科来网络分析系统整体解决方案

TS-08-0002
错误!未指定书签。

目录
科来网络分析系统整体解决方案 (1)
目录 (1)
第1章前言 (4)
第2章企业网络现状 (4)
2.1企业内部网络结构模型 (4)
2.2传统防御的网络风险和安全隐患 (5)
2.3网络分析时代来临 (6)
第3章科来网络分析系统功能简述 (6)
3.1网络内部流量占用分析 (7)
3.2网络出口带宽分析 (8)
3.3病毒、攻击预警和快速定位 (8)
3.47*24小时长期分析 (8)
3.5专家诊断 (8)
3.6端点分析 (9)
3.7协议分析 (9)
3.8数据包实时解码能力 (9)
3.9TCP数据流重组 (10)
3.10应用程序分析 (10)
3.11网络错误检测 (11)
3.12主机快速定位 (11)
3.13网络故障回放 (11)
3.14矩阵统计 (12)
3.15报表统计 (13)
3.16图表统计 (13)
3.17数据过滤分析 (13)
3.18基于工程的分析 (15)
第4章科来网络分析系统性能指标 (15)
4.1网络类型 (15)
4.2网络拓扑 (16)
4.3系统需求 (16)
4.4支持的协议层次 (16)
4.5支持的协议 (16)
4.6支持的网络适配器（网卡） (17)
4.7支持的数据包文件格式 (17)
4.8分析精度 (18)
4.9数据包级故障诊断 (18)
4.10网络监控 (18)
第5章科来网络分析系统安装部署 (18)
5.1共享式网络 (18)
5.2具备镜像功能的交换式网络 (19)
5.3不具备镜像功能的交换式网络 (19)
5.4定点分析一个部门或一个网段 (20)
5.5代理服务器共享上网 (20)
第6章服务和技术支持 (21)
6.1服务理念 (21)
6.2售前服务 (21)
6.3售后服务 (21)
6.4技术支持 (22)
第7章培训 (22)
7.1培训介绍 (22)
7.2培训方式 (23)
7.3培训地点 (23)
7.4培训时间 (23)
7.5培训费用 (23)
7.6培训大纲 (23)
第8章相关手册 (27)
第9章科来软件介绍 (28)
9.1公司简介 (28)
9.2联系方式 (28)
第10章附件 (29)
9.1海外典型用户 (29)
9.2国内典型用户 (30)
第1章前言
随着政府、企业、校园网和电子商务等一系列网络应用的蓬勃发展，网络正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。

