shè)A檢測到網(wǎng)絡(luò)是空閑的，開始發(fā)數(shù)據(jù)包，盡力傳輸，當(dāng)數(shù)據(jù)包還沒有到達B時，B也監(jiān)測到網(wǎng)絡(luò)是空閑的，開始發(fā)數(shù)據(jù)包，這時就會發(fā)生碰撞，B首先發(fā)現(xiàn)發(fā)生碰撞，開始發(fā)送碰撞信號，所謂碰撞信號，就是連續(xù)的01010101或者10101010,十六進制就是55或AA。這個碰撞信號會返回到A，如果碰撞信號到達A時，A還沒有發(fā)完這個數(shù)據(jù)包，A就知道這個數(shù)據(jù)包發(fā)生了錯誤，就會重傳這個數(shù)據(jù)包。但如果碰撞信號會返回到A時，數(shù)據(jù)包已經(jīng)發(fā)完，則A不會重傳這個數(shù)據(jù)包。
我們先看一下，以太網(wǎng)為什么要設(shè)計這樣的重傳機制。首先，以太網(wǎng)不想采用連接機制，因為會降低效率，但他又想有一定的重傳機制，因為以太網(wǎng)的重傳是微秒級，而傳輸層的重傳，如TCP的重傳達到毫秒級，應(yīng)用層的重傳更達到秒級，我們可以看到越底層的重傳，速度越快，所以對于以太網(wǎng)錯誤，以太網(wǎng)必須有重傳機制。
要保證以太網(wǎng)的重傳，必須保證A收到碰撞信號的時候，數(shù)據(jù)包沒有傳完，要實現(xiàn)這一要求，A和B之間的距離很關(guān)鍵，也就是說信號在A和B之間傳輸?shù)膩砘貢r間必須控制在一定范圍之內(nèi)。IEEE定義了這個標(biāo)準(zhǔn)，一個碰撞域內(nèi)，最遠的兩臺機器之間的round-trip time 要小于512bit time.(來回時間小于512位時，所謂位時就是傳輸一個比特需要的時間）。這也是我們常說的一個碰撞域的直徑。
512個位時，也就是64字節(jié)的傳輸時間，如果以太網(wǎng)數(shù)據(jù)包大于或等于64個字節(jié)，就能保證碰撞信號到達A的時候，數(shù)據(jù)包還沒有傳完。
這就是為什么以太網(wǎng)要最小64個字節(jié)，同樣，在正常的情況下，碰撞信號應(yīng)該出現(xiàn)在64個字節(jié)之內(nèi)，這是正常的以太網(wǎng)碰撞，如果碰撞信號出現(xiàn)在64個字節(jié)之后，叫 late collision。這是不正常的。
我們以前學(xué)習(xí)CISCO網(wǎng)絡(luò)的時候，CISCO交換機有一種轉(zhuǎn)發(fā)方式叫fragment-free，叫無碎片轉(zhuǎn)發(fā)，他就是檢查64個字節(jié)之內(nèi)有沒有錯誤，有的話不轉(zhuǎn)發(fā)，這樣就排除了正常的以太網(wǎng)錯誤包。

