了解網絡流量的分布、找到優化網絡性能的方法���、通過網絡管理技術來提升網絡效能,同時做好網絡流量信息安全方面的防護工作,這是網絡流量管理的主要工作內容。
近十幾年來��,互聯網得到了飛速發展�。據統計,互聯網目前已成為人類社會最重要的信息基礎設施,占人類信息交流的80%�����。在這種大背景下�,面對日益復雜的網絡聯機及逐漸增加的網絡流量,系統和網絡管理者必須花更多時間和精力來了解這些網絡設備的運作狀況,以維持一個企業網絡的正常運作����。一般來說��,網絡管理者需要了解各個網段頻寬的使用率���、網絡問題的瓶頸發生于何處�����,一旦網絡發生問題,必須能夠很快地分析和判斷出問題的發生原因���,這些就是網絡流量管理的主要工作內容�����。那么,管理網絡流量的時候應該基于什么樣的依據,通過什么手段和策略有效地把流量進行識別、分析和管理呢?
網絡流量管理的目標
隨著網絡流量的不斷增長以及網絡應用的日趨紛繁復雜化,我們不難看到���,簡單����、無限制地增加網絡帶寬是不能解決網絡流量的根本問題的。我們需要對網絡流量進行管理,從而保證網絡的健康和網絡應用的正常服務�。
在網絡流量管理的過程中����,我們首要的問題就要明確網絡管理目標��。在網絡流量管理主要有4個目標: 首先��,我們要了解網絡流量的使用情況; 其次�����,要找到優化網絡性能的途徑; 第三,要通過網絡管理技術來提升網絡效能; 最后���,還需要做好網絡流量信息安全方面的防護工作。
要達到上述4個目標���,網絡管理員首先要通過有效的分類方式非常明確地知道,我們需要的帶寬到底哪些是實際使用的。其次是找到網絡性能的瓶頸����。網絡性能有兩個很重要的指標���,一個是吞吐量,即網絡能夠傳輸的最大數據量����,另一個是延遲等��。第三�����,應用成熟的流量監控及控制軟件來提升網絡性能,從而滿足不同的網絡應用需求��。最后,網管們還可以綜合運用入侵檢測系統(IDS)�����、防火墻����、統一威脅管理(UTM)設備來對網絡流量進行信息安全方面的防護工作���。
在日常的網絡流量管理中��,為了有效實現網絡管理4個目標�����,我們需要采取相應的步驟。這個步驟包括網絡流量捕捉和分類����、網絡流量監視(統計和分析)和控制策略����。
1. 網絡流量捕捉和分類: 這是進行網絡流量管理的第一步�。只有通過設置捕捉點����,對網絡流量進行捕捉和分類�,才能進行后續的分析和控制工作���。這里特別需要強調的是����,網絡流量分類可以非常宏觀化,也可以細化����。比如TCP���、UDP����、ICMP等分類就比較宏觀��,而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化了���。在日常工作中,網絡管理員可以采用Wireshark、TCPDump等知名的報文捕捉和分析軟件進行流量捕捉和分類工作���。
2.網絡流量監視(分析): 監視用來顯示流量的運行狀況��,幫助找出問題所在和執行相應的管理策略����。應用程序和網絡管理能夠收集分類�����、展示和收集信息�����,包括帶寬利用率、活躍的主機和網絡效率以及活躍的應用程序。該目標可以通過采用市面上常見的NTOP等可視化分析管理工具來協助網絡管理員在實際工作中實現����。
3. 控制策略: 網絡流量分析的下一步是根據優先級別分配帶寬資源���。分配的依據可以是主機、應用等等���,特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進行滯后考慮���。具體操作時可以應用流行的流量控制工具來進行和實現�,如進行分類監視和控制網絡流量���,這樣�,我們就可以將網絡流量有效管理起來��,將原來無序的網絡流量變得有序起來�。
以下我們具體介紹如何進行網絡流量管理工作��,包括網絡流量的識別���、網絡流量的分析和控制����。
網絡流量的識別
流量識別,也叫業務識別(Application Awareness),是網絡流量管理的第一步�。網絡流量識別通過對業務流量從數據鏈路層到應用層的報文深度檢查分析��,依據協議類型、端口號、特征字符串和流量行為特征等參數���,獲取業務類型、業務狀態、業務內容和用戶行為等信息����,并進行分類統計和存儲。業務識別的基本目的是幫助網絡管理員獲得網絡層之上的業務層流量信息���,如業務類型��、業務狀態、業務分布����、業務流量流向等��。
業務識別是一個相對復雜的過程��,需要多個功能模塊的協同工作,業務識別的工作過程簡單描述如下:
1. 識別處理模塊采用多通道識別處理���,通過對網絡流量的源/目的IP地址和源/目的端口號的Hash算法,將網絡流量均勻地分配到多個處理通道中�。
2. 多處理通道并行執行網絡流量的深度報文檢查,獲取網絡流量的特征信息���,并與業務識別特征庫中的特征進行比對。
3. 將匹配結果送往識別處理模塊���,并標識特定網絡流量。如果存在多個匹配結果�����,選取優先級較高的匹配結果進行標識��。特定網絡流量一經識別確定��,該網絡流量的后續連接將不再進行深度的報文檢查����,直接將其網絡層和傳輸層信息與已知識別結果進行比對����,以提高執行效率����。
4. 識別處理模塊將網絡流量的業務識別結果存儲到識別結果存儲模塊中,為網絡流量的統計分析提供依據。
5. 統計分析模塊從識別結果存儲模塊中讀取相關信息����,并以曲線�����、餅圖�、柱狀圖或者文本的方式將識別結果信息顯示或以文件的形式輸出。
6. 在結果存儲模塊中保存的識別結果信息會輸出到網絡流量管理功能區��,為實施網絡流量管理提供依據���。
目前常用的業務識別技術有兩種����,即DPI技術和DFI技術�����。
DPI技術 DPI是深度報文檢測(Deep Packet Inspection)的簡稱。DPI技術之所以稱為“深度”的檢測技術���,是相對于傳統的檢測技術而言的����。傳統的流量檢測技術僅獲取那些寄存在數據包網絡層和傳輸層協議頭中的基本信息,包括源/目的IP地址、源/目的傳輸層端口號���、協議號,以及底層的連接狀態等����。通過這些參數很難獲得足夠多的業務應用信息�,特別是對于當前P2P應用、VoIP應用、IPTV應用被廣泛開展的情況���,傳統的流量檢測技術已經不能滿足網絡流量管理的需要了。
相關推薦:
網絡管理員:緊急處理Web服務器訪問失敗故障