一方面，随着网络应用的不断增加，网络结构越来越复杂，导致网络故障频发；另一方面，网络用户成分越来越多样化，引发的基于各种目的的病毒入侵和网络攻击越来越多。

网络的持续可靠运行，包括其上各种网络应用和服务的安全运行，已日益成为与国家、政府、企事、个人的利益休戚相关的“大事情”。

保障网络的持续可靠运行是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。

这个问题解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。

一个好的网络需要从三个层次考虑：第一层是网络组建，第二层是配置网络，第三层网络的持续可靠运行。

到目前为止，网络组建和配置网络都以完成，但第三层的保障网络持续可靠运行则成为当前网络管理人员工作的重中之重。

要保障网络的持续可靠运行，必须能快速排查网络故障，并对网络中潜在的威胁进行预警。

而这些内容，都需要网络管理的基础网络分析来完成。

科来软件充分认识到网络分析的关键性，综合考虑保障网络持续可靠运行的必要性，提出了全方位的整体解决方案。

第2章企业网络现状
2.1企业内部网络结构模型
当前的网络，无论集团总部还是下属企业，其内部网络的结构都大同小异。

在地理位置上一般是处于一个厂区内或一幢大楼内，具有一个网络中心，提供公共应用服务（亦称公共应用平台），同时行使网络管理权利。

下属各处、办、分公司、部门，各自具有局域网，各局域网也可能具有自己的应用服务器。

这些下属的局域网通过光纤连接到网管中心，访问企业的公共应用服务，同时通过其它的线路连接到Internet。

下面我们给出一个分部的拓扑简图。

从图中可知，此局域网中有各种应用服务器，如办公服务器、对内WWW服务器、办公服务器等。

并按照不同的部门或分厂划分不同的子网。

在实际应用中，内部访问外网，内部连接主干专网，内部主机之间的访问等各种网络应用会非常频繁。

在上述的网络中，传统的防御方式如下：
●在网络的出口处安装防火墙防止来自外部的攻击。

●在网络内部中部署网络防病毒软件抵御病毒的危害。

●某些网络还会在网络出口处旁路连接一个IDS进行网络入侵的检测。

2.2传统防御的网络风险和安全隐患
●内部攻击：传统防御方式用于防止攻击的设备是防火墙，而我们知道，防火墙主要
用于防止外部对内网的攻击，对于网络内部的攻击，其作用比较有限。

据权威统计，网络攻击事件，有60%以上都来自于网络内部，并呈逐年上升趋势。

这说明对网络
内部攻击的防御和查找将变得越来越重要，甚至可能成为网络攻击预防的主要方
向。

●病毒泛滥：目前的网络大多都部署了网络版或单机版的防病毒软件，但很多网络还
是经常遭受到病毒的入侵。

究其原因，是因为防病毒软件的病毒库更新相对病毒的
滞后性，以及终端使用人员的使用习惯（如未升级病毒库，关掉防病毒软件等）给
了病毒可乘之机。

●故障难以快速准确定位：目前网络中，网络时断时续、网络慢甚至网络瘫痪等网络
故障频发，而目前的网络防御手段在这些错综复杂的故障面前，则显得苍白无力，故在出现故障时难以快速，对网络带来较大的损失。

●难以确定网络关键设备的负载情况：网络关键设备，将直接决定整个网络的运行效
率和可靠性。

保持对网络关键设备的有效监控和数据状态分析，对保障网络的可靠
运行具有深远的意义。

●难以确定网络传输性能：当前的防御方式，不能对网络的数据传输性能进行分析，
不知道网络传输的高低，可能为某些故障埋下隐患。

2.3网络分析时代来临
基于以上的分析，我们知道仅仅通过目前的传统防御手段，网络的持续可靠运行不能得到保障，所以这时我们需要借助网络分析来保障网络的持续可靠运行。

而当前网络的结构复杂性和关键性应用的不断增多，也从侧面印证了网络分析的必要性。

网络分析，能对网络进行可视性分析和专家级诊断、从而为快速定位网络故障，并对潜在的安全隐患进行预警。

“科来网络分析系统”正是这样的解决方案。

它整合了行业领先的网络分析技术，对复杂的网络提供精确分析和快速定位，是网络管理和网络分析工作的必备产品。

科来网络分析系统的主要功能体现在：
●强大的故障诊断分析能力
●长期实时的监控能力
●长期的流量捕获能力
●长期的统计分析能力
●异常流量和安全事件的快速定位能力
●网络应用的长期深入分析能力
●数据包级的网络故障分析能力
●7*24小时的监控能力
第3章科来网络分析系统功能简述（1）网络运行故障的分析诊断。

（2）全局到节点的网络流量统计。

（3）了解流量应用组成以及如何被利用。

（4）清晰了解网内各种应用系统的运行情况：连接数、握手时间、连接数、拒绝数等。

（5）监测网络带宽利用率。

（6）网络故障自动诊断，提供故障定位。

（7）捕获网络数据包、检测网络传输的所有数据。

（8）数据包的构造器：通过自行购在数据包，可以对网络性能进行压力测试。

、
（9）数据包播放器：可以把保存的数据包进行重新播放，呈现曾经网络运行的实际情
况，以便和目前的运行情况进行比较。

（10）自动发现IP、端口、主机会话和物理端点。

（11）监测伪造的IP，找到病毒感染主机或攻击源。

（12）监测内网web访问情况。

（13）监测内网电子邮件收发情况。

（14）监测内网FTP文件传输内容。

（15）提供数据过滤与筛选，来调节检测范围。

（16）数据包解码分析、深入的数据分析。

（17）彩色协议树拓展、网络应用分析。

3.1网络内部流量占用分析
科来网络分析系统可以统计网络中的流量占用情况，包括总流量、发送/接收流量、发送/接收数据包、发送/接收流量比值、发送/接收数据包比值、内部流量、广播流量等信息。

