時間:2022-02-22 16:13:23
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡流量監測,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP
文獻標識碼:A
文章編號:1672-3198(2010)17-0348-01
1 網絡流量的特征
1.1 數據流是雙向的,但通常是非對稱的
互聯網上大部分的應用都是雙向交換數據的,因此網絡的流是雙向的。但是兩個方向上的數據率有很大的差異,這是因為從網站下載時會導致從網站到客戶端方向的數據量比另外一個方向多。
1.2 大部分TCP會話是短期的
超過90%的TCP會話交換的數據量小于10K字節,會話持續時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節,WWW的巨大增長使其在這方面產生了決定性的影響。1.3 包的到達過程不是泊松過程
大部分傳統的排隊理論和通信網絡設計都假設包的到達過程是泊松過程,即包到達的間斷時間的分布是獨立的指數分布。簡單的說,泊松到達過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨立的發生。泊松模型因為指數分布的無記憶性也就是事件之間的非相關性而使其在應用上要比其他模型更加簡單。然而,近年來對互聯網絡通信量的測量顯示包到達的過程不是泊松過程。包到達的間斷時間不僅不服從指數分布,而且不是獨立分布的。大部分時候是多個包連續到達,即包的到達是有突發性的。很明顯,泊松過程不足以精確地描述包的到達過程。造成這種非泊松結構的部分原因是數據傳輸所使用的協議。非泊松過程的現象迫使人們懷疑使用簡單的泊松模型研究網絡的可靠性,從而促進了網絡通信量模型的研究。
1.4 網絡通信量具有局域性
互聯網流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯網的訪問反映在包的時間和目的地址上,從而顯示出基于時間的相關(時間局域性)和基于空間的相關(空間局域性)。
2 網絡流量的測量
網絡流量的測量是人們研究互聯網絡的一個工具,通過采集和分析互聯網的數據流,我們可以設計出更加符合實際的網絡設備和更加合理的網絡協議。計算機網絡不是永遠不會出錯的,設備的一小點故障都有可能使整個網絡癱瘓,或者使網絡性能明顯下降。例如廣播風暴、非法包長、錯誤地址、安全攻擊等。對互聯網流量的測量可以為網絡管理者提供詳細的信息以幫助發現和解決問題。互聯網流量的測量從不同的方面可以分為:
2.1 基于硬件的測量和基于軟件的測量
基于硬件的測量通常指使用為采集和分析網絡數據而特別設計的專用硬件設備進行網絡流的測量,這些設備一般都比較昂貴,而且受網絡接口數量,網絡插件的類型,存儲能力和協議分析能力等諸多因素的限制。基于軟件的測量通常依靠修改工作站的內核中的網絡接口部分,使其具備捕獲網絡數據包的功能。與基于硬件的方法比較,其費用比較低廉,但是性能比不上專用的網絡流量分析器。
2.2 主動測量和被動測量
被動測量只是記錄網絡的數據流,不向網絡流中注入任何數據。大部分網絡流量測量都是被動的測量。主動測量使用由測量設備產生的數據流來探測網絡而獲知網絡的信息。例如使用ping來估計到某個目的地址的網絡延時。
2.3 在線分析和離線分析
有的網絡流量分析器支持實時地收集和分析網絡數據,使用可視化手段在線顯示流量數據和分析結果,大部分基于硬件的網絡分析器都具有這個能力。離線分析只是在線地收集網絡數據,把數據存儲下來,并不對數據進行實時的分析。
2.4 協議級分類
對于不同的協議,例如以太網(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網絡插件來收集網絡數據,因此也就有了不同的通信量測試方法。
3 網絡流量的監測技術
根據對網絡流量的采集方式可將網絡流量監測技術分為:基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于Netflow的監測技術三種常用技術。
3.1 基于網絡流量全鏡像的監測技術
網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備,實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應用層信息。
3.2 基于Netflow的流量監測技術
Netflow流量信息采集是基于網絡設備提供的Netflow機制實現的網絡流量信息采集。
3.3 基于SNMP的流量監測技術
關鍵詞:網絡性能;網絡狀態監測;簡單網絡管理協議;NetFlow
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)22-670-03
A Survey and Analysis: Network State Monitoring Technology of Campus Network
ZHU Peng
(Computer Application Department,Research Institute of Petroleum Processing,Beijing 100083,China)
Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory,technology of network state monitoring.
Key words:network performance; network state monitoring; SNMP; NetFlow
1 園區網網絡監測的意義
近年來,隨著各單位計算機應用水平的整體提高、內部園區網網絡建設的日漸完善,以及實驗儀器設備的網絡自動化程度提高和發展,越來越多的日常學習、工作和科研、實驗活動依賴計算機和網絡來開展運行,這就要求各單位內部的園區網網絡環境有很高的穩定性和運行效率,并能針對不同網絡內部科研應用需求提供相應的網絡質量保障。園區網連接著各個計算機、服務器、網絡設備、存儲設備及系統設備、試驗裝置、儀器儀表,通過交換信息使之成為一個高效運行的有機整體,為確保各項依賴園區網的科研活動順利進行,必須保障園區網的正常運行和性能穩定。
同時,不斷進行的信息化建設使得各項商業、科研活動對園區網絡日漸依賴,這也帶來了新的信息安全隱患,如何保障網絡與信息系統的安全已經成為需要被高度重視的問題。隨著園區網內部網絡應用的迅速發展,越來越多的攻擊和安全隱患來自于園區網內部,使得傳統的基于網關的安全架構在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統的安全防護手段多屬于被動形式,只能簡單過濾或丟棄攻擊數據,而無法在攻擊源發起攻擊時或之后的較短時間內即時響應,將內部網絡中可疑的攻擊源主機斷開,使其無法通過內網連接進行攻擊。在這種情況下,主動對園區網內部的網絡運行狀態進行監控,并根據網絡流量異常信息采取相應的質量控制和防范乃至隔離控制,將可以成為傳統計算機安全技術(如網關防火墻)的有益補充。
2 園區網網絡狀態監測技術
2.1 網絡監測技術概述
網絡狀態監測是網絡管理和系統管理的一個重要組成部分,網絡狀態數據為園區網的運行和維護提供了重要信息,這些數據對調控網絡資源分布、規劃網絡容量、網絡服務質量分析、網絡故障檢測與隔離、網絡安全管理都非常重要。目前,根據對網絡流量的采集方式可將網絡監測技術分為:基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于NetFlow的監測技術三種常用技術。
2.2 基于網絡流量全鏡像的監測技術。
網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備,實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應用層信息。 但采用端口流量鏡像方式將增加網絡設備負擔,對網絡設備性能的影響較大。而若使用探針等附加設備實現流量鏡像,安裝時對網絡影響較大,安裝完成后雖對網絡設備的影響較小,但為網絡結構增加了新的單點失效點,在大型網絡環境下,可能會影響網絡的穩定性。故基于網絡流量全鏡像的監測技術較少用于園區網網絡監測中。
2.3 基于SNMP的流量監測技術
簡單網絡管理協議(SNMP)已經成為事實上的網絡管理標準,得到很大范圍的應用。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協議的網絡管理標準,它簡單明了,占用系統資源少,已成為事實上的工業標準。SNMP提供了從網絡設備收集網絡管理信息的方法,并為設備提供了向網絡管理端報告故障和錯誤的途徑。SNMP是協議和規范族,包括MIB(管理對象信息庫)、SMI(管理信息結構)和SNM協議。同時,SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他傳輸協議上被使用。
基于SNMP的流量信息采集,實質上是通過提取網絡設備Agent提供的MIB(管理對象信息庫)中收集一些與具體設備及流量信息有關的變量。基于SNMP收集的網絡流量信息包括:輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。 基于SNMP的網絡流量信息采集可以以極小的代價實現一定程度的網絡流量相關信息的收集,但其收集的信息多是出于網絡管理的需要,無法提供足夠豐富的網絡流量信息。利用其實現網絡總流量的定期監控、觀察網絡設備端口的流量和使用狀況可以滿足網絡管理的基本需求。
SNMP采用‘管理者―’模型來監測各種可管理的網絡設備,利用無連接的UDP協議在管理者和之間進行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP間的通信關系。一個SNMP管理者可以向SNMP發送請求,讀取(Get)或設置(Set)一個或多個MIB變量數值。SNMP可以應答這些請求。除了這種交互式通信方式,SNMP還可以主動向SNMP管理者發送通知(Trap或Inform Request)以提示管理者一個設備或網絡的狀態。
■
圖1 SNMP管理者與SNMP間的通信示意圖
在園區網網絡監測中采用SNMP機制有以下優勢:1)可以隨時隨地收集網絡流量信息,及時獲取當前園區網絡的運行情況;2)能夠即時收集到網絡中大量設備的同步流量信息;3)采用方法基于IP層,不受底層網絡物理類型的限制;4)能夠收集到網絡設備自身的工作信息、端口狀態。并可根據需要遠程配置修改網絡設備的相關參數;5)基于SNMP的流量監測所需費用較少,對現有的網絡性能影響較小,且易于集成到各種網管系統中去。
在此基礎上,如果配合后臺數據庫記錄收集到的網絡流量、性能數據,就可以實現對整個園區網絡進行有效的監視,并能在網絡發生故障時及時發現并通知相關人員處理,從而提高網絡可靠運轉的時間,減少因網絡故障造成的中斷時間。
2.1.基于NetFlow的流量監測技術
NetFlow是Cisco公司提出的一項網絡數據流統計標準,利用NetFlow技術,路由器可以輸出流經路由的包的統計信息,從而監測網絡上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進行網絡規劃、網絡管理、流量計費和病毒檢測等等,NetFlow流量信息采集是基于網絡設備提供的NetFlow機制實現的網絡流量信息采集,在此基礎上實現的流量信息采集效率和效果均能夠滿足網絡流量異常監測的需求。它可以實時提取大量流量的特征,實現對流量的宏觀統計分析。目前,NetFlow技術已經成為網絡設備流量信息采集事實上的標準,一些大型的網絡設備廠商均在其主流的路由設備中實現了對NetFlow主要版本的支持。
表1主流廠商網絡流技術對比
■
NetFlow的實現由路由器、數據采集設備和流量分析工具三部分構成,如圖2所示。
路由器啟動NetFlow功能,負責抓取路由器上發生的流量信息,當Cache表超時后,網絡設備中的NetFlow Agent 將通過規范的報文格式將表項數據以UDP方式向NetFlow數據采集設備發送。NetFlow數據采集設備可以是商業系統或是采用開放源代碼的工作站,它負責實時處理收到的報文,提取出流量數據,進行過濾和聚合后記錄在數據庫中。NetFlow流量分析工具根據數據采集設備數據庫中記錄的網絡流量信息進行網絡規劃、流量計費和各種網絡管理應用,并產生各類報表等。
■
圖2NetFlow的工作原理示意圖
由于NetFlow技術所產生的信息詳盡且趨近于即時,可讓網管人員深入地了解數據包中的信息,獲得很多網絡運行情況的細節。依據NetFlow信息進行網絡規劃,將大大提高規劃的效率,減少盲目性。
(上接第671頁)
在園區網網絡監測中采用NetFlow機制有以下優勢:
1) 對源及目的業務端口號的統計、分析,可以科學地估算出各種業務在網絡總流量中所占的比重和在各條鏈路上的分布,對網絡業務流量進行精細化分析,包括網絡間數據流中各個具體業務的流量及百分比;同時,也可以根據應用層數據參數Protocol、Port、Bytes對各個網絡業務進行排行,進而科學地預測各類業務流量的增長規律。
2) 通過對整網流量的長期監測,可以建立園區網流量基線,了解網絡內各節點的即時與歷史網絡流量狀態,掌握網絡應用及發展趨勢,從而提高網絡的管理維護能力。
3) 通過統計分析,我們還可以獲知那些業務是目前網絡上最受歡迎的業務,進而對相關網絡應用業務的建設和規劃提供準確的基礎數據;對于業務流量大的端點,分析其增長規律,可以指導對其合理及時的擴容,從而提高整個網絡的運行質量。
4) 利用NetFlow產生的流量記錄與統計分析系統配合,還可以記錄網絡平常在不同時間的流量或服務器連接使用情況,當發現網絡或某服務器流量異常,或是服務器連接情況異常大量增加或減少時,在第一時間發出警報,讓網絡管理員可以立即采取相應措施,盡快確定異常流量源地址及目的地址、端口號等多種信息,針對不同的情況,分別利用切斷連接、ACL過濾、靜態空路由過濾、異常流量限定等多種手段,對異常流量進行有效控制、處理,從而在最短時間內恢復網絡的正常運行。這在防范病毒,尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時尤為有效。
3 結束語
當前,隨著信息化建設步伐的加快,各單位都在不斷地建設和改造內部的園區網絡,園區網絡的不斷擴展使得網絡的拓撲變得越來越復雜和不規則。而網絡新應用的涌現和網絡用戶的快速增長也使得網絡流量不斷增大、網絡應用日益復雜。采用一種或混合使用多種技術監測園區網網絡狀態的重要性和迫切性越來越突出。園區網網絡監測技術已經成為計算機網絡研究中一個重要的課題方向。
參考文獻:
[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.
