隨著 IT、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和企業(yè)信息化程度的不斷提高���,各種網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富�,各種應(yīng)用時(shí)時(shí)刻刻都在爭(zhēng)奪有限的網(wǎng)絡(luò)帶寬��,從而導(dǎo)致網(wǎng)絡(luò)管理的難度不斷增大����。因此,如何保證網(wǎng)絡(luò)的可用性和關(guān)鍵業(yè)務(wù)的暢通運(yùn)行����,對(duì)企業(yè)發(fā)展將起到至關(guān)重要的作用。企業(yè)需要有相應(yīng)的技術(shù)手段,明確了解網(wǎng)絡(luò)上各種應(yīng)用的帶寬占用情況�����,分析用戶流量行為����,以便合理的規(guī)劃和分配網(wǎng)絡(luò)帶寬,有效地保障關(guān)鍵業(yè)務(wù)應(yīng)用的正常運(yùn)行����。
銳捷網(wǎng)絡(luò)的網(wǎng)絡(luò)透明化解決方案正是在這種情況下推出的一種基于IPFIX技術(shù)的網(wǎng)絡(luò)流量分析解決方案。通過(guò)了解和監(jiān)控網(wǎng)絡(luò)中的正常和非法流量�,可以幫助用戶建立網(wǎng)絡(luò)流量分布模型、監(jiān)控IT業(yè)務(wù)的服務(wù)質(zhì)量����、把握網(wǎng)絡(luò)流量的增長(zhǎng)節(jié)奏,從而有效保障關(guān)鍵業(yè)務(wù)應(yīng)用的正常運(yùn)行�。
1 方案背景
1.1 問(wèn)題的提出
“無(wú)法被量化的將無(wú)法改進(jìn)”。管理和優(yōu)化網(wǎng)絡(luò)首先要進(jìn)行測(cè)量�。隨著 IT、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和企業(yè)信息化程度的不斷提高���,各種網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富�,各種應(yīng)用時(shí)時(shí)刻刻都在爭(zhēng)奪有限的網(wǎng)絡(luò)帶寬,從而導(dǎo)致網(wǎng)絡(luò)管理的難度不斷增大��。因此����,如何保證網(wǎng)絡(luò)的可用性和關(guān)鍵業(yè)務(wù)的暢通運(yùn)行��,對(duì)用戶業(yè)務(wù)發(fā)展將起到至關(guān)重要的作用����。
隨著網(wǎng)絡(luò)的規(guī)模越來(lái)越大,IT服務(wù)的完善����,網(wǎng)絡(luò)管理者也會(huì)提出以下問(wèn)題:
1. 當(dāng)前的上網(wǎng)流量占用多大帶寬?這些帶寬主要誰(shuí)在占用��?這些占用是允許的嗎���?在 WWW 訪問(wèn)之外�����,是不是有大量的 FTP 等下載����?是允許的嗎?
2. DMZ 區(qū)的服務(wù)器有多少是內(nèi)網(wǎng)用戶在訪問(wèn)�,有多少是外網(wǎng)用戶在訪問(wèn)?如果是內(nèi)網(wǎng)用戶訪問(wèn)多(比如 DNS)���,是不是考慮將其遷移到服務(wù)器區(qū)��?外網(wǎng)用戶的訪問(wèn)有時(shí)間規(guī)律嗎���?
3. 外聯(lián)的服務(wù)器是提供特定用戶訪問(wèn)嗎?哪個(gè)訪問(wèn)流量最大����?最大流量占用的用戶是合法的嗎?服務(wù)器是不是該擴(kuò)容了�?有非法用戶訪問(wèn)這些服務(wù)器嗎?
4. 這些關(guān)鍵的業(yè)務(wù)服務(wù)器的帶寬夠用嗎��?是不是考慮一臺(tái)服務(wù)器提供多個(gè)業(yè)務(wù)服務(wù)或者多臺(tái)服務(wù)器提供一個(gè)業(yè)務(wù)服務(wù)�?除了生產(chǎn)業(yè)務(wù)外, 這些服務(wù)器是不是還提供其它無(wú)關(guān)的業(yè)務(wù)��, 導(dǎo)致影響性能��?誰(shuí)訪問(wèn)這些服務(wù)器更多一些?這些服務(wù)器在哪個(gè)時(shí)間段最繁忙�����?
5. 部門(mén)用戶用于工作(訪問(wèn)業(yè)務(wù)服務(wù)器)的流量有多大����?用于上網(wǎng)的流量有多大?誰(shuí)更多地使用互聯(lián)網(wǎng)����?是必要的嗎���?誰(shuí)占用的網(wǎng)絡(luò)帶寬最大��?這些占用是必要的嗎����?哪個(gè)用戶在非法掃描網(wǎng)絡(luò)�����?是否有用戶提供非法的下載(WWW/FTP)服務(wù)�?
