Forstå fordelingen af netværkstrafik for at finde metoder til at optimere ydeevnen i netværk,, netforvaltning teknologi til at forbedre ydeevnen i netværk,, netværkstrafik er også en god beskyttelse af informationssikkerhed arbejde, som er det vigtigste arbejde med trafikken på nettet indhold.
■ Dr. Li Yang af China Mobile Research Institute
I løbet af de sidste ti år har internettet gjort en rivende udvikling. Ifølge statistikker, har internettet blevet den vigtigste menneskelige samfund, informationsinfrastruktur, der tegner sig for 80% af menneskers udveksling af oplysninger. I denne baggrund, gradvist stigende kompleksitet i nettet linje og øge netværkstrafik, system og netforvaltere skal bruge mere tid og kræfter på at forstå de operationelle forhold i disse netværksenheder at opretholde et netværk normale drift 企业. Generelt skal netværket ledere til at forstå forbruget af båndbredde for hvert segment, nettet flaskehals problemet opstår, når problemet opstår, når netværket skal være i stand til hurtigt at analysere problemerne og fastslå årsagerne, er disse netværkstrafik ledelsens vigtigste opgaver. Så når forvaltningen netværkstrafik bør baseres på grundlag af, hvad, med hvilke midler og strategier til effektivt at identificere flow, analyse og ledelse?
Netværk trafikstyring mål
Med den fortsatte vækst i trafikken på nettet og netværk applikationer bliver mere og mere talrige og komplekse, kan vi se, enkle, ubegrænset stigning i båndbredde kan ikke løse de grundlæggende problemer med trafikken på nettet. Vi har brug for at styre netværkstrafik for at sikre sundheden for nettet og nettet ansøgninger, normal drift.
I processen med nettet trafikstyringssystemer, er vores primære målsætning om netværksstyring nødvendigt at definere det problem. Netværk af trafikken i fire hovedmål: For det første er vi nødt til at forstå netværkstrafik brug, for det andet at finde den optimale netværk ydeevne 途径 tredje, at netstyring teknologi til at forbedre ydeevnen i netværk, og endelig, at det er nødvendigt at gøre netværkstrafik informationssikkerhed beskyttelse arbejde.
For at nå disse fire mål, først netværksadministratoren gennem effektiv klassificering meget klart, vi har brug for båndbredden, der faktisk er anvendt i sidste ende. For det andet finder netværk arbejdsindsats flaskehals. Der er to meget vigtige netværk arbejdsindsats indikator, man er gennemløb, dvs netværket kan sende den maksimale mængde data, og den anden er forsinkelsen. For det tredje, at anvendelsen af avancerede trafik overvågning og kontrol software forbedre ydeevnen i netværk, der opfylder forskellige netværk applikationer. Endelig netværk også kan integreret brug af intrusion detection systemer (IDS), firewalls, Unified Threat Management (UTM)-enheder på netværket trafikken for informationssikkerhed beskyttelse arbejde.
I den daglige styring af trafikken, forvaltning netværk for effektivt at nå 4 mål, vi har brug for at træffe passende foranstaltninger. De foranstaltninger omfatter opsamling og klassificering af netværkstrafik, netværkstrafik overvågning (statistik og analyse), og kontrol-strategier.
1. Network trafik-opsamling og-klassificering: Dette er første skridt i forvaltningen af netværkstrafik. Kun ved at indstille fange punkt, om fangst og klassifikation af netværkstrafik for at følge op analyser og kontrol. Her skal understreges, at klassificeringen af netværkstrafik kan være meget makro-orienteret, kan forbedres. Såsom TCP, UDP, ICMP, osv., og på de mere makro, og HTTP, FTP eller endda som Kazza, Skype og andre P2P trafik klassificering og identifikation af en relativt raffineret. I deres daglige arbejde, kan netværksadministratorer bruge Wireshark, tcpdump andre velkendte pakke fange og analyse software til trafik-opsamling og-klassificering.
2. Network trafikovervågning (analyse): skærm til at vise strømmen af driftsforhold, til at identificere problemerne og gennemføre passende ledelsesstrategier. Ansøgning og netværksadministration til indsamling, display og indsamling af oplysninger, herunder båndbredde udnyttelse, aktiv vært og nettets effektivitet og aktive programmer. Målet med det fælles marked gennem brug af NTOP ledelsesværktøjer såsom visuelle analyse til at hjælpe netværksadministratorer at gennemføre i praksis.
