异常流量分析与网络性能管理.docx
- 文档编号:367105
- 上传时间:2022-10-09
- 格式:DOCX
- 页数:10
- 大小:191.26KB
异常流量分析与网络性能管理.docx
《异常流量分析与网络性能管理.docx》由会员分享,可在线阅读,更多相关《异常流量分析与网络性能管理.docx(10页珍藏版)》请在冰豆网上搜索。
异常流量分析与网络性能管理
二十一世纪高速网络下之网管-异常流量分析与网络性能管理
(一)
迈入二十一世纪﹐网络与一般人的日常生活息息相关﹐从电子邮件、个人网页、入口网站等﹐更改变了人们过去的生活方式与习惯。
在这个地球村里﹐因为有了网络人们之间的距离不再那么遥远,信息传播速度也加快不少。
同样的,企业透过网络提高了工作效率与生产力。
随着全球化的脚步逐渐加快﹐网络的重要性也与日俱增﹔如何有效管理网络也成为了企业内重要的管理课题。
迈向高速网络时代﹐随着网络带宽增加与各种不同网络应用程序的使用﹐企业对网络管理也越来越重视﹔网管已经不再是口号﹐而是企业必须审慎面对的挑战。
一般来说﹐根据网络建置的顺序﹐网管分为四个阶段﹕
网络管理的四个层次
第一阶段为网元管理(ElementManagement)﹕企业建置网络时﹐首先会面对构成网络基本设备﹐这些设备包括了计算机、路由器、交换机等﹔在这阶段所进行管理工作包括网络设备的安装、设定与维护﹐利用一台中央服务器来管理企业内分散之计算机、路由器与交换机,主要目的为让使用者能使用网络上资源﹐这也是网管最基本的要求;CiscoWorks则是大家最耳熟能详与常用的设备管理系统。
第二阶段为运行管理(OperationsManagement)﹕运行管理包括了拓朴管理、资产管理、故障管理、事件管理、除错与告警等﹐主要目的是让网络能够正常运作﹐当有问题发生时能通知相关人员来解决﹐此一阶段主要管理设备各界面是否正常运作,当有故障发生时,系统可以立即发出报警;另外,运行管理也包括了对异常流量之告警与提供除错的工具,如实时监控与协议分析等;此类代表性系统如HPOpenView、IBMTivoli等。
第三阶段为性能/服务管理(Performance/ServiceManagement)﹕当网络建置完成并顺利运作后﹐就进入性能与服务管理阶段﹐性能管理涵盖了网络分析监控、应用分析监控、带宽规划、故障排除、错误管理与服务等级管理等﹐其目的在于维持网络传输之品质与网络应用系统与服务能运行顺畅﹐除了显示实时流量信息外,还进行长时间之流量收集、分析与统计,提供管理人员带宽规划与趋势分析报告,并可以针对不同应用系统与服务之响应时间进行监测与统计,提供服务等级管理;此类代表性系统为NetScoutnGenius。
第四阶段为业务管理(BusinessManagement):
业务管理包括了业务服务、业务影响分析、应用仿真测试等。
此一阶段代表了企业在实施新的业务时﹐如何预先从不同层面去分析新业务上线后对现有网络环境所造成的影响与所带来之效益;例如,当一家银行推出了网上银行业务时﹐需要重新评估依照现有设备及网络架构是否可以承载新业务所带来的网络流量与服务器工作量﹐藉此评估如何实施此业务,并提供企业未来之整体业务与服务蓝图。
目前在国内大部分的大型企业已经完成了设备管理﹐而金融业与电信业也有部分企业完成了运行管理之系统建置。
相较而言﹐欧美企业大都处在性能管理与业务管理阶段﹐而国内企业仍有很大空间去加强网络管理。
目前在企业管理网络时普遍遭遇到以下问题﹕
网络可视性﹕
Ø知道网络的利用率﹐但不知道是什么应用程序在网络上运行﹖主要用户有哪些﹖
Ø对于日趋重要的多媒体应用,如VoIP、视频会议等进行有效的监控和管理,以确保服务等级﹔
Ø遭遇到由于病毒或黑客引起的流量暴涨而导致网络严重拥塞﹔
Ø网络带宽规划没有长期统计数据来预测其网络使用趋势﹔
Ø网络需要优化,但是需要提出具体的统计资料来支持相关决策﹔
应用性能﹕
Ø当用户抱怨应用性能降低时﹐到底是服务器负载太高而处理慢呢﹖还是网络拥塞传输慢呢﹖
Ø如何维持企业内重要应用与服务的性能呢﹖
Ø无法提供详细之网络管理报表﹐包括各局域网与广域网之流量分析与应用服务器之性能状况﹔如:
IP地址、应用层响应时间及协议分布等﹔
故障排除与错误管理﹕
Ø每天都有新的病毒出现﹐要如何在病毒肆虐前发现中毒征兆呢?