1.2 問(wèn)題的歸納
這些問(wèn)題都是流量分析問(wèn)題���。歸結(jié)起來(lái),所有的流量問(wèn)題大致包含:
1. 這些寶貴的網(wǎng)絡(luò)帶寬誰(shuí)在占用�����?一定時(shí)間內(nèi)�,誰(shuí)占用最多?
2. 這些流量到底包含哪些內(nèi)容����?是數(shù)據(jù)庫(kù)通訊,還是 ping�����,還是網(wǎng)頁(yè)訪問(wèn)HTTP��,還是 FTP 下載���?
3. 這些流量是生產(chǎn)業(yè)務(wù)產(chǎn)生的流量嗎���?是必要的嗎?
4. 這些流量中是否包含病毒流量����?或者禁止使用的流量 (比如 ftp 下載) ����?
如果把這些問(wèn)題進(jìn)一步分析�,會(huì)發(fā)現(xiàn),這其實(shí)涉及到兩個(gè)問(wèn)題:
1)流量的分布問(wèn)題:是指全網(wǎng)中��,哪些點(diǎn)流量大��,哪些點(diǎn)流量?。?br />
2)流量的構(gòu)成問(wèn)題:對(duì)于特定的點(diǎn)��,流量的組成是什么��?由誰(shuí)發(fā)起的�?目的地在哪里����?
1.3 問(wèn)題的解決
要解決這些流量問(wèn)題,不是一件容易的事情����,常規(guī)的方法有幾種:
1.3.1 網(wǎng)管方式
網(wǎng)管方式通過(guò)啟動(dòng) SNMP�,來(lái)獲取流量信息���。但是����,SNMP 只能獲取流量的字節(jié)數(shù)���,無(wú)法獲取字節(jié)的構(gòu)成�����,更無(wú)法獲取流量的發(fā)起方�。 該方法可以解決流量的分布問(wèn)題����,無(wú)法解決流量的構(gòu)成問(wèn)題。
該方式主要用于設(shè)備的管理���,而不適用于精細(xì)的流量分析�����。
1.3.2 數(shù)據(jù)包監(jiān)聽(tīng)方式
該方法是將關(guān)注的流量串聯(lián)到或者鏡像到分析儀器(包括軟件分析�����,比如sniffer)����,通過(guò)分析儀器來(lái)獲取流量的構(gòu)成和細(xì)節(jié)。該方法可以做到流量的精細(xì)化分析����,做到 2-7 層的流量分析,但是�,缺點(diǎn)也很明顯,只有在部署分析儀器的地方進(jìn)行流量分析���, 如果做到全網(wǎng)多節(jié)點(diǎn)流量監(jiān)控�, 必須部署多個(gè)分析儀器��,導(dǎo)致部署成本急劇上升�。
該方式可以很好解決流量的構(gòu)成問(wèn)題�����,但幾乎無(wú)法解決流量的分布問(wèn)題��。 該方式適用于對(duì)少量關(guān)鍵點(diǎn)的監(jiān)控,常用于專業(yè)工程師的故障診斷���,不適合大規(guī)模日常使用���。
1.3.3 基于流(Flow)技術(shù)的方式
該方式是讓網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)流量的同時(shí),生成特定的流量信息�����,然后將流量信息發(fā)送到特定的分析模塊���,進(jìn)而實(shí)現(xiàn)對(duì)流量的分析���。
該方式的優(yōu)勢(shì)是明顯的,理想情況下���,如果讓網(wǎng)絡(luò)中的每臺(tái)網(wǎng)絡(luò)設(shè)備均發(fā)出流量信息�,那么就可以輕松解決流量的分布問(wèn)題�����,同時(shí)解決流量的構(gòu)成問(wèn)題。缺點(diǎn)是各廠商提供的流分析技術(shù)都是私有技術(shù)無(wú)法通用�。
也正是基于此,國(guó)際化流量監(jiān)控標(biāo)準(zhǔn)技術(shù)IPFIX(IP Flow Information Export)應(yīng)運(yùn)而生�。
1.3.4 解決方法的評(píng)估
網(wǎng)管方式無(wú)法進(jìn)行流量構(gòu)成分析,不再討論����。
對(duì)于數(shù)據(jù)包監(jiān)聽(tīng)方式和流(Flow)技術(shù)的方式:由于分析儀器的昂貴,監(jiān)聽(tīng)方式不適用于大規(guī)模部署�����,而且分析到 7 層應(yīng)用后��,容易使用戶隱私受到侵犯��;
而流(Flow)技術(shù)的分析方式功能均衡而強(qiáng)大��,對(duì)流量的分析只到業(yè)務(wù)字節(jié)����,不涉及應(yīng)用級(jí),無(wú)隱私顧慮���。如果以監(jiān)控20個(gè)物理端口為例進(jìn)行投資估算,監(jiān)聽(tīng)方式在幾十萬(wàn)甚至上百萬(wàn)人民幣數(shù)量級(jí),基于流(Flow)技術(shù)的流量分析方式成本大大降低���。因此����,流(Flow)技術(shù)方式更適合網(wǎng)絡(luò)流量分析���。
