傲龙之家

前言: 范老师现在是Sniffer中国技术服务中心的技术总监，是中国唯一的Sniffer大师（SCM），他有丰富的经验和经典案例，讲课讲得不错。 我是范老师的学生，我2005年学习了Sniffer，发现收获很大，但我不能透露我的单位，因为我想范老师不会允许我把他的讲课内容公开。 以下内容是我根据上课录音编写的，基本上是范老师的原话。我整理了一个星期才整理出来，因为范老师在上课时有很多笔书，整理起来很困难， 有人会问，为什么不把录音共享出来，主要是课程中很多实验，只有录音，作用不大，我把他整理成文字，看起来会方便一些，当我全部整理完，估计可以出书了，版权费给谁呢？哈哈 我希望大家喜欢，如果反应良好，我把后面的内容也贴出来，很辛苦的，大家要珍惜。 大家不要放映，精华内容都在注释里。 大家有什么问题，可以发E-mail给范老师，[url=mailto:fanweidao@hotmail.com]fanweidao@hotmail.com[/url]，记住如果他问你是谁，你说是北京移动或广东移动或工商银行随便一个省分行的，因为这些单位的学生特别多，他肯定搞不清楚。哈哈，对不起了！范老师，我只是想帮你推广Sniffer. 大家好!欢迎大家参加Sniffer的认证课程！ 先自我介绍一下！我叫范伟导，这是我的邮件，我现在没有工作（同学们：自由职业者）可以这么说。 介绍一下我的经历：毕业后我在一个台资电脑厂工作了一年，做硬件的。 后来到了日本三洋工作，作X400的软件开发，做ERP，用RPG开发，做了4年 后来到了神州数码，作CISCO网络，原来在技术中心做实施，后来在培训中心做讲师，一共做了5年。 现在我是CISCO和Sniffer的授权讲师，不过现在我不想做CISCO了，想做Sniffer，因为我觉得网络分析是一个很好的技术方向。等一下我还会跟大家聊一聊我们该往哪一个方向发展。 先看一下我们这个课程，这个课程事实上是两门课，第一门我们介绍怎样用Sniffer来做网络故障诊断，还有网络管理的一些方法和思路，第二门课我们介绍如何做应用的分析，这是Sniffer的新课程，我个人觉得非常好，以前的几个班学员也很喜欢。第一门课我们会讲3天，第二门课我们会讲2天。 接下来的半个小时我们不讲书本知识，讲讲我的经历和Sniffer究竟能用来做什么，我们为什么要学Sniffer，其实我的目的是提起大家的学习兴趣，大家愿意学，我才讲的起劲。要不我一边讲，大家在噼噼啪啪上网，那我就讲不下去了（同学们笑）。 大家做网络都很多年了，想想我们以前的10兆以太网，现在的万兆以太网，想想14.4k的modem,现在的2M宽带，以前的x25,桢中继，现在的SDH,MSTP,裸光纤。大家都经历这些，但我们才工作几年？就这几年，变化这么大，我不知道大家的工资有没有变化这么大,(同学们大笑），从10兆到万兆，1000倍，几年工资张1000倍。有点难（同学们：不是有点难，是很难，不可能）。 再看看我们工作的变化，以前能配配路由器就很牛了，现在似乎谁都会了，记得几年前，我帮一个小集成商配一台4000系列交换机，收了2000元，15分钟搞定。（同学们：好爽，介绍一些给我们做），没有了 说说你们的工作。平常工作中做些什么（同学们：做做网线，杀病毒，帮领导装机器） 大家想想，这是我们想做的工作吗，以前这些都不用我们做，现在大家感觉是不是地位在下降，工资也不涨，好歹我们也是蜘蛛级的人物呀，不是有个笑话说蜜蜂是空姐，做网络的是蜘蛛吗。（同学们笑） 我们该怎么办? 现在说说我的观点，我们都希望工资能年年涨，不要求1000倍，（同学们：不要求那么高，一年20%就行了）， 20%？不止吧，从毕业到现在，你们工资不止年均涨不止20%吧。 （同学们：我们不能跟您比） 也有可能，你们的起点高，我毕业的时候才有650元。 大家回顾一下，做IT的谁的收入高？ 1、销售 2、领导 3、咨询专家 4、售前工程师 5、售后工程师 我们在座的有3个是网络中心的主任或科长，他们的收入肯定比一般工程师高，我祝愿你们步步高升，收入节节高。 在座大多数是网络工程师，我们该怎么走，其实你们现在的单位都很好，但将来怎样很难知道，比如前几年银行的收入令人羡慕，现在他们却担心降工资，现在移动的收入不错吧，我有汽车厂商的学员，他告诉我他们的收入比移动好点，（同学们：哇）这是他们自己说的，好多少就没说了，还有某政府单位的，什么单位不便说，他们没告诉我他们的收入，只说，价格少于4万的笔记本他们不用，哇靠，4万的笔记本，什么配置？（同学们：那是服务器） 我们不能比，人比人，气死人。我们没法进入这些公司的，还是脚踏实地一点好，但我们做技术的也要考虑如何提高我们的收入，做技术的要提高收入，地位是关键，前面大家说只做做线，杀杀病毒，我们的地位在下降，工资怎么长得起来呢？想想我们做技术的，谁的收入高，做数据库的比做服务器的高，为什么Oracle那么火，做服务器的比写程序的高，写程序的比做网络高，这是普遍现象，不说特殊情况。其实大家发现一个特点没有，凡是掌握企业关键业务的收入都很高，你看作数据库的，数据库坏了，企业完蛋了，领导当然重视，现在不仅讲存储，还讲灾备，你看很多银行，北京一个数据中心，上海一个数据中心。 我们网络怎样，设计的都是高可靠性的端到端备份，出问题的机会很少，而当应用出什么问题，都说是网络问题。举个例子，有个单位（税务的学员告诉我的），有一天应用突然变慢，大家都说网络慢了，我们用尽troubleshooting的技术也发现不了问题，结果作数据库的工程师偷偷改一下表空间，好了，没问题了，我们不知道怎么好了，做数据库的不说他们有问题，还说网络好了，领导问我网络怎么好的，我不知道呀，领导说：赶快查出原因，避免再出现类似问题，哇塞，怎么查，本来网络就没问题，查什么查。（同学们笑） 所以现在大家用一个字来形容我们的工作？你们会用什么字（同学们：累、苦） 很贴切，苦、累 所以我们不能一直停留在网络的troubleshooting,我们必须提高我们的地位，要不我们会累死。 怎么提高地位，我们必须了解我们的业务，也就是要了解应用，了解应用在我们网络上的行为特征，很重要的一个词行为特征。当我们了解了业务的行为特征，我们能定位某一个问题的真正故障点，举个例子：网络应用变慢，可能的原因有什么？网络问题，服务器问题，数据库问题，应用程序问题，客户机问题。如果我们能够判断是哪一部分问题，我们就有发言权了，比如说刚才那种情况，如果我们直接说这是数据库问题，不是网络问题，领导会问，你凭什么说是数据库问题，你可以拿出Sniffer，专家系统上写着，DB Slow Server response诊断，（范老师在演示）再看解码，做一个用户验证操作，花了1.731秒，有根有据，大家想一想，有了Sniffer我们可以了解我们的业务行为特征，可以排除我们的责任，不但工作轻松了，地位也提高了。（同学们笑） 以前我们应用出现问题的时候我们总是分头查找问题，结果往往是没有结果，因为这种查找方式范围太大了，我们做troubleshooting第一步应该是：隔离故障。 如果我们有了Sniffer，首先用Sniffer看一下，最有可能是哪一部分问题，再安排检查，这样不但节省人力，速度会更快，效率也更高。 如果有人问我们Sniffer是什么？大家都会说是协议分析仪，你看sniffer网站（www.networkgeneral.com) 上说的是应用和网络分析系统。究竟Sniffer是什么样的一个东西，我们要了解他的发展过程。其实很多类似的产品比如ethereal,netscout,wildpacket等都有类似的发展过程 第一阶段是抓包和解码，也就是把网络上的数据包抓下来，然后进行解码，那时候谁能解开的协议多，谁就是老大，Sniffer当时能解开的协议最多，也就理所当然地成了老大，现在Sniffer能解开550种协议，还是业界最多的， 第二阶段是专家系统，也就是通过抓下来的数据包，根据他的特征和前后时间戳的关系，判断网络的数据流有没有问题，是哪一层的问题，有多严重，专家系统都会给出建议和解决方案，现在Sniffer的专家系统还是业界最强的 第三阶段：是把网络分析工具发展成网络管理工具，为什么要这样，如果Sniffer知识用作网络分析，那Sniffer的软件就够用了，现在软件的portable基本上都是盗版的，sniffer没钱赚了，所以它必须往网络管理方向转，要作为网络管理工具，就必须能部署在网络中心，能长期监控，能主动管理网络，能排除潜在问题，要做到这些，就要求有更高的性能，所以Sniffer就有了相应的硬件产品，比如说分布式硬件平台，InfiniStream等，我知道在座各位都买了Sniffer的硬件，这时候如果用软件的Sniffer性能就不行了。 我们看一下，Sniffer究竟有什么用？ 第一，Sniffer可以帮助我们评估业务运行状态，如果你能告诉老板说，我们的业务运行正常，性能良好，比起你跟老板报告说网络没有问题，我想老板会更愿意听前面的报告，但我们要做这样的报告，光说是不行的，必须有根据，我们能提供什么样的根据呢。比如各个应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等等，到第二门课，我会告诉大家怎么做到有根有据。 第二，Sniffer能够帮助我们评估网络的性能，比如，各连路的使用率，网络的性能的趋势，网络中哪一些应用消耗最多带宽，网络上哪一些用户消耗最多带宽，各分支机构流量状况，影响我们网络性能的主要因素，我们可否做一些相应的控制，等等 第三，Sniffer帮助我们快速定位故障，这个大家比较有经验，我们记住Sniffer的三大功能：monitor,expert,decode这三大功能都可以帮助我们快速定位故障，我后面通过案例演示给大家看，大家再做做实验，很快就上手了（同学问：范老师，是否要学Sniffer必须对协议很熟，）不一定，我们可以通过Sniffer来学习各种协议，比如ospf,以前学网络的时候，讲OSPF的LSA好像很复杂，你用Sniffer看看，其实他的协议结构还是不复杂的，一般情况下，我会要求学Sniffer的学员有CCNP的基础，或者有几年的网络管理经验，我自己也是这样，刚开始只是用Sniffer抓抓包，抓下来也不知道怎么分析，当我学完CCNP后，学了CIT，以为自己不错了，会排除很多网络故障，但实际上很多问题我还是解决不了，比如网络慢，他又不断，断了我很快能解决，网络慢，或者丢包，一般的排错知识还是很难的，那时候开始学Sniffer，才发现很好用 第四，Sniffer可以帮助我们排除潜在的威胁，我们网络中有各种各样的应用，有一些是关键应用，有一些是OA，有一些是非业务应用，还有一些就是威胁，他不但对我们的业务没有帮助，还可能带来危害，比如病毒、木马、扫描等，Sniffer可以快速地发现他们，并且发现攻击的来源，这就为我们做控制提供根据，比如我们要做QOS，不是说随便根据应用去分配带宽就解决了，我们要知道哪一些应用要多少带宽，带宽如何分配，要有根有据。