互聯(lián)網(wǎng)目前已成為人類社會最重要的信息基礎(chǔ)設(shè)施,占人類信息交流的80%���。在這種大背景下���,系統(tǒng)和網(wǎng)絡(luò)管理者必須花更多時間和精力來了解這些網(wǎng)絡(luò)設(shè)備的運作狀況�,以維持一個企業(yè)網(wǎng)絡(luò)的正常運作。那么�����,管理網(wǎng)絡(luò)流量的時候應(yīng)該基于什么樣的依據(jù)�����,通過什么手段和策略有效地把流量進行識別�、分析和管理呢?
網(wǎng)絡(luò)流量管理的目標(biāo)
隨著網(wǎng)絡(luò)流量的不斷增長以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁復(fù)雜化��,我們需要對網(wǎng)絡(luò)流量進行管理����,從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)��。
在網(wǎng)絡(luò)流量管理的過程中���,我們首要的問題就要明確網(wǎng)絡(luò)管理目標(biāo)����。在網(wǎng)絡(luò)流量管理主要有4個目標(biāo):首先�,我們要了解網(wǎng)絡(luò)流量的使用情況�����;其次��,要找到優(yōu)化網(wǎng)絡(luò)性能的途徑�����;第三�����,要通過網(wǎng)絡(luò)管理技術(shù)來提升網(wǎng)絡(luò)效能��;最后�����,還需要做好網(wǎng)絡(luò)流量信息安全方面的防護工作���。
在日常的網(wǎng)絡(luò)流量管理中,為了有效實現(xiàn)網(wǎng)絡(luò)管理4個目標(biāo)����,我們需要采取相應(yīng)的步驟����。這個步驟包括網(wǎng)絡(luò)流量監(jiān)視(統(tǒng)計和分析)�����、網(wǎng)絡(luò)流量捕捉和分類和控制策略���。
網(wǎng)絡(luò)流量的識別
流量識別����,也叫業(yè)務(wù)識別(Application Awareness)���,是網(wǎng)絡(luò)流量管理的第一步�。網(wǎng)絡(luò)流量識別通過對業(yè)務(wù)流量從數(shù)據(jù)鏈路層到應(yīng)用層的報文深度檢查分析�����,依據(jù)協(xié)議類型�、端口號����、特征字符串和流量行為特征等參數(shù)��,獲取業(yè)務(wù)類型�、業(yè)務(wù)狀態(tài)����、業(yè)務(wù)內(nèi)容和用戶行為等信息,并進行分類統(tǒng)計和存儲����。業(yè)務(wù)識別的基本目的是幫助網(wǎng)絡(luò)管理員獲得網(wǎng)絡(luò)層之上的業(yè)務(wù)層流量信息,如業(yè)務(wù)類型���、業(yè)務(wù)狀態(tài)�、業(yè)務(wù)分布���、業(yè)務(wù)流量流向等����。
業(yè)務(wù)識別是一個相對復(fù)雜的過程����,需要多個功能模塊的協(xié)同工作。目前常用的業(yè)務(wù)識別技術(shù)有兩種�,即DFI技術(shù)和DPI技術(shù)���。
DFI技術(shù) DFI是深度流行為檢測(Deep Flow Inspection)的簡稱,也是一種典型的業(yè)務(wù)識別技術(shù)��。DFI技術(shù)是針對DPl技術(shù)的不足提出的�����,為了解決DPI技術(shù)的執(zhí)行效率�、加密流量識別和頻繁升級等問題。DFI更關(guān)注于網(wǎng)絡(luò)流量特征的通用性����,因此,DFI技術(shù)并不對網(wǎng)絡(luò)流量進行深度的報文檢測����,而僅通過對網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息�、業(yè)務(wù)流持續(xù)時間、平均流速率��、字節(jié)長度分布等參數(shù)的統(tǒng)計分析���,來獲取業(yè)務(wù)類型��、業(yè)務(wù)狀態(tài)���。
DPI技術(shù) DPI是深度報文檢測(Deep Packet Inspection)的簡稱。DPI技術(shù)之所以稱為 深度 的檢測技術(shù)�,是相對于傳統(tǒng)的檢測技術(shù)而言的。DPI技術(shù)對傳統(tǒng)的流量檢測技術(shù)進行了 深度 擴展�,在獲取數(shù)據(jù)包基本信息的同時,對多個相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進行掃描�����,獲取保存在應(yīng)用層中的特征信息���,對網(wǎng)絡(luò)流量進行精細(xì)的檢查�、監(jiān)控和分析��。
DPI技術(shù)通常采用如下的數(shù)據(jù)包分析方法:
1�����、傳輸層端口分析����。許多應(yīng)用使用默認(rèn)的傳輸層端口號���,例如HTTP協(xié)議使用80端口。
2����、特征字匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭或者應(yīng)用層負(fù)荷中的特定位置包含特征字段�,通過特征字段的識別實現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析�。
3、通信交互過程分析���。對多個會話的事務(wù)交互過程進行監(jiān)控分析�,包括包長度�����、發(fā)送的包數(shù)目等�,實現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析�。
網(wǎng)絡(luò)流量的統(tǒng)計分析
通過流量統(tǒng)計分析,網(wǎng)絡(luò)管理者能夠知道當(dāng)前網(wǎng)絡(luò)中的業(yè)務(wù)流量的類型�、帶寬���、時間和空間分布�、流向等信息。
在管理的過程中����,管理員可以采用常見的NTOP工具來協(xié)助完成。NTOP工具與傳統(tǒng)的tcpdump或ethereal等網(wǎng)絡(luò)流量捕捉工具有著極大的差異���,它主要是提供網(wǎng)絡(luò)報文的統(tǒng)計數(shù)據(jù)���,而不是報文的內(nèi)容。
NTOP工具可以通過分析網(wǎng)絡(luò)流量來確定網(wǎng)絡(luò)上存在的各種問題�����,也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)�,還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機�、各次通信的目標(biāo)主機、數(shù)據(jù)包的發(fā)送時間�、傳遞數(shù)據(jù)包的延時等詳細(xì)信息。通過了解這些信息�,網(wǎng)管員可以對故障做出及時的響應(yīng)��,對網(wǎng)絡(luò)進行相應(yīng)的優(yōu)化調(diào)整���,以保證網(wǎng)絡(luò)運行的效率和安全。
網(wǎng)絡(luò)流量的控制
將流量控制能力添加到網(wǎng)絡(luò)流量管理中�,能夠幫助網(wǎng)絡(luò)管理者對網(wǎng)絡(luò)資源和業(yè)務(wù)資源進行帶寬控制和資源調(diào)度。具備流量控制能力的網(wǎng)絡(luò)流量管理還能夠?qū)?yán)重影響業(yè)務(wù)運營者收入的未經(jīng)許可的其他業(yè)務(wù)進行抑制��。
流量控制還能夠幫助網(wǎng)絡(luò)流量管理實現(xiàn)業(yè)務(wù)資源的調(diào)度�����,并能夠獲得業(yè)務(wù)資源使用����、業(yè)務(wù)狀態(tài)的實時情況。流量控制通常的做法是在輸出端口處建立一個隊列進行流量控制�,控制的方式是基于路由,亦即基于目的IP地址或目的子網(wǎng)的網(wǎng)絡(luò)號�。