(這是范老師的板書,我畫不出來,大家將就點吧)
我們再來看一看以太網(wǎng)的幀結(jié)構(gòu)。

要講幀結(jié)構(gòu)，就要說一說OSI七層參考模型。七層參考模型大家很熟悉，以前我們看書的時候會覺得不知所云，我剛學(xué)的時候就是這感覺，其實我們只要掌握兩點就行了。
一個是訪問服務(wù)點，每一層都對上層提供訪問服務(wù)點（SAP），或者我們可以說，每一層的頭里面都有一個字段來區(qū)分上層協(xié)議。
比如說傳輸層對應(yīng)上層的訪問服務(wù)點就是端口號，比如說23端口是telnet，80端口是http。IP層的SAP是什么？（同學(xué)們沒說話）
其實就是protocol字段，17表示上層是UDP，6是TCP,89是OSPF，88是EGIRP,1是ICMP等等。
以太網(wǎng)對應(yīng)上層的SAP是什么呢？就是這個type或length。比如 0800表示上層是IP，0806表示上層是ARP。我后面還會將各種以太網(wǎng)的幀類型。
第二個要了解的就是對等層通訊，對等層通訊比較好理解，發(fā)送端某一層的封裝，接收端要同一層才能解封裝。
我們再來看看幀結(jié)構(gòu)，以太網(wǎng)發(fā)送方式是一個幀一個幀發(fā)送的，幀與幀之間需要間隙。這個叫幀間隙IFG—InterFrame Gap
IFG長度是96bit。當(dāng)然還可能有Idle時間。
以太網(wǎng)的幀是從目的MAC地址到FCS,事實上以太網(wǎng)幀的前面還有preamble，我們把它叫做先導(dǎo)字段。作用是用來同步的，當(dāng)接受端收到preamble，就知道以太網(wǎng)幀就要來了。preamble有8個字節(jié)前面7個字節(jié)是10101010也就是16進制的AA，最后一個字節(jié)是10101011,也就是AB，當(dāng)接受端接受到連續(xù)的兩個高點平，就知道接著來的就是D_mac。所以最后一個字節(jié)AB我們也叫他SFD（幀開始標(biāo)示符）。
所以在以太網(wǎng)傳輸過程中，即使沒有idle，也就是連續(xù)傳輸，也有20個字節(jié)的間隔。對于大量64字節(jié)數(shù)據(jù)來說，效率也就顯得不高。
所以，有時我們用下載數(shù)據(jù)來檢查我們的網(wǎng)速，這是不完全準(zhǔn)確地，我們要了解他的傳輸特征，才能準(zhǔn)確判斷電信究竟給了你多少帶寬。我有一個移動的學(xué)員，他說用戶總懷疑我給他的帶寬不夠，其實我肯定給他兩兆了，所以有時運營商也挺不容易（同學(xué)們笑）。后來我告訴他怎么樣用sniffer來測帶寬，不知道他后來成功了嗎，我沒有得到反饋。后面我會介紹怎樣用Sniffer來做帶寬測試，非常精確的喔。我給很多用戶作過帶寬測試，他們大多都是懷疑電信給的帶寬不夠。（同學(xué)們問：有沒有不夠的時候？）我測試的案例里還沒有。還有就是幫集成商作方案驗證，比如，集成商給用戶作了多鏈路捆綁，或路由負(fù)載均衡，用戶說比原來更慢了，我去證明給用戶看，負(fù)載均衡確實做起來了，流量分擔(dān)很正常。（同學(xué)們問：那為什么會慢呢），這就涉及到應(yīng)用的特征和不同廠商采用均衡的機制。我還沒試過作進一步分析。因為這是集成商的朋友叫我去幫忙的，我只要證明給用戶看方案沒問題，并告訴集成商如何給用戶解釋就行了，在做下去，就會畫蛇添足了，因為可能讓用戶覺得我的水平比我朋友高，那不是幫倒忙了。（同學(xué)們笑）所以幫忙也要適可而止。（同學(xué)們笑）
好了，有點扯遠了。前面講這些主要是幫大家復(fù)習(xí)以下以太網(wǎng)知識，大家別擔(dān)心，時間是足夠的，因為這門課里有很一些基礎(chǔ)的知識，比如交換原理、vlan原理，那些知識我都會跳過，我第一天的內(nèi)容不會很難，考慮到大家遠道而來，第一天都很累。但后面回越來越難，大家要有心理準(zhǔn)備。晚上要早點睡覺（同學(xué)們笑）。還有一個，就是大家別指望能記得住我講得全部內(nèi)容，今天講得明天還記得一點，后天就全忘了，（同學(xué)們笑），到了課程結(jié)束的時候，基本上全忘光了，（同學(xué)們大笑），所以做筆記很重要，我建議大家把筆記寫在書上，到時才對得起來。我也注意到一些同學(xué)在錄音，我知道的，不用放在桌子底下(同學(xué)們笑），那樣效果不好，（同學(xué)們大笑），其實這是不允許的，不過沒關(guān)系，只有一個要求，不要放在互聯(lián)網(wǎng)上。
（編者：寫到這里，有點寫不下去了，覺得很內(nèi)疚，覺得對不起范老師。我參加過很多培訓(xùn)，范老師是我很喜歡的一個老師，他講課不會非常幽默，但很實用，這是因為他有很多經(jīng)歷，他在講課過程中，會補充很多課程以外的東西，比如很多網(wǎng)絡(luò)中的細節(jié)知識，很多工作中的思路，我覺得這方面收獲很大，我個人覺得是對我知識的全面補充，學(xué)完之后覺得不僅學(xué)會了Sniffer，網(wǎng)絡(luò)管理的思路更清晰了，現(xiàn)在我指導(dǎo)工程師時，套了很多范老師的話，我覺得范老師很好。怎么辦？我在進行思想斗爭。。。該不該再寫下去。我想在論壇里發(fā)起投票，聽聽大家的意見，我該不該再寫下去。）
（編者：范老師的課程內(nèi)容：第一天 monitor功能，Sniffer的部署
第二天 expert，capture filter ，troubleshooting
第三天 decode，display filter ，trigger
第四天應(yīng)用的類型，應(yīng)用的剖析，應(yīng)用的分析思路
第五天應(yīng)用性能的分析，應(yīng)用性能預(yù)測）