我们再回过头看一下Sniffer什么时候开始流行的，再2003年冲击波发作的时候，很多Sniffer的用户通过Sniffer快速定位受感染的机器，后来很多人都知道Sniffer可以用来发现病毒，Sniffer的知名度暴涨，盗版用户也暴涨（同学们大笑），后来震荡波发作的时候，很多人用Sniffer来协助解决问题。我想强调的是Sniffer不是防病毒工具，这也只是他的一个用途，而且只对蠕虫类型对网络影响大的病毒有效，对于文件型的病毒，他很难发现。 另外要说明的事，Sniffer还可以用来排除来自内部的威胁，现在我们网络中有各种各样的网络安全产品，防火墙、IDS、防病毒软件，他们都有相应的功能，但真的有效吗，能解决全部威胁吗，我们要进行评估，用Sniffer就能评估内网的安全状况，有没有病毒，有没有攻击，有没有扫描，像防火墙、IDS、防病毒软件他们都是后知后觉的，它必须有特征才能阻绝，而Sniffer是即时监控的工具，通过发现网络中的行为特征，判断网络是否有异常流量，所以Sniffer可能比防病毒软件更快地发现病毒。我在神州数码的时候，冲击波震荡波都是我县发现的，有趣的是当时我都在上Sniffer的课，中午休息，我把sniffer驾到公司网络，再Hosttable看到广州一台机器很多广播，接着广州另外一台机器也开始发广播，接着深圳也感染了，我马上通知IT管理人员，他们把这几台机器断网，后来才知道有冲击波病毒，防病毒软件还不能杀。 刚才讲到异常流量，这是一个很重要的概念，什么是异常流量？我们怎么判断是否异常，这又涉及另外一个概念，叫基准线分析，什么是基准线，基准线是指我们网络正常情况下的行为特征，包括利用率、应用响应时间、协议分布，各用户贷款消耗等，不同工程师会有不同基准线，因为他关心的内容不同，只有知道我们网络正常情况下的行为特征，我们才能判断什么是异常流量。 第五，做流量的趋势分析，通过长期监控，可以发现网络流量的发展趋势，为我们将来网络改造提供建议和依据 第六点就是应用性能预测，这点很有用，会用的人不多，我们第二门课会讲，Sniffer能够根据捕获的流量分析一个应用的行为特征，比如，你现在有一个新的应用，还没有上线，我能评估他上线后的性能，比如在用户在网络中心有多快，用户在省中心有多快，用户在市中心有多快，都可以提供量化的预测，准确率挺高的，误差不超过10%。我们还可以用她来评估应用的瓶颈在哪，不同应用瓶颈不同，比如有些应用慢了，增加网络带宽效果很明显，比如FTP这种应用，有些应用慢了增加带宽没什么效果，比如TELNET应用，我们还可以预测网络带宽增加的效果，比如我将2兆提高到8兆应用性能有多大的提升，Sniffer能比较准确地预测 在这里我们提到三个重要概念，网络行为特征，异常流量，基准线，大家理解了吗 在这里，我不想太多介绍产品，我不是来推销Sniffer的（同学们笑），我们主要探讨网络分析技术 Sniffer的便携式就是我们用的那种盗版软件（同学们笑），我不用介绍了，这门课我们用Sniffer的便携式来讲，因为分布式和InfiniStream也有一样的界面，上课的时候我们都是用便携式。 Sniffer的分布式包括4100和6040，主要是放在网络核心可以长期监控、分析，4100可以处理千兆流量，6040可以处理8千兆流量，这是业界性能最高的产品 Sniffer的InfiniStream的特点是可以长期抓包，最多有4个T的存储空间，可以长期抓包，可以进行回溯性分析，这点对有些用户来说很重要，比如今天早上10点半，某个应用很慢，十分钟后又正常了，如果没有InfiniStream,流量没有保存，我们就很难分析问题在哪，如果有了InfiniStream,这些流量都会保存下来，自动的，就是长期抓包，我们就可以找出当时的流量，进行分析，一个很好的设备，现在支持1800兆线速捕获，这也是其他厂商没有的。 这些你们买设备的时候代理都给你们说清楚了，我就不多讲了。 怎么样，听了这么久，感觉如何？有兴趣吗？ 其实我个人是很喜欢Sniffer的，我当时从三洋出来的时候，错过了去IBM的机会，去了神州数码才知道，他们IBM需要做X400的人，去了神州数码，老板问我想做网络还是想做主机，我说做网络吧，那时一个CCIE 23十万的收入是有的，结果到我考过CCIE笔试的时候，CCIE就值10万吧，真是绝望了，（同学们笑）为什么当时不做主机呢，我那些做6000的同事现在都不错，又不累。做网络不就一个字：累吗（同学们笑）我也没有去考实验了，01年的时候我考了CCSI，就是CISCO授权讲师，后来讲了很多cisco的课，我CISCO的学员有1000个，后来又讲Sniffer的课，Sniffer的学员有300个，我的学员不少，有不少关系不错的，他们过的比我好（同学们笑，你做讲师也不错呀，收入不低吧），以前讲CISCO的时候收入不高,一天也就1000到1500，讲Sniffer会好一些，(同学们：讲Sniffer一天多少）这还不好公开，如果你们有兴趣开班，我们再聊（同学们笑）。后来我考过了SCM，Sniffer的最高级认证，叫Sniffer大师。中国就我一个人，（同学们：哇，难不难考，考几门），Sniffer的考试不难，这个我后面会讲，考过SCM的全球也只有62个，亚太区只有5个，所以Sniffer原厂的课程都是我讲的。在今年，我会去协助组建Sniffer中国技术服务中心，以后你们有什么问题都可以联系我，我在那里是技术总监。我们还有在各行各业的Sniffer专家小组，都是喜欢使用Sniffer的人在一起交流使用心得，分享一些案例，你们如有兴趣，到时我可以邀请你们参加，不过首先要认真听课。（同学们笑） 好了，讲了这么多，目标只有一个，提起大家的学习兴趣，接下来讲课程的内容，首先把Sniffer打开。 好，大家都打开了吗，有问题随时告诉我，（跑去解答问题去了）如果大家在上课的时候有任何疑问，随时可以打断我，不用给我面子，我也不一定能回答所有问题，不过没关系，交流总会进步的。 好，我们继续第一个我要介绍的是local agent。 什么叫local agent，大家打开fileSelect settings 这时候，大家可能只看到一个local 下面是你的网卡,这就叫做一个local agent。 事实上，一个local agent 就像一个探针。 我们知道Sniffer的工作原理很简单，就是把网卡设成混杂模式（叫做promiscuous），所谓混杂模式，就是把所有数据包接受下来放入内存，大家知道一般情况下,PC机只接受目的mac地址为自己网卡或广播、组播的数据包。sniffer就是这样把所有数据包都接收下来，在进行分析。 大家看我这里有多个agent,怎样可以做多个agent呢，可以不同网卡做不同的agent，就像你们的分布式sniffer一样，有多个网卡，那就是多个agent,infinistream也一样。 其实一个网卡，也可以做多个agent,大家试一下，new一个，给他加上说明，就叫101把，选中你们的网卡，下面选no pod，copy setting留空，那个pod是你外接sniffer book时候用的。大家看看你们的agent多了一个，101括号local_2。对不对（同学们：对） 好，不错。 我们为什么建立多个agent 呢。不同的agent可以定义不同的阀值，可以有不同的过滤器，可以有不同的触发器，不同的地址本。 比如说，你们有一台笔记本装着sniffer，大家都用它，那不同的工程师可以自己定义一个agent，自己定义自己的过滤器，互不干涉，比如不同的网段有不同的阀值，也可以定义不同的agent。 那agent的参数保存在哪里呢，大家打开c:\program files\nai\sniffernt\program,大家看到local local_2,这就是两个不同的agent保存参数的地方。大家看到两个CSF文件，一个是sniffer.csf，另外一个是Snifferdisplay.csf。这是过滤器文件，当我们使用sniffer一段时间之后，大家会累积许多好的过滤器，一定记得保存下来，就是把这两个文件考出来就行了，如果你看到别人那里有好的过滤器，也可以拷过来。不过当你要倒回去的时候，4.8比较好办直接倒入就行了，4.75比较麻烦，我后面讲定义过滤器的时候再教大家。过滤器是sniffer最难、最有意思、最重要的一部分，大家放心，我能让大家成为高手。（同学们笑） 好，local agent讲完了，local agent是什么？事实上就是定义一个环境变量，不同的环境不同的参数。 好，休息一下，待会儿讲monitor功能。 中间休息的时候，我问了范老师一个问题：我看书上说，TCP是可靠的,UDP是不可靠的，那要不可靠UDP来干什么？（各位：我的问题是不是很傻？但我确实不知道呀） 范老师：不错，这个问题非常好！（嘿嘿！） TCP叫传输控制协议，他的特点是：有连接，有流控，有顺序号/确认号，开销比较大，一般是20个字节的头。 UDP叫用户数据报协议，开销小，8个字节的头，无可靠保证。 我后面有详细介绍TCP和UDP，我们先看您的问题。 首先，UDP，不可靠，是指，在传输层不提供可靠保证，并不意味着所有使用UDP的应用都不可靠。 我们来比较几个应用（范老师用他的trace file 给我演示） DNS，53端口，进行查询时，用的是UDP，因为要求速度快，比如我要查networkgeneral的地址，你只要告诉我ip是多少就行了，如果要进行3次握手建立连接，再去取到IP，那就慢了，所以用的是UDP,一个字：快。没响应怎么办，事实你看（他在演示）它会同时向多个DNS查询，所以没响应也没关系，你看这个响应名字错误，找不到。所以UDP还是有用的，特别是像DNS查询这种应用，丢了也就丢了，我再查。但DNS也有用TCP的时候，比如DNS服务器的同步，用的就是TCP的53端口 TFTP，您所了解的TFTP,用的是UDP吧，他不可靠吗，事实上文件传输,必须保证可靠。不但要保证能知道丢包重传，还要有顺序号，应付错序到达的情况，也就是我们常说的后发先至。事实上TFTP是怎样工作的，你看（他在演示），每一个数据块都有Id号，一块512字节，一次传输，一次确认，这就相当于TCP的顺序号和确认号。所以UDP是不可靠的，但很多使用UDP协议的应用是可靠的，只是在应用层去保证可靠性，很多人说用UDP效率高，事实上TFTP在传输大文件的时候,比FTP效率更地，我们后面有专门的实验。 