Comprender la distribución de tráfico de la red para encontrar los métodos de optimización de rendimiento de la red, la tecnología de gestión de red para mejorar el rendimiento de la red, el tráfico de red es también una buena protección del trabajo de información de seguridad, que es el trabajo principal de la red de contenido de tráfico.
■ El Dr. Li Yang de China Instituto de Investigación móvil
En la última década, Internet ha hecho posible el desarrollo rápido. Según las estadísticas, Internet se ha convertido en la sociedad humana más importante, la infraestructura de información, que representan el 80% del intercambio de información humano. En este contexto, el rostro de una línea de red cada vez más complejas y una creciente tráfico de la red, el sistema y los administradores de red tienen que gastar más tiempo y esfuerzo para comprender el estado de funcionamiento de dispositivos de red para mantener el funcionamiento normal de una red empresarial . En general, los administradores de red necesitan entender el uso de ancho de banda de cada segmento, el problema de cuello de botella de la red se produce cuando el problema se produce cuando la red debe ser capaz de analizar rápidamente los problemas y determinar las causas, se trata de la red de tráfico Las principales tareas de la administración. Así, cuando el tráfico de la red de gestión debe basarse en la base de qué, con qué medios y estrategias para identificar eficazmente el flujo, análisis y gestión?
Red de objetivos de gestión del tráfico
Con el crecimiento continuo del tráfico de red y aplicaciones de red cada vez más numerosas y complejas, podemos ver, simple, aumentar el ancho de banda ilimitado en la red no puede resolver los problemas fundamentales del tráfico de red. Tenemos que gestionar el tráfico de red con el fin de garantizar la salud de la red y las aplicaciones de red, el servicio normal.
En el proceso de gestión de tráfico de la red, nuestro principal objetivo de la gestión de redes es necesario definir el problema. Gestión de redes de tráfico en los cuatro objetivos principales: Primero, debemos entender el uso del tráfico de red, en segundo lugar, para encontrar formas de optimizar el rendimiento de red, tecnología de tercera, a través de la gestión de redes para mejorar el rendimiento de la red; Por último, se requiere una buena tráfico de la red de información de seguridad de protección de trabajo.
Para conseguir estos cuatro objetivos, el administrador de la red primero a través de la clasificación efectiva con toda claridad, necesitamos que el ancho de banda, que se utiliza realmente en el final. En segundo lugar, encontrar el cuello de botella de la red. Hay dos indicadores de rendimiento de la red muy importante, es un rendimiento de procesamiento, es decir, la red puede transmitir la máxima cantidad de datos, y la otra es el retraso. En tercer lugar, la aplicación de monitoreo de tráfico sofisticado y software de control para mejorar el rendimiento de la red para satisfacer las diferentes aplicaciones de red. Por último, la red también se puede utilizar de manera integrada los sistemas de detección de intrusos (IDS), firewalls, gestión unificada de amenazas (UTM) los dispositivos en el tráfico de red para el trabajo de protección de información de seguridad.
En la gestión diaria de tráfico web, con el fin de lograr un manejo efectivo a la red cuatro goles, tenemos que tomar las medidas apropiadas. Los pasos incluyen la captura y clasificación de tráfico de la red, el tráfico de red de monitoreo (estadísticas y análisis) y las estrategias de control.
1. Capturar tráfico de la red y la clasificación: Este es el primer paso en la gestión de tráfico de red. Sólo estableciendo el punto de captura, sobre la captura y clasificación de tráfico de la red con el fin de análisis de seguimiento y control. Aquí hay que destacar que la clasificación de tráfico de la red puede ser muy macro-orientados, se puede refinar. Tal como TCP, UDP, ICMP, etc, y la macro más, y HTTP, FTP o incluso como Kazza, Skype y otras clasificaciones del tráfico P2P y la identificación de un relativamente precisos. En su trabajo diario, los administradores de red pueden utilizar Wireshark, TCPDump otros captura de paquetes conocidos y software de análisis para capturar el tráfico y la clasificación.
2. Red de vigilancia de tráfico (el análisis): monitor para visualizar el flujo de las condiciones de funcionamiento, para ayudar a identificar los problemas y aplicar estrategias de gestión adecuadas. Solicitud y gestión de la red a la recogida, presentación y recogida de información, incluida la utilización de ancho de banda, de acogida activa y eficiencia de la red y las aplicaciones activas. El objetivo del mercado común a través del uso de herramientas de gestión como el análisis de NTOP visuales para ayudar a los administradores de red para aplicar en la práctica.