且上述这些值，都可定位到一个网段、一个物理主机甚至一个IP主机，通过这些，我们可以确定网络中是否存在广播/组播风暴，并排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击、以及用户无法上网等网络故障。

3.2网络出口带宽分析
科来网络分析系统可以对整个网络的出口带宽进行分析，从而确定当出口带宽的负载情况。

3.3病毒、攻击预警和快速定位
科来网络分析系统采用主动防御模式，不存病毒和攻击行为滞后性的问题，即使是最新的病毒，最新的攻击行为，在科来网络分析系统里，也会无处循形。

通过该功能，防病毒软件无法查杀的新型病毒，防火墙等设备无法预防的攻击行为，科来网络分析系统可对其进行快速准确定位，从而避免病毒泛滥和攻击对网络的影响。

3.47*24小时长期分析
科来网络分析系统的分析引擎支持7*24小时长期运行，从而具备对网络通讯的长期捕获和海量存储能力。

借助该功能，网络管理人员可以对整个网络进行长期监控，保障网络的持续可靠运行。

3.5专家诊断
科来网络分析系统的专家诊断功能，可以在无需人工参与的情况下，实时诊断出网络中的故障，并自动告诉用户当前网络故障原因和推荐的解决该当。

通过此功能，网络管理员可以在不必关注网络中的大量繁锁原始数据包的情况下，对网络故障进行快速分析和准确定位，从而简化了网络故障的排查过程。

3.6端点分析
科来网络分析系统中的端点有物理端点和IP端点两种，通过端点分析，网络管理人员可以快速得出整个网络的流量占用信息，以及数据包信息。

包括流量占用最大的主机，连接数最多的主机等等。

根据这些信息，我们可以对网络中的广播/组播风暴、网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击以及用户无法上网等网络故障进行排查，从而保障网络的持续可靠运行。

3.7协议分析
遵循OSI七层协议分析，根据实际的网络协议封装顺序，层次化得展现给用户，每个协议有自己的色彩，除了全局的协议统计，还可提供每个网络端点下的协议统计数据。

3.8数据包实时解码能力
科来网络分析系统的数据包解码功能，可以在捕获数据包的同时对其进行实时解码，并能对解码的内容进行中文化的解释，是目前全世界唯一能提供对数据包进行中文解码的产品。