[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000
[3] 陳秀蘭,吳軍華.通用網絡流量監測報警系統的設計與實現[J]. 微計算機應用, 2006(4):47-50.
[4] 何豐,靳娜.基于NetFlow的IP網絡狀態監測系統的設計與實現[J] . 通信技術, 2007(8):36-38.
了解Gigamon公司的人都知道它針對金融、運營商行業的客戶可以提供網絡流量可視化解決方案。隨著大數據時代的到來,數據量和數據中心網絡的復雜性不斷增加,激發了更多行業用戶對網絡流量智能監控解決方案的需求。在不久前舉行的第三屆中國能源企業信息化大會上,記者見到了Gigamon的亞太區業務拓展總監袁偉鵬,他向記者介紹了Gigamon針對油氣能源部門的全面可視化方案,同時談到了Gigamon獨特的統一可視化矩陣(Unified Visibility Fabric)的優勢。
流量可控
云計算、大數據、虛擬化、移動化的興起,對于數據中心架構尤其是網絡的管理、分析和安全產生了重大影響。用戶對于網絡效率、安全性和可靠性的追求永無止境,而傳統的網絡管理和監控方式則有些捉襟見肘。Gigamon的網絡流量可視化解決方案采用帶外方式,可以在不影響網絡本身性能和可靠性的情況下,對流量進行監控。
網絡流量的提取、分類、優先級劃分等并不容易。傳統的流量監控和分析往往要通過大規模添加新的工具和系統,或者變更以太網交換機的用途,或借助鏡像端口復制流量,以及通過網絡分路器分拆流量等方式實現。上述方式通常只借助一臺交換機或一個分路器的有限過濾功能實現,功能和可視化都受到了限制,而且擴展和管理難度大,成本高。
能不能通過一種可靠的一體化的設計方式,沖破傳統方式在性能、成本和管理方面的局限性,實現對網絡流量的有效監控與管理呢?正是基于這種考慮,Gigamon推出了流量可視化矩陣(Traffic Visibility Fabric),它采用創新的架構,可以全方位實現流量的可視化與控制,提升擴展性和吞吐能力,同時增強網絡的可靠性,提高網絡效率并簡化部署和使用。
統一可視化
在網絡由簡單的、靜態的逐漸向復雜的、動態化的方向發展時,Gigamon流量可視化矩陣的優勢就顯現出來了,它為網絡架構的設計師、管理員提供了全面的流量可視性,在不影響生產網絡的性能和穩定性的情況下,可以對通過物理網和虛擬網的流量進行監控。許多大型企業、數據中心和服務供應商都采用了Gigamon流量可視化矩陣。
在可視化矩陣的基礎上,Gigamon又進一步提出了統一可視化結構的理念,它可以提供跨平臺的流量可視化功能,讓用戶原有的監測工具,可以監測和分析來自物理網絡、虛擬網絡或軟件定義網絡的流量,從而提升網絡流量監控的智能化程度。統一可視化結構的好處顯而易見:具有智能化的全面可視性,可以對遠程站點提供實時、深入的監控;實現集中監控,為多種工具和IT部門提供可視性,從而簡化運作;減少遠程站點的維護人員和監測工具,節省成本。
精確分發與智能過濾
實現統一可視化,需要Gigamon公司的GigaVUE系列、GigaSMART等核心產品。這些產品基于Gigamon的專利技術,可以將網絡流量智能化地傳送至安全、監控或管理系統中。Gigamon可視化矩陣的“心臟”是Flow Mapping(流量映射)和GigaSMART技術。傳統的過濾機制,在入站端口需要匯聚多條源鏈路,并過濾分發,效率低。而采用Flow Mapping,可以確保海量數據的精確挑選分發,僅將特定的流量送往各個監測工具或系統,大幅降低出站流量,從而顯著提高工具的利用率。
GigaSMART就是一個智能的過濾引擎,它可以實現數據包的復制、匯聚、過濾、去重、切片、時間戳等,配合Gigamon的各種型號的網絡監測工具,可以借助去重和源端口標記功能,消除用戶不需要的內容,提高工作效率;利用掩碼功能可以隱藏機密信息,讓金融、醫療等對合規性有特殊要求的行業用戶受益;借助源端口標記和時間戳功能,在接收流量時標記數據的來源和時間信息,可以提高數據的精確度等。
流量監測是網絡管理的基礎。從網絡體系架構來說,網絡流量是一切研究的基礎;它能直接反映網絡性能的好壞;更能幫助判斷網絡故障及網絡安全等狀況。隨著Ineernet重要性的日益提高和網絡結構的日益復雜.人們經常會遇到網絡擁塞和服務質量低等一系列問題.越來越有必要對網絡的整體拓撲結構和網絡行為進行深入的了解、分析,以利于發現網絡瓶頸,優化網絡配置,并進一步發現網絡中可能存在的潛在危險。為此。需要對大規模網絡結構進行動態描述,并根據網絡流量的變化分析網絡的性能,為加強網絡管理、提高網絡利用率.因此網絡流量的測量與分析一直為人們所關注。
2.課題名稱和課題來源
網絡測量技術始于上世紀70年代初,發展于80年代.90年代已漸成體系.在網絡測量的方法、工具及流量的測量模型等方面取得了長足的發展。美國在1992年開始著手IIltemet特征的研究.其中比較著名的項目有NIMIⅢationalIntemetMea.surementInfrastnlctu商。它是一個完整的網絡測量基礎框架,并且是第一個執行大規模端到端ntemet行為測量的軟件.NIMI主要采用主動測量技術.主要目的是要測量全球的Intemet.致力于建立一個總體的可擴展的網絡測量基礎框架.而不是為特定的分析目標做一組特定的測量操作。
網絡流量簡而言之就是網絡上傳輸的數據量。就象要根據來往車輛的多少和流向來設計道路的寬度和連接方式一樣,根據網絡流量設計網絡是十分必要的。在網絡中不同的位置通過不同的方法采集不同空間粒度和不同時間粒度下的網絡流量,并借助于數理統計、隨機過程和時間序列等數學手段針對預先所定義的一系列的網絡流量的相關屬性對網絡流量展開分析與研究,得到網絡流量的不同屬性在其構成、分布、相關性和變化規律與趨勢等方面的特征,簡稱流量測量;并且所得到的"特征"叫做網絡流量特征,簡稱流量特征。
網絡流量貫穿整個網絡,沒有網絡流量,網絡應用也就無從存在。如果把TCP/IP協議棧比作成為網絡的靈魂,通過網線等連接起來計算機、交換機和路由器等網絡設備比作成為網絡的骨架,那么網絡流量可以看作成是網絡中流動的血液。這樣,對于研究網絡的可用性、可靠性和穩定性而言,研究網絡流量顯然是獲得第一手有效參數的最為直接和最為基礎的手段之一。應用各種主要基于硬件或者軟件或者硬軟件相結合所實現的流量測量與分析系統,實現網絡流量的監測,并根據你的應用情況對網絡流量進行一定的干預,以保證關鍵性的應用。
3.前人在本課題研究領域的成果簡介
流量監測包括測量工具/系統的部署、流量數據的采集(包括數據包捕獲、歸并和采樣處理等)、數據包的解析和處理(包括協議解析、按照協議、流和應用等不同聚合層次進行聚合表示和流量識別與分類等)、測量實體量化數值的獲得與統計分析、流量特征化描述、流量存儲和查詢表示、流量建模等多個環節,具有相對復雜的處理和分析過程。目前存在有眾多種流量測量的實現方法,他們可適用不同的測量環境、滿足不同的測量要求,并且有著不同的實現方式。概括來看,現有的這些實現方法大致可以依據如下幾個方面進行分類:根據測量時所依賴工具的實現主體是硬件還是軟件,流量測量可以被分成基于硬件的測量和基于軟件的測量兩種。基于硬件的測量通常需要設計和應用特定的硬件設備來對流量數據進行采集和分析。如IPMON、OCxMON、InMonsFlowProbe、NavTelIW5000ATMTrafficAnalyzer等,這些硬件設備通常被稱為流量采集探針(Probe),需要配置有網絡處理器(NP,NetworkProcessor)或專用的流量捕獲板卡采用串接(in-line)、鏡像(Mirror)或者分光(OpticalTap/Splitter)等方式捕獲被測量的流量。而基于軟件的測量一般是指通過普通的商用計算機(commoditycomputer)即所完成的流量測量。這類測量的主要特點就是被測流量的采集通常是借助于現有的硬件(如市面上可隨便購買到網絡接口卡(NIC,NetworkInterfaceCard,如以太網卡(EthernetCard))或者現有的網絡設備(如網絡中已經部署且正在工作的服務器、交換機和路由器)來完成。
它主要包括兩個類別:一類是通過對操作系統內核和網絡協議棧的增改(由于代碼開放性等的限制,操作系統內核和網絡協議棧的增改通常是在開源的Linux下進行),借助普通的網絡接口卡(如將普通的以太網卡置于混雜模式(promiscuousmode)并借助于BPF完成對感興趣數據包的過濾)等將一般的商用計算機轉換成為具有數據包捕獲和分析處理能力的流量測量系統。另一類則是被測量的流量并非由普通的商用計算機直接獲得,而是需要從服務器、交換機、路由器等特定的網絡設備上經過一定處理后導出,然后再由普通的商用計算機完成后續的流量處理和統計分析等工作。需要說明的是,特定設備上所導出的流量通常并非是詳細的網絡級的原始數據包,而是根據特定設備的不同,可能是SNMP/RMON統計數據,可能是經過聚合處理后的flow數據,也可能是服務器日志,等等。不同形式的數據,對應要求在普通的商用計算機上通過不同的程序或軟件實現相應的流量處理和統計分析功能。