2 IPFIX技術(shù)介紹
2.1 IPFIX技術(shù)概述
基于流的技術(shù)被越來(lái)越廣泛地用于刻畫(huà)網(wǎng)絡(luò)傳輸流��,它在設(shè)置QoS策略����、部署應(yīng)用和進(jìn)行容量規(guī)劃上都有著巨大的價(jià)值�。但是,網(wǎng)絡(luò)管理員卻缺少一種輸出傳輸流的標(biāo)準(zhǔn)格式�����。
IPFIX全稱為IP Flow Information Export�,即IP數(shù)據(jù)流信息輸出,它是由IETF公布的用于網(wǎng)絡(luò)中的流信息測(cè)量的標(biāo)準(zhǔn)協(xié)議�����。該協(xié)議主要在于:
統(tǒng)一IP數(shù)據(jù)流的統(tǒng)計(jì)、輸出標(biāo)準(zhǔn)�,這使得網(wǎng)絡(luò)管理員很容易地提取和查看存儲(chǔ)在這些網(wǎng)絡(luò)設(shè)備中的重要流量統(tǒng)計(jì)信息。
輸出格式具有較強(qiáng)的可擴(kuò)展性����,因此如果流量監(jiān)控的要求發(fā)生改變,網(wǎng)絡(luò)管理員也可通過(guò)修改相應(yīng)配置來(lái)實(shí)現(xiàn)�,不必升級(jí)網(wǎng)絡(luò)設(shè)備軟件或管理工具。
IPFIX定義的格式以Cisco Netflow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ)�,可使IP流量信息從一個(gè)輸出器(Exporter)傳送到收集器(Collector)。因?yàn)镮PFIX是一種針對(duì)數(shù)據(jù)流特征分析�、基于模板的格式輸出的協(xié)議,因此具有很強(qiáng)的可擴(kuò)展性����,對(duì)于不同的需求都可以定義不同的數(shù)據(jù)格式。
為了較完整的輸出數(shù)據(jù)����,IPFIX缺省使用網(wǎng)絡(luò)設(shè)備的七個(gè)關(guān)鍵域來(lái)表示每股網(wǎng)絡(luò)流量:
·源 IP 地址
·目的 IP 地址
·TCP/UDP 源端口
·TCP/UDP 目的端口
·三層協(xié)議類型
·服務(wù)類型(Type-of-service)字節(jié)
·輸入邏輯接口
如果不同的 IP 報(bào)文中所有的七個(gè)關(guān)鍵域都匹配,那么這些 IP 報(bào)文都將被視為屬于同一股流量����。通過(guò)記錄網(wǎng)絡(luò)中這些流量的特征,如流量持續(xù)時(shí)間��、流量中報(bào)文平均長(zhǎng)度等, 我們可以了解到當(dāng)前網(wǎng)絡(luò)的應(yīng)用情況���,并根據(jù)這些信息對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化,安全檢測(cè)�,流量計(jì)費(fèi)。
IPFIX記錄除了缺省的記錄流信息�,可以基于模板的格式隨意選擇。銳捷交換機(jī)IPFIX記錄的流信息非常豐富�����,基本流輸出如下信息(可隨意調(diào)整選擇):
·流開(kāi)始時(shí)間
·流結(jié)束時(shí)間
·流的字節(jié)數(shù)
·流的報(bào)文數(shù)
·源IP地址
·目的IP地址
·源端口號(hào)
·目的端口號(hào)
·入接口
·出接口
·協(xié)議類型
·IP TOS
·TCP Flags
·下一跳IP地址
·下一跳B(niǎo)GP地址
·源BGP AS Number
·目的BGP AS Number
·最小報(bào)文長(zhǎng)度
·最大報(bào)文長(zhǎng)度
·報(bào)文最小TTL
·報(bào)文最大TTL
銳捷交換機(jī)IPFIX流信息有如下特點(diǎn):
除了基本的統(tǒng)計(jì)信息外�,還記錄TCP Flags、最小報(bào)文長(zhǎng)度�����、最大報(bào)文長(zhǎng)度�����、最小TTL�、最大TTL,通過(guò)這些信息可以對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全進(jìn)行分析�����。
除了基本的流統(tǒng)計(jì)信息外,還記錄下一跳IP地址�����、下一跳B(niǎo)GP地址�、源BGP AS Number、目的BGP AS Number��、出接口��,通過(guò)這些信息可以對(duì)網(wǎng)絡(luò)故障和網(wǎng)絡(luò)規(guī)劃進(jìn)行分析�。
