Broadcasts(广播):Sniffer Pro监测到的广播帧的数目。子网或者VLAN上所有的组件都必须处理所有的广播数据包,过多的广播会使网络上所有的系统性能整体下降。
Multicasts(组播):Sniffer Pro监测到的组播帧的数目。尽管组播帧影响到的网络设备数目要比广播的少,但是组播流量过大也会引起信息通过量出现问题。
Bytes(字节):Sniffer Pro监控到的总字节数。把这个数乘以8就得到了二进制的位数。 Utilization(利用率):网络当前利用率。 Errors(错误):网络当前错误总数。
提高计算机的速度,因为它不会经受一个绑定命令,而且不需要的协议不会向VLAN发送广播。 这些提示可以消除网络上的一些流量。还有很多方法可以减少流量,但是如果用这些常用的方法,可以减少25%~50%或者更多的流量。至少有20%的网络流量是由广播或者组播造成的,这些流量应该作为问题标出来。
Sniffer Pro的很多网络分析结果都可以设定阀值,若超出阀值,报警记录就会生成一条信息,并在仪表盘上以红色来标记超过设定阀值的范围。另外需要注意的是,要记录下警告信息,并且必须查看系统超过了阀值多少次,以及超出阀值的频率是多少,这些信息可以帮助管理员确定网络是否有问题。
单击仪表盘上的“Set Thresholds(设定阀值)”按钮,显示如图6所示“Dashboard Properties”对话框,可查看或者修改这些值。Sniffer Pro预先设定了默认的阀值,通常都是网络一些流量平均值。另外,也可以在Sniffer Pro窗口中,选择“Tools”菜单中的“Options”选项,打开“Options”对话框,选择“MAC Threshold(MAC 阀值)”选项卡,同样也可以像该对话框一样查看或者修改其它阀值。
图5 Dashboard Properties
在“High Threshold”列表中,可以设置各项的阀值。在调整阀值时,仪表盘也随之改变。例如,利用率表盘默认为50%,如果将“Utilization %(利用率)”阀值改为30%,则表盘的红色阀值区域就会发生变化,如图7所示为利用率表盘设定前后的变化,可以看到红色阀值区域从50已经下降到30处。
图6 阀值设定前后的变化
阀值的设定要根据自己的网络状况,比如,管理员觉得网络利用率达到30%就已经很高了,就可以先设定为30%,当超出阀值时,警告记录中就会有信息显示。要查看警告记录,可以选择“Monitor”菜单中的“Alarm Log”选项,显示“Alarm Log”对话框,如图8所示,这里记录了所有超过阀值时的警告信息。另外,还需要注意查看是否始终都超过设定阀值,在“Log Time”中显示大约每隔不到10秒就会超过阀值,并记录到警告记录中,这说明需要提高阀值或者解决已存在的问题。
图7 警告日志
在检修故障时设定一个临时的阀值是很有帮助的。例如,正在监控来自路由器的流量,而且知道每秒钟组播的流量不应该多于两个帧,就可以把每秒组播的阀值设为“2”。当Sniffer Pro监控流量时,如果超过了这个值,警告记录中就会加入一条警告信息。不过要记住,当修复故障以后应把阀值改回原来的数值。
4.查看捕获数据 通过Sniffer Pro监控网络程序以进行网络和协议分析,需要先使Sniffer Pro捕获网络中的数据。在工具栏上单击“Start”按钮,或者选择“Capture”菜单中的“Start”选项,显示如图9所示“Expert”对话框,此时,Sniffer便开始捕获局域网与外部网络所传输的所有数据。
图9 Expert
要想查看当前捕获的数据,可单击该对话框左侧“Layer”标签右侧的黑色三角箭头,即可在右侧窗口中显示所捕获数据的详细信息。此时,在对话框下方还有一条横线,将鼠标移动到该横线上,当指针变成上下箭头时,向上拖动该横线,就可以看到所选择连接的详细信息,如图10所示。
图10 当前已捕获的数据
当缓冲器中积累了一定流量后,可以停止并查看所捕获的数据。单击主窗口工具栏上的“停止”按钮,或者选择“Capture”菜单中的“Stop”选项,停止捕获数据,再选择“Capture”菜单中的“Display”选项,就可以查看所捕获的内容了。单击窗口下方的“Decode(解码)”选项卡,如图11所示,该窗口共分为三个部分,由上到下依次为:总结、详细资料和Hex窗口的内容,可以查看所捕获的每个帧的详细信息。
图11 捕获的数据信息
在最上面的窗口中显示了捕获的帧和捕获的顺序、“Source Address(源地址)”、“Dest
Address(目的地址)”、“Summary(摘要信息)”以及时间等信息。此时可以选中需要的帧左侧的复选框,然后就可以保存为新的捕获文件。选择“Display”菜单中的“Save Select”选项,即将选择的帧保存为新的捕获文件;选择“Select Range(选择范围)”选项可以选择全部帧、取消对全部范围的选择,或者选择和取消任何一个范围的选择。
“Decode”窗口中间的窗口部分显示所选择的协议的详细资料,如图12所示。最上面显示的就是DLC文件头信息,包括来源、目的地址、帧大小(以字节计)以及Ethertype(以太网类型)。在这里,以太网类型值为0800,表示为IPv4协议。