對于大多數的網絡用戶而言,網絡僅僅是為這些用戶的應用,如WEB網頁瀏覽、BT電影下載、QQ聊天程序、Skype網絡電話、PPLive在線視頻等等,提供連通性的媒介。以TCP/IP協議棧為基礎和核心的網絡遵循并實現了信息隱藏的原則,將具體的用戶級的網絡應用抽象為底層的數據幀/包的發送和接收,而終端的用戶無需了解網絡工作的底層細節。例如,用戶在Youtube的主頁面上點擊網頁上的超鏈接觀看所感興趣的在線視頻的時候,他不需要知道和關心會有多少個網絡數據包生成,也無需了解這些數據包是如何在網絡中進行路由的、IP協議是如何完成尋址定位功能的、TCP協議是如何提供了可靠的端到端的數據傳輸功能的、HTTP協議是如何應用超文本表示和描述頁面上不同元素的、Youtube服務器上FlashMediaServer是如何實現自動位速率選擇和動態緩沖的,等等。用戶關心的可能僅僅是:他們所想要看到的視頻內容是否能夠快速的被呈現出來?視頻內容的播放是否能夠一直都很流暢?視頻內容是否能夠下載保存到自己的電腦上來?總而言之,用戶所最為關注的是應用,可以為他們帶來更為輕松和簡便的、更為豐富和優質的網絡應用。然而,對于網絡管理人員而言,由數據包/幀這一最基本元素所形成的網絡流量卻是我們應該關注和研究的對象。這是因為網絡本身并無任何價值,其關鍵在于它所承載的業務,即人們日常所應用到的網絡應用。而不管哪一方面、什么類型、遵從什么架構、應用哪種協議、通過何種方式所實現的網絡應用都會產生流量,也必須要產生流量。這些流量會流經作為最終的發送端和接收端的計算機、完成尋址和路由功能的交換機與路由器、提供安全檢查和防護的IDS和IPS系統等網絡設備。而正是這些具有不同能力和不同功能、處在不同層次和結構上的網絡設備憑借各種形式互相連接起來構成了整個網絡。
4.研究的主要內容和方法
(1)利用QoS優化技術,按照不同網絡設備上不同的網絡應用進行網絡帶寬的分配,通過分類確定流量的優先權,并對較高的優先權提供優先服務。由于行政網段是網路的一個重要服務對象,必須首先保證其服務質量,所以將網路內部行政網段流量設為最高的優先級。
(2)通過交換機管理設置,利用VLAN技術,將不同位置上的交換機和IP地址管理集中在某個管理網段,把網絡劃分為若干子網,對訪問管理網段的流量進行限制。
(3)利用組播優化技術,在網路中的網站上動態的直播、VOD和網絡電視等均采用組播技術,在網絡上建立一個視頻服務器,點擊視頻等即可觀看。訪問網內FTP、VOD和網絡電視服務器的多媒體流應用流量,此類流量較大,在播放時段對多媒體流設置相應的優先級。
5、預期達到的目的和應用前景
網絡結構的優化在優化過程中應盡量減少節點匯聚,原先的節點可擴展為新匯聚,從核心到匯聚都采用直接邏輯連接,不再設置中間有源節點。采用以高速路由交換機為核心,多層交換機作為匯聚層,可管理換機作為接入層的網絡設計。在實際應用中,重要骨干設備采用雙線路連接到核心設備上,核心層至匯聚層交換機也采用雙千兆光纖做鏈路聚合(Trunking)的冗余組網方案,在加大帶寬的同時冗余了骨干鏈路,然后根據鏈路的長短來確定使用光纖鏈路,還是使用雙絞線從匯聚層交換機聯到接入層交換機,并且接入層設備采用線路捆綁連接到匯聚層,這樣在設備或物理鏈路出現故障時均可自動轉換,進而提高網絡的帶寬和穩定性。
網絡應用優化在網絡應用優化前,先對網絡內所有終端全面殺毒,檢測各種蠕蟲和Ddos的攻擊,實現網絡安全,凈化網絡運行環境。
[關鍵詞]網絡流量流(Flow)
中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210099-01
隨著IT、網絡技術的迅猛發展和企業信息化程度的不斷提高,各種網絡應用越來越豐富。因此,如何保證網絡的可用性和關鍵業務的暢通運行,對網絡正常健康的發展將起到至關重要的作用。維持正常網絡運轉,就需要有相應的技術手段,明確了解網絡上各種應用的帶寬占用情況,分析用戶流量行為,以便合理的規劃和分配網絡帶寬,有效地保障關鍵業務應用的正常運行。尤其是在發生流量異常的同時,迅速有效的分離和抑制異常流量,對非法業務實行遏止,使網絡流量能保持其健壯性。
常用的網絡流量和協議分析有四種方法:
一、基于SNMP
MRTG是最常使用并且最典型的一種基于SNMP的產品。其安裝過程非常簡便,其結果輸出采用Web頁面方式,因此需要在相應的平臺上安裝系統,如NT上需要安裝IIS,UNIX則需要安裝apache。MRTG通常被網絡管理人員用來收集網絡節點端口流量統計信息,是典型的監視網絡鏈路流量負荷的工具。MRTG的定制非常方便,一般可以在網絡的重要節點端口和故障發生頻繁的網絡設備處利用MRTG進行監視,這些監視包括:關鍵鏈路流量和關鍵節點性能狀況。
MRTG的優點是安裝、定制簡單,結果采用Web方式輸出方便實用,而且是免費產品,在世界各地有很多的開發人員不斷對其升級和改進。MRTG的缺點是功能較單一,分析功能不強,其收集到的流量信息是端口的統計信息,不能用于復雜的分析。
二、基于網絡探針(Probe)
流量探針是一種用來獲取網絡流量的硬件設備,使用時將它串接在需要捕捉流量的鏈路中,通過分流鏈路上的數字信號而獲取流量信息,分析的結果存儲在探針的內存或磁盤之中,具體的前端展現依賴與之對應的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。流量探針安裝非常方便,可以實時將RMON II的流量信息完全記錄下來,這對分析網絡的性能和故障很有價值。如果將流量探針串接到Catalyst系列交換機端口,開啟端口映射(Span Port)功能,將各個端口的流量映射到安裝了流量探針的端口,則僅通過對一個端口的監測就可以收集到多個端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列設備上都可以實現。其它廠商如Foundry公司的交換機也提供端口映射的功能,但現在還不支持跨交換機的映射。
流量探針的安裝很簡單,可以用于高速(千兆)的網絡而不影響網絡性能,流量探針可以實時捕捉包,但其成本高,不同的物理鏈路,因其采樣方法也不同,而需要使用不同種探針。
三、基于實時抓包分析
基于實時抓包的分析技術提供詳細的從物理層到應用層的數據分析。但該方法主要側重于協議分析,而非用戶流量訪問統計和趨勢分析,僅能在短時間內對流經接口的數據包進行分析,無法滿足大流量、長期的抓包和趨勢分析的要求。常見的產品有NAI的Sniffer Pro,免費的tcpdump、ethereal等。
通過端口映射Sniffer Portable可以實時采集多種數據并保存到數據庫中,同時可以通過其分析部件實時監視和顯示這些數據的統計信息。利用Sniffer Portable的數據捕捉功能可以在短時間內對網絡流量進行實時采集,這些采集到的流量數據可以包含整個包的信息,也可以只是包的一部分。利用捕獲到的包可以進行協議分析、數據重組(如重組E-mail)等工作。對包的解碼和分析是Sniffer工具的一個最有特色的,也是最強大的功能。
當不采用廠家的特殊硬件系統,Sniffer Portable只能用于100Mbit/s
及以下速率鏈路,網絡中可以安裝多個Sniffer Portable,但它們都是相互獨立的,分別有各自的數據庫,收集到的數據獨立存放,這對于整個網絡的分析帶來一定難度,因此它特別適合小范圍內的性能維護和分析;Sniffer Portable分析能力特別強大,可以解析近370種協議。當要求對更高速(GE或POS 2.5Gbit/s)的鏈路采集流量,或者是全面收集大型網絡的流量時,可以采用Sniffer的硬件產品及其分布式系統,但其價格昂貴。
四、基于流(Flow)的流量分析
目前基于流的分析技術主要有兩種:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks聯合開發的一種網絡監測技術,它采用數據流隨機采樣技術,可以適應超大網絡流量(如大于2.5Gbps)環境下的流量分析,讓用戶詳細、實時地分析網絡傳輸流的性能、趨勢和存在的問題。目前,僅有HP、Foundry和Extreme Networks等廠商的部分型號的交換機支持sFlow。NetFlow[13]是Cisco公司開發的技術,它既是一種交換技術,又是一種流量分析技術,同時也是業界主流的計費技術之一。它可以回答有關IP流量的如下問題:誰在什么時間、在什么地方、使用何種協議、訪問誰、具體的流量是多少等問題。NetFlow因為其技術和Cisco網絡產品的市場占有率優勢而成為當今主流的流量分析技術之一。NetFlow的配置非常方便、安裝簡單,除了需要在路由器上配置之外,只需要一臺UNIX工作站作為流的收集工作站,所有路由器或交換機上發送的NetFlow流都將送到此工作站集中,方便處理和分析。NetFlow流信息量特別豐富,可以為流量分布、業務分布等性能分析提供最充足的數據,但需要消耗一定的路由器資源(CPU和內存)且不能實時捕捉數據包。根據NetFlow的特點可知,其非常適用于大型的網絡,和流量探針、Sniffer等比較,NetFlow成本最低,實施最方便,而且不受速率的限制,是數據流量采集的發展方向。
基于Flow的分析方法將成為趨勢,在上面所提到的四種方法中,基于Flow的分析方法應該是網絡流量分析技術的趨勢。這是它的技術實現理論所決定的。
參考文獻:
[1]朱士瑞,基于小波分析的異常檢測系統[D].江蘇大學碩士學位論文,2006.