Ø业务网,办公网或Internet带宽被个别用户占用,如何找出凶手呢﹖
Ø网络出现异常流量时﹐如何找出原因并解决问题呢﹖
从这些网络管理所面临的问题来看,我们企业已经需要一个有效的性能管理系统来帮助排除这些网络上的盲点,例如流量分析工具可以让管理人员了解更详细的网络使用情形,包括了网络上的主要用户与应用列表,网络电话品质的监控与用户使用统计资料,并可以主动发现异常流量,判断是否为黑客入侵或是病毒散播等;应用程序响应时间测量与监控可以让企业内重要之业务,如银行之网上银行业务、电信业之计费系统、制造业之ERP与PDM等运行顺畅;解决这些问题的根本之道在于有没有一个好的性能管理工具可以利用,这也是建置性能管理系统的开始。
所谓的工欲善其事,必先利其器,有效的性能管理系统可以帮助网络管理人员更了解企业内部网络之运行状况,也能加强故障的管理及排障能力。
我们从欧美在网络管理经验可以知道性能管理在整个网管中是非常重要的一环。
随着网络业务与应用系统大量快速增加,网络性能变成在企业管理上一个策略性之标的,提高网络性能才能让这些新的业务与应用发挥其效益,包括提高服务品质与效率、减少错误发生、减低成本、提高竞争力。
我们以美国一些全球性的金融服务业为例,他们目前正在实施企业内部之网络使用计费系统(UBB,UsageBasedBilling),计费系统让企业各部门分担了网络建置投资与维护成本,员工能更珍惜网络带宽使用,保障重要之应用系统能维持好的效能,减少网络中断或是品质下降所造成之损失,并且可以长期分析网络使用行为模式,做为网络优化之基础。
谈了这么多性能管理之优点与实行的需要,那么性能管理究竟包括了哪些范围呢?
首先我们就性能管理之资料来源来看,与设备管理与运行管理不同的是,性能管理之资料来源主要来自网络流量,这些流量可能来自内部网络(Intranet)或是广域网(Internet),最普遍的收集流量的方法为放置探针(Probe)来监控网络,探针是一个硬件收集器,利用不同界面架设在内部网络或广域网上,以旁路分接方式利用Y形缆线或是Tap,将流量复制到探针中进行译码、分析与统计,另外也可利用交换机镜像功能将流量复制到探针。
探针将流量归纳为下列七大类资料:
1.统计(Statistic):
包括网络利用率与吞吐量、协议分布、包大小、广播包比例;
2.主机(Host):
网络层与应用层主机IP地址列表;
3.通信对(Conversations):
网络层与应用层通信对列表;
4.告警(Alarm):
针对各种异常现象之自动报警;
5.响应时延(ResponseTime):
应用程序及服务响应时延;
6.误码(Errors):
误码种类、错误率;
7.数据包档案(Trace):
原始数据包资料;
这七大类资料代表性能管理资料核心,可以帮助网络管理人员分析并管理企业网络相关之性能问题,例如统计出网络应用分布与主要使用者;发生异常流量时立即收到告警,并找到问题来源与祸首;当重要业务的性能下降时,也能藉由响应时延统计找到哪个服务器与客户端发生问题,并判断是因为网络或是服务器所造成;或是利用数据包译码来分析原始数据包资料,排除网络故障。
CDM整合各种数据源﹐简化网络性能管理
为了从不同的网络架构上﹐获得上列七大类资料﹐NetScout推出了其独创的资料共享模型(CDM,CommonDataModel)。
CDM以这七大类资料为中心,扩展到不同网络架构上所运行的不同应用系统,无论企业使用一般网络应用(浏览器、电子邮件、FTP等)、多媒体应用(VoIP)、客制化系统(ERP、SCM、PDM等)、E化业务(网上银行)或是CITRIX、SAN等,在不同的网络架构上传输(如FastEthernet、GigabitEthernet、GigaChannel、T1/E1、T3/E3、FrameRelay、ATM、POS等),都能将这些应用系统流量归纳为网络性能管理之基本七大类资料。