3. Estrategia de control: análisis de tráfico de la red, el siguiente paso es asignar ancho de banda de acuerdo a la prioridad. Puede basarse en la distribución de acogida, aplicación, etc, en particular, la atención deberá tener en cuenta es el consumo de recursos, aplicaciones P2P o descargas de retraso de audio y video, etc a considerar. operación específica se puede aplicar a las herramientas más para el control de flujo y ejecución, tales como la clasificación de la vigilancia y el control del tráfico de red, de modo que puedan manejar con eficacia el tráfico de red, será el trastorno original hasta convertirse en el fin del tráfico de red.
A continuación se describe cómo nuestra específica de gestión del tráfico de red, incluida la identificación de tráfico de red, análisis de tráfico de la red y el control.
Identificación de tráfico de la red
identificación de flujo, también llamado de identificación de servicio (Application Awareness), es el primer paso en la gestión de tráfico de red. Identificación de los flujos de tráfico de la red a través del negocio de la capa de enlace de datos a nivel de aplicación de inspección profunda de paquetes y análisis, basado en el tipo de protocolo, número de puerto, las características y las características de comportamiento de flujo de los parámetros de cadena, para los tipos de negocio, situación de negocios, el contenido de negocios y el usuario información del comportamiento, y la clasificación estadística y de almacenamiento. El propósito básico de identificación de negocios es ayudar a los administradores de red de acceso a la capa de red en la parte superior del flujo de negocios capa de información, como el tipo de negocio, las condiciones de negocio, la distribución de negocios, flujo de tráfico y otros asuntos.
Servicio de identificación es un proceso relativamente complejo que requiere múltiples módulos funcionales trabajar juntos, la identificación de procesos de negocio de la obra brevemente como sigue:
1. Módulo de Reconocimiento de los procesamientos a través de varios canales de procesamiento de reconocimiento, el tráfico de red a través de la fuente / dirección IP de destino y origen / destino número de puerto del algoritmo de hash, el tráfico de la red de forma homogénea en los canales de procesamiento múltiple.
2. Paralela de varios canales de procesamiento de tráfico de la red de inspección profunda de paquetes, el acceso a las características de tráfico de la red de información, e identificar las características de la biblioteca y las características de negocio para que coincidan.
3. Para que coincida con los resultados enviados al módulo de procesamiento de reconocimiento, e identificar un tráfico de red específico. Si hay varias coincidencias, seleccione los partidos de alta prioridad identificados. Tras la identificación de una red de tráfico de identificación específica, el seguimiento para conectar el tráfico de la red no será de inspección profunda de paquetes, directamente a la capa de red y la información de la capa de transporte y comparar los resultados del reconocimiento son conocidos por aumentar la eficiencia.
4. Módulo de Reconocimiento de procesamiento para identificar los resultados del negocio de tráfico de red para identificar los resultados almacenados en el módulo de memoria para el tráfico de red, proporcionan la base para el análisis estadístico.
5. Resultados estadísticos módulo de análisis de la identificación del módulo de almacenamiento de información a leer y a la curva, gráfico circular, gráfico de barras o el texto formulario para identificar el resultado de mostrar la información o un documento a la salida.
6. El resultado se almacena en el módulo de información se almacenará en el resultado del reconocimiento de salida a la gestión del tráfico red de áreas funcionales, para servir de base para la aplicación de la gestión del tráfico de red.
tecnología de reconocimiento de negocios utilizan actualmente en dos, que el Departamento de tecnología y la tecnología DFI.
la tecnología DPI es una inspección profunda de paquetes DPI (Deep Packet Inspection) para abreviar. la tecnología DPI se llama "nivel" de la tecnología de detección, es relativa a los propósitos de detección tradicionales. La tecnología de detección de tráfico tradicional sólo para los de almacenamiento en la capa de datos de paquetes de red y la cabecera de capa de transporte de protocolo en la información básica, incluyendo la fuente y dirección IP de destino, origen / destino del transporte capa de número de puerto, número de protocolo, y el estado de la conexión subyacente. Estos parámetros es difícil obtener suficiente información sobre las aplicaciones de negocio, especialmente para las actuales aplicaciones P2P, aplicaciones de VoIP, aplicaciones IPTV ha sido ampliamente realizada por la situación, la tecnología de detección de tráfico tradicionales no pueden satisfacer las necesidades del tráfico de red.