[2]陳寶鋼、張凌、許勇,基于P2P應用的網絡流量特征分析[J].計算機應用,2005,Vol.27,No.3.
[3]顧榮杰、晏蒲柳、鄒濤,基于統計方法的骨干網異常流量建模與預警方法研究[J].計算機科學,2006,Vol.33,No.2.
關鍵詞:網絡流量;元數據;大數據分析
近年來,網絡攻擊事件頻繁發生,傳統的安全防御體系難以滿足網絡需要。大數據技術具有用戶追蹤和情報收集的功能,可以通過實時監控網絡的數據歷史,以提高網絡安全,大大地避免網絡攻擊事件的發生,對網絡信息安全領域有著重要的意義。
1 網絡流量分離平臺
現階段大數據分析技術已收到界內所有人的關注,但很多人對于大數據分析的理解始終停留在表面,關于大數據的生成方式一無所知。大數據分析需要大量的數據集作為基礎條件,過小的數據集無法支持大數據分析,對于真實情況不能很好的進行反饋,而這也將失去繼續改進的機會。目前大多數的企業的IT服務對于信息安全方面的要求較高,而本文將提到的網絡流量分流平臺是在網絡交換路由設備的各特性基礎上建立起來的多性能平臺,完全可以滿足當前企業網絡的流量分析,而且由于其實分布式的部署方式,可以使流量線性分流,從而大幅度擴大流量規模,實現信息的實時分離和匯聚,從而提高海量元數據分析的穩定性。
2 元數據的定義、采集和存儲
在傳統主干網中,主要通過實時分析各主干節點路由器傳輸的信息,并挖掘與其相關的歷史信息,迅速發現導致網絡流量連接異常的安全事件,已達到安全監測的目的。例如通過獲取flow信息來源,進行預警,從而借助特定端口的網絡掃描能力,迅速查找流量放大攻擊事件。但隨著網絡攻防和安全防御方法逐漸被人了解,緊靠flow信息的收集已經逐漸不能滿足網絡的安全監測需要。無論是企業網還是校園網,其入侵監測系統主要是根據網絡流量進行信息報警的系統,報警過程產生的大量數據為元數據類型中的一種。但入侵檢測的效果與特征規則庫的更新及質量有直接關系,檢測功能很難作用在未知和新型的安全威脅,而且它具有很強的實效性,一旦沒有捕捉到安全事件,則不會再次檢測。對于商業入侵檢測系統的研究,由于詳細程度較低,且輸出類型較少,所以無法支持研究,對此,通過開源的Snort,以分布式部署的方式,同時運行多個檢測引擎,從而形成大規模的檢測系統,不僅性能較高,且能夠快速進行更新,可控性也有極大的提高[1]。
從網絡流量中可以獲取到非常豐富的各種類型元數據的信息量,而且在很多單位和企業中,就算將所有的數據進行存儲也不會付出超過自身無法承受的代價。通過Web訪問的元數據可以直接檢測不加密的HTTP請求和響應報文;通過FTP訪問的元數據可以直接檢測FTP請求和響應報文;通過域名請求和響應的元數據可以直接檢測DNS協議的Response和Query信息;通過五元組和flow元數據可以直接進行應用層協議分析。當前大多數商業流量控制產品或在審計用戶行為過程中產生的各種類型和格式的元數據都是由Socket或Syslog進行輸出而成的,但考慮到實際的性能,很多時候都是在開源庫和開源軟件的基礎上以滿足10G流量處理的需要而提取的元數據。如今10G流量可以使用分布式部署方式實現大規模流量分析,及本地文件儲存各類元數據的功能[2]。
3 大數據分析平臺
由于大數據分析是對不同的目標和對象進行分析,因而需要使用的分析平臺也就有針對性。使用Hadoop平臺的HDFS文件系統存儲從網絡流量生成的大量元數據,通過HIVE進行對安全關聯數據的挖掘,可以大幅度減少不必要的數據集。當前傳統關系型數據庫包括MySQL、PostgreSQL等,能存儲不同類型的安全事件和相關聯的信息。傳統關系型數據庫具有高實時性查詢功能,能滿足常規數據的實時查詢,Hadoop具有低實時性的查詢功能,可以用于查詢海量數據,兩者有各自的優勢,也有一定的缺點,只有進行互補提高自身的效率,以開通更優質的業務服務。此外,處理數據過程中,對Linux Shell命令組和Python腳本進行合理的運用,也可以促進系統運行效率的提高。
使用大數據分析實驗平臺Hadoop,主要因為其具有24臺物理機節點,可以極大地滿足安全分析的需求。其中存儲計算節點有21個,管理節點有2個,作業提交節點有1個,所有的節點都有配置合適的CPU、內存、SSD硬盤、SATA硬盤,并利用以太網的萬兆流量,將所有節點的網絡進行連接,最后形成大容量的HDFS[3]。
Hadoop在部署軟件過程中使用Cloudera Standard4.8.0版本進行的,且采用CDH4.6.0+IMPALA 1.3.2+SOLR 1.2.0作為系統的組件。MapReduce統計是當前查詢中最常用的軟件,其中應用程序包括SQL語句和HIVE。投入使用后,通過瀏覽器的GUI查詢可以發現其使用效果還存在不穩定的因素,而且為實現自動化的目標,最后還是在命令行界面進行實際的查詢。現階段Hadoop平臺無論是響應應用需求時間還是全部硬件性能都還可以接受,因而索引還沒有通過分區列和壓縮進行優化。當然,目前對Hadoop平臺性能的優化研究并沒有停止,直至查詢效率實現最優化為止。
4 基于挖掘和關聯的大數據分析
前期進行的統計分析是為后續安全分析提供數據,而前期的數據屬于混雜的大數據,不利于后期的分析,因此在前期時需要將大數據轉換成小數據。在這個過程中,首要目標是先要在IP的基礎上建立和形成一系列黑白名單。白名單制能夠自動對前期的網絡流量進行調整,為確保安全分析的效率,它可以提前處理掉許多無用的數據,以便后期的處理分析和存儲。黑名單制能夠根據數據所處的區域,進行鎖定操作,從而對數據的發展和變化趨勢進行跟蹤,從而有效地提高安全監測效率。
部分安全漏洞對網絡的損害極為嚴重,但其發生較為突然,而使用大數據分析后,可以對這種安全事件及時反映,并迅速對安全等級進行測定。多種WebShell和通過網站傳播的木馬在攻擊網絡時都可以從元數據中提取出明顯的特征,利用各種挖掘算法并關聯分析,就能了解投放的人、時間、地點等。網絡攻擊者在制造網絡安全事件后,都會在入侵完主機后消除各種痕跡,但這些痕跡卻早已經被基于網絡流量的元數據記錄下來。不管是哪種攻擊方式,只要入侵過主機,都會有痕跡存在,而元數據則可以將這些痕跡進行還原,了解攻擊方式、地點及時間,從而第一時間追蹤到攻擊者的IP地址。當然并非所有的攻擊都能夠進行實時阻斷,其中必然會有一些忽略,但事后會自動開啟安全應急響應措施進行補救,實用性還是比較高的,而這都是基于元數據的積累上,元數據太少,就可能無法發現攻擊,安全事件就會頻繁發生。隨著網絡安全監測被人熟知,攻擊渠道可能已經不再局限于HTTP協議,還可以用過SSL加密或其它渠道發起高持續性威脅攻擊。現階段的高校還無法完全防御這種攻擊方式,但提取應用層協議存儲和IP流量中的元數據,可以直接分析攻擊方式,就可以實現在攻擊時第一時間發現,并根據痕跡及時進行跟蹤,從而降低或避免損失[4]。
5 結語
網絡安全問題一直是全球都關注的話題,隨著信息技術的發展,網絡攻擊方式越來越多,而傳統安全防御體系也存在防御乏力的現象。大數據技術是基于這種背景下研究出來的新型防御技術,它的主要價值在于分析和跟蹤,通過分析大量的數據,還原安全事件的形成過程,并進行實時跟蹤,對網絡安全領域有著重要的意義。
參考文獻
[1]姜開達,李霄,孫強. 基于網絡流量元數據的安全大數據分析[J]. 信息網絡安全,2014,05:37-40.
[2]付鈺,李洪成,吳曉平,王甲生. 基于大數據分析的APT攻擊檢測研究綜述[J]. 通信學報,2015,11:1-14.
對網絡管理者來說,傳統的被動式網絡監控和維護方式已經無法滿足要求,校園網的管理人員希望能找到更合適的分析工具來對網絡進行有效的監控分析,并能找出對網絡性影響最大的因素及用戶和業務的增長規律,在網絡出現故障或即將出現瓶頸之前給出科學的預測,及時對網絡進行優化、升級和改造,以滿足不斷增長的用戶和業務需求。
流量統計和分析是網絡管理中的一個重要內容,它不但可以及時發現網絡流量的過載,攻擊等異常情況,還可以對正常流量進行分析,幫助網絡管理者了解各種級別的用戶對于網絡的使用情況,為采用合適的商業模式提供決策依據。
流量透明化的現狀分析
隨著校園網的規模越來越大,IT服務的完善,網絡管理者也會提出以下問題。
一、當前的上網流量占用多大帶寬?這些帶寬主要誰在占用?這些占用是允許的嗎?在WWW訪問之外,是不是有大量的FTP等下載?是允許的嗎?