#p#

我們看一下，Sniffer究竟有什么用？
第一，Sniffer可以幫助我們評估業(yè)務(wù)運行狀態(tài)，如果你能告訴老板說，我們的業(yè)務(wù)運行正常，性能良好，比起你跟老板報告說網(wǎng)絡(luò)沒有問題，我想老板會更愿意聽前面的報告，但我們要做這樣的報告，光說是不行的，必須有根據(jù)，我們能提供什么樣的根據(jù)呢。比如各個應(yīng)用的響應(yīng)時間，一個操作需要的時間，應(yīng)用帶寬的消耗，應(yīng)用的行為特征，應(yīng)用性能的瓶頸等等，到第二門課，我會告訴大家怎么做到有根有據(jù)。
第二，Sniffer能夠幫助我們評估網(wǎng)絡(luò)的性能，比如，各連路的使用率，網(wǎng)絡(luò)的性能的趨勢，網(wǎng)絡(luò)中哪一些應(yīng)用消耗最多帶寬，網(wǎng)絡(luò)上哪一些用戶消耗最多帶寬，各分支機構(gòu)流量狀況，影響我們網(wǎng)絡(luò)性能的主要因素，我們可否做一些相應(yīng)的控制，等等
第三，Sniffer幫助我們快速定位故障，這個大家比較有經(jīng)驗，我們記住Sniffer的三大功能：monitor,expert,decode這三大功能都可以幫助我們快速定位故障，我后面通過案例演示給大家看，大家再做做實驗，很快就上手了（同學(xué)問：范老師，是否要學(xué)Sniffer必須對協(xié)議很熟，）不一定，我們可以通過Sniffer來學(xué)習(xí)各種協(xié)議，比如ospf,以前學(xué)網(wǎng)絡(luò)的時候，講OSPF的LSA好像很復(fù)雜，你用Sniffer看看，其實他的協(xié)議結(jié)構(gòu)還是不復(fù)雜的，一般情況下，我會要求學(xué)Sniffer的學(xué)員有CCNP的基礎(chǔ)，或者有幾年的網(wǎng)絡(luò)管理經(jīng)驗，我自己也是這樣，剛開始只是用Sniffer抓抓包，抓下來也不知道怎么分析，當(dāng)我學(xué)完CCNP后，學(xué)了CIT，以為自己不錯了，會排除很多網(wǎng)絡(luò)故障，但實際上很多問題我還是解決不了，比如網(wǎng)絡(luò)慢，他又不斷，斷了我很快能解決，網(wǎng)絡(luò)慢，或者丟包，一般的排錯知識還是很難的，那時候開始學(xué)Sniffer，才發(fā)現(xiàn)很好用
第四，Sniffer可以幫助我們排除潛在的威脅，我們網(wǎng)絡(luò)中有各種各樣的應(yīng)用，有一些是關(guān)鍵應(yīng)用，有一些是OA，有一些是非業(yè)務(wù)應(yīng)用，還有一些就是威脅，他不但對我們的業(yè)務(wù)沒有幫助，還可能帶來危害，比如病毒、木馬、掃描等，Sniffer可以快速地發(fā)現(xiàn)他們，并且發(fā)現(xiàn)攻擊的來源，這就為我們做控制提供根據(jù)，比如我們要做QOS，不是說隨便根據(jù)應(yīng)用去分配帶寬就解決了，我們要知道哪一些應(yīng)用要多少帶寬，帶寬如何分配，要有根有據(jù)。我們再回過頭看一下Sniffer什么時候開始流行的，再2003年沖擊波發(fā)作的時候，很多Sniffer的用戶通過Sniffer快速定位受感染的機器，后來很多人都知道Sniffer可以用來發(fā)現(xiàn)病毒，Sniffer的知名度暴漲，盜版用戶也暴漲（同學(xué)們大笑），后來震蕩波發(fā)作的時候，很多人用Sniffer來協(xié)助解決問題。我想強調(diào)的是Sniffer不是防病毒工具，這也只是他的一個用途，而且只對蠕蟲類型對網(wǎng)絡(luò)影響大的病毒有效，對于文件型的病毒，他很難發(fā)現(xiàn)。