Departamento de Información Pública de tecnología en la tecnología de detección de tráfico tradicional, la "profundidad" de la expansión en el acceso a los paquetes de información básica, mientras que los paquetes de datos en una serie de encabezados de protocolo de capa de aplicación y la carga de protocolo se escanean y se almacenan en la capa de aplicación de la información de características , la inspección multa de tráfico de red, monitoreo y análisis.
la tecnología DPI se utiliza generalmente como el método de análisis de datos de paquetes:
● Análisis de la capa de transporte del puerto. Muchas aplicaciones utilizan la capa de transporte por defecto el número de puerto, como el protocolo HTTP utiliza el puerto 80.
● Las funciones del juego de palabras. Algunas aplicaciones en la capa de aplicación o características cabecera del protocolo de capa de carga en el campo contiene una ubicación específica, mediante la identificación de las características del campo de datos de inspección de paquetes, seguimiento y análisis.
comunicación ● proceso de análisis de la interacción. Varias sesiones de los asuntos del proceso interactivo de seguimiento y análisis, incluyendo la longitud del paquete, el número de paquetes enviados, lograr la inspección de servicios de red, monitoreo y análisis.
La tecnología, si una clasificación más detallada, se puede dividir en las características de la tecnología de reconocimiento de caracteres chinos, puerta de enlace de capa de aplicación de identificación, reconocimiento de patrones de comportamiento, tres tipos de identificación se han aplicado a los distintos tipos de acuerdos no pueden sustituirse unos por otros, sólo un uso integrado de estas tres técnicas, para ser eficaz, flexible e identificar diversos tipos de aplicaciones en la red, permitiendo el control y la facturación.
DFI DFI la tecnología es popular para la detección de profunda (Deep flujo de Inspección) de corto, es una identificación de negocios típicas. La tecnología DFI es inadecuada para la tecnología DPL propuesto, para abordar la aplicación de la eficiencia de la tecnología DPI, cifrado, problemas de tráfico, como el reconocimiento y actualizaciones frecuentes. DFI se centra más en las características generales de tráfico de red, por lo tanto, la tecnología DFI no es la profundidad de la inspección de paquetes de red de tráfico, pero sólo sobre el estado del tráfico en la red, la capa de red y la información de la capa de transporte, la duración del flujo de negocios, la tasa de flujo promedio , la longitud de bytes de los parámetros de distribución del análisis estadístico, para obtener el tipo de negocio, las empresas de estado.
El análisis estadístico de tráfico de la red
A través del análisis estadístico del tráfico, los administradores de red pueden conocer los tipos actuales de la red de servicios de tránsito, ancho de banda, tiempo y distribución espacial, el flujo y otra información.
En el proceso de gestión, los administradores pueden utilizar herramientas comunes para ayudar en la realización de NTOP. herramientas NTOP y tradicionales, como tcpdump o etéreo herramienta para capturar tráfico de la red tiene una gran diferencia, y se trata principalmente estadísticas de la red de paquetes, en lugar del contenido del mensaje. Además, NTOP no es necesario utilizar el servidor Web, que se apoyaría el protocolo HTTP. En primer lugar, proporciona una manera rápida y fácil de obtener información precisa sobre la actividad de la red, y no utilice la detección de red o dispositivos de escucha. En la mayoría de los casos, el detector de fallo de la red para realizar un seguimiento de la red se requiere, probablemente porque en algún punto de detectores se están utilizando para monitorear otros equipos no están disponibles, puede utilizar NTOP Gongju, en segundo lugar, en determinados dada configuración de la red puede no estar conectado con el detector, por ejemplo, dos sistemas Unix a través de WAN de interconexión, en este caso, el usuario puede aplicar la herramienta NTOP.
En general, el uso de la herramienta NTOP puede ayudar al administrador de red para realizar las tareas siguientes: automáticamente de la red para identificar la información útil; los paquetes de datos interceptados en un formato fácil de identificar, por el entorno de red para analizar la situación de fallo en las comunicaciones, la detección cuellos de botella en la comunicación en el entorno de red, un tiempo récord el proceso de la red y las comunicaciones.
herramientas NTOP, analizando el tráfico de red para determinar la red sobre los problemas existentes, pero también se puede utilizar para determinar si un hacker está atacando el sistema de red, puede muy fácilmente Huan muestran 出 específicos de las redes Xie Yi, Zhan Yong Tailiangdaikuan de Zhuji, varias veces Comunicaciones del host de destino, el paquete de datos de tiempo de difusión, que se transmite el retardo de paquetes de datos y otros detalles. Al entender esta información, los administradores de red pueden ofrecer una respuesta oportuna a la falta de optimización de red y el ajuste correspondiente para garantizar la eficacia y la seguridad de funcionamiento de la red.