视频流量，（没有演示）对于视频流量，也是需要可靠保证的，但要求不是很高，所以不会像TFTP那样每一个数据报都确认，而是传多个数据包确认一次，要不效率就太低了，究竟多少个数据包确认一次，开发人员需要不断测试。 我的解释清楚吗，（我说：明白了！谢谢！） （确实看着演示，很容易就理解了，中间我们有许多对话，我省略了，确实如果只听录音是不明白的，这是我为什么要整理成文字给大家看，好累呀！大家给我加油！） 好，我们继续！ 我们来看一下Sniffer的七大monitor功能，有Dashboard,hosttable,matrix,ART，protocol distribution,history sample,global statistics 我们一个一个来看，先看dashboard。 这个大家很熟悉了，我不用多讲，dashboard有3个仪表，分别是使用率，每秒钟包数量，每秒钟错误率，下面都有两个数字，前面一个表示当前值，后面一个表示最大值。 下面还有long term,和short term Long term 每30分钟采样一次，一共可以采样24小时，short term 每30秒钟采样一次，可以采样25分钟 大家自己试一下，首先把file里面的loopback 选上，这样我们发的数据包就不会发到网络中去，然后打开101目录里的TCPdemo7a那个trace file ,再用packet general 发包，选send current buffer，连续发送。（我们是跟着范老师做的） 好了，大家试了一遍，感觉应该是一样的，就是这有什么用？没用，对吧，我也这样觉得（同学们笑） 但如果你要监控某一台服务器的时候，这个是有用的，比如你把一台服务器的接口monitor 过来，这样你就可以看到这台服务器的流量状况了，这就是一个很好的基准线呀。当然大家用的是硬件产品，就更方便了。 大家注意到下面还有错误报的统计，要注意的是一般的网卡是抓不了错误包的，要用专用网卡，一块网卡上万块，NG好黑呀（同学们笑） 其实大家知道通过交换机的存储转发，基本上很少错误包，所以不用关注它。 在这里我想解释一下以太网的错误包，这对大家学习网络是很有帮助的，特别是了解一下封装的概念。 （请看下一页：以太网为什么要64个字节） (这是范老师的板书,我画不出来,大家将就点吧) (这是范老师的板书,我画不出来,大家将就点吧) 以太网是无连接的，不可靠的服务，采用尽力传输的机制。以太网CSMA/CD我就不多讲了，我相信大家都了解这个原理。 以太网是不可靠的，这意味着它并不知道对方有没有收到自己发出的数据包，但如果他发出的数据包发生错误，他会进行重传。以太网的错误主要是发生碰撞，碰撞是指两台机器同时监听到网络是空闲的，同时发送数据，就会发生碰撞，碰撞对于以太网来说是正常的。 我们来看一下，假设A检测到网络是空闲的，开始发数据包，尽力传输，当数据包还没有到达B时，B也监测到网络是空闲的，开始发数据包，这时就会发生碰撞，B首先发现发生碰撞，开始发送碰撞信号，所谓碰撞信号，就是连续的01010101或者10101010,十六进制就是55或AA。这个碰撞信号会返回到A，如果碰撞信号到达A时，A还没有发完这个数据包，A就知道这个数据包发生了错误，就会重传这个数据包。但如果碰撞信号会返回到A时，数据包已经发完，则A不会重传这个数据包。 我们先看一下，以太网为什么要设计这样的重传机制。首先，以太网不想采用连接机制，因为会降低效率，但他又想有一定的重传机制，因为以太网的重传是微秒级，而传输层的重传，如TCP的重传达到毫秒级，应用层的重传更达到秒级，我们可以看到越底层的重传，速度越快，所以对于以太网错误，以太网必须有重传机制。 要保证以太网的重传，必须保证A收到碰撞信号的时候，数据包没有传完，要实现这一要求，A和B之间的距离很关键，也就是说信号在A和B之间传输的来回时间必须控制在一定范围之内。IEEE定义了这个标准，一个碰撞域内，最远的两台机器之间的round-trip time 要小于512bit time.(来回时间小于512位时，所谓位时就是传输一个比特需要的时间）。这也是我们常说的一个碰撞域的直径。 512个位时，也就是64字节的传输时间，如果以太网数据包大于或等于64个字节，就能保证碰撞信号到达A的时候，数据包还没有传完。 这就是为什么以太网要最小64个字节，同样，在正常的情况下，碰撞信号应该出现在64个字节之内，这是正常的以太网碰撞，如果碰撞信号出现在64个字节之后，叫 late collision。这是不正常的。 我们以前学习CISCO网络的时候，CISCO交换机有一种转发方式叫fragment-free，叫无碎片转发，他就是检查64个字节之内有没有错误，有的话不转发，这样就排除了正常的以太网错误包。 (这是范老师的板书,我画不出来,大家将就点吧) 我们再来看一看以太网的帧结构。 要讲帧结构，就要说一说OSI七层参考模型。七层参考模型大家很熟悉，以前我们看书的时候会觉得不知所云，我刚学的时候就是这感觉，其实我们只要掌握两点就行了。 一个是访问服务点，每一层都对上层提供访问服务点（SAP），或者我们可以说，每一层的头里面都有一个字段来区分上层协议。 比如说传输层对应上层的访问服务点就是端口号，比如说23端口是telnet，80端口是http。IP层的SAP是什么？（同学们没说话） 其实就是protocol字段，17表示上层是UDP，6是TCP,89是OSPF，88是EGIRP,1是ICMP等等。 以太网对应上层的SAP是什么呢？就是这个type或length。比如 0800表示上层是IP，0806表示上层是ARP。我后面还会将各种以太网的帧类型。 第二个要了解的就是对等层通讯，对等层通讯比较好理解，发送端某一层的封装，接收端要同一层才能解封装。 我们再来看看帧结构，以太网发送方式是一个帧一个帧发送的，帧与帧之间需要间隙。这个叫帧间隙IFG—InterFrame Gap IFG长度是96bit。当然还可能有Idle时间。 以太网的帧是从目的MAC地址到FCS,事实上以太网帧的前面还有preamble，我们把它叫做先导字段。作用是用来同步的，当接受端收到preamble，就知道以太网帧就要来了。preamble有8个字节前面7个字节是10101010也就是16进制的AA，最后一个字节是10101011,也就是AB，当接受端接受到连续的两个高点平，就知道接着来的就是D_mac。所以最后一个字节AB我们也叫他SFD（帧开始标示符）。 所以在以太网传输过程中，即使没有idle，也就是连续传输，也有20个字节的间隔。对于大量64字节数据来说，效率也就显得不高。 所以，有时我们用下载数据来检查我们的网速，这是不完全准确地，我们要了解他的传输特征，才能准确判断电信究竟给了你多少带宽。我有一个移动的学员，他说用户总怀疑我给他的带宽不够，其实我肯定给他两兆了，所以有时运营商也挺不容易（同学们笑）。后来我告诉他怎么样用sniffer来测带宽，不知道他后来成功了吗，我没有得到反馈。后面我会介绍怎样用Sniffer来做带宽测试，非常精确的喔。我给很多用户作过带宽测试，他们大多都是怀疑电信给的带宽不够。（同学们问：有没有不够的时候？）我测试的案例里还没有。还有就是帮集成商作方案验证，比如，集成商给用户作了多链路捆绑，或路由负载均衡，用户说比原来更慢了，我去证明给用户看，负载均衡确实做起来了，流量分担很正常。（同学们问：那为什么会慢呢），这就涉及到应用的特征和不同厂商采用均衡的机制。我还没试过作进一步分析。因为这是集成商的朋友叫我去帮忙的，我只要证明给用户看方案没问题，并告诉集成商如何给用户解释就行了，在做下去，就会画蛇添足了，因为可能让用户觉得我的水平比我朋友高，那不是帮倒忙了。（同学们笑）所以帮忙也要适可而止。 （同学们笑） 好了，有点扯远了。前面讲这些主要是帮大家复习以下以太网知识，大家别担心，时间是足够的，因为这门课里有很一些基础的知识，比如交换原理、vlan原理，那些知识我都会跳过，我第一天的内容不会很难，考虑到大家远道而来，第一天都很累。但后面回越来越难，大家要有心理准备。晚上要早点睡觉（同学们笑）。还有一个，就是大家别指望能记得住我讲得全部内容，今天讲得明天还记得一点，后天就全忘了，（同学们笑），到了课程结束的时候，基本上全忘光了，（同学们大笑），所以做笔记很重要，我建议大家把笔记写在书上，到时才对得起来。我也注意到一些同学在录音，我知道的，不用放在桌子底下(同学们笑），那样效果不好，（同学们大笑），其实这是不允许的，不过没关系，只有一个要求，不要放在互联网上。 （编者：写到这里，有点写不下去了，觉得很内疚，觉得对不起范老师。我参加过很多培训，范老师是我很喜欢的一个老师，他讲课不会非常幽默，但很实用，这是因为他有很多经历，他在讲课过程中，会补充很多课程以外的东西，比如很多网络中的细节知识，很多工作中的思路，我觉得这方面收获很大，我个人觉得是对我知识的全面补充，学完之后觉得不仅学会了Sniffer，网络管理的思路更清晰了，现在我指导工程师时，套了很多范老师的话，我觉得范老师很好。怎么办？我在进行思想斗争。。。该不该再写下去。我想在论坛里发起投票，听听大家的意见，我该不该再写下去。） （编者：范老师的课程内容： 第一天 monitor功能，Sniffer的部署   第二天 expert，capture filter ，troubleshooting 第三天 decode，display filter ，trigger 第四天 应用的类型，应用的剖析，应用的分析思路 第五天 应用性能的分析，应用性能预测） 好，我们继续看第二个monitor功能，Host table，我们叫他主机列表 这是非常好用的一个功能，有什么用呢？ 第一看流量最大的TOP10主机， 第二看广播量有多少，当时我发现冲击波、振荡波的时候，就是看 这个host table，发现有大量的全子网广播 第三可以快速过滤单一主机流量。 第四通过过滤功能可以看到单一业务主机的流量分布，当然也可以通过镜像接口去实现 我们一个一个来看。 首先TOP10主机， 我们可以点击各列的标题来排序，方便我们分析，比如收发包情况。大家可以试一下。 第二广播量有多少 我们点击broadcast或multicast的标题，查看广播量，有一点要注意，不要忘记看MAC层的广播和组播，因为MAC的广播不一定有IP头，比如ARP，同样IP的广播在MAC也可能是单播，比如子网广播。 MAC层的广播是目的MAC为48个1，MAC层的组播为目的MAC第一个字节最低位是1。