通过该功能，国内的网络管理人员可以更加轻松地读懂解码信息，从而提升数据包级网络故障的排查能力和排查速度。

3.9TCP数据流重组
科来网络分析系统具备对TCP数据流进行重组的能力。

通过该功能，网络管理人员可以详细了解网络通讯的原始信息，从而对网络异常通讯进行跟踪分析，并可以根据传输内容的分析确定网络通讯的质量高低。

3.10应用程序分析
科来网络分析系统不仅可以对底层数据进行分析，对于应用程序通讯，也具有很强的分析能力。

科来网络分析系统的应用分析功能，主要体现在以下几点：
●HTTP网页访问分析，可以分析并记录整个网络的访问网页情况。

●Email电子邮件访问分析，可以分析并记录整个网络的Email收发情况。

●FTP文件传输分析，可以分析并记录整个网络的FTP文件传输信息。

●DNS域名解析分析，可以分析并记录整个网络的DNS请求及解析情况。

同时，还可以将以上几种应用分析的信息存储为日志，用于存档、备案、和特定时期的查阅。

3.11网络错误检测
科来网络分析系统具备网络错误检测的能力。

通过该功能，网络管理人员可以知道网络中数据包的错误信息，包括物理错误和802.3（以太网）错误。

从而确定网络中数据传输的质量。

3.12主机快速定位
节点浏览器是科来网络分析系统的特色功能，通过节点浏览器，网络管理人员可以快速定位任意节点，从而分析可能存在故障的节点信息。

在科来网络分析系统中，节点的类型有IP端点、物理端点和是协议，而这三种节点，分别从不同的分析角度帮助我们快速定位故障点，并提升故障排查速度。

3.13网络故障回放
科来网络分析系统具备对网络故障回放的能力。

通过对数据包进行回放，可重现网络通讯的原始信息，并对网络故障的整个工程进行全方位跟踪，从而增加对故障的认知，减轻故障的排查难度，并提高故障排查效率。

3.14矩阵统计
科来网络分析系统的矩阵统计功能，可快速查看网络中主机之间的连接情况以及数据传输信息。

通过该功能，网络管理人员可以非常方便地查找网络中各主机间的连接情况、通讯信息、病毒或攻击主机。

3.15报表统计
科来网络分析系统可以生成全局的统计报表，也可以为每个主机或每个节点单独生成报表，网络管理人员通过报表的数据，可以从宏观上了解整个网络、某个网段、某个部门或某个主机的整体工作情况。

3.16图表统计
科来网络分析系统为用户提供了2D和3D的图表信息，用户可以根据自己的需要选择折线图、柱状图、面积图、饼图等不同的图表显示方式，同时可以根据图表，查看整个网络长期的运行情况。

3.17数据过滤分析
科来网络分析系统了提供目前界面唯一的图形化数据包过滤器，界面直观且功能强大。

过滤的条件包括：
●MAC地址
●IPv4地址
●IPv4范围
●IPv4子网
●端口
●协议
●数据包大小
●数据包值
●数据包模式匹配
对于上述的条件，科来网络分析系统允许我们自由组合，组合的条件有“与”、“或”、“非”三种。

通过数据包过滤器，网络管理人员可以只捕获感兴趣的数据包，从而降低系统负载，提高分析效率并降低故障排查难度。

3.18基于工程的分析
科来网络分析系统率先在网络分析中，引入了工程的概念，即将一个捕获工作定义为一个工程或一个项目。

网络管理人员可以根据工作需要，同时开启一个或多个工程，以实现不同的捕获分析目的。

不同工程既可采用自身的设置，也可采用一些对全局工程有效的全局设置，方便且易于管理人员操作。

第4章科来网络分析系统性能指标
4.1网络类型
科来网络分析系统支持的网络类型有：
●10M/100M/1000M以太网
●拨号网络
4.2网络拓扑
科来网络分析系统具备跨VLAN进行数据捕获分析的能力。

4.3系统需求
●最低配置
➢CPU PIII 500MHz。

➢内存256 MB。

➢Windows 2000 (SP4 or later), Windows XP (SP1 or later), Windows 2003。

➢Internet Explorer 5.5。

●推荐配置
➢CPU 3.0GHz 以上。

➢内存512 MB 以上。

➢Windows 2000 (SP4 or later), Windows XP (SP1 or later), Windows 2003。

➢Internet Explorer 6.0 或更高版本。

4.4支持的协议层次
科来网络分析系统的设计和工作都严格遵循OSI协议层次。

4.5支持的协议
科来网络分析系统支持的协议如下。

4.6支持的网络适配器（网卡）
科来网络分析系统支持以下三种类型的网络适配器：
●10M/100M/1000M以太网适配器
●拨号适配器
●本地回环接口（Windows 2000/XP/2003）
4.7支持的数据包文件格式
科来网络分析系统支持导入导出多种格式的数据包文件。

支持导入的数据包格式有：
●*.cscpkt (科来网络分析系统数据包文件)
●*.cpf (科来网络分析系统4.0 数据包文件)
●*.cap (Network Associates Sniffer 数据包文件)
●*.pkt (EtherPeek/TokenPeek/AiroPeek 数据包文件)
●*.pkt (Etherpeek Packet File V7)
●*.pkt (Omnipeek Packet File V9)
●*.rawpkt (Raw 数据包文件)
●*.cap (Libpcap Tcpdump,Ethereal,等通用数据包文件)
●*.dmp (Libpcap Tcpdump,Ethereal,等通用数据包文件)
●*.cap (Microsoft Network Monitor 2.x)
支持导出的数据包格式有：
●*.cscpkt (科来网络分析系统数据包文件)
●*.cap (Sniffer 数据包文件)
●*.pkt (EtherPeek/AiroPeek 数据包文件)
●*.rawpkt (Raw 数据包文件)
●*.cap (Libpcap Tcpdump,Ethereal,等通用数据包文件)
●*.dmp (Libpcap Tcpdump,Ethereal,等通用数据包文件)
●*.cap (Microsoft Network Monitor 2.x)
Sniffer Pro、EtherPeek/Omnipeek、Ethereal、Libpcap、Micosoft Network Monitor等数据包文件并进行分析。