3. Control strategi: netværkstrafik analyse, er næste skridt er at tildele båndbredde efter prioritet. Kan baseres på fordelingen af værten, anvendelse, og især behovet for at overveje, er opmærksom på forbruge ressourcer P2P programmer eller lyd-og video downloads, osv. lag i betragtning. Specifik operation kan anvendes til populære værktøjer til flow kontrol og gennemførelse, f.eks as klassificering af net-trafik overvågning og kontrol, så vi kan effektivt styre netværkstrafik, vil det være den originale uorganiseret op til at blive rækkefølge af netværksudbyderne trafikken.
I det følgende beskrives, hvordan vores særlige netværk trafikstyring, herunder identifikation af netværkstrafik, netværkstrafik analyse og kontrol.
Identifikation af netværkstrafik
Flow identifikation, også kaldet service identifikation (Application Awareness), er det første skridt i forvaltningen af netværkstrafik. Identifikation af netværkstrafik flyder gennem virksomheden fra datalink lag til applikationslaget dyb packet inspection og analyse, baseret på protokol type, portnummer, karakteristika og flow adfærd karakteristika af strengen parametre, for business typer, business status, business content og bruger adfærdsmæssige oplysninger og statistiske klassifikation og opbevaring. Det grundlæggende formål med erhvervslivet identifikation er at hjælpe netværksadministratorer adgang til nettet lag oven på business lag informationsstrøm, som business type, forretningsbetingelser, business distribution, trafikafvikling og andre forretninger.
Service identifikation er en forholdsvis kompliceret proces, der kræver flere funktionelle moduler til at arbejde sammen, business process identifikation af det arbejde, kort som følger:
1. Anerkendelse behandling modul ved hjælp af multi-kanal anerkendelse behandling, netværkstrafik gennem source / destination IP-adresse og source / destination port nummer Hash-algoritme, den netværkstrafik jævnt på tværs af flere forarbejdning kanaler.
2. Multi-kanal parallelt netværk for trafik i dyb packet inspection, adgang til netværkstrafik egenskaber information og identificere egenskaber af biblioteks-og business features til matchning.
3. At matche resultaterne sendes til anerkendelse behandling modulet, og identificere en bestemt netværkstrafik. Hvis der er flere kampe at vælge høj prioritet kampe er identificeret. Ved identifikation af et særligt netværk trafik identifikation, opfølgning at tilslutte netværkstrafik vil ikke være dyb packet inspection, direkte til netværket lag og transport lag oplysninger og sammenligne anerkendelse resultater er kendt for at øge effektiviteten.
4. Anerkendelse behandling modul til at identificere de forretningsmæssige resultater af netværkstrafik til at identificere de resultater lagres i hukommelsen modul for netværkstrafik, danner grundlaget for statistisk analyse.
5. Statistisk analyse modul resultater fra identifikation information hukommelsesmodul at læse og kurve, cirkeldiagram, søjlediagram eller tekst form at identificere følge af oplysninger skærm eller et dokument til output.
6. Resultatet er gemt i modulet oplysninger vil blive lagret i anerkendelse resultat output til nettet trafikstyringssystemer funktionelle områder for at danne grundlag for gennemførelse af nettet styring af trafikken.
Business anerkendelse teknologi i øjeblikket anvendes i to, at DPI teknologi og DFI-teknologi.
DPI-teknologi er en dyb packet inspection DPI (Deep Packet Inspection) for korte. DPI teknologi kaldes "dybde" i detektionsteknologi, er i forhold til den traditionelle afsløring formål. Den traditionelle trafik detektionsteknologi kun for dem lagring i datapakken netværkslaget og transport layer protokol header i de grundlæggende oplysninger, herunder source / destination IP-adresse, kilde / destination transport lag portnummer, protokol nummer, og den underliggende status for forbindelsen. Disse parametre er vanskeligt at få nok af erhvervsmæssige anvendelser af information, især for de nuværende P2P applikationer, VoIP applikationer, IPTV været meget gennemført under anvendelse af traditionelle trafik detektionsteknologi kan ikke opfylde behovene hos de netværkstrafik.