流的標(biāo)識(shí)(關(guān)鍵字)不只上述規(guī)定的七個(gè)元素,還包括下一跳IP地址����、下一跳B(niǎo)GP地址、源BGP AS Number���、目的BGP AS Number���、出接口,當(dāng)流的7元素沒(méi)有改變時(shí)����,而是網(wǎng)絡(luò)拓?fù)涓淖儠r(shí)(比如下一跳地址改變)�,那么也會(huì)作為一個(gè)新的流����,這些信息有助于分析網(wǎng)絡(luò)環(huán)境的改變�、或者網(wǎng)絡(luò)拓?fù)涠秳?dòng)等問(wèn)題。
2.2 IPFIX技術(shù)價(jià)值
1. IPFIX統(tǒng)一了流量監(jiān)控標(biāo)準(zhǔn)��,通過(guò)使用單一的�����、一致的模型��,簡(jiǎn)化了流輸出架構(gòu)��。
隨著IPFIX標(biāo)準(zhǔn)更廣泛地為網(wǎng)絡(luò)設(shè)備廠商采用����,網(wǎng)絡(luò)管理員不用再為支持多個(gè)流報(bào)告應(yīng)用而操心,每個(gè)應(yīng)用都有自己的流輸出格式�。IPFIX讓他們可以使用一個(gè)符合這項(xiàng)標(biāo)準(zhǔn)的流報(bào)告應(yīng)用程序。此外���,IPFIX的可擴(kuò)展性使得網(wǎng)絡(luò)管理員不必在傳輸流監(jiān)測(cè)或報(bào)告需求發(fā)生變化時(shí)修改或升級(jí)設(shè)備配置�。
2. IPFIX標(biāo)準(zhǔn)關(guān)注網(wǎng)絡(luò)升級(jí)時(shí)的流輸出可擴(kuò)展性。
隨著MPLS����、IPv6和多播路由等網(wǎng)絡(luò)技術(shù)的日益普及,管理員也需要更好地了解它們對(duì)網(wǎng)絡(luò)環(huán)境的影響����,這種可擴(kuò)展性就變得越來(lái)越重要。為了確保這種可擴(kuò)展性的輕松實(shí)現(xiàn)����,IPFIX兼容設(shè)備將輸出模板,這些模板詳細(xì)說(shuō)明那些為輸出而配置的流“特征”�。流的采集和報(bào)告應(yīng)用程序可以被用來(lái)讀取這些模板,以了解哪些“特征”被輸出�,因此網(wǎng)絡(luò)管理員不需要調(diào)整應(yīng)用程序配置。
3. IPFIX RFC定義了不同的流輸出應(yīng)用���,包括基于使用的統(tǒng)計(jì)��、傳輸流分布����、傳輸流工程、攻擊/入侵檢測(cè)和QoS監(jiān)測(cè)����。
例如,支持IPFIX的流報(bào)告應(yīng)用程序通過(guò)讀取服務(wù)類型字節(jié)流“特征”����,可以顯示每一個(gè)等級(jí)的QoS服務(wù)會(huì)消耗多少網(wǎng)絡(luò)傳輸流。此外�����,流量報(bào)告應(yīng)用還可以顯示應(yīng)用和用戶如何根據(jù)服務(wù)類型策略分類�。支持IPFIX攻擊/入侵檢測(cè)的應(yīng)用將能夠提供基準(zhǔn)協(xié)議(Baseline)和地址數(shù)據(jù)來(lái)確定網(wǎng)絡(luò)異?��,F(xiàn)象�����。
4. IPFIX描述對(duì)于流量輸出至關(guān)重要的眾多規(guī)則����,包括時(shí)間戳、時(shí)間同步�、流終止、數(shù)據(jù)包分段和多播流行為����。
例如,傳送多播應(yīng)用流的IPFIX兼容設(shè)備應(yīng)當(dāng)輸出反映每一個(gè)進(jìn)入設(shè)備接口的流記錄�����。此外�����,這類設(shè)備應(yīng)當(dāng)輸出通過(guò)多播傳送給同一臺(tái)設(shè)備上所有輸出接口每個(gè)數(shù)據(jù)包的流記錄�。同使用多播輸出行為一樣,RFC中列出的其他規(guī)則使網(wǎng)絡(luò)設(shè)備廠商可以更好地了解IPFIX標(biāo)準(zhǔn)的支持要求���,以及它如何在已有的技術(shù)中實(shí)現(xiàn)集成�����。
3 網(wǎng)絡(luò)透明化解決方案
3.1 解決方案組成
IPFIX是基于“流”的概念�,一個(gè)流是指��,來(lái)自相同的子接口,有相同的源和目的IP 地址����,協(xié)議類型,相同的源和目的協(xié)議端口號(hào)����,以及相同ToS的報(bào)文,通常為5元組����。
IPFIX會(huì)記錄這個(gè)流的統(tǒng)計(jì)信息,包括:時(shí)間戳��,報(bào)文數(shù)�����,總的字節(jié)數(shù)����。
網(wǎng)絡(luò)透明化解決方案包括:流量采樣設(shè)備(Exporter)���、流量采集設(shè)備(Collector)�、數(shù)據(jù)分析處理設(shè)備(Analyser),三個(gè)設(shè)備之間的關(guān)系如下圖所示:
圖:解決方案的組成
Export設(shè)備對(duì)網(wǎng)絡(luò)流進(jìn)行分析處理��,提取符合條件的流統(tǒng)計(jì)信息�����,并將統(tǒng)計(jì)信息輸出給Collector設(shè)備��。
Collector設(shè)備負(fù)責(zé)解析Export的數(shù)據(jù)報(bào)文�����,把統(tǒng)計(jì)數(shù)據(jù)收集到數(shù)據(jù)庫(kù)中�,可供Analyser進(jìn)行解析。
Analyser設(shè)備從Collector中提取統(tǒng)計(jì)數(shù)據(jù)�����,進(jìn)行后續(xù)處理��,為各種業(yè)務(wù)提供依據(jù),以圖形界面的形式顯示出來(lái)���。
Exporter
提供IPFIX技術(shù)接口的網(wǎng)絡(luò)設(shè)備(銳捷網(wǎng)絡(luò)公司的路由器和交換機(jī)����,交換機(jī)需要配置高性能的IPFIX 流量分析模塊),負(fù)責(zé)對(duì)設(shè)備各個(gè)端口進(jìn)出的網(wǎng)絡(luò)報(bào)文進(jìn)行流分類統(tǒng)計(jì)���,然后封裝成IPFIX報(bào)文輸出�����。
Collector
Collector設(shè)備可以采集一個(gè)或多個(gè)Exporter設(shè)備輸出的數(shù)據(jù)�����,對(duì)數(shù)據(jù)進(jìn)行過(guò)濾和聚合���,并將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中供分析處理。
Analyser
Analyser是一個(gè)網(wǎng)絡(luò)流量的分析工具�����,對(duì)采集來(lái)的流量數(shù)據(jù)進(jìn)行分析處理����。為便于網(wǎng)絡(luò)管理人員的操作���,采用基于Web形式訪問(wèn)����,提供直觀的、圖形化的管理界面�����,所有數(shù)據(jù)輸出都直接在Web頁(yè)面中顯示����。
3.2 Exporter設(shè)備功能
Exporter作為支持IPFIX流量分析技術(shù)的網(wǎng)絡(luò)設(shè)備,首先需要打開(kāi)網(wǎng)絡(luò)設(shè)備的偵聽(tīng)端口���,然后配置將IPFIX日志要發(fā)送到哪個(gè)IP的哪個(gè)端口(即Collector設(shè)備的監(jiān)聽(tīng)端口),也就是配置輸出目的IP地址和目的端口��。同時(shí)也要配置輸出IPFIX報(bào)文的源地址和輸出模板相關(guān)參數(shù)����。
這樣�����,設(shè)備就會(huì)把IPFIX日志以UDP包的形式發(fā)往Collector設(shè)備�����,而Collector設(shè)備NTC則可從偵聽(tīng)端口源源不斷的接收IPFIX日志。
3.3 Collector設(shè)備功能
IPFIX日志被Collector設(shè)備采集到之后�����,將會(huì)做聚合處理����;流聚合模式,就是通過(guò)其定義的特定關(guān)鍵字段����,對(duì)主模式的流進(jìn)行重新的聚合產(chǎn)生新的流。系統(tǒng)為這些聚合模式保留一定的緩存����,類似于主緩存,這里稱作流聚合緩存�。當(dāng)一個(gè)流記錄從主緩存出來(lái)后,它包含的流信息將用于對(duì)每個(gè)使能的流聚合緩存中相應(yīng)的流聚合記錄進(jìn)行更新����。這樣可減少最終存入數(shù)據(jù)庫(kù)的數(shù)據(jù)量,并提高了分析的效率�����。
同時(shí)��,Collector設(shè)備也會(huì)對(duì)存入數(shù)據(jù)庫(kù)的數(shù)據(jù)作進(jìn)一步的統(tǒng)計(jì)處理��,以便快速產(chǎn)生各類分析報(bào)表�。例如由于主模式流記錄可能很多,所以銳捷網(wǎng)絡(luò)另外提供了一種快速查看的模式�,即top-talkers。這是一種將流記錄按一定規(guī)則排序后�����,只顯示排序前若干位的記錄的模式�,便于用戶在大量的數(shù)據(jù)中抓住重點(diǎn),提供快速的分析手段��。
3.4 Analyzer設(shè)備功能
Analyzer設(shè)備對(duì) Collector設(shè)備生成的所有數(shù)據(jù)進(jìn)行分析����,對(duì)數(shù)據(jù)進(jìn)行二次聚合、統(tǒng)計(jì)分析���,獲取網(wǎng)絡(luò)的深入可見(jiàn)性��,即關(guān)于每個(gè)鏈路和基于可配置IP的部門(mén)/分部的大型主機(jī)�����、應(yīng)用程序、DSCP����、TCP標(biāo)志和AS信息?���;贗P地址的細(xì)粒度應(yīng)用程序分類和識(shí)別。