4.8分析精度
科来网络分析系统的分析精度为微秒级。

4.9数据包级故障诊断
科来网络分析系统在故障诊断方面，可细化到数据包级，即可以通过分析单个数据包的内容确定是否存在网络故障。

4.10网络监控
科来网络分析系统可以实时监控网络中主机的通讯信息，并可根据需要对内部主机的通讯进行控制。

第5章科来网络分析系统安装部署
在目前的网络中，根据网络拓扑结构的差异，科来网络分析系统的安装部署可以分为以下几种情况：
5.1共享式网络
使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。

如果您局域网的中心交换设备是集线器（Hub），可将科来网络分析系统安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯，其安装简图如下。

5.2具备镜像功能的交换式网络
使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。

交换机（Switch）工作在OSI模型的数据链接层，它的各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。

如果您网络中的交换机具备镜像功能时，可在交换机上配置好端口镜像，再将科来网络分析系统安装在连接镜像端口的主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯，其安装简图如下。

5.3不具备镜像功能的交换式网络
一些简易的交换机可能并不具备镜像功能，不能通过端口镜像实现网络的监控分析。

这时，可采取在交换机与路由器（或防火墙）之间串接一个分路器（Tap）或集线器（Hub）
的方法来完成数据捕获，其安装简图如下。

5.4定点分析一个部门或一个网段
在实际情况中，网络的拓扑结构往往非常复杂，在进行网络分析时，我们并不需要分析整个网络，只需要对某些异常工作的部门或网段进行分析。

这种情况下，可以将科来网络分析系统安装在笔记本电脑上，再附加一个分路器（Tap）或集线器（Hub），就可以很方便的实现任意部门或任意网段的数据捕获，其安装简图如下。

5.5代理服务器共享上网
当前的小型网络中，有很大一部分都可能仍然通过代理服务器共享上网，对这种网络的分析，直接将科来网络分析系统安装在代理服务器上就可以了，其安装简图如下。

注意：这种情况下的分析，需要同时对代理服务器的内网卡和外网卡进行数据捕获。

第6章服务和技术支持
6.1服务理念
科来软件以诚为本，始终坚持以下服务理念：
●以专业服务实现客户满意
●以清湛技术追求服务领先
●以诚信务实促进持久双赢
6.2售前服务
●产品咨询：了解用户需求，并提供解决方案，向用户正确介绍产品的功能以及使用
●提供试用：向用户提供产品试用，并进行技术指导。