二、DMZ區的服務器有多少是內網用戶在訪問,有多少是外網用戶在訪問?如果是內網用戶訪問多,是不是考慮將其遷移到服務器區?外網用戶的訪問有時間規律嗎?
三、外聯的服務器是提供特定用戶訪問嗎?哪個訪問流量最大?最大流量占用的用戶是合法的嗎?服務器是否該擴容了?有非法用戶訪問這些服務器嗎?
四、這些關鍵的業務服務器的帶寬夠用嗎?是不是考慮一臺服務器提供多個業務服務或多臺服務器提供一個業務服務?除生產業務外,這些服務器是不是還提供其它無關的業務,導致影響性能?誰訪問這些服務器更多一些?這些服務器哪個時間段最繁忙?
五、教職工和學生用于的流量分別有多大?用于上網的流量有多大?誰更多地使用互聯網?是必要的嗎?誰占用的網絡帶寬最大?這些占用是必要的嗎?哪個用戶在非法掃描網絡?是否有用戶提供非法的下載(WWW/FTP)服務?
要解決這些流量問題,不是一件容易的事情,常規的方法有以下幾種。
其中一種是網管方式。網管方式通過啟動SNMP來獲取流量信息。但SNMP只能獲取流量的字節數,無法獲取字節的構成,更無法獲取流量的發起方。該方法可解決流量的分布問題,無法解決流量的構成問題。該方式主要用于設備的管理,而不適用于精細的流量分析。
另外一種是數據包監聽方式。該方法是將關注的流量串聯到或鏡像到分析儀器;通過分析儀器來獲取流量的構成和細節。該方法可做到流量的精細化分析,做到2~7層的流量分析,但缺點也很明顯,只有在部署分析儀器的地方進行流量分析,如果做到全網多節點流量監控,必須部署多個分析儀器,導致部署成本急劇上升。該
方式可很好解決流量的構成問題,但幾乎無法解決流量的分布問題。該方式適用于對少量關鍵點的監控,不適合大規模日常使用。
最后一種是基于流技術的方式。該方式是讓網絡設備在轉發數據流量的同時,生成特定的流量信息,然后將流量信息發送到特定的分析模塊,進而實現對流量的分析。理想情況下,如果讓網絡中的每臺網絡設備均發出流量信息,那么就可以輕松解決流量的分布問題,同時解決流量的構成問題。缺點是各廠商提供的流分析技術都是私有技術無法通用。
網管方式無法進行流量構成分析,不再討論。由于分析儀器的昂貴,監聽方式不適用于大規模部署,而且分析到7層應用后,容易使用戶隱私受到侵犯。而流技術的分析方式功能均衡而強大,對流量的分析只到業務字節,不涉及應用級,無隱私顧慮。
流技術方式更適合網絡流量分析。但由于各廠商之間流技術方式大多采用的是廠商的私有協議,就導致了不同廠商設備在組網后流技術方式不兼容的問題。正是由于這個原因國際化流量監控標準技術IPFIX(IP Information flowExport)應運而生。
校園網流量透明化管理
我校在進行流量透明化管理之前,整個網絡接入用戶的類型比較復雜,本來就不富裕的網絡流量常被消
耗殆盡。在經過幾次互聯網出口和校園網骨干帶寬進行擴容后,情況仍得不到解決,為了搞清楚這些流量都被哪些用戶和哪些應用占用了,我們引進了銳捷網絡的校園網解決方案,根據國際化流量監控標準技術IPFIX來對校園網的流量使用情況進行審計和評估。
網絡透明化解決方案包括流量采樣設備、流量采集設備、數據分析處理設備(如圖1)。利用IPFIX日志,網絡透明化解決方案提供了一種網絡監測、分析的方式,直接從支持IPFIX功能的路由器和交換機中收集流量信息,可以靈活啟動不同層面(接人層、匯聚層、核心層)的網絡設備進行IPFIX流量日志收集,并將收集的內容以IPFIX格式的日志輸出給Collerctor設備分析。管理員使用Analyser的分析功能,可做網絡使用狀況監控、用戶行為追蹤、異常流量檢測等,同時基于功能豐富的報表,可做網絡規劃方面的決策。(如圖3)
主要實現了以下功能。首先是網絡得到優化。可以使網絡管理員及時掌握網絡負載狀況,網內應用資源使用情況,對核心網絡的重點鏈路進行統計,各類TOP應用百分比,使用各類應用的網內用戶、服務器的流量趨勢
及統計值,迅速發現網絡當前的使用狀況和不同鏈路的使用率變化趨勢,盡早發現網絡結構的不合理或網絡性能瓶頸,盡快作出網絡優化方面的決斷,最終實現網絡的優化使用。
其次是網絡規劃參考方面。利用IPFIX流日志以及網絡透明化長期監控網絡帶寬而形成的各類趨勢報表,如基于設備接口的長期流量入出趨勢,長期流量入出趨勢分析,各類應用百分比,有助于網絡管理員跟蹤和預測網絡鏈路流量的增長,從而能有效的規劃網絡升級。
第三是網絡流量異常監測方面。利用網絡透明化解決方案提供的某段時間內的流量、應用趨勢分析,可非常直觀的看到網絡流量是否有突然增長或突然下降的現象,并進一步分析出是哪些用戶產生了最多的流量、使用了哪些應用以至于網絡運轉出現性能問題。
第四是廣域網流量監測方面。對于發展中的六盤水師范學院來說,WAN帶寬是非常有限的,如果WAN鏈路流量增大,通常我們的做法就是進行投資以升級WAN鏈路,但如果我們能掌握WAN流量的特征,制定相應的策略,就能使WAN帶寬得到最合理最充分的使用,避免進行不必要的升級投資。
1主要解決方法
未經合理分配和管理的帶寬使用將造成嚴重的帶寬資源浪費,甚至會因為濫用帶寬而破壞正常網絡業務應用的暢通運營。隨著校園網內部的信息化程度的提高,VOIP,視頻會議,OA等應用系統的部署,網內業務流量不斷增加。同時,不受控的網絡下載,P2P使用,以及蠕蟲等都對網絡有效帶寬利用構成很大的沖擊。不采取有效的優化控制措施,單純增加網絡帶寬不能起到很好的效果,反而提高運營成本。QoS服務質量及流量控制設備部署在專網出口,網段出口,或網絡的關鍵鏈路,能夠提高關鍵數據優先級,控制無價值數據占用的帶寬,對現有帶寬進行合理分配和管理。可以將用戶和網絡上各種應用進行分類管理,為每一類用戶或網絡應用分配不同的帶寬,并可以對非正常的帶寬使用進行抑制或封堵,充分保障了正常業務應用的順暢運營,網絡的正常運轉,降低運行成本,真正發揮互聯網的價值。
2應用案例
某全國重點高校,目前整個校園網共有信息點8400個,三個校區70棟主要的教學樓、辦公樓、實驗樓、學生公寓等,形成一個以千兆以太網為主干、快速以太網為輔的跨城區大規模園區網。整個校園網現有教育網1000M、電信網500M、和鐵通網100M三個出口,總帶寬1600M。
位于校園網信息中心的網絡環境是由100M鐵通網、500M電信網和1000M教育網的三條鏈路構成,主干設備包括:華為85系列核心交換機,Netscreen防火墻,F5系列鏈路負載均衡設備。出口是用F5系列鏈路負載均衡設備做鏈路的負載均衡,分別連接教育網1000M,電信500M和鐵通100M出口線路,下面連接Netscreen防火墻,再下一級連接學生宿舍區的華為85系列核心交換機和教學區的華為85系列核心交換機,該校在校學生人數約為22000多人,同時在線人數可達到6000多個信息點。該校對校園網運營提出了較高的要求,利用QoS服務質量及流量控制設備為其出口帶寬進行分析與優化。
連接該校內部校園網到互聯網出口的帶寬目前負荷較重,基本上在不作任何控制的前提下可以跑滿所有的帶寬。這主要是由于近一兩年來,互聯網絡的廣泛應用導致了大量的新型應用的引入和發展。除了常規的對互聯網的瀏覽、查詢、電子郵件等多種應用類型以外,多線程的FTP下載、在線游戲、蠕蟲病毒、以及DDOS攻擊等多種新型的網絡數據在網絡中大量使用和出現。尤其是P2P應用,由于其利用大量在線的客戶端設備資源而優化文件傳輸的能力,所以會導致網絡資源的極大消耗。在無法管理控制的條件下,而嚴重影響正常的學校網絡的運作。
3應用效果分析
這次應用主要圍繞QoS服務質量及流量控制設備。通過測試和實驗,驗證其對上述多種應用的發現、識別及管理等功能并驗證其實際性能。在管理策略設定前后,通過觀察會話數的變化、相關應用流量的變化、日志流量記錄對網絡的應用了解的變化等,來決策此類設備在校園網帶寬流量管理的必要性和意義。
此次應用,我們將QoS服務質量及流量控制設備放在網絡的學生區總出口和核心設備之間的位置,設備之間全部采用光纖連接,這樣QoS服務質量及流量控制設備就可以監控到網絡中的流量,以便更好地進行管理。
基本的配置完成和線路接好后,就要對網絡上的流量進行監測以及對應用進行歸類。最初一兩天主要監測該校園網中有什么樣的應用流量并根據應用的類型進行策略上的劃分。在對該校園網的應用流量進行兩天的數據收集之后,根據實際情況對應用進行策略上的控制,例如對P2P應用協議的限制等。策略配置好之后按照預先設定好的策略檢查機制觀察,檢驗策略是否可以達到人為預期的效果。
對于各種網絡應用流量能夠準確的按協議進行分類和人性化圖形顯示,對每種協議的流量作實時的統計,利于管理員有針對性的對各種網絡流量進行控制,在該校園網的網絡流量中通過分析BT和PPLIVE這兩種流量在高峰時的總量達到總流量的85%左右,是需要控制的對象。因此針對BT和PPLIVE的應用采取了限制,從而有效降低了BT和PPLIVE的網絡應用流量,同時放大了HTTP、FTP的訪問流量,滿足了教學辦公的要求,保障了正常的業務流量。
對于BT和PPLIVE這兩種協議可以單獨對其進行設定的QoS控制。同時也可以對整個P2P協議給予300M的方式來控制。也可以基于這兩種協議單獨控制。晚上7點至11點的高峰期,觀察限制后的P2P流量始終保持穩定的300M運行,目的達到。
對于該校園網中的每個網段的IP統計,監控到每個IP的源和目的會話數,有部分IP的會話數非常大,在700至1400之間,可以斷定這部分IP正處于使用P2P應用或者中病毒的狀態中,所以將其會話數限制到200至400之間后,非常明顯整個網絡的性能得到了明顯改善,網絡流量也隨之降了下來。
關鍵詞:局域網 流量 控制 管理
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)05-0246-01
當前,網絡寬帶不斷升級,可是網絡速度卻常常不盡人意,給很多商家、企業帶來了極大的困擾。網速不能滿足工作的需要,就需要對寬帶進行升級,也就意味著需要投入更多的資金,可成效并不顯著,網速仍然在變緩。造成這種情況的原因是多樣的,其中最重要的一點就是桌面寬帶永遠高于出口帶寬。另外,隨著網絡時代的到來,人們對網絡的依賴程度不斷提高。近幾年,P2P等下載軟件和網絡電視走入了人們的生活,使得本來就捉襟見肘的網絡帶寬上加霜。想要營造一個良好的網絡環境,將P2P、網絡視頻等軟件進行有效控制是關鍵。[1]
1、局域網網絡流量監控方法
網絡流量監控的主要目的是對網絡進行管理,其過程一般是:一、實時、不間斷地采集網絡數據。二、統計、分析所得數據。三、確認網絡的主要性能指標。四、對網絡進行分析管理。網絡流量監控的方法主要有兩種,一種是使用網絡監控設備,另一種是使用網絡流量監控軟件。當前的局域網網絡設備對于P2P這種模式沒有很好的管理效果,導致P2P軟件大行其道,占用了極多的帶寬資源。當前,以下幾種網絡流量最為常見:
