歐主管立刻給i博士打電話詢問此事。
談需求分析流量確保業(yè)務連續(xù)
“i博士,我這邊的網(wǎng)絡和我一樣,還沒恢復工作狀態(tài)。突然出現(xiàn)網(wǎng)絡通訊中斷,內部用戶均不能正常訪問互聯(lián)網(wǎng),我在機房中進行Ping包測試時發(fā)現(xiàn),中心機房客戶機對中心交換機管理地址的Ping包響應時間較長且出現(xiàn)隨機性丟包,主機房客戶機對二級交換機通訊的通訊丟包情況更加嚴重。我猜可能是有病毒了,但是我一直沒找到真實原因。”
i博士對歐主管說,經(jīng)過我初步判斷,引起這些問題的原因可能有三:1.交換機ARP表更新問題;2.廣播或路由環(huán)路故障;3.病毒攻擊。你還需要進一步獲取ARP信息、交換機負載和網(wǎng)絡中傳輸?shù)脑紨?shù)據(jù)包。
“我還建議你使用網(wǎng)絡檢測分析軟件對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包進行捕獲,你僅僅通過交換機的端口流量,或者使用單純的流量軟件,將很難找到問題的根源,如果是病毒引起的網(wǎng)絡故障,很可能會耽誤問題的解決,這樣網(wǎng)絡中感染的主機會越來越多,最終將導致整個網(wǎng)絡的全部癱瘓。”i博士又補充了一句。
“那么我應該用什么樣的網(wǎng)絡檢測分析軟件呢?”歐主管對i博士的建議產生了一個疑惑。
i博士解釋說,近年來,很多服務提供商一直使用NetFlow。因為NetFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力,可以幫助支持對等點上的最佳傳輸流,同時可以用來進行建立在單項服務基礎之上的基礎設施最優(yōu)化評估,解決服務和安全問題方面所表現(xiàn)出來的價值,為服務計費提供基礎。
但是,NetFlow也不是萬能的,比如它無法提供應用反應時間。在對軟件的選擇上,應該注意他應該符合企業(yè)這些需求:
1.可以根據(jù)應用、主機和對話查看廣域網(wǎng)和局域網(wǎng)的端口速率、分類統(tǒng)計以及利用率測量值;
2.可以通過業(yè)務單位、地理位置、IP子網(wǎng)等合計網(wǎng)絡流量;
3.可定制時間段以支持工作日的測試報告;
4.可以報告全年網(wǎng)絡流量性能;
5.可以對網(wǎng)絡上的每個端口提供實時測試報告和告警;
6.可以自動運行定期的測試報告并發(fā)送Email;
7.可以通過將端口、IP地址來詳細說明應用;
8.包括病毒掃描向導,可以快速報告并對潛在病毒進行告警。
i博士點評
建議使用網(wǎng)絡檢測分析軟件對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包進行捕獲,僅僅通過交換機的端口流量,或者使用單純的流量軟件,將很難找到問題的根源。
話采購集中分析讓網(wǎng)絡更智能
“原來是這個樣子,我需要部署便捷、分析問題快速,在短時間內就可以提供給我詳細報告的智能的網(wǎng)絡分析和網(wǎng)路應用性能分析解決方案。這樣我就可以更有效地對網(wǎng)絡進行管理,讓老板改善整個企業(yè)中業(yè)務運作的服務水平。”歐主管對網(wǎng)絡的管理滿懷希望。
i博士說:“很早以前錢經(jīng)理就用上了網(wǎng)絡監(jiān)測分析軟件,可以從遠程分析儀處收集數(shù)據(jù),生成測試報告,提供了深入的分析,揭示出最難發(fā)覺的應用和網(wǎng)絡故障。”
“還真是,我怎么早沒想到這些。現(xiàn)在競爭那么激烈,需要新型的業(yè)務處理方式才能符合新的業(yè)務運營模式。信息結構發(fā)生變化就會引發(fā)出新的對分布式透視、集中式分析工具以及IT主動性與業(yè)務目標結合能力的需求。”
事實上,預測基于網(wǎng)絡的資源的性能降級或損害以何種方式發(fā)生是不可能的。必須對重要的安全事件和網(wǎng)絡威脅作全面的調查,阻止它們的重復發(fā)生。
“現(xiàn)在還有一些產品可以實現(xiàn)對整個網(wǎng)絡故障事件的回放和重建,可以針對HTTP網(wǎng)頁、POP3、SMTP、IMAP4郵件事務、互聯(lián)網(wǎng)中繼聊天(IRC)通信、FTP下載、VoIP會話等。重建和回放的過程可將數(shù)據(jù)轉換成應用層事務流,你就可以輕松進行單步調試,而且感覺很真實。”i博士又給歐主管一個新的建議。
歐主管說:“我們的IT環(huán)境越來越復雜,包括很多集成媒體應用。這些應用的最佳性能需要一個對所有IT架構組件的統(tǒng)一視點。需要一個方法能夠確保網(wǎng)絡性能問題能夠被及時和快速地隔離和解決。”
i博士給歐主管說清了其中的道理:“可以通過監(jiān)測應用的集中業(yè)務,讓你真正地把企業(yè)的業(yè)務與企業(yè)所依賴的IT架構集成在一起。業(yè)務部門經(jīng)理能夠創(chuàng)建有關服務器、網(wǎng)絡或應用的“業(yè)務集裝箱”,可以讓他們輕松地發(fā)現(xiàn)業(yè)務服務的性能是否和他們預期的一樣。”