CDM涵盖了网管内第二阶段运行管理之故障排除与错误管理、完整的第三阶段性能管理与第四阶段业务管理之业务服务、业务影响分析与仿真测试﹐并强调通过支持不同的资料来源﹐从而让网络管理人员在投资与管理之间取得最适当的平衡﹐有了CDM后,企业网络性能会更有系统的被管理与监控,并且提供企业在业务管理上重要的依据,达到网络优化与业务最大效益。
随着网络的带宽不断增加,网络架构不断扩充并复杂化,各种网络应用的兴起也逐渐取代过去人们习惯﹐性能管理加强了网络之可视性与可靠性,就好象医师所使用的X光、超音波一样,可以透视企业内部网络运作情况,并找出潜在的问题,让企业的网络更可靠与稳定。
异常流量分析是网络性能管理重要的一环。
异常流量如病毒、DoS、黑客入侵等造成企业重大损失﹐我们将在下一篇专栏介绍如何利用网络性能管理系统来帮助企业预防、发现、监控与分析异常流量。
二十一世纪高速网络下之网管-异常流量分析与网络性能管理
(二)
我们在上一期中谈到了网络管理四大阶段与网络管理趋势﹐面对种种管理网络所面临的难题﹐我们如何有效利用性能管理工具来找出网络潜在问题并且提供解决方案呢﹖目前网管人员最头痛的问题—异常流量。
异常流量发生的原因常为病毒发作与黑客攻击。
随着网络越来越复杂﹐病毒与黑客有更多机会与空间去破坏与影响网络。
网络管理人员往往无法预先发现这些潜在病毒与黑客﹐一直要到有重大攻击或者是大量病毒散播时才会收到告警开始处理﹔而到此时企业因网络中断或性能下降已经遭受重大的损失了。
异常流量有许多可能的来源﹐包括新的应用系统与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等等。
管理人员可以利用网络安全系统与性能管理工具来帮助侦测、监控与处理异常流量﹔例如防火墙可以预先过滤应用协议与使用者信息﹐以判断是否让这些流量通过﹔协议分析工具帮助管理员统计所有应用业务分布状况﹐以厘清是否为新的应用系统所造成之异常流量或是非法下载软件﹔IDS可以实时侦测与阻止由外部进入企业内对网络与重要服务器之入侵攻击行为﹔防毒软件可以帮助保护重要主机与个人计算机避免受到病毒侵入。
在所有异常流量中﹐以黑客攻击与病毒对企业影响最为严重﹔病毒之散播主要是以非固定对象为主﹐从早期之邮件病毒﹐蠕虫﹐到去冲击波病毒利用微软操作系统内之安全漏洞﹐散播的方式从被动到主动﹐传播速度快﹐影响范围也越来越大。
黑客攻击则是以特定对象为主﹐以非法入侵方式去更改、破坏或是窃取资料﹐例如近来出现之DoS(拒绝服务)与DDoS(分布式拒绝服务)攻击方式。
DoS之目的就是拒绝服务访问,让服务器充斥大量要求回复的请求,消耗网络带宽与系统资源,导致网络或系统不胜负荷以至于瘫痪﹐而停止提供正常的网络服务。
而DDoS是基于DoS的特殊形式的拒绝服务攻击,主要针对大型与知名网站﹐如商业公司、搜索引擎和政府部门的网站。
它利用网络协议的缺陷或是计算机操作系统之漏洞,伪造大量或是不正常的数据包涌向服务器提供服务的连接端口,使得服务器疲于处理大量的垃圾数据包而无法提供正常的服务。
要预防病毒与黑客攻击首先需要完善防护企业的大门﹐防火墙与IDS是主要防线。
防火墙是界于企业内部网络与Internet间第一道关卡﹐与IDS共同防护已知的病毒与黑客攻击﹔然而﹐防火墙与IDS对于新病毒或新的黑客攻击模式并无法事先防范﹐必须等到管理员手动增加新的存取限制与攻击模式特征后﹐才能找出问题与解决安全漏洞。
针对防火墙这个限制﹐让不少病毒与黑客有了活动与发展之空间。
企业网络人员与各大网络安全系统设备厂商﹐往往在病毒或黑客造成企业重大的损失后﹐才能提供有效的解决方法与更新之病毒码。
企业网络管理人员希望在一有异常流量时﹐就能收到警报并进行分析与监控﹐找出异常流量发生原因、位置与解决方法﹐以避免病毒继续扩散或主机服务被黑客阻断。
有效的网络性能管理系统为企业网络管理人员提供强大与可靠之工具﹐使他们在处理异常流量
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 异常 流量 分析 网络 性能 管理