(1)P2P流量:P2P文件共享在網絡帶寬消耗方面是大戶,夜間,有95%的網絡帶寬被P2P占用。
(2)FTP流量:FTP這項服務的應用比較早,且重要程度只比HTTP和SMTP稍低。P2P的出現,FTP的重要性再次降低,但其重要性仍然不可忽視。
(3)SMTP流量:電子郵件是企業之間交流的重要手段,是網絡應用中不可或缺的一部分。據不完全統計,竟然有75%以上的用戶將收發郵件作為上網的主要目的。再加上發送電子郵件是不另外收費的,所以被部分人當成廣告工具,互聯網中垃圾郵件的泛濫之勢愈演愈烈。[2]
(4)HTTP流量:互聯網上應用最廣泛的協議當屬HTTP協議。再加上視頻共享網站的興起,HTTP占用的網絡流量已經超過了P2P。
將以上這些流量種類分析清楚之后,我們就可以針對其特點,對癥下藥,以收獲事半功倍的效果。
2、局域網流量控制與管理策略
在輸出端口處建立一個隊列,是流量控制過程中常用的做法。通過控制路由,也就是控制IP地址的方式,來達到控制的目的。
2.1 通過路由控制流量
流量控制是相當部分路由器具有的常規功能。TP-Link TL-R410、TL-R460等型號路由器最近也新增了“流量控制”功能,對局域網內的電腦進行帶寬資源分配,對P2P下載進行管控,防止部分用戶的過度占用,為大多數用戶提供一個良好的上網環境。
2.2 禁止P2P下載
P2P下載是占用帶寬流量的主要原因,禁止方法主要是:使用注冊表禁止P2P下載軟件。編輯一個名字為KillP2P.reg的注冊表文件,內容如下:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\Software\M icrosoft\Windows\CurrentVersion\Policies\Explorer]"DisallowRun"=dword:00000001[HKEY_CURRENT_U SER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun]
"1"="BT.exe"
"2"="Thunder.exe"
"3"="bitcomet.exe"
"4"="………."
"5"="………."
如對某種P2P進行限制,將P2P下載軟件的可執行文件填寫到1、2后面,再將KillP2P.reg文件導入注冊表后,重啟機器,受KillP2P.reg限制的P2P軟件就無法正常運行了。
2.3 進行時間段管理
目前,部分路由器具有一定的時間限制的功能。所謂的時間限制就是對相關參數、功能進行監測,進而采取時間調度進程的方式,達到開與關的目的。
2.4 限定局域網主機速度
對局域網主機的上傳速度和下載速度進行限制,允許P2P下載,但對速度有所限制,限制的最低標準就是不影響他人對帶寬的正常使用。
3、局域網流量異常發現與處理
網絡監控軟件的合理運用可以很容易地找出局域網中流量不正常的電腦,是局域網暢通運轉、安全運轉、高效運轉的有效保障。異常流量造成的結果,輕微時會降低局域網運行速度,嚴重時,可能會使局域網癱瘓。所以有必要找出流量異常的主機。
3.1 找出流量過大的電腦
當發現流量異常時,首先需要做的就是找出流量異常的主機。網絡監控軟件可以幫助我們做到這一點。網絡監控軟件使用起來比較簡單,在局域網中任何一臺主機上安裝都可以實現對整個局域網的監控。監控的內容有流量記錄、網頁記錄、QQ聊天記錄等,根據記錄確定占用較多網絡帶寬的某個或者某幾個電腦,從而達到找出“元兇”的目的。
3.2 對異常主機發出警告
利用網絡監控軟件,可以很容易地找出流量異常的主機,下一步就是對該主機的使用者發出警告。這種警告不是現場的面對面警告,而是通告監控軟件發出警告消息即可。為了方便警告消息的有效傳達,應將對方電腦的信使服務功能開啟。如果警告沒有效果,那么就要采取進一步的措施,比如“禁止上網”,將其網絡斷開。
就目前情況而言,網絡監控軟件為網絡管理提供了極大的幫助,是企業局域網管理的重要手段。[3]
4、結語
流量監控軟件是監控網絡流量最簡單、最有效的手段。企業的網絡管理者,可以通過它將網絡資源的占用情況透明化,并有針對性的進行管理。同時,企業的管理層還應該建立一套切合實際的上網制度,只有內外結合才能從根本上解決局域網流量控制與管理的問題。
參考文獻
[1]李晟,甘勇.網絡流量測量與分析研究現狀及發展趨勢[J].鄭州輕工業學院學報(自然科學版),2005年02期.
關鍵詞:網絡服務器;流量分析;即時通信
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)19-5241-02
The Real-Time Communication Traffic Analysis
YIN Qing
(Beijing Jiaotong University, Beijing 101111, China)
Abstract:This article analyzes the current status of the network server traffic analysis. It discusses the significance of monitoring and analysis on the server traffic and summarizes main content. Then, the article analyzes the mathematical characteristics of real-time communication services based on the agreement of Net flow v9、IPFIX and PSAM.
Key words: Network Server; Server Traffic Analysis; real-time communication
今天的數據網絡給我們的生活、工作和人與人之間的溝通帶來了極大的方便,網絡業務日趨豐富,網絡流量高速增長。同時,網絡運營商之間的競爭也逐漸激烈,以高投資為特征,追求簡單規模擴張的粗放型競爭模式已經不適應當前的形勢。挖掘現有網絡資源潛力,控制網絡互聯成本,提供有吸引力的增值業務,提高網絡運維水平成為在激烈競爭中的制勝策而要實現這些,都離不開可靠、有效的網絡流量監控的有力支撐。
1 網絡業務服務器流量分析
設備一般位于局域網或者城域網與外部IP網絡相聯的網關上。將局域網或者城域網用戶訪問外部IP網絡的服務器定義為網外服務器,這些服務器上承載的業務為網外業務。
由于網內用戶每天訪問的服務器是隨機的,每天網絡流量監測系統截獲的網外服務器數量必定也是不確定的。一天內服務器承載的總流量也是不確定的。但是一周內某些服務器出現的頻率卻存在著穩定性,根據一周內服務器出現的頻率分組,分別研究所分的服務器組網絡流量特征。
一天內不同服務器承載的流量占當天總流量的百分比是不同的,本文忽略了承載流量較小的服務器,僅選取一天內承載總流量90%以上的服務器,并按照上述方法選取一周內(7天)的服務器集合作為分析對象。而總流量又分為了上行數據和下行數據,即網內用戶請求網外服務器時發出的流量和網內用戶接收網外服務器響應請求的流量。因此可以分別針對上行流量和下行流量得到一周內服務器集合作為分析對象。對于特定業務的上下行數據也可以得到服務器集合作為分析對象。
2 chat業務服務器流量分析
Chat業務表示各種即時通信業務的總和,即時通信(Instant Messaging,IM)作為通過Internet即時和他人聯系的一種方式,其互動性非常強,而且價格便宜,對于大多數人`來說,通過即時通信進行溝通比電話來得實惠,因而即時通信受到網民的普遍喜歡,即時通信既然廣受公眾和企業的喜歡,社會對IM的接收與企業對IM的需求正處于一個激增的趨勢,隨著它的進一步被應用,即時通信必然能夠形成一個很大的市場。對即時通信業務的研究也就具有了其商業價值。
在一天中網內用戶訪問網外承載chat業務的服務器數量有限,所以直接取這些服務器作為統計數據。
2.1 服務器頻率分析
作為一周內的統計數據,服務器出現的最大頻率為7次即每天中均存在網內用戶對這些服務器的訪問,最小為1次即一周內僅在一天內存在網內用戶的訪問。
表1中:一周內承載chat業務的服務器共計29臺,在一周內服務器僅出現1次的服務器共15臺,占總服務器數的50%,出現7次的(即每天均出現的服務器)共3臺,占總服務器數的13.3%。由此可見承載chat業務的服務器在一周內僅有一天收到網內用戶訪問的服務器占據了總的訪問服務器數量的一半。這些服務器,并不是網內用戶主要訪問的服務器。
將一周內服務器按照出現頻率進行分組,統計各個服務器組承載的總流量。各服務器組承載的流量占一周內總流量的百分比如表2所示。
在表2中,表明一周內每天都出現的服務器承載的上行流量占總上行chat業務流量的28.5%,承載的下行流量占總下行流量的65.2%,而這些服務器臺數只占總服務器臺數的13.3%。出現1次的服務器承載的上行總流量占總上行chat業務流量的5.04%,承載的下行流量占總下行流量的13.35%,而這些服務器臺數卻占總服務器臺數的50.0%。
圖1中列出了承載chat業務的服務器上下行數據間的關系,其中按照業務上行流量的大小排序。有上圖可見220.181.12.101 與220.181.15.128這兩臺服務器承載的上下行流量差異很大。
將上行業務服務器承載的流量按照100kbit劃分區間,其中橫坐標表示各個區間代表的流量。縱坐標表示在此區間內存在服務器的臺數。
2.2 服務器流量概率分布
2.2.1 上行流量概率分布分析
將上行chat業務按照流量排列后其柱狀圖如圖2所示,其中縱坐標表示該服務器一周內承載的總流量。
服務器上行業務流量的p-p概率分布圖如圖2所示。
圖中的樣本點基本與滿足weibull概率分布的直線逼近。可以近似認為滿足weibull概率分布。
2.2.2 下行流量概率分布分析
服務器上行業務流量的p-p概率分布圖如圖3所示。
圖中的樣本點基本與滿足lognormall概率分布的直線逼近。可以近似認為滿足lognormal概率分布。
3 結束語
總的來說,在網絡設備上配置網絡流量監控系統,對網絡流量進行分析和監控,好處還是顯而易見的。特別是對于網絡流量負荷比較大的網絡。可以有效的節省網絡帶寬和處理資源。也可以作為計費或者流量控制或者網絡規劃的參考。
參考文獻:
[1] 謝希仁.計算機網絡[M].大連:大連理工大學出版社,1996,2(2):170-174.