（范老师有板书，我的本子上有，懒得画了） IP的广播有三种：255.255.255.255叫本地广播，也叫直播，direct broadcast，不跨路由器。 172.16.33.255叫子网广播，广播给172.16.33.0这个子网，可以跨路由器。 172.16.255.255叫全子网广播，广播给172.16.0.0这个主网，可以跨路由器。 大家以前学网络的时候，老师会给一个概念，说路由器是三层设备，隔离广播，对吧，我也是这样给同学介绍的，但我在后面会告诉同学，并不是所有广播都隔离。 事实上只有255.255.255.255这类本地广播，路由器才不转发，对于子网广播和全子网广播，路由器是转发的，这是为什么呢？ 我们来看4个255的广播，在MAC的封装中，对应的目的MAC是广播，而子网广播和全子网广播，对应的目的MAC是单播，所以路由器会转发。（范老师在演示）所以我们注意到，路由器隔离的广播是目的MAC为全1的广播，对于目的MAC是单播的上层广播，路由器是不能隔离的。 现在想想冲击波震荡波为什么影响那么大，因为它采用的是全子网广播，可以跨路由感染。所以对于这种流量我们要小心，希望下次再出现蠕虫病毒时，大家能快速发现，做个世界第一（同学们笑），同样我们要关注MAC层的广播。 第三，就是我们可以关注单一主机流量。 第一种办法，抓包。选中主机，点一下抓蝴蝶的工具，这样通过专家系统和解码你就可以分析他在干什么了。这个我们后面再讲 第二种办法，用single station。选中主机，点一下下面这个电脑的图标，你可以看到他在跟谁通信，如果你看到他跟几十台、上百台机器同时通讯，可能是什么？（同学们：BT)，对，像BT,电驴等P2P应用会有这个特征。 第四，就是我们如果我们把单一业务服务器的接口镜像过来，我们就可以看到这台机器的流量状况，我们也可以采用过滤的方式。 Sniffer有一种叫Monitor 过滤器。大家选中一台机器，假设这是你要关心的业务主机，再点一下这个定义过滤器的图标，（范老师在演示），你看他自动产生一个叫NEW1的过滤器，就是这台机器跟任何机器通讯这样的一个过滤器。我们点一下确定。 我们在选择monitor菜单上的select filter，选apply monitor filter，再选new1，确定。 大家注意到，现在host table就只有和这台机器通讯的所有主机流量情况。要注意一点是，monitor filter应用的时候，对所有monitor功能生效，所以在分析单一业务的时候，特别好用。当然如果你们买的是InfiniStream的话，就更方便了，想分析那个业务就分析哪个业务。 怎么样？Host table好用吧？ （同学问：为什么广播也是一台主机？不是说广播地址不会作为主机地址吗？）（编者：这个问题好像比较低级） 这是流量分析技术的特点，再流量分析中，它纯粹从包结构中去取得主机信息，也就是目的MAC,源MAC,目的IP，源IP,他都作为主机处理，广播地址不会在原地址中出现，但在目的地址中出现，也是一台主机。这并不影响我们分析。 好。还有什么问题吗？大家用5分钟自己试一下。 好，我们继续看第3个monitor功能，Matrix，我们叫他矩阵，其实就是主机会话情况，很多人用他来发现病毒，其实用他来评估网络状况，和异常流量，是一个很好用的工具。 大家看，一下子就满了，大多数网络中都是这样的，我们可以按一下崭停。 然后来分析 分析什么呢？ 看那一台主机的连接数最多，要注意这个连接数不是传输层的连接数，是指谁跟最多的主机连接 按右建选zoom，放大。 找到对外连接最多的机器，选中，按右建，选show select nodes,大家自己试一下。 我们注意到这台机器跟很多机器通讯，这正常吗？（同学们：不正常） 这要看实际情况，如果这时一台业务主机，太正常了，如果这时一台PC机，或许在作P2P。 我们注意到这台机器向公网发出大量的ICMP包，那是在作什么？（同学们：在ping) 对！PING采用ICMP协议，ping可以用来扫描，也可以用来攻击。 扫描就是看那一台机器活着，接着扫描端口，在攻击，所以扫描是攻击主机的前奏。 另外 ，还可以用ping 来冲击路由器，或占用带宽，是一种DOS攻击。 大家看这个过程更像哪一种类型。 （同学们：扫描，DOS攻击） 一般情况下，扫描会是比较连续的地址，我们看这个地址并不连续，我们先排除扫描，当然不是绝对的，也有比较聪明的扫描。 有同学说，这是DOS攻击，那是冲击路由器，还是占用带宽？ （同学们：冲击路由器） 嘿，这次比较统一，我也觉得他在冲击路由器，我们看，他的目标地址基本不在一个网段，这样路由器收到这样的数据包会消耗大量资源在查找路由表上面。所以对路由器有一定冲击。 一般来说，如果他想占用带宽的话，会发大包，我们发现，包的长度不大，并且一秒钟才发10几个包，所以对贷款冲击不大。 或许大家会觉得这没秒10几个包对路由器冲击也不大呀。大家想像一下，如果有很多机器在作这个操作，那影响就会很大。 大家自己在找一找，是否还有其他机器在作同类事情。 （同学们找出7台这样的机器） 好大家找出7台这样的机器，怎么找出来的？有同学用钢材的办法，有同学用过滤，都市好办法。 现在假设在你们的网络中出现这样的情况，我们发现了异常，接下来怎么做？ （同学们：找到这台机器） 然后呢？ 我们可以看看这台机器的任务管理器，看看有什么不常见的进程，把他去掉，看是否解决。在看其他的机器，是否有类似的特征。 这是我的一个学员发给我的，当时他发现这7台机器都有一个特殊的进程，但是他的防病毒软件没有查出来。他手工解决了。 这很好说明用Sniffer可以比防病毒软件更快发现病毒，因为防病毒软件是后知后觉得，什么意思？防病毒软件必须有相应的特征才能查病毒。而Sniffer通过流量可以发现一些特征，一些异常。 但是有一点，我们不能拿Sniffer当防病毒软件用，那不是他的特长，同时也太低沽Sniffer的功能了（同学们笑） 好我们在看看扫描是怎么一回事，大家看这个trace file（范老师在演示，我就不写了） 先是ARP扫描，再端口扫描，接下来就是攻击了。 （编者：接着我们做了一个游戏，范老师让大家用Sniffer攻击他的机器，结果1台机器就把他的机器搞死了，这个就不细说了） 好，我们再看第四个monitor功能，ART，Application Response Time，应用响应时间。 应用响应时间是分析应用的一个很好工具，主要用来分析应用的性能。 ART是指一个客户端发出一个请求，到服务器响应回来的时间差。 一般来说，应用响应的快慢，是应用性能的一个重要指标。 应用性能主要决定于几个因素：网络因素、服务器因素、客户端因素、应用协议因素 我们先看看如何操作,再来看看应用这个功能。 我们打开ART，大家看到Http的应用响应时间分析，这里有几个列，server Address,Client Address. 他是怎么知道谁是Server，谁是Client?其实也就是看端口号和IP的对应关系，比如如果一个数据包的目的IP是1.1.1.1，目的端口是80，Sniffer就会认为1.1.1.1就是Http服务器。对应的源IP就是Client。 AvgRsp—平均响应时间 90%Rsp—90%响应时间，去掉头尾个5%，其实我个人觉得去掉最大的10%更合理一些。 还有最大最小的响应时间，这些都是以毫秒为单位。 接着就是TotalRsp,这个是响应次数，单位是次。 接着是0到25毫秒的响应有多少次，25到50毫秒的响应有多少次。。等等。 后面还有server发送子节数，client发送子节数，timeout次数等等，5秒不响应则Timeout。 我们再看看怎么增加其他应用，按属性，选择display protocol,添加你关心的协议，再确定，ART会重新刷新（范老师在演示） 你看我这里就有了telnet,Oracle。 （同学们：我们没有Oracle) 我知道，其实平时我们更关心的是我们关键业务，所以我们要把我们关键业务的端口添加进来，怎么添加？大家跟我来， 选菜单上的toolsàoptionsàprotocol，拉到下面,添加一种应用，比如Oracle,端口1521。 再在属性里把这个新协议选上，有了吗？（跑去解答问题去了） 好，大家都做出来了，我们平常分析关键业务就行了，有一点要说明，一种业务可能有多个应用，也就是多个端口，需要同时分析。 有些同学喜欢把所有well known的协议添加到协议列表里，我在共享目录上有两个注册表注入工具，大家只要运行以下就可以将这些常用端口都注入到协议列表里，就不用一个一个敲了。其实我个人觉得不太必要，多了反而乱。 大家打开注册表，我们看一下协议列表，找到这两项： HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates, Inc.\Sniffer\4.7\1CommonSettings\Protocols\IP Protocols\TCP HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates, Inc.\Sniffer\4.7\1CommonSettings\Protocols\IP Protocols\UDP 这就是协议列表。注意不要有重复的，否则会报错。 （编者：这是范老师的板书） 应用响应时间是评估影响应用性能因素的一种很好的工具。我们看这样一个例子。 比如通过client通过广域网连接到服务器。 我们同时在AB两点部署Sniffer，分析某一业务的响应时间。 假设Sniffer在A点，他所看到的响应时间包括网络消耗时间和服务器处理时间 在B点的Sniffer看到的响应时间主要是服务器处理时间。这样我们比较AB两点的响应时间，来判断影响性能的主要因素是网络还是服务器。 假设A点的响应时间是400毫秒，B点的响应时间是100毫秒，我们就知道A点的400毫秒中有300毫秒是消耗在网络上的，我们可以认为对于这个业务，性能的主要瓶颈在网络上，如果我们在深入分析是距离因素还是贷款因素，我们就可以判断是否有改善空间。这个细节我们在第二门课讲。 如果B点的响应时间达到250毫秒，我们可以认为改善服务器的性能对于这个应用来说会更明显一些。 如果我们Sniffer用多了。我们就可以做一个AB点的响应时间的基准线，假设正常情况下A点的响应时间是400毫秒，有一天你发现平均响应时间达到600毫秒，你就应该关注了，或许用户还没有抱怨，如果你这时分析应用性能下降的原因，你就可以避免故障的产生，同时避免用户投诉。当然你也会有B点的基准线，比较跟平时有何不同，很快就知道应该检查网络还是服务器。 对于ART还有什么不清楚地吗？或者大家平常还有其他用法？