DPI-teknologi på de traditionelle trafik opdagelse teknologi, "dybde" af ekspansion i adgangen til grundlæggende oplysninger pakker mens datapakker på en række applikationslaget protokol overskrifter og protokol belastning scannes og lagres i applikationslaget af funktionen oplysninger , fine netværkstrafik tilsyn, overvågning og analyse.
DPI-teknologi er normalt anvendes som datapakken analysemetode:
● Analyse af transport lag port. Mange programmer bruger den standard transport lag portnummer, såsom HTTP-protokollen bruger port 80.
● funktioner i ord matching. Nogle programmer på applikationslaget eller applikationslaget protokol header belastning karakteristika i feltet indeholder et bestemt sted, ved at identificere særlige forhold i forbindelse med data packet inspection, overvågning og analyse.
● kommunikation interaktion proces analyse. Flere møder i anliggender interaktiv proces for overvågning og analyse, herunder pakkelængde, antallet af sendte pakker, opnå netværkstjeneste tilsyn, overvågning og analyse.
Den teknologi, hvis en mere detaljeret klassificering, kan opdeles i egenskaber ved kinesiske tegngenkendelse teknologi, applikationslaget gateway identifikation, adfærdsmønster anerkendelse, blev tre typer identifikation anvendes på forskellige typer af aftaler ikke kan erstatte hinanden, Kun en integreret brug af disse tre teknologier kan effektivt og fleksibelt at anerkende alle former for applikationer på nettet, så kontrol og fakturering.
DFI DFI teknologi er populær til påvisning af dyb (Deep Flow Inspection) er kort sagt en typisk virksomhed identifikation. DFI-teknologi er utilstrækkelig til DPL valgte teknologi, for at løse gennemførelsen af effektiviteten af DPI-teknologi, kryptering, trafik identifikation og hyppige opgraderinger og andre spørgsmål. DFI også fokusere på de fælles karakteristika netværkstrafik derfor, DFI teknologi, ikke er dybden af netværkstrafik packet inspection, men kun om status for netværkstrafik, Netværksdelen og transport lag af information, business flow varighed, gennemsnitlig strømningshastighed , byte længde af fordelingen parametre statistisk analyse, for at få virksomheden type, business status.
Statistisk analyse af netværkstrafik
Gennem statistisk analyse af trafikken, kan netforvaltere kende den nuværende netværkstjeneste trafik typer, båndbredde, tid og geografiske fordeling, flow og andre oplysninger.
I forvaltningsprocessen, kan administratorer bruge fælles værktøjer til at bistå med gennemførelsen af NTOP. NTOP værktøjer og traditionelle såsom tcpdump eller ethereal til fange netværkstrafik værktøj har en stor forskel, og det primært er netværkspakke statistik, snarere end indholdet af beskeden. Hertil kommer, at NTOP ikke nødvendigt at bruge Web server, hvilket i sig selv ville støtte HTTP-protokollen. For det første giver en hurtig og nem måde at få præcise oplysninger om net-aktivitet, og ikke bruger nettet afsløring eller aflytningsudstyr. I de fleste tilfælde, at netværket fejl detektoren track nettet er påkrævet, men på et tidspunkt kan have detektorer bliver brugt til at overvåge andet udstyr ikke er tilgængeligt, kan du bruge NTOP værktøj andet i en given netværkskonfiguration kan ikke være forbundet med detektoren, som to UNIX-systemer via WAN sammenkobling, i dette tilfælde, kan brugeren anvende NTOP værktøj.
Generelt kan det use NTOP tool bistå netværksadministratoren for at fuldføre følgende arbejder: automatisk fra netværket for at påvise nyttige oplysninger, den opfangede data pakker i et format, easy at identificere, på nettet miljøet til at analysere situationen for kommunikation failure; afsløring kommunikation flaskehalse i nettet miljøet registrere tid og proces netværk kommunikation.
NTOP Værktøjet kan analysere netværkstrafik at identificere de forskellige problemer på nettet kan også bruges til at vurdere, om den hacker angriber et netværk system, kan den nemt show, at en bestemt netværksprotokol, båndbredde-intensive vært, diverse Kommunikation af målet vært, datapakken sendetid, sender den data pakke forsinkelse og andre detaljer. Ved at forstå disse oplysninger, kan netværksadministratorer lave en rettidig reaktion på den manglende net-optimering og tilpasning i overensstemmelse hermed for at sikre effektivitet og sikkerhed af netdrift.
