如何使用网络监视器捕获网络通讯量

本文旨在为您提供在使用 Microsoft 的网络监视器捕获局域网的网络通讯量时必须了解的一些信息。本文中的文字直接来自网络监视器的帮助文件，您可以在此帮助文件中查找更详细的说明。

网络监视器是一个网络诊断工具，它监视局域网并提供网络统计信息的图形化显示。网络管理员可以使用这些统计信息执行日常故障排查任务，例如，查找已停机的服务器，或者查找工作负载与处理能力不相称的服务器。在从网络数据流中收集信息的同时，网络监视器显示下列类型的信息：

• 向网络中发送数据帧的计算机的源地址。（此地址是一个在网络上标识此计算机的唯一十六进制（或基数为 16 的）数字。）
• 接收该帧的计算机的目标地址。
• 用来发送该帧的协议。
• 正在发送的数据（或消息的一部分）。

网络监视器用来收集此信息的过程叫作“捕获”。默认情况下，网络监视器将其在网络上检测到的所有帧的统计信息收集到一个捕获缓冲区中，此缓冲区是内存中预留的一个存储区。若要只捕获帧的一个特定子集的统计信息，您可以通过设计一个捕获筛选器来挑选出这些帧。完成信息捕获后，您可以设计一个显示筛选器，指定在网络监视器的帧查看器窗口中显示多少已捕获的信息。

若要使用网络监视器，您的计算机必须装有支持混杂模式的网卡。如果您是在远程计算机上使用网络监视器，则本地工作站不需要支持混杂模式的网卡，但远程计算机需要。

若要跨网络捕获信息，或者要求不占用本地资源，请使用网络监视器代理从远程 Windows NT 计算机来捕获信息。执行远程捕获时，网络监视器代理从远程计算机上搜集统计信息，然后将这些统计信息发送到您的本地计算机上，并在它的本地网络监视器窗口中显示这些信息。

在本地或远程捕获数据后，可以将这些数据保存到一个文本文件或捕获文件中，以后可以将其打开并进行检查。

注意：Microsoft 产品支持服务对帮助中介绍的网络监视器核心功能提供技术支持。但不支持与网络相关的任务，如对从网络上捕获的数据进行解释。Windows NT 支持网络监视器代理；但 Windows 3.1 和 Windows for Workgroups 工作站不支持。

创建地址列表

若要在捕获筛选器中使用地址对，您应该先构建一个地址数据库。在构建此数据库后，您就可以使用此数据库中列出的地址在捕获筛选器中指定地址对。

若要创建地址列表，请按照下列步骤操作：

1. 从捕获菜单中，选择开始。您也可以选择在“帧查看器”窗口中打开一个 .cap 文件。
2. 在完成捕获时，从捕获菜单中选择停止，然后选择查看以显示“帧查看器”窗口。
3. 从显示菜单中，选择查找所有名称。网络监视器将处理这些帧，然后将其添加到地址数据库中。
4. 关闭“帧查看器”窗口，并显示“捕获”窗口。
5. 从捕获菜单中，选择筛选器以显示捕获筛选器对话框。
6. 在捕获筛选器对话框中，双击“地址对”行。或者，在添加分组框中选择地址。

网络监视器将显示您已创建的地址数据库。您可以使用此数据库中的名称在捕获筛选器中指定地址对。

捕获两台计算机之间的数据

若要监视两台计算机之间的通讯量，请按照下列步骤操作：

1. 从捕获菜单中，选择筛选器以显示捕获筛选器对话框。
2. 双击 ANY<->ANY 行以显示地址表达式对话框。
3. 在地址表达式对话框的左侧窗口中，选择某一计算机的地址。
4. 在地址表达式对话框的右侧窗口中，选择某一计算机的地址。

完成这些操作后，选择此窗口顶部的下一步按钮以获得更多说明。

1. 在对话框的“方向”窗口中，选择其中的一个符号：
   • 要监视在您选择的两个地址之间的两个方向上传送的通讯量，请选择 <--> 符号。
   • 要只监视从左窗口中选择的地址向右窗口中选择的地址传送的通讯量，请选择 --> 符号。
2. 选择确定。
3. 在捕获筛选器对话框中，选择确定。
4. 从捕获菜单中，选择开始。