现在光雕刻录机的价格已经越来越便宜，甚至比普通全兼容刻录机价格还要低，而在性能上又更加丰富，购买的朋友也越来越多。

　　那么当我们购买到一台光雕机之后，没有接触过它的朋友可能会感觉无从入手，因为光雕盘与普通刻录盘的使用方法也些区别。今天小编就为大家介绍一下刻录光雕盘的过程，轻轻松松打造自己个性光盘。

　　首先将光盘数据面朝上方，让雕刻面朝向光头面，这样才可以进行雕刻。接下来正式雕刻要开始了，将光雕机附带的NERO OEM版本刻录套件安装到您的电脑当中，注意，必须要安装其自带的OEM版本NERO软件才行，因为只有那个套件中才带有光雕设计插件，安装其他版本的NERO无效。然后打开我们所熟悉的Nero StartSmart程序。

光雕程序调出

　　从上面的图片中，大家可以看到其他版本NERO从来没有的“打印LightScribe标”图标，这就是打开光雕程序的入口。

光雕程序主界面

　　当点击“打印LightScribe标”图标后，光雕程序主页面就会呈现在您的眼前，而这个界面对于广大刻友来说还是比较陌生的。不过现在笔者就将光雕刻录的全过程介绍给大家。

刻录范围选择

　　点击“新建”，您会看到上面的界面，您可以在上面的上面选择各种不同规格的雕刻界面，而对于常规的12CM光盘，笔者还是推荐选择最大，这样您将可以选择最大化的雕刻效果。

图案设计界面

　　上面就是盘片表面图形设计的界面了，在这里您可以任意调整画面的大小，形状等。

选择要刻录图案的类型

　　让我们在空白光盘上点击鼠标右键，这时您可以插入要雕刻图案的类型，如果是要雕刻一幅图画，那么就选图像。

图像调整

　　当您选取好要雕刻的图像后，您还可以拖动选择框用于调整画面的最终雕刻位置，甚至反转画面也可以。

OK，开始刻录

　　当您选定好图画后，点击主截面上的光雕刻录图标，您将看到以上画面。在这里，您可以对所雕刻出的图案进行对比度方面的调节，然后点打印就可以开始了。

刻录出的实际效果

　　好了，盘面已经雕刻完毕，虽然现在由于盘面涂层的原因，所雕刻出的画面只能是以灰色暗点为主，但是画面已经算是十分清晰了。目前光雕盘和光雕机已经支持1.2版本的光雕功能，刻录速度和品质较之前都有很大的提升。DVD光雕盘每张的价格在4.6元至4.9元之间，最便宜的全兼容光雕机也仅售299元，供想买光雕机的朋友一个参考。

sniffer软件博大精，我之所窥也不过沧海一粟。因此这个教程仅仅是一个针对初学者的教程，但如果没有一定的网络基础，恐怕仍然会让你感到吃力。有兴趣的朋友就跟我一起来玩~

　　现在很多时候我们都需要在交换环境下进行sniffer监控，因此这里就先从定义镜像端口做起。为什么要先定义镜像端口才能sniffer?这和交换机工作的原理有关。交换机的工作原理与HUB有很大的不同，HUB组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部的CAM表(暂且理解为MAC地址表)进行转发的。也就是说前者可直接sniffer而后者不能直接sniffer。这时就要用到端口镜像，端口镜像的定义就是:“把被镜像端口的进出数据报文完全拷贝一份到镜像端口，方便我们进行流量观测或者故障定位”。

　　还是来做一个实验吧，这样理解起来快一些

　　假设某公司申请了一根10M的电信宽带，突然某一天下午，网速奇慢无比。公司里的员工怨声不断，强烈要求网络恢复通畅，这时作为网络管理者的你，需要马上找出原因:

　　不同的设备做端口镜像的方法不同，CISCO的玩意儿虽好但对大部份网络爱好者来说太专业，做教程不一定合适。因此这里我选一款D-LINK的DES-3226S二层交换机为例，以WEB界面说明如何进行镜像端口的配置(Mirroring Configurations)。

　　如图:

　　进入DES-3226S二层可网管交换机

　　选择login to make a setup，登陆后进入交换机主配置菜单并显示基本信息:

　　选择下面的Advanced setup------Mirroring Configurations(镜像配置)

　　mirror Status选项Enabled，然后将Port 1设置为镜像端口，其余端口监听模式点选为Both(即发送与接收的数据都同时监控)，这样交换机就把2号端口至24号端口的数据随时随地都COPY了一份给Port 1，然后我们在Port 1上进行监听，Sniffer也就有了用武之地。

　　将网管电脑插入Port 1(镜像端口)，开启Sniffer软件，怎么样?界面够酷吧?左、右两幅地图很直观的显示了整个LAN内的数据流向。不管是右边的“传输地图”还是左边的“主机列表”它们现在都是根据学习到的MAC地址进行流量标识的。

　　通过左边的“主机列表饼图”，你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E这两台主机的数据流量目前为止最多。

　　请出“局域网MAC地址扫描器”(也可以简单的ARP -A或者利用下面讲的IP选项)，进行LAN内的MAC地址扫描,进一步知道了00-E0-4C-DD-2E-2E属于192.168.123.117。而00-50-18-21-A5-F4这个地址属于192.168.123.254(这个地址为网关出口)。这样我们就可以知道是谁人把网速拖慢了!

　仅仅是知道是谁拖慢了网速还不够，我们还要进一步知道此人到底是怎么把网速拖慢了的。还是在“传输地图”里，看到下面MAC/IP/IPX三个选项了么?现在点IP选项，看出现了什么?

       不再是基于MAC地址的地图了，已经切换成IP地址的传输地图了。其中最粗的那根线:192.168.123.117=========221.10.135.114 说明了这家伙一直在和外网的一台主机交换数据，很明显他是在下载文件。

　　再用“主机列表”中IP选项以饼图查看:

　　发现192.168.123.117与221.10.135.114的通信流量竟然高达整个网络流量的89.58%(44.20+45.38)!

　　现在故障原因已经很明了，我们只需要对192.168.123.117这台主机进行处理就可以恢复网络的通畅。但在这之前，我们可以先利用sniffer监控一下整个网络中都在传些什么内容!点击上面的菜单中:捕获---定义过滤器----选择“地址”子菜单;地址类型(协议):IP;在下面的“位置1”和“位置2”中分别填入“任意的”、“任意的”，意思是对整个LAN内的主机进行监控，当然你也可以仅仅监控两个地址的通信，比如前面所发现的192.168.123.117和221.10.135.114这两台主机,要注意双向通信或者单向通信的选择(键头符号)。

　　还可以在“高级”里选择具体对哪些IP协议进行监控，如果你对TCP/IP协议熟悉，利用这个功能可以快速得到自己想要的数据。

　　譬如我们抓到了192.168.123.139访问外网主机211.91.135.26在80端口的一些数据包，说明这台主机正在流浏网页。

　　甚至可以进一步看对方在浏览远程主机上哪个目录下面的网页，看到那个rm文件的地址了么?这说明他目前正在线收看一部电影或者一首歌曲(根据前面music目录来推断)。

　　Sniffer的功能还远不止这些，不过今天就到止为止吧，end.

各位做维护的同事经常会听到用户对网速太慢的抱怨，但是网速慢的原因有很多，比如软件设置不当，网络设备故障，物理链路问题，感染病毒等，而单单从用户的故障描述里面很难有进一步的发现，所以也许大家一时也不知道从何下手。 　　
　　Sniffer是一个非常好的流量分析工具，利用它我们可以实际了解到当前网络中正在发生的具体流量，并且通过Sniffer的专家系统以及进一步对数据包的解码分析，我们可以很快的定位网络故障，确认网络带宽的瓶颈，在故障发生前及时消除网络隐患，这样能给我们日常的维护工作带来很大的方便，也使得我们的维护工作处于主动地位，不会再只有接到用户故障投诉后才能处理故障，在时间和效率上都不能很好的让用户满意。下面是借助Sniffer对我某地市分公司出口流量做的一个简单的流量分析，没有什么很深的技术含量，也并不需要太深的专业知识，希望能对大家日常的维护工作有一定启发。 分析目标：了解目前带宽实际利用率，检查有无网络隐患。

　　分析方法：

　　在核心交换机上做端口镜像，利用sniffer抓包。

　　测试时间：2005.5.17 10:00～10：10

　　测试地点：中心机房

　　抓包开始时间：5.17 10:20

　　抓包持续时间：16s

　　数据包个数：88865

　　平均带宽利用率：7％

　　1，首先我们了解一下网络中协议的分布情况，通过sniffer的Protocol Distribution功能可以直观的看到当前网络流量中协议分布图：

从上面可以很明显看出，HTTP应用流量最大占63％，其次就是NetBios流量占35％。

　　了解协议分布情况以后，我们再找到网络中流量最大的主机，因为流量越大也就意味着对网络的影响也就越大，利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器，如下图所示：

　　可以看到219.72.238.88，219.72.237.201这两台主机在目前我们网络内部流量较大，分别占16.52%和15.97％。进一步利用HostTable功能的Outline视图，可以发现这两个地址流量的90％都是HTTP流量，如下图所示：

　　我们可以从上图注意到，219.73.238.88这个主机上行流量要明显小于下行的流量，而219.72.237.201这个主机则是上行流量明显大于下行流量，通过确认219.72.238.88为一台Web服务器，219,72,237,201则是其他公司托管我在我公司的一台服务器，所以到这一步我们就可以大致知道这两个主机当前正在进行的网络活动。 　　同时我们要注意的就是每个地址的收发包数量是否正常，即是否收发之间存在较大差异，如果只收不发或者只发不收，那很可能就意味着这个主机的当前流量有异常（例如受到SYN攻击），我们可以进一步通过sniffer提供的Decode功能对捕获的数据包进行解码，来分析具体的数据包内容。比如我们通过定义一个过滤器来查看上面两个地址的具体数据流量,如下图所示：

 　　我们可以看到在这些HTTP应用里面，TCP的三次握手都很完整，排除了恶意的SYN攻击行为，都是正常的HTTP流量。 　　附:也许从这次的例子看不出有什么异常，实际上在大部分的情况下一旦网络出现异常，可以在第一时间直观的通过HostTable功能找到问题的根源。 　　2，查看sniffer的专家系统，发现存在大量的Local Routing（本地路由）告警，sniffer中对此告警的解释为：Two DLC stations on the same segment are communicating via a router. Packets are being transmitted via the router rather than directly from one DLC station to the other（大致意思是两个属于同一网段的主机之间通过路由器通信，数据包通过路由器发送而不是直接在两主机间转发）。并提示可能原因为路由表设置不当。(如下图所示)

　通过查看告警来源，发现流量均为来自私网地址的139端口连接，通过sniffer的Protocol Distribution的Packet排序可以看出Netbios协议流量占所有流量的80％，即当前网络中80％的数据包都是Netbios协议数据包。如下图所示：

