歐主管立刻給i博士打電話詢問此事。
談需求分析流量確保業務連續
“i博士,我這邊的網絡和我一樣,還沒恢復工作狀態。突然出現網絡通訊中斷,內部用戶均不能正常訪問互聯網,我在機房中進行Ping包測試時發現,中心機房客戶機對中心交換機管理地址的Ping包響應時間較長且出現隨機性丟包,主機房客戶機對二級交換機通訊的通訊丟包情況更加嚴重。我猜可能是有病毒了,但是我一直沒找到真實原因。”
i博士對歐主管說,經過我初步判斷,引起這些問題的原因可能有三:1.交換機ARP表更新問題;2.廣播或路由環路故障;3.病毒攻擊。你還需要進一步獲取ARP信息、交換機負載和網絡中傳輸的原始數據包。
“我還建議你使用網絡檢測分析軟件對網絡中傳輸的數據包進行捕獲,你僅僅通過交換機的端口流量,或者使用單純的流量軟件,將很難找到問題的根源,如果是病毒引起的網絡故障,很可能會耽誤問題的解決,這樣網絡中感染的主機會越來越多,最終將導致整個網絡的全部癱瘓。”i博士又補充了一句。
“那么我應該用什么樣的網絡檢測分析軟件呢?”歐主管對i博士的建議產生了一個疑惑。
i博士解釋說,近年來,很多服務提供商一直使用NetFlow。因為NetFlow在大型廣域網環境里具有伸縮能力,可以幫助支持對等點上的最佳傳輸流,同時可以用來進行建立在單項服務基礎之上的基礎設施最優化評估,解決服務和安全問題方面所表現出來的價值,為服務計費提供基礎。
但是,NetFlow也不是萬能的,比如它無法提供應用反應時間。在對軟件的選擇上,應該注意他應該符合企業這些需求:
1.可以根據應用、主機和對話查看廣域網和局域網的端口速率、分類統計以及利用率測量值;
2.可以通過業務單位、地理位置、IP子網等合計網絡流量;
3.可定制時間段以支持工作日的測試報告;
4.可以報告全年網絡流量性能;
5.可以對網絡上的每個端口提供實時測試報告和告警;
6.可以自動運行定期的測試報告并發送Email;
7.可以通過將端口、IP地址來詳細說明應用;
8.包括病毒掃描向導,可以快速報告并對潛在病毒進行告警。
i博士點評
建議使用網絡檢測分析軟件對網絡中傳輸的數據包進行捕獲,僅僅通過交換機的端口流量,或者使用單純的流量軟件,將很難找到問題的根源。
話采購集中分析讓網絡更智能
“原來是這個樣子,我需要部署便捷、分析問題快速,在短時間內就可以提供給我詳細報告的智能的網絡分析和網路應用性能分析解決方案。這樣我就可以更有效地對網絡進行管理,讓老板改善整個企業中業務運作的服務水平。”歐主管對網絡的管理滿懷希望。
i博士說:“很早以前錢經理就用上了網絡監測分析軟件,可以從遠程分析儀處收集數據,生成測試報告,提供了深入的分析,揭示出最難發覺的應用和網絡故障。”
“還真是,我怎么早沒想到這些。現在競爭那么激烈,需要新型的業務處理方式才能符合新的業務運營模式。信息結構發生變化就會引發出新的對分布式透視、集中式分析工具以及IT主動性與業務目標結合能力的需求。”
事實上,預測基于網絡的資源的性能降級或損害以何種方式發生是不可能的。必須對重要的安全事件和網絡威脅作全面的調查,阻止它們的重復發生。
“現在還有一些產品可以實現對整個網絡故障事件的回放和重建,可以針對HTTP網頁、POP3、SMTP、IMAP4郵件事務、互聯網中繼聊天(IRC)通信、FTP下載、VoIP會話等。重建和回放的過程可將數據轉換成應用層事務流,你就可以輕松進行單步調試,而且感覺很真實。”i博士又給歐主管一個新的建議。
歐主管說:“我們的IT環境越來越復雜,包括很多集成媒體應用。這些應用的最佳性能需要一個對所有IT架構組件的統一視點。需要一個方法能夠確保網絡性能問題能夠被及時和快速地隔離和解決。”
i博士給歐主管說清了其中的道理:“可以通過監測應用的集中業務,讓你真正地把企業的業務與企業所依賴的IT架構集成在一起。業務部門經理能夠創建有關服務器、網絡或應用的“業務集裝箱”,可以讓他們輕松地發現業務服務的性能是否和他們預期的一樣。”
