【IT168 专稿】目前，许多用户因业务发展，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐。在服务器端大多使用Linux和Unix，客户端计算机使用Windows 9X/2000/XP。所以在企业应用中往往是Linux和Windows操作系统共存形成异构网络。由于中小企业一般缺少经验丰富的Linux网络管理员，所以对于Linux异构网络管理往往缺乏有效方法。本文以Linux平台下一个常用的网络嗅探器cheops-ng为例，介绍如何借助它来管理Linux异构网络，从而保障网络高效安全地运行。

一、cheops-ng工作原理

    cheops-ng 从本质来讲是一种嗅探器，实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用，缺点是往往无法抓取网络上所有的传输数据(比如碎片)；硬件嗅探器的通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。目前主要使用的嗅探器是软件的。cheops-ng就是一个软件嗅探器。

    在基于TCP/IP协议的局域网中，当数据由应用层自上而下传递时，首先在网络层形成IP数据包，然后再向下到达数据链路层，由数据链路层将IP数据包分割为数据帧，加上以太网包头后向下发送到物理媒体上。以太网包头中包含着本地主机和目标主机的MAC地址，位于链路层的数据帧是依靠48位的MAC地址而非IP地址来寻址的，网络接口卡的驱动程序不会关心IP数据包的目的IP地址。它所需要的仅仅是数据包中的MAC地址。当局域网内的主机都通过集线器(HUB)等方式连接时，一般采用的是共享式的连接。这种共享式的连接有一个很明显的特点：发送数据时物理上采用的是广播方式。当一台主机向另一台主机发送数据时，共享式的HUB会将接收到的所有数据向HUB上的每个端口转发。也就是说，当主机根据MAC地址发送数据包时，尽管发送端主机告知目标主机的地址，但并不意味着一个网络内的其它主机不能监听到发送端和接收端之间传递的数据。因此从理论上说，当采用共享式连接时，位于同一网段的每台主机都可以截获在网络中传输的所有数据。

    正常情况下，局域网内同一网段的所有网卡虽然都具有访问在物理媒体上传输的所有数据的能力，但通常一个网卡只响应以下两种数据帧： 

     （1）数据帧的目标MAC地址与网卡自身的MAC地址一致； 

     （2）数据帧的目标MAC地址为广播地址。 

    cheops-ng工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，通过借助相应的软件进行处理。嗅探器可以实时分析这些数据的内容，进而可以帮助网络管理员分析整个网络的状态、性能或故障。正因如此，在检测、管理Linux网络故障时，cheops-ng对管理员来说是一种不可或缺的强力工具。

    cheops-ng(下一代图形网络管理工具)是一个图形网络影射和监视工具，是cheops的升级版本。它的功能几乎包含了网络管理的所有需要。它还可以结合其他的多种工具（比如NMAP）对扫描结果进行分析，以图形方式向用户提供了从网络资源分析到故障诊断的各种功能。功能包括:

    1、 随意进入连接的子网。
    2、 能对节点机器的各种操作系统（Unix、Linux、BSD、Windows）进行判断;
    3、 查找主机;
    4、 测绘网络拓朴
    5、 建立主机服务列表
    6、 修改服务器和网络配置