[2] 譚思亮.監聽與隱藏-網絡偵聽揭秘與數據保護技術[M].北京:人民郵電出版社,2002,25(4).117-121.
【關鍵詞】安全管理;教育城域網;上網行為管理
教育城域網是通過寬帶骨干網連接教育局內部網和校園網的傳輸網絡,它以網絡技術為依托,以各種信息設施為支持,以教育軟件和資源為基礎,以實現現代化教育和管理為目的,為區域教育提供全方位信息化應用服務。教育城域網在運行管理中,普遍存在網絡管理質量、方法和技術不夠完善的情況,使教育城域網的安全管理現狀不容樂觀。本文以教育城域網為分析對象,對其中的安全管理問題進行初步探討,以尋求經濟、有效的安全管理方法和建議。
教育城域網是各中小學校及教育機構服務的教育專用網絡。我區共接入網絡節點190個,網點遍布全境,網內計算機數逾萬臺。網內業務有:網絡教學、網絡備課、學校管理、基礎教育資源庫、遠程教育、教育管理等。
我們希望以業務分析為切入點,合理分解各項安全管理責任;但又能有機地組合成一體化的管理架構。
1.區教育城域網的網絡結構與組織架構
1.1 評估業務流量,選擇接入模式
因為教育的特殊性,學校數量與規模呈金字塔和倒金字塔型結構。幼兒園學校數最多,但校內終端數量少,網絡流量小;往上,小學數量多,校內終端數量較少,網絡流量也較小;直至高中,學校數少,但校內終端數量多,網絡流量大。如:部分學校教師計算機數即逾300多套,學生機房7個,其它專用計算機30多套;而小如村級幼兒園,僅2套左右計算機;所以,在網絡接入時,由校內終端數來測算流量,選擇不同網速的接入模式。
根據接入終端數量與網絡流量的大致測算,分為百兆光纖接入模式與ADSL接入專網模式,其中:光纖接入網絡節點82個,ADSL接入網絡節點108個。按當時的網絡業務,給每臺計算機估算流量為512K,以平均75%的同時上網臺數測算,確定接入模式(如表1所示)。
因為使用了ADSL接入專網,使教育城域網服務網點的半徑得以較大擴展。
1.2 合理分隔網絡,落實管理責任
姜堰教育城域網在初期規劃時,曾在建設三級交換網絡與VLAN分隔的交換網絡、路由分隔的互聯網絡等方案上做過選擇,如何能較好地落實管理責任也是考慮的重點。因網點分布較散,而維護實力較弱,三級交換網絡方案因多個學校在一個廣播域內,增加了安全隱患,在第一時間被否決。考慮到VLAN的終端管理數量及其網絡安全方面的原因,最終我們選擇了路由分隔的互聯網絡方案,如圖1所示。
使用路由來分隔主干網與各終端另一方面也是基于對網絡安全的考慮,教育城域網內存在著大量非信任網絡與不安全網絡,通過路由可以較好地分隔網絡。并且路由可阻隔一些基于二層協議的用戶攻擊行為和廣播風暴、ARP欺騙等,減少非法流量對主干網的騷擾,對部分網絡蠕蟲的傳染也可以起到一定的阻隔作用,在發生網絡攻擊時,也便于對結點的分離。但其的缺點也是明顯的,降低了交換速度并容易形成流量瓶頸,限制了某些網絡應用的使用。但根據普教網絡的應用來看,這樣的缺點并不足以嚴重。
在設備維護人員的安排上,根據與電信局達成的協議,其中光纖接入的網絡節點由市教育信息中心與各接入單位負責保障,ADSL網絡節點的維護由電信安裝維護組負責保障。在光纖接入的網絡節點管理上,由市教育信息中心負責主干網的保障,由各接入單位負責其局域網內的網絡安全。
這樣,較好地解決了設備保障方面的問題。最終落實了各單位管理責任,分解了管理任務。為實現安全管理打好基礎。
2.教育城域網面臨的安全問題與應對策略
2.1 主要的安全風險
因服務器群與普通網絡終端承擔的功能有較大的差異,服務器的安全風險遠高于普通的網絡終端。所以,服務器群的安全防護也應高于對網絡終端的防護。下面對存在的安全現狀進行簡單分析。
2.1.1 網絡安全現狀分析
教育城域網中的計算機系統管理比較復雜,要求所有的終端系統實施統一的安全策略是非常困難的,即使有計算機出現了安全問題,要追蹤查找用戶也比較困難。同時,網絡環境較為寬松,為適應各種應用,教育城域網主干網是充分開放的。在教育城域網內面臨的主要威脅包括:計算機病毒、電子郵件病毒、蠕蟲病毒、特洛伊木馬、入侵攻擊等等。除此之外,對網內發起的不良信息的控制也是比較重要的內容。
同時,網絡資源的不良使用也很嚴重,往往一些非主要業務(如:迅雷、BT等)占據大量帶寬,造成網絡的涌堵。
2.1.2 服務器安全現狀分析
服務器為網絡內各終端提供著各類網絡應用,如:WEB、FTP、MAIL、VOD、BT等等各類應用,都需要與服務器溝通。所以,服務器也成為網絡環境中,最容易引起攻擊的目標。服務器的安全也直接影響著提供服務的質量。
服務器的安全除了物理安全外,還存在著其它的安全威脅,如:機密數據的泄露、數據丟失和數據損壞、數據修改、拒絕服務、軟件錯誤等。
我們一般使用硬件防火墻來阻擋拒絕服務,用冗余磁盤陣列(RAID)和備份措施來解決數據丟失和數據損壞,而用數據加密來防止機密數據的泄露,用充分的測試來發現軟件錯誤等。
當然網絡上面最多的安全問題是數據修改,如:SQL注入、后門入侵等。這問題需要結合多種手段綜合處理,如:合理分配權限、使用防篡改程序等。
2.2 應對策略
2.2.1 網絡安全的應對策略
2.2.1.1 異常流量監測
網絡中的安全攻擊、蠕蟲病毒以及垃圾流量等都會導致網絡流量的異常。所以,做好網絡的流量監測是做好安全管理的一個手段,通過對異常流量的監測與發現,能夠把網絡中的不穩定因素給及時發現,并加以處理。
因我區教育城域網采用的是路由分隔的互聯網絡,我們在核心交換機處,能獲得各網絡節點的即時流量。同時,網絡節點的數量較少,監控的范圍也能得到適當控制。當然,也可以配置交換機的SNMP,然后用prtg之類的軟件監控端口,以觀察各網絡節點的流量。如果出現類似蠕蟲病毒大規模暴發等現象時,流量必然會出現異常,通過監測就能較早發現問題的來源,及時介入。
2.2.1.2 上網行為管理
因教育城域網上面有著不同的業務平臺,在主干網絡上無法進行過多的限制。如何規范上網行為,以保證正常業務的開展,但又能避免網絡資源的濫用,以及防范其它風險。我們考慮在各中小學網絡節點出口處以及各ADSL接入后,布置上網行為管理類設備(如圖2所示),對各段網絡(即對校內網絡的管理)分別進行管理。
上網行為管理是指幫助互聯網用戶控制和管理對互聯網的使用,包括對網頁訪問過濾、網絡應用控制、寬帶流量管理、信息收發審計、用戶行為分析。使用上網行為控制設備后,可有效防止:a.防止無關網絡行為影響工作效率;b.防止帶寬資源濫用;c.記錄上網軌跡滿足法規要求;d.管控外發信息,降低泄密風險;e.防止病毒木馬等網絡風險;
在使用上網行為管理設備的學校內,要求:a.根據時段限制一些網絡應用的使用,不能在上班時間內進行網絡游戲、炒股、網絡聊天等行為的發生,即對相關應用進行了封堵,上網行為管理設備可通過檢測網絡數據包中的特征碼來對常用的軟件和應用進行封堵。b.對各接入計算機進行流量分配,限制如P2P之類的應用大量擠占帶寬的情況。c.在全面管控用戶網絡行為的同時,要求詳細記錄用戶的網絡行為,如:訪問的網址、的信息、收發的郵件和QQ的聊天內容等,并把它保存于日志服務器內,以備事后的安全審計。d.使用了上網行為管理設備后,也減少了網絡病毒與木馬的感染。
2.2.1.3 安全審計
教育城域網絡在保證充分開放的基礎上,又要建立責任追查機制,所以,我們加入了安全審計方面的內容。為上網行為管理設備增加日志服務器,用來保存一段時間內的上網行為數據。以防在出現安全問題后,能通過審計的方式來還原問題的發生,以追查相關的責任人。
2.2.2 服務器安全
2.2.2.1 “最少權限原則”
最少權限原則可以用來提高計算機系統的安全性。它是一個基本的、但又是非常重要的而且容易為我們忽略的原則。該原則包含如下內容:
一個用戶(或者一個進程)應該擁有能夠執行分配給他的任務的最低級別的權限。
遵循該原則,我們在服務器群端接入網絡防火墻,以控制網絡對服務器的訪問。對提供網絡應用的服務器僅開放了有網絡應用的端口,在防火墻端進行了訪問控制列表(ACL)設置。在服務器的設置中,根據應用合理開設用戶與設定權限,盡可能的提供最小化權限,以盡可能減少黑客入侵的渠道。
2.2.2.2 容災與備份技術
容災備份技術是在引起系統非正常停機的事件后,保證生產系統的數據盡量少丟失的情況下,保持生存系統的業務不間斷地運行的手段。對于數據丟失和數據損壞,只有一種真正的保護措施:備份。
我們針對服務器一般進行本地容災,雙機熱備技術能較好地解決單機故障引發的網絡服務中斷問題。同時,為保障數據的安全,對數據應該進行熱備與冷備相結合的方法,對重要數據定時定期進行網絡備份。
2.2.2.3 網絡防火墻與入侵檢測技術
硬件防火墻與入侵檢測技術是保障系統安全的重要手段,硬件防火墻除了可以通過訪問控制列表(ACL)限制網絡訪問,還可以對高層協議的攻擊特征進行識別以抵抗如:DOS等的能力。入侵檢測(IDS)則可以在各服務器端布署監測點,以從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是防火墻的合理補充。
安全管理是一個永恒的話題,網絡危害和安全防護總是在不斷地發展。我們在依賴人員職責落實的同時,也更應依賴于管理制度及各類技術手段,以建立完整的安全管理體系,還網絡以平靜安寧。
參考文獻
[1]蘇秀強,梁啟榮.中學校園網建設和應用初探[J].
