演示：使用Sniffer统计与分析流量

   Sniffer是统计与分析网络数据流量的一个很好的选择。因为Sniffer的“混杂”模式会接收到同一个物理网络内的所有数据帧，无论是广播帧还是发送到一个具体地址的数据帧。如果需要Sniffer监听到所处物理网络不同的数据帧，只需与“端口镜像技术”相结合就可以完成。它拥有强大的统计分析能力，并可以形象地显示统计与分析结果，支持报表制作。所以企业网络发生异常时，通常会首选Sniffer作为流量统计与分析的工具。

演示：利用Sniffer统计与分析流量

演示目标：

（1）识别具体流量类型，以及会话层、传输层和应用层协议的分布情况。

（2）确定当前网络每秒发送数据包的速度。

（3）收集网络上所有的节点信息，提供每个节点相应的统计结果。

（4）统计网络上所有主机的会话列表。

（5）统计应用层协议的响应时间。

（6）统计5分钟内网络数据包的变化情况

（7）对整个网络规模和利用率分布做统计结果。

演示环境：如图6.1所示。

演示步骤：

第一步：在如图6.1所示的演示环境中的交换机S1上配置端口镜像功能，将网络主干链路端口Fa0/1的所有流量镜像一份到Fa0/4作统计与分析，在交换机S1上的配置如下所示，然后在协议分析平台上启动Sniffer_Pro就可以对网络的整体流量情况做完整的统计与分析。

s1(config)#monitor session 1 source interfacefastEthernet 0/1

s1(config)#monitor session 1 destination interfacefastEthernet 0/4

注意：利用Sniffer统计整个网络实时流量时，不需要启动“开始捕获”按钮。只需要与交换机的“端口镜像”技术结合，启动Sniffer就可以完成流量统计。

第二步：在主机192.168.2.2上发起如下会话，完成如下所要求的流量模拟。

（1）在192.168.2.2的主机上发起对www.sniffer_flow.com的Web访问。

（2）在192.168.2.2的主机上ping 192.168.1.2 –t –l 500，其意思是指示192.168.2.2不间断地ping192.168.1.2，并携带500个包的大小。

（3）在192.168.2.2的主机上访问ftp.sniffer_flow.com的FTP服务器。

（4）在192.168.2.2的主机上访问192.168.1.3的共享文件夹“test”。

第三步：开始统计数据，单击如图6.2所示的各个按钮。统计具体流量类型，包括会话层、传输层和应用层协议流量的分布情况，可以清晰地看到Sniffer统计出的网络协议使用情况，其中包括HTTP、FTP、ICMP流量。流量统计结果如图6.3所示，FTP的流量最高，其次是ICMP。

第四步：确定当前网络每秒发送数据包的速度，如图6.4所示。

第五步：收集网络上所有的IP节点信息，提供每个节点相应的统计结果，如图6.5所示。

第六步：统计网络上所有主机的会话列表，如图6.6所示。

第七步：统计应用层协议的响应时间，如图6.7所示。

第八步：统计5秒内网络数据包的变化情况，如图6.8所示。

第九步：统计整个网络规模和利用率分布，如图6.9所示。