另外要說明的事，Sniffer還可以用來排除來自內(nèi)部的威脅，現(xiàn)在我們網(wǎng)絡(luò)中有各種各樣的網(wǎng)絡(luò)安全產(chǎn)品，防火墻、IDS、防病毒軟件，他們都有相應(yīng)的功能，但真的有效嗎，能解決全部威脅嗎，我們要進行評估，用Sniffer就能評估內(nèi)網(wǎng)的安全狀況，有沒有病毒，有沒有攻擊，有沒有掃描，像防火墻、IDS、防病毒軟件他們都是后知后覺的，它必須有特征才能阻絕，而Sniffer是即時監(jiān)控的工具，通過發(fā)現(xiàn)網(wǎng)絡(luò)中的行為特征，判斷網(wǎng)絡(luò)是否有異常流量，所以Sniffer可能比防病毒軟件更快地發(fā)現(xiàn)病毒。我在神州數(shù)碼的時候，沖擊波震蕩波都是我縣發(fā)現(xiàn)的，有趣的是當(dāng)時我都在上Sniffer的課，中午休息，我把sniffer駕到公司網(wǎng)絡(luò)，再Hosttable看到廣州一臺機器很多廣播，接著廣州另外一臺機器也開始發(fā)廣播，接著深圳也感染了，我馬上通知IT管理人員，他們把這幾臺機器斷網(wǎng)，后來才知道有沖擊波病毒，防病毒軟件還不能殺。
剛才講到異常流量，這是一個很重要的概念，什么是異常流量？我們怎么判斷是否異常，這又涉及另外一個概念，叫基準(zhǔn)線分析，什么是基準(zhǔn)線，基準(zhǔn)線是指我們網(wǎng)絡(luò)正常情況下的行為特征，包括利用率、應(yīng)用響應(yīng)時間、協(xié)議分布，各用戶貸款消耗等，不同工程師會有不同基準(zhǔn)線，因為他關(guān)心的內(nèi)容不同，只有知道我們網(wǎng)絡(luò)正常情況下的行為特征，我們才能判斷什么是異常流量。
第五，做流量的趨勢分析，通過長期監(jiān)控，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量的發(fā)展趨勢，為我們將來網(wǎng)絡(luò)改造提供建議和依據(jù)
第六點就是應(yīng)用性能預(yù)測，這點很有用，會用的人不多，我們第二門課會講，Sniffer能夠根據(jù)捕獲的流量分析一個應(yīng)用的行為特征，比如，你現(xiàn)在有一個新的應(yīng)用，還沒有上線，我能評估他上線后的性能，比如在用戶在網(wǎng)絡(luò)中心有多快，用戶在省中心有多快，用戶在市中心有多快，都可以提供量化的預(yù)測，準(zhǔn)確率挺高的，誤差不超過10%。我們還可以用她來評估應(yīng)用的瓶頸在哪，不同應(yīng)用瓶頸不同，比如有些應(yīng)用慢了，增加網(wǎng)絡(luò)帶寬效果很明顯，比如FTP這種應(yīng)用，有些應(yīng)用慢了增加帶寬沒什么效果，比如TELNET應(yīng)用，我們還可以預(yù)測網(wǎng)絡(luò)帶寬增加的效果，比如我將2兆提高到8兆應(yīng)用性能有多大的提升，Sniffer能比較準(zhǔn)確地預(yù)測