“同時,對于你來說能夠創(chuàng)建一個準確的分組,用來追蹤特定設備、應用、服務器或他們監(jiān)測和維護的數(shù)據(jù)庫。”
歐主管按照i博士的建議后,馬上安排人進行網(wǎng)絡故障排查工作。很快,問題就得到了解決,果然是因為放假的緣故,很多人放松了警惕,讓病毒流竄到網(wǎng)絡中。
這次教訓也提醒了歐主管,對于企業(yè)安全,只有起點,沒有終點。而通過對網(wǎng)絡進行不斷的監(jiān)控分析,可以確保業(yè)務連續(xù)。
i博士點評
對于企業(yè)安全,只有起點,沒有終點。而通過對網(wǎng)絡進行不斷的監(jiān)控分析,可以確保業(yè)務連續(xù)。
用戶觀點
北京市古城外國語學校信息處主任 張琦
流量要分析 網(wǎng)絡要優(yōu)化
進行流量監(jiān)控和流量分析是整個網(wǎng)絡合理化的重要環(huán)節(jié),它能在最短的時間內發(fā)現(xiàn)安全威脅,在第一時間進行分析,通過流量分析來確定攻擊,然后發(fā)出預警,快速采取措施。
流量分析要點
連接性 也稱可用性、連通性或者可達性,嚴格說應該是網(wǎng)絡的基本能力或屬性。Internet的出現(xiàn)以及采用新技術而帶來的生產力提高,導致對更高帶寬和服務的需求。
企業(yè)需要更高帶寬的定制服務;而消費者則需要像寬帶連接和視頻點播等服務;運營商必須在他們的目標市場需求與他們業(yè)務的現(xiàn)實之間取得平衡;這些都必須以網(wǎng)絡的連接性能為基礎和保障。
時延 定義了一個IP包穿越一個或多個網(wǎng)段所經(jīng)歷的時間。時延由固定時延和可變時延兩部分組成。固定時延基本不變,由傳播時延和傳輸時延構成;可變時延由中間路由器處理時延和排隊等待時延兩部分構成。
丟包率 是指丟失的IP包與所有的IP包的比值。許多因素會導致數(shù)據(jù)包在網(wǎng)絡上傳輸時被丟棄,例如數(shù)據(jù)包的大小以及數(shù)據(jù)發(fā)送時鏈路的擁塞狀況等。不同業(yè)務對丟包的敏感性不同,在多媒體業(yè)務中,丟包是導致圖像質量降低和斷幀的根本原因。
帶寬 一般分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當一條路徑(通路)中沒有其它背景流量時,網(wǎng)絡能夠提供的最大的吞吐量。可用帶寬是指在網(wǎng)絡路徑(通路)存在背景流量的情況下,能夠提供給某個業(yè)務的最大吞吐量。
在復雜的網(wǎng)絡系統(tǒng)上面,不同的應用占用不同的帶寬,重要的應用是否得到了最佳的帶寬?它占的比例是多少?隊列設置和網(wǎng)絡優(yōu)化是否生效?通過例如MRTG等網(wǎng)絡流量分析會使其更加明確,并以圖形HTML文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。
協(xié)議分析 對網(wǎng)絡流量進行協(xié)議劃分,如:Web瀏覽(HTTP)、電子郵件(POP3、SMTP、WEB MAIL)、文件下載(FTP)、即時聊天(MSN、QQ等)、流媒體(MMS、RTSP)等。針對不同的網(wǎng)絡應用協(xié)議進行流量監(jiān)控和分析,如果某一個協(xié)議在一個時間段內出現(xiàn)超常占用可用帶寬的情況,就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。
業(yè)務網(wǎng)段流量分析 大多數(shù)組織,都是將不同的業(yè)務系統(tǒng)通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統(tǒng)針對不同VLAN來進行網(wǎng)絡流量監(jiān)控。
主動分析避免異常流量
面對異常流量,我們應當建立一套分析系統(tǒng),支持異常流量發(fā)現(xiàn)和報警,能夠通過對一個時間段內歷史數(shù)據(jù)的自動學習,獲取包括總體網(wǎng)絡流量水平、流量波動、流量跳變等在內的多種網(wǎng)絡流量測度,并自動建立當前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎。
如果自行建立主動型的網(wǎng)絡分析系統(tǒng)一般包括:測量節(jié)點、中心服務器、數(shù)據(jù)庫和分析服務器。但對于中小企業(yè)來說難度較大。主動分析是借助產品化和集成程度較高的測量工具,有目的對生產網(wǎng)絡注入監(jiān)控點,并根據(jù)測量數(shù)據(jù)流的傳送情況來分析網(wǎng)絡的性能。雖然這些監(jiān)控點也會占用帶寬,但和P2P下載所占用的可用帶寬相比是微不足道的。
在排除病毒和封鎖P2P之后,一般帶寬占用前兩名的應用是基于網(wǎng)站頁面的在線音頻與在線視頻。為了節(jié)約帶寬,我們應該在工作時間段對其進行限制和封鎖。隨著網(wǎng)絡本身的性能增強,流量分析相關理論、測量方法、和各種測量工具的不斷出現(xiàn),人們對網(wǎng)絡的認識也會越來越深刻,從而不斷地推動網(wǎng)絡技術向前發(fā)展。
