理解は、ネットワークトラフィックの分布は、ネットワーク管理技術、ネットワークのパフォーマンスを向上させるため、ネットワークのパフォーマンスを最適化する方法を見つけるために、ネットワークのトラフィックは、ネットワークトラフィックのコンテンツの主な仕事は、情報セキュリティの仕事の良い保護されます。
中国の■博士李ヤンモバイル研究所
最後の10年間で、インターネットが急速に発展を遂げています。統計によると、インターネットは最も重要な人間社会の情報インフラストラクチャは、人間の情報交換の80%を占めなっている。このような状況では、オンラインのますます複雑化するネットワークの顔が、徐々に過ごす必要がありますシステムおよびネットワーク管理者、ネットワークのトラフィックを増やすよりShijianと労力の状況以上の注文のエンタープライズネットワークの正常な動作を維持するためにこれらのネットワーク設備を理解する。一般的に、ネットワーク管理者は、各セグメントの帯域幅の使用を理解する必要があるネットワークのボトルネックの問題は、問題は、ネットワークは、迅速に問題を分析し、原因を特定できる必要がありますが発生発生すると、これらのネットワークはトラフィックが経営者の主なタスク。したがって、管理ネットワークのトラフィックが基礎に基づいてどうあるべきか、何を意味し、戦略を効果的、分析および管理フローを識別するために?
ネットワークトラフィック管理の目的
ネットワークトラフィックおよびネットワークアプリケーションの継続的な成長と、ますます多くの複雑になり、我々は、単純な、ネットワークトラフィックの根本的な問題を解決することはできませんネットワーク帯域幅の制限の増加を見ることができます。我々は、ネットワークおよびネットワークアプリケーション、通常のサービスの健康を確保するためのネットワークトラフィックを管理する必要があります。
ネットワークトラフィック管理のプロセスでは、ネットワーク管理の当社の主要な目標は、必要な問題を定義することです。 4つの主要目標のネットワークトラフィックの管理:まず、ネットワークトラフィックの使用方法を理解しなければならない。第二に、我々は方法を、ネットワークのパフォーマンスを最適化する見つけなければならない。第三に、ネットワーク管理技術は、ネットワークのパフォーマンスを向上させる。最後に、また、行う必要がありますネットワークトラフィック情報のセキュリティ保護の仕事。
これらの4つの目標を達成するために、ネットワーク管理者が効果的な分類を非常に明確にまず、実際に最後に使用される帯域幅を、必要があります。第二に、ネットワークのパフォーマンスのボトルネックを見つけます。 2つの非常に重要なネットワークパフォーマンスの指標は、1つはスループット、それは、ネットワーク、およびその他の遅延はデータの最大量を送信できることです。第三に、洗練されたトラフィックの監視および制御ソフトウェアのアプリケーションが別のネットワークアプリケーションを満たすために、ネットワークのパフォーマンスを向上させる。最後に、ネットワークは、侵入検知システム(IDS)、ファイアウォールの統合を使用することができます統合脅威管理(UTM)は、情報のセキュリティ保護作業のためのネットワークトラフィック上のデバイス。
毎日のトラフィック管理では、ネットワーク管理のために効果的に4目標を達成するために、我々は適切な手順を実行する必要があります。手順はキャプチャ、ネットワークトラフィックの分類を含む、ネットワークのトラフィックが(統計分析)と制御戦略の監視。
1。ネットワークトラフィックをキャプチャし、分類:これは、ネットワークトラフィックの管理の最初のステップがあります。ただ、キャプチャし、ネットワークトラフィックの分類にするためのフォローアップ分析とコントロールのキャプチャポイントを設定します。ここでは、ネットワークトラフィックの分類は非常にマクロ指向することができる洗練されたことを強調する必要があります。 TCPとUDP、ICMPなど、よりマクロ、およびHTTP、FTPまたはKazza、Skypeと他のP2Pトラフィックの分類との識別もなどのような比較的洗練された。日常業務では、ネットワーク管理者は、Wiresharkを、tcpdumpはよく知られているパケットをキャプチャし、解析ソフトウェアのトラフィックをキャプチャおよび分類の他のことができます。
2。ネットワークトラフィックの監視(分析が):動作条件の流れを表示するには、問題を特定し、適切な経営戦略を実装するために監視します。アプリケーションとネットワーク管理コレクションに、ディスプレイ、情報の収集、帯域幅の使用率、アクティブなホストおよびネットワークの効率など、アクティブなアプリケーション。視覚的な分析などNTOPの管理ツールを使用するネットワーク管理者を支援することにより共通市場の目標は、実際に実装する。
3。コントロール戦略:ネットワークトラフィックの分析は、次のステップは優先順位に従って帯域幅を割り当てることです。特にことは、ホストの分布に基づいて、アプリケーションなど、注意が考慮しなければならない資源の消費は、P2Pアプリケーションや遅延オーディオとビデオのダウンロードなどを検討することである。特定の操作が人気のあるツールをフロー制御と実装、ネットワークトラフィックの監視と制御の分類などのように、我々は効果的にネットワークのトラフィックを管理することができますに適用することができます、それが元のネットワークトラフィックのためになるまで障害をされます。