在這里我們提到三個重要概念，網(wǎng)絡(luò)行為特征，異常流量，基準(zhǔn)線，大家理解了嗎

在這里，我不想太多介紹產(chǎn)品，我不是來推銷Sniffer的（同學(xué)們笑），我們主要探討網(wǎng)絡(luò)分析技術(shù)
Sniffer的便攜式就是我們用的那種盜版軟件（同學(xué)們笑），我不用介紹了，這門課我們用Sniffer的便攜式來講，因為分布式和InfiniStream也有一樣的界面，上課的時候我們都是用便攜式。
Sniffer的分布式包括4100和6040，主要是放在網(wǎng)絡(luò)核心可以長期監(jiān)控、分析，4100可以處理千兆流量，6040可以處理8千兆流量，這是業(yè)界性能最高的產(chǎn)品
Sniffer的InfiniStream的特點是可以長期抓包，最多有4個T的存儲空間，可以長期抓包，可以進行回溯性分析，這點對有些用戶來說很重要，比如今天早上10點半，某個應(yīng)用很慢，十分鐘后又正常了，如果沒有InfiniStream,流量沒有保存，我們就很難分析問題在哪，如果有了InfiniStream,這些流量都會保存下來，自動的，就是長期抓包，我們就可以找出當(dāng)時的流量，進行分析，一個很好的設(shè)備，現(xiàn)在支持1800兆線速捕獲，這也是其他廠商沒有的。

這些你們買設(shè)備的時候代理都給你們說清楚了，我就不多講了。

怎么樣，聽了這么久，感覺如何？有興趣嗎？
其實我個人是很喜歡Sniffer的，我當(dāng)時從三洋出來的時候，錯過了去IBM的機會，去了神州數(shù)碼才知道，他們IBM需要做X400的人，去了神州數(shù)碼，老板問我想做網(wǎng)絡(luò)還是想做主機，我說做網(wǎng)絡(luò)吧，那時一個CCIE 23十萬的收入是有的，結(jié)果到我考過CCIE筆試的時候，CCIE就值10萬吧，真是絕望了，（同學(xué)們笑）為什么當(dāng)時不做主機呢，我那些做6000的同事現(xiàn)在都不錯，又不累。做網(wǎng)絡(luò)不就一個字：累嗎（同學(xué)們笑）我也沒有去考實驗了，01年的時候我考了CCSI，就是CISCO授權(quán)講師，后來講了很多cisco的課，我CISCO的學(xué)員有1000個，后來又講Sniffer的課，Sniffer的學(xué)員有300個，我的學(xué)員不少，有不少關(guān)系不錯的，他們過的比我好（同學(xué)們笑，你做講師也不錯呀，收入不低吧），以前講CISCO的時候收入不高,一天也就1000到1500，講Sniffer會好一些，(同學(xué)們：講Sniffer一天多少）這還不好公開，如果你們有興趣開班，我們再聊（同學(xué)們笑）。后來我考過了SCM，Sniffer的最高級認(rèn)證，叫Sniffer大師。中國就我一個人，（同學(xué)們：哇，難不難考，考幾門），Sniffer的考試不難，這個我后面會講，考過SCM的全球也只有62個，亞太區(qū)只有5個，所以Sniffer原廠的課程都是我講的。在今年，我會去協(xié)助組建Sniffer中國技術(shù)服務(wù)中心，以后你們有什么問題都可以聯(lián)系我，我在那里是技術(shù)總監(jiān)。我們還有在各行各業(yè)的Sniffer專家小組，都是喜歡使用Sniffer的人在一起交流使用心得，分享一些案例，你們?nèi)缬信d趣，到時我可以邀請你們參加，不過首先要認(rèn)真聽課。（同學(xué)們笑）

好了，講了這么多，目標(biāo)只有一個，提起大家的學(xué)習(xí)興趣，接下來講課程的內(nèi)容，首先把Sniffer打開。