分析的結(jié)果以非常直觀的圖表�����、表格等形式展示給用戶����,通過(guò)這些分析結(jié)果,用戶可以監(jiān)控網(wǎng)絡(luò)使用狀況�����、應(yīng)用使用狀況��、用戶網(wǎng)絡(luò)訪問(wèn)行為,通過(guò)深入分析特定的應(yīng)用程序����、用戶、端口或通信網(wǎng)絡(luò)��,用戶可準(zhǔn)確識(shí)別峰值和爆發(fā)的資源�����,從而主動(dòng)監(jiān)控���,做出明智的決定。
3.5 Analyzer設(shè)備報(bào)表
analyzer預(yù)置了一組豐富的帶寬報(bào)表���,提供全面的帶寬使用統(tǒng)計(jì)數(shù)據(jù)���,幫助用戶查看造成網(wǎng)絡(luò)瓶頸的特定主機(jī)、應(yīng)用或?qū)υ捗骷?xì)���。除快速識(shí)別堵塞的鏈路以外����,還可以查看不同時(shí)間段的帶寬使用趨勢(shì),有助于用戶在帶寬規(guī)劃和加強(qiáng)安全策略方面做出重要決定�,從而有效利用帶寬。
流量使用報(bào)表
查看一個(gè)接口的當(dāng)前��、平均和峰值流量使用情況�。了解某個(gè)接口使用多少有效帶寬。
歷史報(bào)表
查看帶寬使用每日�����、每周���、每月的流量報(bào)表�。查看基于主機(jī)�����、應(yīng)用和時(shí)間的使用趨勢(shì)���。
流量分析
查看不同時(shí)間段的應(yīng)用����、主機(jī)�、對(duì)話排行�����,并獲取詳細(xì)信息��。清楚呈現(xiàn)誰(shuí)使用最多的帶寬��,做什么���。
自定義報(bào)表
查看特定主機(jī)����、應(yīng)用或?qū)υ挼膸捠褂们闆r。利用該報(bào)表���,用戶可以關(guān)聯(lián)信息����,查看誰(shuí)在什么時(shí)候使用帶寬�����、用于什么應(yīng)用���、多長(zhǎng)時(shí)間���。
Subnet和基于IP范圍的報(bào)表
查看通過(guò)特定subnet或IP范圍的流量報(bào)表�����。每個(gè)網(wǎng)絡(luò)或subnet的帶寬使用����,確定通過(guò)用戶組的高峰時(shí)間和典型使用趨勢(shì)�����。
接口報(bào)表
查看不同時(shí)間段每個(gè)接口的帶寬使用匯總����。獲取高峰時(shí)間接口使用統(tǒng)計(jì)數(shù)據(jù),便于解決網(wǎng)絡(luò)瓶頸����。
可解析的主機(jī)地址
所有流量報(bào)表,包括可解析的資源和目標(biāo)IP地址���,即時(shí)查看流入或流出網(wǎng)站或主機(jī)的帶寬統(tǒng)計(jì)數(shù)據(jù)��。
變量顯示
查看流量圖表��,包括流量(Kb)��,流量速率(bps)��,或鏈路利用百分比�����。
報(bào)表輸出
輸出并保存PDF文件的圖表和報(bào)表����。
3.6 業(yè)務(wù)功能展示
3.6.1 網(wǎng)絡(luò)用戶分區(qū)管理
設(shè)備分組:能夠按區(qū)域區(qū)分流量��,實(shí)現(xiàn)分區(qū)管理����;
IP分組:將流量源IP進(jìn)行分組,可按組織架構(gòu)進(jìn)行流量區(qū)分�����,以掌握各部門(mén)的流量情況���。
圖:IP分組管理
3.6.2 應(yīng)用流量分析
此類報(bào)表顯示了每個(gè)應(yīng)用的帶寬使用情況�,以便了解哪些應(yīng)用占用最大帶寬。還可以深入分析使用這些應(yīng)用的源和目標(biāo)����。只需簡(jiǎn)單點(diǎn)擊,這些詳細(xì)信息即可呈現(xiàn)誰(shuí)在使用帶寬以及為什么使用���。然后就可以決定是否需要增加可用帶寬或加強(qiáng)安全策略�����。
通過(guò)對(duì)流量的識(shí)別��,統(tǒng)計(jì)網(wǎng)內(nèi)流量的占比���,知道各種業(yè)務(wù)流量的大小、變化趨勢(shì)��,以規(guī)劃和優(yōu)化網(wǎng)絡(luò)�����。
所有流量報(bào)表����,包括可解析的資源和目標(biāo)IP地址�,即時(shí)查看流入或流出網(wǎng)站或主機(jī)的帶寬統(tǒng)計(jì)數(shù)據(jù)���。能夠?qū)崿F(xiàn)對(duì)一個(gè)具體IP應(yīng)用的深入分析�����,以便管理員了解IP流量異常時(shí)的流量分配�����,做出判斷�����,給出相應(yīng)的安全策略。