[2]張玉良.多媒體技術應用[M].合肥:安徽大學出版社,2004(7).
關鍵詞:流量控制;選型
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)16-3713-02
當網絡終端用戶越來越多、需求越來越大的時候,網絡就會越來越“卡”。然而盲目的增加帶寬,往往不能解決問題。其根本原因不在于道路“窄”,而在于“亂”。流量控制設備能夠精確鎖定網絡應用,為其劃分行走規則,上萬個用戶都各行其道,不再相互搶占資源,解決網絡擁塞,降低擴容成本。同時,能夠使網絡擁有智能化業務感知能力,可幫助運營商實現多種的增值服務,如接入檢測、應用分流,還支持運營商與高校網絡的搭橋互聯,實現雙網互通等等。幫助運營商拓展市場,增強服務能力,進而增加收入。
對于現代企事業、高校企業來說,網絡在公司的作用是至關重要的,因此選擇合適的網絡流量控制設備就成為了一個大難題了,通過選購網絡流量控制設備過程中的實際經驗,來給更多的高校、企業提供一些參考案例。
1 背景
三峽電力職業學院、中國能建職工培訓中心搭建了用戶接入量規模達5000多戶的網絡。然而,兩條千兆和兩條百兆接入,仍然不能滿足用戶群體的需要。每天客服中心都接到不同的投訴,大多數投訴主要集中在反應上網速度慢的問題。在暫時不能進行擴容的情況下,如何解決好這個問題,為此頭痛不已。
理論上來說,5000戶平時的并發量應該不至于引起網絡的崩潰,因為一般上網的用戶瀏覽網頁、進行游戲,不會使用太多的帶寬資源。根據設計單位的用戶和帶寬比建議,是完全足夠使用的。然而大家對一些終端用戶使用P2P下載、尤其是pps等視頻軟件泛濫使用導致網絡速度過慢一直深信不疑。因此經過大家討論和領導的許可,網絡中心打算找幾家相關的設備廠商來測試一下,一方面是找出導致網絡堵塞的元兇,另一方面也是希望能找到一個合適的產品,讓終端用戶的網絡體驗更加舒服。
2 國內外廠家分析
專業的流控設備國內的廠商有國外的也有國內的,國外主要有ALLOT、Sandvine,思科的SCE、PACKETEER等品牌。這些設備性能不錯、運行穩定。但是價格很高、國內協議識別率較低、用戶界面不太友好,功能偏少,有種水土不服的感覺。cisco、Sandvine、H3C的流控產品通用性不強,安裝調試過于繁瑣、價格很高、協議識別有點提高。國內品牌現在也不少了,銳捷的ACE、網絡掌門、Panabit、城市熱點、青蓮、北郵寬廣、信風、華為、金御、西默、紐盾、華夏創新等都是國內品牌。邁科、Acenet(冰峰網路)是國外品牌旗號的國內產品。邁科曾經是以色列的L7的,采用的L7的技術。
2.1國內廠家分析
目前解決流量擁堵的手段基本是靠流量控制設備來進行帶寬資源的管控和調節,這種廠家國內非常多,通過推薦聯系了幾家國內設備來測試。測試要求中對于設備的穩定性需要特別重視,要求CPU、內存占用率不能太高。這主要是考慮系統負荷超載的情況,如果CPU、內存占用率居高不下,對于串行設備來說,長時間運行下來可能會發生故障,引起網絡中斷,造成通信事故。然而在測試設備中。一些設備雖然勉強頂住5Gbps全流量的壓力,但是查看CPU占用率居然高達90%;有些設備一上線就崩潰了,連一條千兆鏈路的壓力都沒有頂住。
2.2 國外廠家分析
國外廠家的品牌設備,雖然在設備性能參數中不及國內設備性能參數。但是,使用起來發現國外設備性能穩定性大大超過國內設備,或許國內外廠家對性能參數理解不一樣。可是外國品牌設備不僅價格高,而且對常用的迅雷、QQ等“中國特色”的協議都不能支持的很好,特征庫的更新速度也不夠及時,再加上全英文的界面不大適合國人的操作習慣。
3 測試過程
通過一段時間的測試,對國內外設備的測試。最后還是選中了國內的設備,符合國內網絡環境特征的發展。流量控制設備在所有鏈路接近滿負載的同時,其設備的CPU占用率低于50%。接著又開啟所有相關功能,啟動復雜的控制策略。其設備的CPU占用率在80%左右波動,但是網絡運行基本正常。又測試了設備的BYBASS功能,當斷電、硬件故障、系統死機等,系統自動切換到Lan Bypass狀態,保持網絡連通。通過設備的測試過程,可以通過以下幾個方面對流量控制設備的選購進行綜合考慮:
3.1 產品性能
單臺設備要求對高端規格大包吞吐量不小于4Gbps,未來可以平滑過渡到8Gbps;64字節小包吞吐量不得低于1.8Gbps;支持連接數不小于300萬,可平滑過渡到500萬;在全線速轉發處理時延小于50微秒的性能要求。能夠在遇到突發流量,特別是遇到病毒攻擊等情況,不容易造成設備死機。
在網絡都是滿負荷運行情況下,所謂的“千兆線速”,極限一般是單向980Mbps――即雙向約2Gbps。有很多廠商都在這個地方故意模糊自己的指標,單口最多只能處理650Mbps,他們就做成三進三出,然后說自己能達到4Gbps的處理能力。可是這樣的性能指標,只要一條鏈路的流量打滿,他們設備基本就崩潰了。所以千萬要注意單鏈路的處理能力,如果他們有4個口,那總吞吐量是4Gbps才對,如果是6個口,總吞吐量一定要是6Gbps,否則就會在網絡滿負荷時出問題。
3.2 各種網絡協議的精確識別
目前網絡技術發展迅速,各種網絡應用層出不窮,協議識別率不得低于95%。針對這種情況,網絡流量控制設備除了能夠精確識別目前網絡中主流的網絡協議外,還能夠盡可能多對一些小應用的協議進行識別,能夠區分迅雷、網際快車等下載工具的HTTP下載和IE瀏覽器下載,對加密類應用(如加密BT、加密迅雷、Skype、edonkey等)進行識別。同時具有快速更新協議庫的功能,每種新協議的出現,網絡流量控制設備廠家能及時跟蹤并有針對性的更新協議庫,方便客戶更好的對本地流控系統進行策略的修改。對加密協議的識別,其他廠家主要是基于端口,識別率很低,Panabit對加密協議識別是國內做的最好的,檢驗協議識別是否準確,測試時可以做阻斷策略,察看是否阻斷成功和是否影響其它應用。
3.3 流量控制
對網絡流量控制自如,并且在圖表上反映出來,這是很考驗設備的功能和性能的真實水平的。利用分時自動控制,要求設置22:35、22:40、22:43時,將P2P下載的400Mbps流量分別改為500Mbps、600Mbps、700Mbps。結果從測試情況來看,流量成一個階梯形上升,系統響應速度非常的快。如果能做到這一點,就說明設備在流量的控制方面有一個非常高的精度,在流控功能和性能上有一個很好的表現。支持策略嵌套,即在同一條管理策略里,既可以針對特定對象(IP或應用)進行總的數據通道控制,也可以單IP限速,同時可并列匹配“DSCP標記”、“對端抑制”等參數,實現策略的高度靈活性和簡潔性。
3.4 監控統計、日志流量等相關參數顯示
這一點比較容易評價的,看看設備的圖表就可以知道了。圖標需要提供整個系統、各鏈路的流量和連接數統計圖表;最近10分鐘流量、累計流量、并發連接數統計等等圖表。監控統計出來的相關數據和圖形,通過科學的依據、結合用戶特點,制定符合用戶習慣的管控方案。對各類情況做出正確的處理。在監控統計功能中,可以發現網絡中的主要應用并不僅僅是P2P下載,還有很大一部分是P2P的在線視頻流量。所以針對P2P的在線視頻流量做出必要的管控。能夠通過SYSLOG格式向第三方設備輸出URL訪問、DNS查詢事件等日志,方便審計網絡中各類不健康的網絡行為。
3.5 特征庫升級等售后服務
通常情況下,只有設備遇到問題時,才想到售后。但是高額的維修費用,讓人望而祛步。在采購初期,售后服務和系統升級等服務很容易被忽視。隨著網絡的發展,各種流量的特征具有形式樣式多樣化、變化速度快等特征,所以流量控制設備特征庫的升級就至關重要。
4 結論
通過本次測試,流量控制設備在功能上都大同小異,但是表現方法各有不同。現在這方面的技術術語也比較混亂,所以要采購這類設備的時候千萬注意別被忽悠了。不少廠家有一些其他的功能,一般都不是很核心的,功能越多價格也越高。所以要通過測試,根據自己的實際需求進行選型。
參考文獻:
[1] 常莉.淺析校園網絡流量的監控策略[J].信息與電腦:理論版,2010,2010-2:45-48.