很明显出现这种现象是不正常的，我们可以在所捕获的数据包里定义过滤器，选择只查看Netbios，进一步了解具体的数据包内容（如下图所示）： 协议

　　发现存在大量网内的私网地址发起的139端口连接请求，而且全都是TCP的SYN请求，TCP的三次握手只有一次，很可能受到了SYN攻击。数据包大小都是62字节，而且每个数据包之间发送间隔都在1ms内，排除人为发起TCP请求的可能。通过观察数据包的源，目的IP地址，发现源地址很分散，目的地址均为实际并不存在的IP地址，但根据我公司IP地址规划都属于某地市分公司私网地址段。根据流量的特征，初步判断为私网用户感染蠕虫病毒，病毒通过139端口与大量虚假IP地址建立连接，造成网络中存在大量短数据包，严重降低网络运行效率。

　　同时我们还发现当前网络对每一个TCP连接请求进行不断的重传，直到TTL值过期之后才被丢弃。通过跟踪查看某个地址的重传数据包，发现一个奇怪的现象：

　　上面两幅截图是Sniffer捕获的172.17.60.126对172.17.46.14发起TCP连接请求的两个数据包，可以看到在数据包的网络层里面有两个选项：Identification，Time to live（TTL）。Identification是用来唯一标识主机发出的每个数据包的，正常情况下每个数据包的ID都不一样，而TTL是用来限制数据包在网络中经过的跳数的，每经过一跳TTL值就减1，直到TTL值为0的时候数据包就被丢弃，主要是防止当网络中出现环路时数据包的循环传送。而在上图可以看到，这两个数据包的Identification是一样，只是TTL值相差1。这就表示这两个数据包实际上是同一个数据包（因为ID一样），只不过被发出去以后又被送回来了。到了这里，我们可以初步怀疑是否出现了路由环路。

　　进一步在中心机房尝试tracert172.17.46.14这个IP地址跟踪路由，发现路由在中心机房交换机和地市交换机之间形成环路，数据包在环路不断往返，直到TTL值过期才被丢弃。

　　通过查看中心机房交换机路由表，发现配置了静态路由，将172.17.44.0/22这段地址指向了地市分公司交换机，而在分公司交换机配置的私网地址池里面只配置了172.17.44.0/23，并没有包括172.17.46.0这段地址，所以在里面找不到对应的路由，故将流量通过默认路由又传回至中心机房，从而形成环路。检查针对其他网段的异常流量时同样出现这种情况。所以，当感染蠕虫病毒的机器与大量实际并不存在的地址建立139连接时，借助静态路由设置不当的漏洞，这些数据包在网络中循环传送，消耗了大量网络带宽，降低了网络的运行效率。 更多资料请登陆中国协议分析网论坛www.cnpaf.net查看。所以针对以上流量分析，我们可以得出以下结论：

⑴目前网络中存在大量中毒机器，并且正在试图通过局域网感染其他主机，最好能及时通知客户做杀毒处理，消除网络隐患。

⑵出于安全方面的考虑，建议拒绝基于139端口的流量。

⑶中心机房交换机上需要更改静态路由，取消路由环路。
　　二，总结

　　上面的文章只是一个抛砖引玉，其实Sniffer还有很多强大的功能，希望大家能在平时多多使用，互相交流经验，进一步提高我们的日常维护工作效率。

: Saved
　　:
　　PIX Version 6.3(1)
　　interface ethernet0 auto 设定端口0 速率为自动
　　interface ethernet1 100full 设定端口1 速率为100兆全双工
　　interface ethernet2 auto 设定端口2 速率为自动
　　nameif ethernet0 outside se curity0 设

定端口0 名称为 outside 安全级别为0
　　nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100
　　nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50
　　enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码
　　passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码
　　hostname hhyy 设定防火墙名称
　　fixup protocol ftp 21
　　fixup protocol h323 h225 1720
　　fixup protocol h323 ras 1718-1719
　　fixup protocol http 80
　　fixup protocol ils 389
　　fixup protocol rsh 514
　　fixup protocol rtsp 554
　　fixup protocol sip 5060
　　fixup protocol sip udp 5060
　　no fixup protocol skinny 2000
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521

　　允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙，防火墙默认启用了一些常见的端口，但对于ORACLE等专有端口，需要专门启用。

　　names
　　access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0
　　access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0
　　access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0
　　access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

　　建立访问列表，允许特定网段的地址访问某些网段

　　access-list 120 deny icmp 192.168.2.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.3.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.4.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.5.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.6.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.7.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.8.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.9.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.10.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.11.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.12.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.13.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.14.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.15.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.16.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.17.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.18.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.19.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.20.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.21.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.22.0 255.255.255.0 any
　　access-list 120 deny udp any any eq netbios-ns
　　access-list 120 deny udp any any eq netbios-dgm
　　access-list 120 deny udp any any eq 4444
　　access-list 120 deny udp any any eq 1205
　　access-list 120 deny udp any any eq 1209
　　access-list 120 deny tcp any any eq 445
　　access-list 120 deny tcp any any range 135 netbios-ssn
　　access-list 120 permit ip any any

　　建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信（主要防止冲击波病毒）

　　access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

　　pager lines 24
　　logging on
　　logging monitor debugging
　　logging buffered debugging
　　logging trap notifications
　　mtu outside 1500
　　mtu inside 1500
　　mtu dmz 1500
　　ip address outside 10.1.1.4 255.255.255.224 设定外端口地址
　　ip address inside 192.168.1.254 255.255.255.0 设定内端口地址
　　ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址
　　ip audit info action alarm
　　ip audit attack action alarm
　　ip local pool hhyy 192.168.170.1-192.168.170.254

　　建立名称为hhyy的地址池，起始地址段为：192.168.170.1-192.168.170.254

　　ip local pool yy 192.168.180.1-192.168.180.254

　　建立名称为yy 的地址池，起始地址段为：192.168.180.1-192.168.180.254

　　no failover
　　failover timeout 0:00:00
　　failover poll 15
　　no failover ip address outside
　　no failover ip address inside
　　no failover ip address dmz
　　no pdm history enable
　　arp timeout 14400
不支持故障切换

　　global (outside) 1 10.1.1.13-10.1.1.28
　　global (outside) 1 10.1.1.7-10.1.1.9
　　global (outside) 1 10.1.1.10

　　定义内部网络地址将要翻译成的全局地址或地址范围

　　nat (inside) 0 access-list 101

　　使得符合访问列表为101地址不通过翻译，对外部网络是可见的

　　nat (inside) 1 192.168.0.0 255.255.0.0 0 0

　　内部网络地址翻译成外部地址

　　nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

　　DMZ区网络地址翻译成外部地址

　　static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0
　　static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0
　　static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

　　设定固定主机与外网固定IP之间的一对一静态转换

　　static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

　　设定DMZ区固定主机与外网固定IP之间的一对一静态转换

　　static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

　　设定内网固定主机与DMZ IP之间的一对一静态转换

　　static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

　　设定DMZ区固定主机与外网固定IP之间的一对一静态转换

　　access-group 120 in interface outside
　　access-group 120 in interface inside
　　access-group 120 in interface dmz

　　将访问列表应用于端口

　　conduit permit tcp host 10.1.1.2 any
　　conduit permit tcp host 10.1.1.3 any
　　conduit permit tcp host 10.1.1.12 any
　　conduit permit tcp host 10.1.1.29 any

　　设置管道：允许任何地址对全局地址进行TCP协议的访问

　　conduit permit icmp 192.168.99.0 255.255.255.0 any

　　设置管道：允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

　　rip outside passive version 2
　　rip inside passive version 2
　　route outside 0.0.0.0 0.0.0.0 10.1.1.1

　　设定默认路由到电信端

　　route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.4.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.5.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.6.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.7.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.8.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.9.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

　　设定路由回指到内部的子网

　　timeout xlate 3:00:00
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
　　1:00:00
　　timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　aaa-server LOCAL protocol local
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　sysopt connection permit-pptp
　　service resetinbound
　　service resetoutside
　　crypto ipsec transform-set myset esp-des esp-md5-hmac

　　定义一个名称为myset的交换集

　　crypto dynamic-map dynmap 10 set transform-set myset

　　根据myset交换集产生名称为dynmap的动态加密图集（可选）

　　crypto map vpn 10 ipsec-isakmp dynamic dynmap

　　将dynmap动态加密图集应用为IPSEC的策略模板（可选）

　　crypto map vpn 20 ipsec-isakmp

　　用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

　　crypto map vpn 20 match address 110

　　为加密图指定列表110作为可匹配的列表

　　crypto map vpn 20 set peer 10.1.1.41

　　在加密图条目中指定IPSEC对等体

　　crypto map vpn 20 set transform-set myset

　　指定myset交换集可以被用于加密条目

　　crypto map vpn client configuration address initiate

　　指示PIX防火墙试图为每个对等体设置IP地址

　　crypto map vpn client configuration address respond

　　指示PIX防火墙接受来自任何请求对等体的IP地址请求

　　crypto map vpn interface outside

　　将加密图应用到外部接口

isakmp enable outside

　　在外部接口启用IKE协商

　　isakmp key ******** address 10.1.1.41 netmask 255.255.255.255

　　指定预共享密钥和远端对等体的地址

　　isakmp identity address

　　IKE身份设置成接口的IP地址

　　isakmp client configuration address-pool local yy outside
　　isakmp policy 10 authentication pre-share

　　指定预共享密钥作为认证手段

　　isakmp policy 10 encryption des

　　指定56位DES作为将被用于IKE策略的加密算法

　　isakmp policy 10 hash md5

　　指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

　　isakmp policy 10 group 2

　　指定1024比特Diffie-Hellman组将被用于IKE策略

　　isakmp policy 10 lifetime 86400

　　每个安全关联的生存周期为86400秒（一天）

　　vpngroup cisco idle-time 1800
　　vpngroup pix_vpn address-pool yy
　　vpngroup pix_vpn idle-time 1800
　　vpngroup pix_vpn password ********
　　vpngroup 123 address-pool yy
　　vpngroup 123 idle-time 1800
　　vpngroup 123 password ********
　　vpngroup 456 address-pool yy
　　vpngroup 456 idle-time 1800
　　vpngroup 456 password ********
　　telnet 192.168.88.144 255.255.255.255 inside
　　telnet 192.168.88.154 255.255.255.255 inside
　　telnet timeout 5
　　ssh timeout 5
　　console timeout 0
　　vpdn group 1 accept dialin pptp
　　vpdn group 1 ppp authentication pap
　　vpdn group 1 ppp authentication chap
　　vpdn group 1 ppp authentication mschap
　　vpdn group 1 ppp encryption mppe 40
　　vpdn group 1 client configuration address local hhyy
　　vpdn group 1 pptp echo 60
　　vpdn group 1 client authentication local
　　vpdn username cisco password *********
　　vpdn enable outside
　　username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2
　　vpnclient vpngroup cisco_vpn password ********
　　vpnclient username pix password ********
　　terminal width 80
　　Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4b