圖:業(yè)務(wù)應(yīng)用分析
圖:具體IP應(yīng)用的深入分析
3.6.3 流量目標(biāo)地址統(tǒng)計(jì)
通過(guò)流量流向的TOP N統(tǒng)計(jì)��,能夠識(shí)別受歡迎的地址����。同時(shí)能夠識(shí)別這些地址的協(xié)議內(nèi)容。
圖:目的流入排行榜報(bào)表
圖:具體一個(gè)目的IP的流入排行榜
3.6.4 帶寬使用實(shí)時(shí)統(tǒng)計(jì)
此類報(bào)表用來(lái)查看每個(gè)啟用IPFIX的接口當(dāng)前�、平均和最高的帶寬使用情況��。利用這些帶寬使用的統(tǒng)計(jì)數(shù)據(jù)��,就可以立刻了解某個(gè)接口相關(guān)的主機(jī)�、應(yīng)用和會(huì)話占用了多少帶寬�。
圖:帶寬使用實(shí)時(shí)統(tǒng)計(jì)
圖:基于接口速度、接口利用率�����、IP組速度��、IP組利用率進(jìn)行排行
圖:基于接口的報(bào)表統(tǒng)計(jì)
3.6.5 網(wǎng)內(nèi)流量趨勢(shì)
查看帶寬使用每日���、每周�����、每月的流量報(bào)表�����。查看基于主機(jī)���、應(yīng)用和時(shí)間的使用趨勢(shì)�。一天�����、一周�、一月和一年內(nèi)的帶寬使用趨勢(shì),并決定是否需要升級(jí)帶寬���。
從網(wǎng)絡(luò)總?cè)萘?���、速度��、使用率���、?shù)據(jù)包四個(gè)維度去統(tǒng)計(jì)和分析趨勢(shì)�����;根據(jù)幾個(gè)指標(biāo)的飽和度,可以考慮是否需要對(duì)網(wǎng)絡(luò)進(jìn)行擴(kuò)容��;同時(shí)預(yù)測(cè)負(fù)載峰值時(shí)間����,采取有效措施保證網(wǎng)絡(luò)不會(huì)過(guò)載��。
圖:內(nèi)網(wǎng)流量趨勢(shì)表
3.6.6 高效便捷的流量管理
提供基于流量閾值的報(bào)警機(jī)制�,用戶可靈活的定制告警條件�����,預(yù)防網(wǎng)絡(luò)流量異常���;提供基于WEB的訪問(wèn)方式�,管理員可以“隨時(shí)��、隨地”的監(jiān)控自己的網(wǎng)絡(luò)�。
圖:流量管理配置報(bào)警表
4 網(wǎng)絡(luò)透明化解決方案組網(wǎng)模式及應(yīng)用
4.1 網(wǎng)絡(luò)透明化解決方案組網(wǎng)模式
圖:IPFIX在網(wǎng)絡(luò)各層中的應(yīng)用
利用IPFIX日志,網(wǎng)絡(luò)透明化解決方案提供了一種網(wǎng)絡(luò)監(jiān)測(cè)���、分析的方式����,直接從支持IPFIX功能的路由器和交換機(jī)中收集流量信息����,可以靈活啟動(dòng)不同層面(接入層���、匯聚層、核心層)的網(wǎng)絡(luò)設(shè)備進(jìn)行IPFIX流量日志收集��,并將收集的內(nèi)容以IPFIX 格式的日志輸出給Collector設(shè)備進(jìn)行分析��。 用戶使用Analyser的分析功能�����, 可以做網(wǎng)絡(luò)使用狀況監(jiān)控�����、 用戶行為追蹤�����、異常流量檢測(cè)等��,并且基于功能豐富的報(bào)表����,用戶可以做網(wǎng)絡(luò)規(guī)劃方面的決策����。
4.2 網(wǎng)絡(luò)透明化解決方案應(yīng)用
IPFIX技術(shù)定義了一種路由器/交換機(jī)向管理系統(tǒng)輸出流量數(shù)據(jù)的方法���, 通過(guò)采集和分析流量數(shù)據(jù),并將流量數(shù)據(jù)與管理控制臺(tái)中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系���,對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行管理�����。
IPFIX技術(shù)的IP網(wǎng)絡(luò)流量數(shù)據(jù)報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)���,這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的問(wèn)題:
-
流量的分布問(wèn)題;是指全網(wǎng)中���,哪些點(diǎn)流量大�,哪些點(diǎn)流量?�?���?
-
流量的構(gòu)成問(wèn)題�����;對(duì)于特定的點(diǎn)�,流量的組成是什么�����?由誰(shuí)發(fā)起的��?目的地在哪里�?