保存捕获的数据

使用“另存为”命令将捕获的统计信息保存到一个捕获文件，或保存您对捕获文件所做的更改。以后，若要查看保存到文件中的帧，您可以在网络监视器的“帧查看器”窗口中打开此文件并显示统计信息。

若要将捕获的帧保存到捕获文件或文本文件中，请按照下列步骤操作：

1. 执行下列操作之一：
   • 在工具栏上，单击文件保存按钮。
     - 或 -
   • 从文件菜单中，选择另存为。
2. 执行下列操作之一：
   • 若要将文件保存到当前驱动器和目录中，请在文件名框中，指定一个文件名和扩展名。如果要保存一个已修改过的文件，则无法在同一目录中用原来的名称保存它。
   • 若要将文件保存到一个您未连接到的网络共享位置，请选择网络按钮，然后使用连接网络驱动器对话框建立连接。
   • 若要将文件保存到其他的驱动器或目录，请执行下列操作：
     1. 在驱动器框中，选择一个新的驱动器。
     2. 在目录框中，选择一个新的目录。
     3. 键入文件名。
3. 若只保存那些符合当前显示筛选器要求的帧统计信息，请选择已筛选。
   
   只有在从“帧查看器”窗口保存数据时，才能使用此选项。
4. 若要保存特定范围的帧，请在从和到框中键入起始和结束帧编号。
5. 选择确定。

注意：在将某一范围的帧保存到捕获文件中后，与这些帧关联的编号将发生更改；在捕获文件中，无论与原帧关联的编号是什么，帧编号总是以 1 开头。类似地，如果您应用了显示筛选器，然后保存经过筛选的帧，则捕获文件中的帧编号以 1 开头。不过，如果您使用“打印”对话框中的“打印到文件”选项，则保留与帧关联的原帧编号。

在 WAN 环境中进行跟踪

有时，可能要求您捕获由一个或多个路由器分开的两台特定计算机之间的网络通讯量。在这种情况下，专业支持人员可能需要分析第一台计算机与其最近的路由器之间以及第二台计算机与其最近的路由器之间的所有网络通讯量。在大多数情况下，进行此操作是为了检查网络数据包是否在路由器之间的某个位置丢失或损坏。若要使这些跟踪保持一致并能够同时读取这些跟踪信息，在进行跟踪之前，必须将这两台计算机的系统时钟进行同步。请执行下列步骤，同步这两台计算机的时间：

1. 选择同步时间所参照的计算机。
2. 在另一台计算机上，键入以下命令
   net time \\ComputerName /set /yes
   其中，ComputerName 是第 1 步中的计算机的名称。
3. 在每一台计算机上键入 TIME，检查这两台计算机上的时间是否相同。
4. 继续执行跟踪操作。

查找媒体访问控制地址

如果要监视的计算机：

• 运行的是基于 MS-DOS 的网络客户端，则在该计算机上运行 MSD。
• 运行的是 Windows for Workgroups 3.11（运行 TCP/IP），则在命令行中键入 IPCONFIG /ALL。
• 运行的是 Windows 95，则在本地工作站的命令行中运行 WINIPCFG。
• 运行的是 MacOS，则打开 Appletalk 控制面板。从编辑菜单中，选择用户模式，将模式更改为“高级”。Appletalk 控制面板现在将显示信息按钮。可单击此按钮获取 MAC 地址
• 在本地控制台运行 Windows NT，则使用下列选项之一：
  • 从命令行运行 NET CONFIG SERVER
  • 从命令行运行 IPCONFIG /ALL
  • 从命令行运行 IPXROUTE config
  • 从命令行运行 arp -a
  • 运行 Windows NT Resource Kit 中的 Getmac.exe
  • 运行 WinMSD
• 远程运行 Windows NT，则运行 Windows NT Resource Kit 中的 Getmac.exe