7-7网络管理工具和网络故障的排除

第7章网络管理工具和网络故障的排除7.1Windows2000网络监视器7.2Windows2000性能监视器7.3常用命令行网络诊断工具7.4网络故障的诊断与排除7.1.1概述使用网络监视器捕获和显示运行Windows2000Server的计算机从局域网（LAN）上接收的帧（也称作数据包）。网络管理员可以使用网络监视器检测和解决在本地计算机上可能遇到的网络问题。1.帧帧，又称为“数据包”，是数据链路层信息传输的基本单位。它作为独立单元在网络中传送的信息包。每一帧都遵循相同的基本组织，并包含控制信息，如同步字符、位置地址、错误校验值以及长度不定的数据等。7.1Windows2000网络监视器每一帧均包含以下信息：发送信息的计算机的源地址、接收帧的计算机的目标地址、用于发送帧的每个协议的头文件信息、发送到目标计算机的数据（或部分数据）。2.网络数据流网络监视器监视网络数据流，该数据流由任意给定时间内通过网络传输的所有信息组成。信息在传输之前，由网络软件分割成较小的块，这些小块称作帧或者数据包。3.捕获网络数据网络监视器复制帧的过程称为捕获。您可以捕获发到本地网卡或从本地网卡发出的所有网络通信，也可以设置一个捕获筛选器来捕获帧的子集。还可以指定一系列条件来触发网络监视器捕获筛选器的事件。通过使用触发器，网络监视器可以响应网络上的事件。7.1.2网络监视器的应用1.网络监视器从“开始/程序/管理工具/网络监视器”，运行网络监视器。网络监视器的主窗口如图7-1所示。图7-1网络监视器主窗口网络监视器的主窗口由四个不同的部分组成。（1）图表区。图表区位于窗口的左上方，它用一组条形图反映了网络的整体工作情况。网络利用：指网络带宽的利用率。每秒帧数：指网络上每秒钟发送和接收的帧数。每秒字节数：指网络上每秒钟发送和接收的字节数。每秒广播：指网络上每秒钟广播的数据包数。每秒的多播：指网络上每秒钟多个地址发送的数据包数。（2）会话统计区。会话统计区位于窗口左边的中部，即图表区的下方。它显示了服务器与网络中其它计算机之间进行通信的详细情况，以帧来表示。在该区域中，“网络地址”对应的是服务器的计算机名或者是客户端的网卡地址。该区域对应的信息对于分析网络线路连接质量的好坏有着很重要的作用。（3）机器统计区机器统计区位于窗口的下半部分，显示的有网络中每台计算机实际发送和接收的帧数和字节数以及在服务器端所启动的广播帧和多播帧的情况。该区域所显示的内容与会话统计区的内容基本相同，所不同的只是机器统计区所反映的情况要更为详细一些。（4）总共统计区总共统计区位于窗口的右上方，用于对所监测到的网络通信进行综合汇总统计，该区域的统计内容包含了其他三个区的相关数据，而且比其它三个区更为详细和具体2.配置网络监视器在使用“网络监视器”捕获网络数据之前，必须了解硬件和软件要求并理解安全问题。可以自定义显示设置以及用来存储已捕获帧的缓存大小。（1）设置默认的临时捕获目录①打开“捕获”窗口或“帧查看器”窗口。②单击“选项”菜单中的“更改临时捕获目录”。③当提示确认想要更改临时捕获文件的默认目录时，单击“是”。图7-2更改临时捕获目录警告对话框④在“网络监视器-临时捕获目录”对话框中，选择想要用来储存临时捕获文件的目录。图7-3更改临时捕获目录对话框（2）添加协议分析程序要将协议分析程序添加到“网络监视器”，必须首先编写分析程序的DLL文件。“SystemsManagementServer2.0”工具包提供了编写和安装“NetworkMonitor2.0”分析程序的详细信息。如果已有“NetworkMonitor1.2”分析程序的DLL文件，可以按照下面的步骤将其添加到“NetworkMonitor2.0”中。①如果“网络监视器”正在运行，请退出该程序。②将分析程序文件复制到%netmon%\Parsers文件夹。