利用網(wǎng)絡(luò)透明化網(wǎng)流分析系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,就能從中提取出網(wǎng)絡(luò)流量特征�,從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。
網(wǎng)絡(luò)優(yōu)化
網(wǎng)絡(luò)透明化解決方案�,可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況,網(wǎng)內(nèi)應(yīng)用資源使用情況����,對(duì)核心網(wǎng)絡(luò)的重點(diǎn)鏈路進(jìn)行統(tǒng)計(jì),各類TOP應(yīng)用百分比���,使用各類應(yīng)用的網(wǎng)內(nèi)用戶��、服務(wù)器的流量趨勢(shì)及統(tǒng)計(jì)值�����,迅速發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)前的使用狀況和不同鏈路的使用率變化趨勢(shì)��,盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理�,或是網(wǎng)絡(luò)性能瓶頸�����,盡快做出網(wǎng)絡(luò)優(yōu)化方面的決斷����,最終實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化使用,為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)����,并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問(wèn)題。
網(wǎng)絡(luò)規(guī)劃參考
利用IPFIX流日志以及網(wǎng)絡(luò)透明化長(zhǎng)期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢(shì)報(bào)表���, 如基于設(shè)備接口的長(zhǎng)期流量入出趨勢(shì)�����,長(zhǎng)期流量入出趨勢(shì)分析����,各類應(yīng)用百分比,有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測(cè)網(wǎng)絡(luò)鏈路流量的增長(zhǎng)�,從而能有效的規(guī)劃網(wǎng)絡(luò)升級(jí)(例如,增加路由服務(wù)��、端口或使用更高帶寬的接口)����。
網(wǎng)絡(luò)流量異常監(jiān)測(cè)
管理者都希望在網(wǎng)絡(luò)性能突然下降的時(shí)候找到問(wèn)題所在,并迅速解決問(wèn)題���。
利用網(wǎng)絡(luò)透明化解決方案提供的某段時(shí)間內(nèi)的流量����、應(yīng)用趨勢(shì)分析����,可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長(zhǎng)或突然下降的現(xiàn)象,并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量�、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問(wèn)題。根據(jù)最終分析結(jié)果����,管理者可快速的解決掉網(wǎng)絡(luò)異常問(wèn)題��,保證網(wǎng)絡(luò)正常的運(yùn)行��!
廣域網(wǎng)流量監(jiān)測(cè)
對(duì)于一個(gè)企業(yè)來(lái)說(shuō)�,WAN帶寬通常有限����,如果WAN鏈路流量增大,通常企業(yè)的做法就是進(jìn)行投資以升級(jí)WAN鏈路�����,但是如果企業(yè)能掌握WAN流量的特征����,制定相應(yīng)的策略(比如QoS和針對(duì)源或目的IP地址作流限制)�,就能使WAN帶寬得到最合理最充分的使用,避免進(jìn)行不必要的升級(jí)投資�。
網(wǎng)絡(luò)透明化解決方案所提供的分析結(jié)果能夠使網(wǎng)絡(luò)管理員洞察WAN鏈路的流量特征、承載的應(yīng)用����、用戶使用狀況,從而針對(duì)是否應(yīng)投資升級(jí)帶寬快速的做出響應(yīng)�����!
5 結(jié)束語(yǔ)
“無(wú)法被量化的將無(wú)法改進(jìn)”。管理和優(yōu)化網(wǎng)絡(luò)首先要進(jìn)行測(cè)量�����。
要進(jìn)行網(wǎng)絡(luò)整體流量分析�,即實(shí)現(xiàn)流量的分布分析和構(gòu)成分析,則基于流(Flow)技術(shù)是當(dāng)前的最優(yōu)選擇�,可以針對(duì)超大、大�����、中��、小型不同規(guī)模的網(wǎng)絡(luò)��,實(shí)現(xiàn)全網(wǎng)流量的精細(xì)化監(jiān)控���,包括流量分布情況和流量構(gòu)成情況��。
而IPFIX作為目前標(biāo)準(zhǔn)化的一種網(wǎng)絡(luò)流量監(jiān)控標(biāo)準(zhǔn)����,統(tǒng)一了流量監(jiān)控標(biāo)準(zhǔn),通過(guò)使用單一的����、一致的模型,簡(jiǎn)化了流輸出架構(gòu)����,它為高速網(wǎng)絡(luò)用戶帶來(lái)價(jià)值,目前此標(biāo)準(zhǔn)逐漸被多個(gè)廠家的網(wǎng)絡(luò)設(shè)備所支持����。目前銳捷網(wǎng)絡(luò)已經(jīng)提供了IPFIX功能,擁有完善的網(wǎng)絡(luò)透明化解決方案�����,滿足網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)管理�、網(wǎng)絡(luò)規(guī)劃����、網(wǎng)絡(luò)監(jiān)控方面的需求。