考试知识点分布
下面是HCSE 交换考试在构建企业级交换网络课程各章节中详细的考试知识点分布

D020 局域网概述
局域网的基本概念了解局域网的基本定义以及局域网的演化过程
• 以太网技术了解局域网数据流量的区分方法了解80/20 规则和20/80 规则的基本概念,了解以太网中的二三层交换技术以及三层交换技术与路由的关系知道四层交换与 多层交换的基本概念
• 局域网管理和设计了解对局域网进行管理和设计的基本方法
• Quidway S 系列交换机了解华为Quidway S 系列交换机的分类和基本业务特性

D021 以太网端口技术
以太网的连接需求了解对于一般的以太网连接需要保证哪些网络性能
• 以太网的类型了解三种常见的以太网类型10M/100M/1000M 以及它们各自的特性
• 以太网端口技术了解常用的以太网端口技术包括自协商技术智能MDI/MDIX 识别技术和流控技术全双工半双工等
• 端口捆绑了解端口捆绑Port Trunking 的基本概念实现原理以及主要应用
• 端口配置基础及调试掌握华为Quidway S 系列交换机常用端口的基本配置和调试方法

D022 VLAN 基础
• 虚拟局域网VLAN 概述了解VLAN 产生的原因以及通过VLAN 划分广播域的好处理解四种基本的划分VLAN 的方法基于MAC 地址基于端口基于协议和基于子网
• VALN 协议IEEEE802.1q 了解有关VLAN 的正式标准IEEEE802.1q 协议的基本概念理解VLAN 的帧格式了解VLAN 链路的两种类型Access 和Trunk 理解VLAN帧在网络通信中的变化
• VLAN 注册协议GVRP 了解VLAN 的动态注册协议GVRP 的基本工作原理和相关的配置方法
• VLAN 基础配置及调试掌握华为Quidway S 系列交换机上关于VLAN 的基本配置和调试方法

D023 VLAN 路由
• VLAN 间路由的需求了解VALN 间路由产生的背景以及利用路由器实现VLAN 间通信的基本原理和主要特点
• 三层交换机做VLAN 间路由了解利用三层交换机做VLAN 间路由的基本原理和使用三层交换机相对于路由器的优势了解三层交换机的一般功能模型理解基于流交换的三层
交换技术及其相对于报文到报文方式的优点理解三层交换机的转发流程
• VLAN 间路由配置掌握华为Quidway S 系列交换机上关于VLAN 间路由的基本配置和调试方法

D024 生成树协议原理及配置
• 透明桥接概述了解透明网桥的主要应用理解路径回环的产生原因和为什么要引入生成树
• 生成树协议STP 了解生成树协议的基本原理了解配置消息BPDU 的内容和格式理解生成树协议对配置消息的处理过程了解生成树协议对链路故障临时回路以及网络拓扑改变所作的处理
• 快速生成树协议RSTP 了解快速生成树协议的基本功能及其相对于生成树协议的几点改进
• 生成树协议的配置及调试掌握掌握华为Quidway S 系列交换机上关于生成树的基本配置和调试方法

D025 组播技术原理与配置
• 组播的应用了解单播广播和组播之间的区别了解组播的几种基本应用和组播技术的特点
• 组播实现技术介绍了解组播的IP 地址MAC 地址以及IP 地址到MAC 地址的映射了解IP 组播数据包的转发过程了解组播数据包的二层交换
• IGMP 协议及配置了解IGMP 协议的基本原理包括IGMP 中路由器主机动作报告抑制过程IGMPv2 的报文格式以及IGMP 窃听等掌握有关IGMP 的基本配置
• PIM 介绍了解PIM 的基本概念了解PIM-DM 的基本工作原理和配置方法了解PIM-SM的基本工作原理和配置方法

D026 以太网安全
• 以太网访问列表应用了解以太网访问控制列表的基本应用了解常见防火墙的分类和IP包过滤的一般特性
• 以太网访问列表构成了解以太网访问控制列表的构成了解以太网访问控制列表的一般分类掌握几种常见类型的访问控制列表的配置方法
• 802.1x 协议原理掌握802.1x 认证过程中各个设备角色的主要功能理解802.1x 认证的基本协议流程
• 交换机上802.1x 认证配置掌握交换机上AAA 及802.1x 认证的配置

D027 交换QoS
• 优先级标记了解目前2 3 层主要流量标记技术掌握Quidway2 3 层交换机上进行流量标记的主要方法
• 流量监管理解流量监管技术的基本原理掌握Quidway2 3 层交换机上进行流量监管的主要配置
• 端口限速理解端口限速的基本工作原理及主要应用场合掌握Quidway 交换机上端口限速的配置方法
• 队列调度理解各种队列调度技术的主要功能基本工作原理以及不同调度技术的应用场合掌握Quidway 2 3 层交换机上队列技术配置方法

WSUS服务器的详细配置和部署

一、WSUS 安装要求
1、硬件要求：
对于多达 500 个客户端的服务器，建议使用以下硬件：
* 1 GHz 的处理器
* 1 GB 的 RAM
2、软件要求：
要使用默认选项安装 WSUS，必须在计算机上安装以下软件。
* Microsoft Internet 信息服务 (IIS) 6.0。
* 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。
* Background Intelligent Transfer Service (BITS) 2.0。
3、磁盘要求：
要安装 WSUS，服务器上的文件系统必须满足以下要求：
* 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。
* 系统分区至少需要 1 GB 的可用空间。
* WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。
* WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。
4、自动更新要求：
自动更新是 WSUS 的客户端组件。除了需要连接到网络外，自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新：
* 带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、带有 SP3 或 SP4 的 Windows 2000 Server 或带有 SP3 或 SP4 的 Windows 2000 Advanced Server。
* 带有或不带 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。
* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。
二、在服务器上安装 WSUS
1. 双击安装程序文件“WSUSSetup.exe”。 参看下载WSUSSetup.exe的说明（http://groups.google.com/group/qingyang/browse_thread/thread/f4f9a3577b39874a）
2. 在向导的“欢迎使用”页上，单击“下一步”。
3. 仔细阅读许可协议的条款，单击“我接受许可协议中的条款”，然后单击“下一步”。
4. 在“选择更新源”页上，可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框，更新便会存储在 WSUS 服务器上，您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新，客户端计算机将连接到 Microsoft Update 以获取已批准的更新。
保留默认选项，然后单击“下一步”。

5. 在“数据库选项”页上，选择用于管理 WSUS 数据库的软件。默认情况下，如果要安装的计算机运行 Windows Server 2003，WSUS 安装程序将提出安装 WMSDE。如果无法使用 WMSDE，则必须为 WSUS 提供可以使用的 SQL Server 实例，具体操作方法是：单击“使用该计算机上现有的数据库服务器”，然后在“选择 SQL 实例名”框中键入实例名。然后 “下一步”。

6. 在“网站选择”页上，指定 WSUS 将使用的网站。此页还列出了基于此选择的两个重要 URL：将 WSUS 客户端计算机指向其中以获取更新的 URL 以及用于配置 WSUS 的 WSUS 控制台的 URL。保留默认选项，然后单击“下一步”。

7. 在“镜像更新设置”页上，可以指定此 WSUS 服务器的管理角色。如果这是网络上的第一台 WSUS 服务器，或者您需要一个分布式管理拓扑，请跳过此屏幕。
如果需要集中管理拓扑，而且这不是网络上的第一台 WSUS 服务器，请选中该复选框，然后在“服务器名”框中键入其他 WSUS 服务器的名称保留默认选项，然后单击“下一步”。

8. 在“准备安装 Windows Server Update Services”页上，复查各项选择，然后单击“下一步”。

9. 如果向导的最后一页确认 WSUS 安装已成功完成，请单击“完成”。
三、配置WSUS
由于微软的产品很多，我们不可能对它的所有产品都进行更新，所以需要根据公司的实际情况对补丁的类型进行设置。
　　WSUS安装完毕后，打开浏览器，使用地址http://localhost/wsusadmin访问WSUS的管理界面，也可直接输入计算机名或IP地址进行访问，在这里我们输入http://192.168.0.18:80/wsusadmin进行访问。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。
　　第一次成功登录WSUS的界面后，会在下方“待做事项列表”中看到“同步服务器，现在就开始”的提示信息，点击该选项开始设置WSUS。
　
　　在 “计划”下的“手动同步”或“每天定时同步”，一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置，我们可以在产品处选择可供更新的产品种类，除了Windows外，还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WS
US发布。在“更新分类”处可以详细设置提供下载的补丁类别。
　
　
　　设置“产品和分类”与“更新分类”后，我们还要选择更新的语言种类，在同步选项设置界面的最下方有一个“高级同步选项”，通过它我们可以设置更新的语言为简体中文。
　　至此，便完成了补丁类型及语言的设定工作，所有的前期工作已告一段落，接下来就需要对服务器和客户机进行具体操作了。
下载并审批补丁
　　我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。
　　在上图所示界面的左侧点击“立即同步”将启动服务器的同步功能，服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择，服务器将只下载满足设定条件的补丁，下载的补丁供客户端使用。在下载过程中我们不能进行任何操作，只能点击“停止同步”来结束更新操作。
。
　　仅仅下载完更新包还不能提供补丁更新服务，我们还需要对刚刚下载的“安全和关键更新”进行复查和批准，经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。
　　在“更新”界面中可将所有补丁选中，选择完毕点击左侧“更新任务”栏中的“更改批准”，这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序，则不选择该补丁，如下图：

　　点击“更改批准”后会进入“批准更新”窗口，可在批准下拉选项中选择“安装”，然后点击“确定”。现在，所有客户端就可下载并安装刚刚批准下载的补丁程序了，至此服务器上的基本设置完毕。
四、在域中的客户端的设置
1、 在域控制器上，命令行中运行mmc，打开控制台

2、选择文件菜单的添加/删除管理单元(m),打开控制台1

3、 点击添加，打开添加独立管理单元对话框，并选择其中的组策略对象编辑器，然后点击添加

4 、 在打开的选择组策略对象中，选择浏览

5、在打开的选择组策略对象中，选择“Default Domain Policy,并确定。然后关闭所有打开的子窗口，回到控制台1的主界面

6、 依次展开至如图脚本（启动/关机）

7、点击“配置自动更新“，在打开的”配置自动更新属性”选择“已启用“，并选择时间。

8、并点击下一设置：

确定，应用，并把该设置全部保存即可。

使用Sniffer pro查看Bittorrent协议

最近一段时间，一直在学习Sniffer 软件，在实际学习使用过程中，对网络流量中存在的Bittorrent协议产生的流量非常感兴趣，故突然想要通过Sniffer 来查看网络中的Bittorrent流量是那些地址产生的。下文就是针对此目的进行的试验。