Netværkstrafik kontrol
Trafik kontrol vil blive tilføjet til nettet trafikstyringssystemer kan bidrage netforvaltere til netværksressourcer og forretningsmæssige ressourcer, båndbredde-kontrol og ressource planlægning, såsom HTTP, FTP, SMTP, og at forvalte P2P applikationer, især P2P trafik suppression traditionelle datatjenester til at forbedre brugerens oplevelse grad.
Med trafik-kontrol nettet trafikstyringssystemer også kan få alvorlige forretninger af indkomsten for andre virksomheder at undertrykke uautoriseret. For eksempel, for VoIP-tjenester kan vi flow gennem VoIP signal-og medier strømme i forbindelse med testning og statistiske analyser og af beskærer medierne pakker, skjult middel til at signalere budskaber om trafikstyring. Kan også blive integreret brug af nettet lag, til transport lag og applikationslaget inspektion teknologi, uautoriseret brugeren tage bredbånd til at forbinde frakoblet, aktiv alarm, tid-kontrol og andre ledelsesmæssige tiltag.
Flow-kontrol kan også hjælpe nettet trafikstyringssystemer at opnå forretningsmæssig ressource planlægning, og adgang til business ressourcer og brug af real-tid operationelle status over situationen. Når et netværk Application Service server belastning er stor, kan den samlede operationelle ressourcer Load Balance, den gennemsnitlige tage om forkyndelse anmodning, men ligeledes at kræve brugerens driftsøkonomiske, beslutte, om de fortsat at opfylde brugernes anmodninger om nye forretninger, Bing prioriteringen af prioriteter baseret på brugernes reaktion på høje prioritet service anmode brugeren om at forbedre effektiviteten af selskabets aktiviteter.
Flow kontrol er almindelig praksis i produktionen havn kontoret udarbejder en kø for trafik kontrol, er kontrollen baseret på routing, som er baseret på objektive eller formål IP adresse undernet-netværket nummer. De grundlæggende funktioner strømningsregulator modul kø, sortering og filtre. Som mange af de nuværende netværkstrafik. Netværksadministratorer i forvaltningen af almindeligt anvendte klassificering måde
For netværkstrafik forvaltning, bør ud over flow har identifikation, trafik analyse og trafik kontrol funktioner, vi usually have, and håber også, at dets netværk sikkerhedsudstyr såsom som firewalls og bygge nye sikkerhed trusler en aktiv forsvarssystem funktioner til øge kapaciteten i hele netværket sikkerhed for at sikre bedre netværkstrafik.
For eksempel er strømmen af indslag anerkendelse et nødvendigt middel til styring af trafikken. Det kan tage initiativ konstateret, at sådanne DDoS angreb, virus og trojanske heste, såsom unormal trafik, bedre fyldes op til andre net sikkerhedsudstyr såsom firewalls, Intrusion Prevention System (IPS) og Unified Threat Management (UTM) og andre mangler i sit initiativ til at forbedre sikkerhedstrusler fundet kapacitet, og kan hurtigt sende til andre net sikkerhedsudstyr alarm, kilden til sikkerhedstrusler fra begyndelsen til aktivt forsvar. Hertil kommer, at evnen til at identificere netværket med trafikstrømmen forvaltning kan også få adgang til og gemme netværkstrafik, Netværksdelen oplysninger (f.eks kilde / destination IP-adresse, application port, user-id og other identification information), hvorigennem oplysninger kan netværket ledere secure Oprindelse af truslen orientering.
Links 1
Sammenligning af DFI teknologi og DPI teknologi
DFI og DPI grundlæggende design begge teknologier til at opnå forretningsmæssige mål er identificeret, men både fokus og i gennemførelsen af de tekniske detaljer eller eksistensen af store forskelle. Fra sammenligning af to teknikker til at se, har begge deres respektive fordele, også har svagheder, DPI teknologi til præcis og nøjagtig til at fastlægge behov, fine forvaltning af miljøet, DFI teknologi er relevant og effektiv afdækning af behov, omfattende styring miljø.