该文件的扩展名应为.dll。③在%netmon%文件夹中，打开Parser.ini文件，输入有关正在添加的分析程序的信息。④在“网络监视器”“捕获”窗口中，单击“选项”，然后单击“默认分析程序”（必须首先关闭所有打开的“帧查看器”窗口），单击“是”。⑤当前启用的协议将出现在“协议分析程序”对话框顶部的表中。默认情况下，启用%netmon%\Parsers子文件夹中的所有分析程序。⑥在“已禁用的协议分析程序”中，单击最近可用的分析程序，然后单击“启用”。这时协议名称将移到“已启用的协议分析程序”中。⑦如果想将“已启用的协议分析程序”窗格中的分析程序作为默认配置，请单击“保存为默认值”。除非设计或加载捕获筛选程序，否则所有的数据捕获都将收集那些使用“已启用的协议分析程序”中协议发送的网络数据。要检查分析程序是否正常工作，请在捕获过程中或捕获之后查看“捕获”窗口中的摘要窗格。如果分析程序正在正确处理帧，则“协议”列中应列出协议。如果新的分析程序发放了从属关系，请在编辑Parsers.ini文件之前将分析程序配置文件(Newparser.ini)复制到%netmon%\Parsers文件夹中。（3）修改捕获缓冲区的大小或每帧捕获字节数①打开“捕获”窗口。②单击“捕获”菜单中的“缓冲区设置”。③在“捕获缓冲区设置”对话框中，调整要捕获数据的大小。如果捕获数据时出现系统资源短缺，请减少捕获缓冲区的大小，或者减少“网络监视器”捕获的每帧字节数。④单击“确定”。如果缓冲区设置超过系统中的可用物理内存，内存交换将导致帧丢失。（4）显示地址名称①打开“捕获”窗口或“帧查看器”窗口。②要显示用户指定的计算机名称，请单击“选项”菜单中的“显示地址名称”。当“显示地址名称”处于活动状态时，命令名称旁将出现复选标记。“网络监视器”使用捕获帧时所用计算机的用户指定（友好）名称替代十六位网络地址。（5）显示适配卡供应商名称①打开“捕获”窗口或“帧查看器”窗口。②单击“选项”菜单中的“显示供应商名称”。当“显示供应商名称”处于活动状态时，命令名称旁将出现复选标记，并且“网络监视器”将十六进制计算机地址替换为远程计算机上的网络适配卡供应商的名称。3.捕获网络数据可以使用“网络监视器”从网络数据流中捕获由本地计算机发送或接收的帧，并将这些帧复制到临时捕获文件。“网络监视器”将在“捕获”窗口中动态显示已捕获帧的统计信息，并允许设计捕获筛选程序，用来仅复制那些满足指定条件的帧。（1）捕获并显示网络数据①打开“捕获”窗口。②在“捕获”菜单中，单击“开始”。“网络监视器”将帧复制到临时文件。在“网络监视器”的“捕获”窗口中动态显示这些帧的信息，如图7-4所示。图7-4网络监视器捕获窗口③如果想临时中断数据捕获，请在“捕获”菜单中单击“暂停”。④如果想停止数据捕获，请在“捕获”菜单中单击“停止”。⑤要显示捕获的帧，请在“捕获”菜单中单击“显示捕获数据”。这时将出现“帧查看器”窗口。现在可以检查被捕获帧的内容，如图7-5所示。“网络监视器”将显示所检测到的前100个独立网络会话的会话统计信息。要清除统计信息并查看下100个检测到的网络会话，请转到“捕获”菜单，单击“清除统计信息”。图7-5显示捕获数据窗口（2）设计捕获筛选程序①在“捕获”窗口中，单击“捕获”菜单中的“筛选程序”。②在“捕获筛选程序”对话框中，执行下列操作：指定捕获筛选程序的协议指定捕获筛选程序的地址对指定要捕获的帧数据模式指定捕获标准以标识要在网络上捕获的帧。通过指定协议、地址对以及要在捕获中包含或从中排除的帧的数据模式，可构造完整的捕获筛选程序表达式。（3）设置捕获触发器①打开“捕获”窗口。②在“捕获”菜单中，单击“触发器”。③填写“捕获触发器”对话框中的信息。（4）创建地址数据库①打开“帧查看器”窗口。②在“显示”菜单中，单击“寻找所有名称”将捕获的计算机地址与从中捕获到帧的计算机的友好名称相关联。