Red de control de tráfico
El control de tráfico se añadirá a la gestión del tráfico de red, puede ayudar a los administradores de red a recursos de red y recursos de la empresa, control de ancho de banda y la programación de recursos, tales como HTTP, FTP, SMTP, y para administrar las aplicaciones P2P, especialmente la supresión del tráfico P2P servicios de datos tradicionales para aumentar el grado experiencia del usuario.
Con el control del tráfico de la red de gestión del tráfico también pueden afectar gravemente las operaciones del negocio de la renta para empresas de terceros para suprimir sin autorización. Por ejemplo, para servicios de VoIP, que puede fluir a través de la señalización de VoIP y de medios de comunicación los flujos asociados con las pruebas y el análisis estadístico, y por truncar los paquetes de medios de comunicación, medio encubierto de mensajes de señalización en la gestión del tráfico. También puede ser integrado con la capa de red, capa de transporte y la tecnología de capa de aplicación de inspección, el usuario no autorizado a tener banda ancha para conectar el desconectada, alarma activada, tiempo de control y otras medidas de gestión.
El control de flujo también pueden ayudar a controlar el tráfico de red para lograr la programación de recursos para hacer negocios, y acceso a recursos de negocios y la utilización de la situación operacional en tiempo real de la situación. Cuando una aplicación de red de servicios de carga del servidor es alta, puede que la carga de negocios global de recursos de equilibrio para soportar de manera uniforme la solicitud de servicio, sino también a solicitar la operación del usuario de negocios, decidir si continuar para responder a las peticiones de los usuarios para nuevos negocios y la prioridad de prioridades basadas en la respuesta del usuario a la solicitud de servicio de alta prioridad el usuario para mejorar la eficiencia de las operaciones de negocios.
El control de flujo es una práctica común en el puerto de salida de Office para establecer una cola para el control de tráfico, control de aproximación se basa en la ruta, que se basa en el objetivo o propósito de la dirección IP del número de red de subred. Las funciones básicas del módulo de controlador de flujo de colas, clasificación y filtros. Como la variedad de tráfico de red actual, los administradores de red en la gestión de forma de clasificación de uso común.
Para la gestión del tráfico de red, la adición debe tener la identificación de flujo, análisis de tráfico y las funciones de control de tráfico, por lo general, también quieren tener y una red de servidores de seguridad del equipo de protección Xietong construir una amenaza 主动 la seguridad del sistema de defensa características para mejorar la capacidad de la seguridad de toda la red con el fin de garantizar mejor el tráfico de red.
Por ejemplo, el flujo de reconocimiento de características es un medio necesario para la gestión del tráfico. Se puede tomar la iniciativa para encontrar, como los ataques DDoS, virus y troyanos como el tráfico anormal, un mejor representan para otros dispositivos de seguridad de red tales como cortafuegos, sistema de prevención de intrusiones (IPS) y gestión unificada de amenazas (UTM) y otras deficiencias, para mejorar su iniciativa para encontrar una amenaza para la seguridad capacidad, y rápidamente puede enviar a otros equipos de alarma de seguridad de red, la fuente de las amenazas de seguridad desde el principio a la defensa activa. Además, la capacidad de identificar la red con la dirección del flujo de tráfico también pueden acceder y guardar el tráfico de red, la información de capa de red (por ejemplo, el origen o la dirección IP de destino, puerto de aplicación, identificación de usuario y otra información de identificación), a través del cual la información, los administradores de red pueden asegurar Origen de la orientación amenaza.
Enlaces 1
Comparación de la tecnología DFI y la tecnología DPI
DFI y el diseño de DPI de base de ambas tecnologías para lograr los objetivos de negocio se identifican, pero tanto el enfoque y en la realización de los detalles técnicos o la existencia de grandes diferencias. De la comparación de dos técnicas para ver, ambos tienen sus respectivas ventajas, también tienen puntos débiles, la tecnología DPI de exactitud y una precisión en la identificación de necesidades, la gestión de multa de medio ambiente, la tecnología DFI es aplicable y eficaz identificación de las necesidades, el medio ambiente extensa en administración.
Desde la perspectiva de la transformación: DFI velocidad relativamente rápida transformación, mientras que el uso del paquete de tecnología DPI debe ser descomprimido por la operación, y en comparación con el fondo para que coincida con la base de datos, velocidad de procesamiento será más lento. Como resultado de la tecnología DFI para el análisis de tráfico sólo las características del flujo en comparación con el modelo de tráfico de fondo, por consiguiente, la mayoría actual del sistema de gestión de DPI basado en el ancho de banda está procesando sólo a velocidad de cable 1Gbit potencia / s comparado con el sistema DFI-basada puede lograr con velocidad de cable de 10 Gbit / s, corresponde efectivamente a las necesidades de gestión del tráfico de redes empresariales.