6.3售后服务
●技术支持：免费为用户提供产品的技术咨询和使用解答。

●诊断服务：为用户提供1年12次的收费诊断服务。

用户可以将捕获到的数据上传
到我们的FTP服务器，由科来软件技术支持中心诊断分析并出具分析报告。

●故障处理：免费指导用户使用科来网络分析系统分析查找故障。

●升级服务：提供长期持续的产品升级，为正式用户提供终身维护。

第21页共30页
6.4技术支持
●科来软件在成都市区设有全球的技术支持中心，工作人员均具备多年的网络分析经
验，技术实力雄厚。

●提供7*24小时的售后服务。

●我们提供的技术支持的具体方式有以下5种：
➢网站在线支持
我们在官方网站（）上提供了技术资料库，您在使用
科来网络分析系统时的大部份问题都可以在这里找到答案。

➢论坛支持
我们提供了供用户学习交流网络分析技术的支持论坛（），
在这里，你可以了解到更多的分析安全和故障解决方法。

➢电子邮件支持
任何时候我们都欢迎您用电子邮件（********************.cn）告知我们您遇
到的问题，我们将在收到邮件后的第一时间给您回复。

➢电话支持
欢迎您致电86-28-85120922咨询解决方案。

除节假日外，每天上午9点至下
午5点，我们的专业技术人员都在期待您的来电。

➢现场支持
网络、邮件和电话支持均无法帮助用户解决问题时，我们将联系当地经销商到
用户现场提供技术支持服务。

注意：为了提高故障的排查速度，不论您希望使用哪种方式获得技术支持，都请提供以下详细信息：
产品序列号、产品版本、操作系统类型、详细的问题描述和其它相关信息。

第7章培训
7.1培训介绍
科来网络分析系统技术培训，通过该培训，可以让用户快速掌握科来网络分析系统的使用，并借助科来网络分析系统排查网络中的故障。

该培训主要讲解科来网络分析系统的产品使用，并结合产品，诊断分析查找网络故障。

由于主讲网络分析，故要求参加培训的人员必须具备一定的网络基础知识，主要包括：
●了解常见网络设备的工作原理，如集线器、交换机、分路器和路由器等。

●了解以太网工作原理
●了解OSI层次
●有一定的协议基础
7.2培训方式
科来网络分析系统技术培训采用理论讲解与上机操作相结合的方式。

7.3培训地点
科来网络分析系统技术培训的地点是科来软件总部。

7.4培训时间
科来网络分析系统技术培训周期为5个工作日。

7.5培训费用
科来网络分析系统技术培训的费用为RMB4500元/5天/人。

7.6培训大纲
科来网络分析系统技术培训的大纲如下。

第8章相关手册
第9章科来软件介绍
9.1公司简介
科来软件（Colasoft Co., Ltd.）是一个以技术为核心的国际软件企业，总部设在成都高新区。

公司自成立以来，便一直致力于网络故障诊断、网络安全评估、网络性能优化等网络管理工具的研发，并提供网络分析服务和网络分析认证培训，是一家以网络分析技术为核心的产品提供商和服务提供商。

我们的产品科来网络分析系统是我们全自主研发，并拥有完全自主知识产权，且在国际享有盛誉。

科来软件拥有一支年轻而富有创新精神的优秀团队，以积极、开拓、创新的精神，使人才成为企业真正核心竞争力，每个员工都为自己是科来软件的一份子而感到自豪。

科来软件以技术和产品质量质量为核心竞争力，一开始就将自己融入到国际软件厂商的竞争中，并且坚持走自主创新的道路。

业界领先的“网络虚拟还原引擎”和“专家诊断”是我们的网络安全工程师、网络分析专业顾问以及有多年实践和培训经验的协议分析师共同努力创造的结果。

科来软件立足中国，着眼全球市场。

在2001年，科来网络分析系统就打进美国市场，并迅速扩展到整个欧洲和亚太地区，到目前为止，我们的产品已经遍布全球60多个国家2300家用户，其中包括IBM，SEMENS，MOTO，PEPSI WORLD等大型跨国公司。

为了向全球用户提供更好的服务，科来软件在全球建立了三十多个国际渠道，并向我们的客户提供英语、西班牙语、法语、日语、韩语等多语言版本。

科来软件凭借过硬的技术势力和广泛的用户群，在国际市场上树立了良好的影响，其中《Windows &.NET Magazine》《PC QUEST》《Tech Support Alert》《PC PRO》等多家海外媒体对我们的产品给予了高度的评价，并在美国电视台《环球经济》中得到报道。

继而科来软件也成为海外投资公司所关注的对象，并先后与海外一些公司建立了合作。

现在，我们将这款品质优秀、满载盛誉、并结合完善咨询服务和技术支持的科来网络分析系统推荐给国内的客户，希望能够切实地为用户解决网络管理中存在的各种实际问题，并为政府单位、企业、大中院校的网络管理提供了新的解决思路。

目前我们在公安、设计院、电信、烟草、石油、化工、高校、税务、电视台、药业、制造等众多领域已经得到成功应用。

9.2联系方式
如果您对购买的产品有任何疑问、意见、建议或要求，请在周一至周五上午9:00到下午5点与我们联系，我们的联系方式是。