BitTrrent(简称BT，比特洪流)是一个文件分发协议，它通过URL识别内容并且和网络无缝结合。它在HTTP平台上的优势在于，同时下在一个文件的下载者在下载的同时不断互相上传数据，使文件源可以在很有限的负载增加的情况下支持大量下载者同时下载。

一般情况下，我们可以在Sniffer中添加相应要监控服务的端口号实现流量的监控，同样的我们可以定义BitTrrent所使用的端口号实现监控（比方6881），但是我们都知道，通常BitTrrent使用的端口号是可以进行自定义的，所以使用端口进行监控比较粗糙，并不准确。针对这样的特点，发现使用application signature 方法来监控BitTrrent的流量实用而且准确。经过查阅相关资料，发现BitTrrent协议的握手消息格式中有如下特征：<字符（1字节）><字符串（19字节）>,其中第一个字节是固定的值‘19’，并且后面字符串的值是‘BitTorrent protocol’。由此我们可以使用如下此握手签名信息进行标识BitTorrent流量的数据包：

1、第1个字节的字符19（0X18）在TCP的有效负载数据中；

2、这后面的19个字节匹配字符串‘BitTorrent protocol’。

针对以上BitTrrent协议特征，我使用如下方法进行抓取BitTrrent协议使用者的地址信息：

实验步骤：

  

步骤1、打开Sniffer pro软件。

步骤2、设置过滤器的地址信息，设置相应源目的地址信息。

步骤3、设置过滤签名信息（这个是好东西）。上面说了那么多，这个才是最重要的。

 

步骤4、设置捕获协议，由于BitTorrent协议采用TCP传输，故只监控TCP协议即可。

 

步骤5、好了，过滤器设置好了，看看摘要信息吧，一目了然把。

 

步骤6、一切准备妥当，开始捕获。捕获到的数据如下所示:

 看到其中的签名信息了么……

步骤7、查看矩阵发现BitTorrent协议使用者的地址。

 

至此，整个试验过程完成。

1.   PVLAN的引入

   

    在实际应用中有这样一个需求，组网图如上图所示。

    3026下面级联了2016，要求2016下的各个端口互相隔离，即给每个端口划分一个VLAN，与此同时，由于上层设备（3026）的VLAN数有限，不允许下层设备（2016）将VLAN透传上来，即2016的上行端口要设为access方式。但是在2016上一个access端口是不能属于多个VLAN的，我们如何才能让带有不同VLAN ID的数据报文发送到同一个access 端口呢？

    这时候，我们就需要使用2016的PVLAN功能。通过使用PVLAN功能，我们就能够实现将2016下的各个端口划在不同的VLAN内，同时又都能通过上行的Access 端口发送出去。

    目前，华为3Com公司开发的2008/2016/3026都支持PVLAN功能。

 

2.   PVLAN配置步骤

    配置PVLAN的步骤如下：

    1、创建VLAN，

    命令如下：

    [2016]vlan vlan-id

    2、设置VLAN类型为primary。

    命令如下：

    [2016-vlan100] isolate-user-vlan enable  

    3、向VLAN中添加端口（无论是primary vlan还是secondary vlan都一样）

    命令如下：

    [2016-vlan100]port ethernet port-list

    4、设置primary vlan和secondary vlan之间的映射关系

    命令如下：

    [2016]isolate-user-vlan primary_vlan_num secondary secondary_vlan_list

 

3.   PVLAN配置举例

    1、组网需求

    Quidway S3526以太网交换机通过端口Ethernet 0/7和端口Ethernet 0/8下接两台Quidway S2008以太网交换机。S2008 A上VLAN5为primary VLAN，包含上行端口Ethernet 0/9和两个secondary VLAN：VLAN1和VLAN2，VLAN1包含端口Ethernet 0/1，VLAN2包含端口Ethernet 0/2；S2008 B上VLAN6为primary VLAN，包含上行端口Ethernet 0/9和两个secondary VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet 0/3，VLAN4包含端口Ethernet 0/4。从S3526看，下接的两个S2008都只有一个VLAN，S2008 A的VLAN5，S2008 B的VLAN6。

    2、组网图

   

 PVLAN配置组网图

    3、配置步骤

    下面只列出S2008的配置过程。

    配置S2008 A

    ！配置primary vlan。

    [S2008A] vlan 5

    [S2008A-vlan5] isolate-user-vlan enable

    [S2008A-vlan5]port ethernet0/9

    ！配置secondary VLAN。

    [S2008A] vlan 1

    [S2008A-vlan1]port ethernet0/1

    [S2008A]vlan 2

    [S2008A-vlan2]port ethernet0/2

    ！配置primary VLAN和secondary VLAN间的映射关系

    [S2008A] isolate-user-vlan primary 5 secondary 1-2

    配置S2008 B。

    ！配置primary vlan。

    [S2008B]vlan 6

    [S2008B -vlan6] isolate-user-vlan enable

    [S2008B -vlan6]port ethernet0/9

    ！配置secondary VLAN。

    [S2008B]vlan 3

    [S2008B -vlan3]port ethernet0/3

    [S2008B] vlan 4

    [S2008B -vlan4]switchport ethernet0/4

    ！配置primary VLAN和secondary VLAN间的映射关系

    [S2008B] isolate-user-vlan primary 6 secondary 3-4

 

4.   PVLAN使用注意事项

    1、目前华为3Com公司的发货版本中：S3026V100R002B01D009， 2403FV200R003B01D003（S2008/S2016）等版本支持一台以太网交换机只能有一个primary vlan，可以为primary vlan指定多个端口，一个secondry VLAN只能包括一个端口；S3026V100R002B01D013，2403FV200R003B01D006（S2008/S2016）等版本支持一台交换机可以有多个primary vlan，一个secondry VLAN也可以包括多个端口。

    2、执行primary vlan和secondary vlan建立映射关系命令前，primary vlan和secondary vlan中必须已经包含了端口，执行该命令会完成primary VLAN和secondary VLAN之间的映射关系，具体操作包括：将primary VLAN中的上行端口加入到每个secondary VLAN中，同时把secondary VLAN中的端口加入到primary VLAN中。

    3、建立映射关系前：在设置PVLAN中primary VLAN和secondary VLAN的映射关系时，指定的VLAN不可以是不包含任何端口的VLAN。建立映射关系后，不可以向primary VLAN和secondary VLAN执行添加和删除端口的操作，也不可以执行删除vlan的操作。只有在解除了映射关系后才可以执行。

    4、primary vlan中的所有端口都不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个 port的PVID就是它所属secondary vlan的ID；uplink端口的PVID是primary vlan的ID。

远程访问VPN最适用于公司内部经常有流动人员移动办公的情况。例如：公司员工出差需要从外地提取公司总部的关于本客户的主要资料，一般情况下，他们只能通过MODEM拨入公司的拨号服务器，通过它访问公司内部网络以获取资料。这种情形下公司即要承担高昂的长话费用而且还不能保障资料传输的安全***。
NETSCREEN组建的公司内部网络就可以很好的解决这个问题，出差员工利用当地ISP提供的VPN服务就可以直接和公司的VPN网关建立私有安全通道，公司网关对用户的请求进行身份验证和授权，就可以保证外地员工在安全的前提下获取公司内部网络的资料，而且也大大地降低了长话费用。
一、网络结构
假如有一远程客户端，安装了NETSCREEN-REMOTE软件，通过拨号连接到INTERNET。通过与NETSCREEN防火墙建立VPN连接，访问公司内部网络。网络拓扑图如下

二、NETSCREEN防火墙配置（WEBUI）

1、 创建一个拨号用户帐号
Click Objects > Users > Local
2、 Click New
1. Username: User1
2. Status: Enable
3. Click IKE User
4. Number of Multiple Logins: 1
5. Click Simple Identity
6. IKE Identity: user1@netscreen.com
7. Click OK

3、 创建拨号VPN组
Click Objects > User Groups > Local
4、 lick New
1． Group Name: User Group
将相应的用户添加到用户组当中
2． Click OK


5、 创建Phase 1 IKE Negotiation:
Click VPNs > AutoKey Advanced > Gateways
6、 Click New
1． Gateway Name: Dialup GW
2． Security Level: Click Custom
3． Click Dialup User Group
4． Group: Select User Group
5． Preshared Key: netscreen
6． Outgoing Interface: e3/1 (assuming interface e3/1 is bound to untrust zone)
7． Click Advanced
i. Phase 1 Proposal: pre-g2-3des-md5
ii. Mode (Initiator): Aggressive
iii. Click Return
8． Click OK



7、 建 Phase 2 IKE Negotiation:
Click VPNs > AutoKey IKE
8、 Click New
1． VPN Name: Dialup VPN
2． Remote Gateway: Predefined
3． Select Dialup GW for the Predefined Remote Gateway
4． Click Advanced
i. Phase 2 Proposal: g2-esp-3des-md5
ii. Click Return
5． Click OK



9、 创建 Dial Up VPN Policy:
Click Policies
10、 Select From Untrust
11、 Select From Trust
12、 Click New
1． Source Address: Address Book: Select Dial-Up VPN
2． Destination Address: Click New Address: 172.16.10.0/24
3． Service: Any
4． Action: Tunnel
5． Tunnel: Dialup VPN
6． Click Position at Top
7． Click OK




三、配置客户端软件
1、 一个新的连接策略，命名为dial-up

2、添加远程子网和远程网关
 ID Type: IP Subnet
 Subnet: 172.16.10.0
 Netmask: 255.255.255.0
 Click Connect using Secure Gateway Tunnel
 ID Type: IP Address: 1.1.1.1

3、编辑连接属***
1、Click Security Policy
1．Select Phase 1 Negotiation Mode: Aggressive
2．Select Enable Perfect Forward Secrecy (PFS)
3． PFS Key Group: Diffie-Hellman Group 2
4．De-select "Enable Replay Detection"

2、Click My Identity
1．Select Certificate: None
2．ID Type: Email address: user1@netscreen.com
3．Click Pre-Shared Key
1. Click Enter Key
1.enter the Pre-shared key netscreen
2.lick OK


3、expand Security Policy
1．Expand Authentication (Phase 1)
1．Select Proposal 1
1.Encryption Alg: Triple DES
2.Hash Alg: MD5
3.SA Life: Unspecified
4.Key Group: Diffie-Hellman Group 2

2.Expand Key Exchange (Phase 2)
1.Select Proposal 1
1.Encrypt Alg. Triple DES
2.Hash Alg. MD5
3.Encapsulation: Tunnel

4、Click Save