③在处理帧之后，将出现一条消息，说明有多少个不相同的名称已添加到地址数据库中。单击“确定”。④在“显示”菜单中，单击“地址”。在“地址数据库”对话框中，将显示添加到数据库中的名称。⑤要在将来使用这些地址设计筛选程序并将地址数据库保存到文件，请单击“保存”。（5）将已捕获帧保存到文件①在“文件”菜单中，单击“另存为”。②指定要保存文件的目录和驱动器。③输入文件名。如果想在以后使用“网络监视器”加载该文件，则必须使用.cap作为文件扩展名。如果不指定扩展名，“网络监视器”将自动使用该文件扩展名。④要保存一系列帧，请在“从”和“到”中分别键入起始帧和结束帧的编号。⑤要想只保存满足当前显示筛选程序条件的帧，请选中“被筛选”复选框。⑥单击“保存”。网络监视器支持的捕获文件最大为1,024MB。在保存一系列帧或利用显示筛选程序保存筛选的帧时，“网络监视器”将保存的帧从1开始编号，不过选中“打印”对话框“常规”选项卡上的“打印到文件”复选框，可以保持帧编号与初始帧相关联。4.分析捕获数据结果（1）打开现有捕获文件①打开“捕获”窗口或“帧查看器”窗口。②单击“文件”菜单中的“打开”。③选中要打开的捕获文件，然后单击“打开”。一次可以打开多个捕获文件，“网络监视器”为每个捕获文件打开一个单独的窗口。（2）展开和折叠帧详细资料①打开“帧查看器”窗口。②双击要查看的帧。③要展开帧数据列表，请单击细节窗格中的加号（+）。所有其他使用扩展协议的行将在显示的同时自动扩展。④要折叠帧数据列表，请单击细节窗格中的减号（-）。（3）查看指定的帧①打开“网络监视器”的“帧查看器”窗口。②请单击“显示”菜单中的“转到帧”。③在“转到”对话框中，键入要查看的帧的编号。④单击“确定”。“网络监视器”突出显示指定的帧。（4）按属性搜索帧①打开“网络监视器”的“帧查看器”窗口。②单击“显示”菜单中的“寻找下一帧”。③在“查找帧表达式”对话框中，执行下面的某一步操作：要根据源或目标地址来搜索帧，请打开并填写“地址”选项卡。要根据用于发送帧的协议来搜索帧，请打开并填写“协议”选项卡。要根据协议属性来搜索帧，请打开并填写“属性”选项卡。④要开始搜索在对话框顶部附近显示的表达式，请单击“确定”。如果找到属性，帧将自动展开以显示您所指定搜索的属性。⑤要寻找下一个具有指定属性的帧，请单击“显示”菜单中的“重复寻找下一帧”。⑥要寻找前一个具有指定属性的帧，请单击“显示”菜单中的“重复寻找上一帧”。搜索在关闭活动窗口或进行新搜索之前一直处于活动状态。（5）设计显示筛选程序①在“帧查看器”窗口中，单击“显示”菜单中的“筛选程序”。②在“显示筛选程序”对话框中，执行下列操作：指定显示筛选程序的协议指定显示筛选程序的协议属性指定显示筛选程序中的地址对③如果需要的话，还可以修改显示筛选程序决策树结构。（6）标识网络中的最大广播设备①打开“捕获”窗口。②在“捕获”菜单中，单击“开始”。③数据捕获结束后，在“捕获”菜单中，单击“停止”（或“暂停”）。④在机器统计窗格（位于屏幕最下方）中，双击“已发送广播”列标题。或者，右键单击“已发送广播”列，然后单击“列排序”。如果图形窗格指示网络使用率很高，但这时网络运行异常缓慢，则广播的突然增加可能是导致问题的根源。位于列表最上面的行就包含已发送的广播的最高数量。该行中的网络地址就代表网络中的最高广播设备。在Windows2000中，“性能监视器”已经更名为“系统监视器”。“系统监视器”是“性能”工具的一部分，位于控制面板的“管理工具”中。Windows2000性能工具由两部分组成：系统监视器、性能日志及警报。使用“系统监视器”，可以收集与内存、磁盘、处理器、网络以及其他活动有关的实时数据，并以图表、直方图或报表形式显示这些数据。通过“性能日志和警报”，可以配置日志以记录性能数据