Fra behandling perspektiv: DFI relativt hurtigt behandling hastighed, mens anvendelsen af DPI teknologi pakke som skal pakkes ud af drift, og sammenlignet med den baggrund at matche databasen, vil processorhastighed være langsommere. Som et resultat af DFI teknologi til trafik analyse kun strømmen karakteristika sammenlignet med baggrunden trafik model kan derfor den nuværende flertal af DPI-baseret båndbredde management system, at kapaciteten kun wire-speed 1 Gbit / s forhold til DFI-baseret system kan opnå wire-speed 10Gbit / s, fuldt ud opfylder de behov, som virksomhedens netværk styring af trafikken.
Vedligeholdelsesudgifter fra perspektivet: DFI vedligeholdelsesomkostninger er relativt lave, er baseret på DPI teknologi altid halter bag den nye båndbredde management system applikationer, nødt til at holde trit med nye protokoller og nye applikationer fortsætter med at opgradere produktionen og anvendelsen af databasen baggrund, ellers kan det ikke effektivt identificere, under den nye båndbredde-teknologi til administration, den effektivitet mønstertilpasning påvirke; Filminstituttet teknologi baseret på det system arbejdsbyrde i forvaltningen og vedligeholdelse er mindre end den DPI systemet, fordi nye anvendelser af den samme type application trafikforhold af den gamle no store ændringer Derfor finder adfærd i trafikken modellen ikke kræver hyppige opgraderinger.
Anerkendelse nøjagtighed fra det synspunkt, nemlig deres egne stærke sider af begge teknologier. Som DPI bruges af-pakke analyse, mønstertilpasning teknikker, derfor kan flyde i den konkrete anvendelse typer og protokoller for at opnå mere nøjagtige anerkendelse DFI kun trafik opførsel analyse, derfor kun generelle kategorier af applikationstyper, som f.eks P2P trafikken for at opfylde en ensartet anvendelse af modellen er identificeret som P2P trafik, VoIP trafik model, der opfylder den type enhed er klassificeret som VoIP-trafik, men kan ikke afgøre, om den trafik ved hjælp af H.323 eller andre protokoller. Hvis datapakke er krypteret transmissioner ved hjælp af DPI måde flow styringsteknik ikke kan identificere deres specifikke applikationer, mens DFI måde flow styringsteknik ikke vil blive påvirket, da anvendelsen af aktuelle adfærdsmæssige karakteristika og grundlæggende ændring ikke vil være krypteret.
Link 2
Flere fælles netværkstrafik
Nuværende som nettet hele tiden udbygge og udvikle programmet, bliver netværkstrafik bliver kompleks og en bred vifte af dem, følgende er de mest almindelige typer af netværkstrafik:
1. HTTP trafik: HTTP er den mest udbredte internet protokol, der allerede har erstattet den traditionelle papir downloads hovedsagen applikationslaget protokol FTP, nu med YouTube og andre video deler arbejdsplads pull, HTTP-protokollen netværkstrafik i de seneste fire år i første P2P-program trafik over.
2. FTP trafik: Fra begyndelsen af fremkomsten af internettet, har FTP været en bruger af ansøgninger hyppigst anvendte et andet betydning kun HTTP og SMTP. Med fremkomsten af P2P programmer, men dens betydning har lavere status, men stadig brugerne downloade programmet og en uerstattelig én måde.
3. SMTP trafik: e-mail er en vigtig del af Internet virksomhed. Ifølge statistikker, 3 / 4 eller flere brugere adgang til de vigtigste formål er at sende og modtage e-mail, hver dag milliarder af e-mails i den globale relæ. Især på grund af den billige og enkle e-mail, at få folk til at udbrede deres oplysninger som en lang række værktøjer, førte til internettet verden, spredning af spam.
4. VoIP-trafik: IP telefon brugere i 2006 steg fra 10.300.000 til 18.700.000, en stigning på 83%. VoIP-opkald volumen i 2007 nåede 75% af den samlede opkald volumen. Derfor, Internet, VoIP-trafik er også meget værd for den pågældende administrator.
5. P2P trafik: Den aktuelle netværk båndbredde "store udgiftskrævende" er en P2P-fildeling tegnede sig for 49% i Mellemøsten, Central-og Østeuropa tegnede sig for 84%. Globalt om natten netværksbåndbredde besat 95% af P2P.
6. Streaming Flow: Med såsom PPLive, PPStream, etc. Fremkomsten af video software, video, live og on-demand visning som den almindelige Internet brugere og online underholdning, den bedste måde at leve på, så trafikken er også stigende.