“同時,對于你來說能夠創建一個準確的分組,用來追蹤特定設備、應用、服務器或他們監測和維護的數據庫。”
歐主管按照i博士的建議后,馬上安排人進行網絡故障排查工作。很快,問題就得到了解決,果然是因為放假的緣故,很多人放松了警惕,讓病毒流竄到網絡中。
這次教訓也提醒了歐主管,對于企業安全,只有起點,沒有終點。而通過對網絡進行不斷的監控分析,可以確保業務連續。
i博士點評
對于企業安全,只有起點,沒有終點。而通過對網絡進行不斷的監控分析,可以確保業務連續。
用戶觀點
北京市古城外國語學校信息處主任 張琦
流量要分析 網絡要優化
進行流量監控和流量分析是整個網絡合理化的重要環節,它能在最短的時間內發現安全威脅,在第一時間進行分析,通過流量分析來確定攻擊,然后發出預警,快速采取措施。
流量分析要點
連接性 也稱可用性、連通性或者可達性,嚴格說應該是網絡的基本能力或屬性。Internet的出現以及采用新技術而帶來的生產力提高,導致對更高帶寬和服務的需求。
企業需要更高帶寬的定制服務;而消費者則需要像寬帶連接和視頻點播等服務;運營商必須在他們的目標市場需求與他們業務的現實之間取得平衡;這些都必須以網絡的連接性能為基礎和保障。
時延 定義了一個IP包穿越一個或多個網段所經歷的時間。時延由固定時延和可變時延兩部分組成。固定時延基本不變,由傳播時延和傳輸時延構成;可變時延由中間路由器處理時延和排隊等待時延兩部分構成。
丟包率 是指丟失的IP包與所有的IP包的比值。許多因素會導致數據包在網絡上傳輸時被丟棄,例如數據包的大小以及數據發送時鏈路的擁塞狀況等。不同業務對丟包的敏感性不同,在多媒體業務中,丟包是導致圖像質量降低和斷幀的根本原因。
帶寬 一般分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當一條路徑(通路)中沒有其它背景流量時,網絡能夠提供的最大的吞吐量。可用帶寬是指在網絡路徑(通路)存在背景流量的情況下,能夠提供給某個業務的最大吞吐量。
在復雜的網絡系統上面,不同的應用占用不同的帶寬,重要的應用是否得到了最佳的帶寬?它占的比例是多少?隊列設置和網絡優化是否生效?通過例如MRTG等網絡流量分析會使其更加明確,并以圖形HTML文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。
協議分析 對網絡流量進行協議劃分,如:Web瀏覽(HTTP)、電子郵件(POP3、SMTP、WEB MAIL)、文件下載(FTP)、即時聊天(MSN、QQ等)、流媒體(MMS、RTSP)等。針對不同的網絡應用協議進行流量監控和分析,如果某一個協議在一個時間段內出現超常占用可用帶寬的情況,就有可能是攻擊流量或蠕蟲病毒出現。
業務網段流量分析 大多數組織,都是將不同的業務系統通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統針對不同VLAN來進行網絡流量監控。
主動分析避免異常流量
面對異常流量,我們應當建立一套分析系統,支持異常流量發現和報警,能夠通過對一個時間段內歷史數據的自動學習,獲取包括總體網絡流量水平、流量波動、流量跳變等在內的多種網絡流量測度,并自動建立當前流量的置信度區間作為流量異常監測的基礎。
如果自行建立主動型的網絡分析系統一般包括:測量節點、中心服務器、數據庫和分析服務器。但對于中小企業來說難度較大。主動分析是借助產品化和集成程度較高的測量工具,有目的對生產網絡注入監控點,并根據測量數據流的傳送情況來分析網絡的性能。雖然這些監控點也會占用帶寬,但和P2P下載所占用的可用帶寬相比是微不足道的。
在排除病毒和封鎖P2P之后,一般帶寬占用前兩名的應用是基于網站頁面的在線音頻與在線視頻。為了節約帶寬,我們應該在工作時間段對其進行限制和封鎖。隨著網絡本身的性能增強,流量分析相關理論、測量方法、和各種測量工具的不斷出現,人們對網絡的認識也會越來越深刻,從而不斷地推動網絡技術向前發展。
