互聯(lián)網(wǎng)目前已成為人類(lèi)社會(huì)最重要的信息基礎(chǔ)設(shè)施,占人類(lèi)信息交流的80%。在這種大背景下,系統(tǒng)和網(wǎng)絡(luò)管理者必須花更多時(shí)間和精力來(lái)了解這些網(wǎng)絡(luò)設(shè)備的運(yùn)作狀況,以維持一個(gè)企業(yè)網(wǎng)絡(luò)的正常運(yùn)作。那么,管理網(wǎng)絡(luò)流量的時(shí)候應(yīng)該基于什么樣的依據(jù),通過(guò)什么手段和策略有效地把流量進(jìn)行識(shí)別、分析和管理呢?
網(wǎng)絡(luò)流量管理的目標(biāo)
隨著網(wǎng)絡(luò)流量的不斷增長(zhǎng)以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁復(fù)雜化,我們需要對(duì)網(wǎng)絡(luò)流量進(jìn)行管理,從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)。
在網(wǎng)絡(luò)流量管理的過(guò)程中,我們首要的問(wèn)題就要明確網(wǎng)絡(luò)管理目標(biāo)。在網(wǎng)絡(luò)流量管理主要有4個(gè)目標(biāo):首先,我們要了解網(wǎng)絡(luò)流量的使用情況;其次,要找到優(yōu)化網(wǎng)絡(luò)性能的途徑;第三,要通過(guò)網(wǎng)絡(luò)管理技術(shù)來(lái)提升網(wǎng)絡(luò)效能;最后,還需要做好網(wǎng)絡(luò)流量信息安全方面的防護(hù)工作。
在日常的網(wǎng)絡(luò)流量管理中,為了有效實(shí)現(xiàn)網(wǎng)絡(luò)管理4個(gè)目標(biāo),我們需要采取相應(yīng)的步驟。這個(gè)步驟包括網(wǎng)絡(luò)流量監(jiān)視(統(tǒng)計(jì)和分析)、網(wǎng)絡(luò)流量捕捉和分類(lèi)和控制策略。
網(wǎng)絡(luò)流量的識(shí)別
流量識(shí)別,也叫業(yè)務(wù)識(shí)別(Application Awareness),是網(wǎng)絡(luò)流量管理的第一步。網(wǎng)絡(luò)流量識(shí)別通過(guò)對(duì)業(yè)務(wù)流量從數(shù)據(jù)鏈路層到應(yīng)用層的報(bào)文深度檢查分析,依據(jù)協(xié)議類(lèi)型、端口號(hào)、特征字符串和流量行為特征等參數(shù),獲取業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)內(nèi)容和用戶行為等信息,并進(jìn)行分類(lèi)統(tǒng)計(jì)和存儲(chǔ)。業(yè)務(wù)識(shí)別的基本目的是幫助網(wǎng)絡(luò)管理員獲得網(wǎng)絡(luò)層之上的業(yè)務(wù)層流量信息,如業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)分布、業(yè)務(wù)流量流向等。
業(yè)務(wù)識(shí)別是一個(gè)相對(duì)復(fù)雜的過(guò)程,需要多個(gè)功能模塊的協(xié)同工作。目前常用的業(yè)務(wù)識(shí)別技術(shù)有兩種,即DFI技術(shù)和DPI技術(shù)。
DFI技術(shù) DFI是深度流行為檢測(cè)(Deep Flow Inspection)的簡(jiǎn)稱(chēng),也是一種典型的業(yè)務(wù)識(shí)別技術(shù)。DFI技術(shù)是針對(duì)DPl技術(shù)的不足提出的,為了解決DPI技術(shù)的執(zhí)行效率、加密流量識(shí)別和頻繁升級(jí)等問(wèn)題。DFI更關(guān)注于網(wǎng)絡(luò)流量特征的通用性,因此,DFI技術(shù)并不對(duì)網(wǎng)絡(luò)流量進(jìn)行深度的報(bào)文檢測(cè),而僅通過(guò)對(duì)網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息、業(yè)務(wù)流持續(xù)時(shí)間、平均流速率、字節(jié)長(zhǎng)度分布等參數(shù)的統(tǒng)計(jì)分析,來(lái)獲取業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)。