Los costos de mantenimiento de la perspectiva: los costos de DFI de mantenimiento son relativamente bajos, basado en la tecnología DPI siempre está por detrás de las nuevas aplicaciones de ancho de banda del sistema de gestión, necesidad de mantenerse al día con nuevos protocolos y nuevas aplicaciones siguen mejorando la producción y aplicación de los antecedentes de base de datos, de lo contrario no puede efectivamente identificar, gestión de ancho de banda en la nueva tecnología afecta a la eficacia de coincidencia de patrones, la gestión de la tecnología DFI-basada y mantenimiento en el sistema de carga de trabajo sea menor que el sistema de DPI, porque el mismo tipo de nuevas aplicaciones y las características del flujo de las aplicaciones antiguas no se producirán cambios importantes Por lo tanto, el modelo de tráfico de comportamiento no se requieren actualizaciones frecuentes.
Reconocimiento de la precisión de la vista: sus propios puntos fuertes de ambas tecnologías. A medida que el Departamento de Información Pública usado por-paquete de análisis, técnicas de concordancia de patrones, por lo tanto, puede fluir en los tipos de aplicaciones y los protocolos específicos para lograr el reconocimiento más preciso, la DFI sólo el tráfico de análisis de comportamiento, por lo que sólo categorías generales de tipos de aplicaciones, tales como el tráfico P2P para cumplir con la aplicación uniforme del modelo identificado como el tráfico P2P, VoIP modelo de tráfico que cumple el tipo de unidad se clasifica como tráfico de VoIP, pero no puede determinar si el flujo u otro acuerdo con H.323. Si el paquete de datos se cifran las transmisiones, con forma de DPI flujo de tecnología de control no puede identificar sus aplicaciones específicas, mientras que el flujo de IED manera la tecnología de control no se verá afectada, porque la aplicación del estado actual de las características de comportamiento y el cambio fundamental no se cifrará.
Link 2
Varios de tráfico de red común
Actuales en la red constantemente enriquecer y desarrollar la aplicación, el tráfico de red se están convirtiendo en complejos y una amplia gama de ellos, el siguiente es el tipo más común de tráfico en la red:
1. Tráfico HTTP: HTTP es el protocolo de Internet más utilizado, ya ha sustituido a los tradicionales de papel descarga la aplicación principal de la capa de protocolo FTP, ahora, con YouTube y otros tire sitio para compartir video, el protocolo HTTP tráfico de red en los últimos cuatro años en la primera aplicación P2P tráfico a través de.
2. Tráfico FTP: Desde el comienzo de la llegada de Internet, FTP ha sido un usuario de las aplicaciones más frecuentemente usado, segunda en importancia después de HTTP y SMTP. Con la aparición de aplicaciones P2P, aunque el estado de su importancia disminuyó, pero aún así los usuarios descargar la aplicación y de manera insustituible una.
3. Tráfico SMTP: e-mail es la parte importante del negocio de Internet. Según las estadísticas, 3 / 4 o más el acceso a los usuarios la finalidad principal es la de enviar y recibir correo, cada día miles de millones de correos electrónicos en el relevo mundial. Especialmente debido a la sencilla y barata de correo electrónico, para inducir a la gente a difundir su información como un gran número de herramientas, finalmente llevó a el mundo de Internet, la proliferación del spam.
4. Tráfico de VoIP: Los usuarios de teléfonos IP en 2006 aumentó en 10,3 millones a 18,7 millones, un aumento del 83%. volumen de llamadas VoIP en 2007 alcanzó el 75% del volumen total de llamadas. Por lo tanto, la Internet, el tráfico de VoIP también es muy digno de que el administrador en cuestión.
5. Tráfico P2P: el ancho de banda de red actual "El gasto grande" es un uso compartido de archivos P2P representaban el 49% en el Oriente Medio, Europa Central y Oriental el 84%. A nivel mundial, el ancho de banda de red durante la noche ocuparon el 95% de P2P.
6. Transmisión de flujo: Con tales como PPLive, PPStream, etc La aparición de software de vídeo, de vídeo, en directo y la observación en la demanda de los usuarios generales de Internet y el entretenimiento en línea, la mejor forma de vida, por lo que el tráfico también está aumentando.