DPI技術(shù) DPI是深度報(bào)文檢測(cè)(Deep Packet Inspection)的簡(jiǎn)稱(chēng)。DPI技術(shù)之所以稱(chēng)為 深度 的檢測(cè)技術(shù),是相對(duì)于傳統(tǒng)的檢測(cè)技術(shù)而言的。DPI技術(shù)對(duì)傳統(tǒng)的流量檢測(cè)技術(shù)進(jìn)行了 深度 擴(kuò)展,在獲取數(shù)據(jù)包基本信息的同時(shí),對(duì)多個(gè)相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進(jìn)行掃描,獲取保存在應(yīng)用層中的特征信息,對(duì)網(wǎng)絡(luò)流量進(jìn)行精細(xì)的檢查、監(jiān)控和分析。
DPI技術(shù)通常采用如下的數(shù)據(jù)包分析方法:
1、傳輸層端口分析。許多應(yīng)用使用默認(rèn)的傳輸層端口號(hào),例如HTTP協(xié)議使用80端口。
2、特征字匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭或者應(yīng)用層負(fù)荷中的特定位置包含特征字段,通過(guò)特征字段的識(shí)別實(shí)現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。
3、通信交互過(guò)程分析。對(duì)多個(gè)會(huì)話的事務(wù)交互過(guò)程進(jìn)行監(jiān)控分析,包括包長(zhǎng)度、發(fā)送的包數(shù)目等,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析。
網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析
通過(guò)流量統(tǒng)計(jì)分析,網(wǎng)絡(luò)管理者能夠知道當(dāng)前網(wǎng)絡(luò)中的業(yè)務(wù)流量的類(lèi)型、帶寬、時(shí)間和空間分布、流向等信息。
在管理的過(guò)程中,管理員可以采用常見(jiàn)的NTOP工具來(lái)協(xié)助完成。NTOP工具與傳統(tǒng)的tcpdump或ethereal等網(wǎng)絡(luò)流量捕捉工具有著極大的差異,它主要是提供網(wǎng)絡(luò)報(bào)文的統(tǒng)計(jì)數(shù)據(jù),而不是報(bào)文的內(nèi)容。
NTOP工具可以通過(guò)分析網(wǎng)絡(luò)流量來(lái)確定網(wǎng)絡(luò)上存在的各種問(wèn)題,也可以用來(lái)判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng),還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機(jī)、各次通信的目標(biāo)主機(jī)、數(shù)據(jù)包的發(fā)送時(shí)間、傳遞數(shù)據(jù)包的延時(shí)等詳細(xì)信息。通過(guò)了解這些信息,網(wǎng)管員可以對(duì)故障做出及時(shí)的響應(yīng),對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的優(yōu)化調(diào)整,以保證網(wǎng)絡(luò)運(yùn)行的效率和安全。
網(wǎng)絡(luò)流量的控制
將流量控制能力添加到網(wǎng)絡(luò)流量管理中,能夠幫助網(wǎng)絡(luò)管理者對(duì)網(wǎng)絡(luò)資源和業(yè)務(wù)資源進(jìn)行帶寬控制和資源調(diào)度。具備流量控制能力的網(wǎng)絡(luò)流量管理還能夠?qū)?yán)重影響業(yè)務(wù)運(yùn)營(yíng)者收入的未經(jīng)許可的其他業(yè)務(wù)進(jìn)行抑制。
流量控制還能夠幫助網(wǎng)絡(luò)流量管理實(shí)現(xiàn)業(yè)務(wù)資源的調(diào)度,并能夠獲得業(yè)務(wù)資源使用、業(yè)務(wù)狀態(tài)的實(shí)時(shí)情況。流量控制通常的做法是在輸出端口處建立一個(gè)隊(duì)列進(jìn)行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子網(wǎng)的網(wǎng)絡(luò)號(hào)。