次は、ネットワークトラフィックの識別を含む当社の特定のネットワークトラフィック管理は、ネットワークトラフィックの分析と制御について説明します。
識別ネットワークトラフィックの
フローの識別も、サービスの識別(アプリケーション意識)と呼ばれるネットワークトラフィックの管理の最初のステップです。同定のネットワークトラフィックフローのビジネスを介してデータリンクの層からアプリケーション層にディープパケットインスペクションと解析、プロトコルタイプ、ポートnumberに、特性と文字列のパラメータの流れのbehaviorの特性based、ビジネスの種類、ビジネス状況、ビジネスコンテンツとユーザーfor行動情報、統計分類とストレージ。ビジネスの識別の基本的な目的は、トラフィックフローおよびその他のビジネスビジネスタイプ、ビジネスの状況、ビジネスの配布などの情報ビジネス層流の上にネットワーク層へのネットワーク管理者のアクセスを助けることである。
サービスの識別は、複数の機能モジュールが一緒に次の作業を簡単として、ビジネスプロセスの識別機能が必要比較的複雑なプロセスです:
1。認識処理モジュールは、ネットワークトラフィックをマルチチャネルの認識処理を使用して/宛先IPアドレスとハッシュアルゴリズムの/宛先ポート番号、ソースソースを介して、複数の処理チャンネル均等にネットワークトラフィック。
2ディープパケットインスペクションのマルチチャネルの並列処理ネットワークのトラフィックは、ネットワークのトラフィック特性の情報へのアクセスは、マッチングのためのライブラリとビジネス機能の特性を識別する。
3は、結果を一致させるに認識処理モジュールに送信し、特定のネットワークトラフィックを識別します。が複数ある場合は、[優先度の高いが識別されるマッチします。特定のネットワークトラフィック識別の識別時には、フォローアップがディープパケットインスペクションされず、直接ネットワーク層とトランスポート層の情報と比較認識結果は、効率を高めるために知られているため、ネットワークトラフィックを接続します。
認識処理モジュールは、ネットワークトラフィックの業績を識別するために4、統計分析のための基礎を提供する結果、ネットワークトラフィックのメモリモジュールに格納されて識別します。
識別情報ストレージと曲線を読み取り、モジュールから5。統計解析モジュールの結果は、円グラフ、バーグラフまたはテキスト形式の情報を表示または出力ドキュメントの結果を識別する。
6結果のモジュール情報での認識結果のネットワークトラフィック管理の機能領域への出力を格納される、ネットワークのトラフィック管理の実施のための基礎を提供するために格納されます。
ビジネス認識技術は現在、2つで、使用されるDPI技術とDFIの技術です。
DPI技術は、ディープパケット検査DPIの(ディープパケットインスペクション)短いです。 DPI技術と呼ばれる"検出技術の深さ"の、伝統的な検出のために相対的です。 /宛先IPアドレス、ソース/宛先のトランスポート層のポート番号、プロトコル番号ソースなどの基本情報のデータパケットのネットワーク層とトランスポート層プロトコルヘッダで、これらのストレージのみの伝統的なトラフィックの検出技術、基になる接続の状態を示します。これらのパラメータは難しく、現在のP2Pアプリケーションは、VoIPアプリケーション、特にビジネスアプリケーションに十分な情報を得ることが、IPTVのアプリケーションが広く状況によって実施されており、伝統的なトラフィックの検出技術は、ネットワークトラフィックのニーズを満たすことはできません。
伝統的なトラフィックの検出技術のDPI技術、"深さ"基本的な情報パケットへのアクセスの拡大のアプリケーション層プロトコルのヘッダおよびプロトコルの負荷の数のデータパケットがスキャンされながら、機能情報のアプリケーション層に格納され、罰金のネットワークトラフィックの検査、監視、および分析。
DPI技術は、通常、データパケットの分析法として使用されます:
●分析トランスポート層のポートの。多くのアプリケーションはデフォルトのトランスポート層のポート番号を、などのHTTPプロトコルでは、ポート80を使用して使用します。
単語のマッチングの●機能。フィールドに、アプリケーション層またはアプリケーション層プロトコルヘッダの負荷特性の一部のアプリケーションは、パケット検査、モニタリング、分析データのフィールドの特性を識別することによって特定の場所が含まれます。
●通信の相互作用プロセスの分析。パケット長、パケットの送信数を含む監視および解析のインタラクティブプロセスの事務の複数のセッションでは、ネットワークサービスの検査、監視と分析を実現します。
技術は、より詳細な分類は、中国語の文字認識技術の特性に、アプリケーション層ゲートウェイの識別、行動パターン認識分けることができる場合は、身分証明書の3種類の協定お互いに置き換えることはできませんの種類には、適用されたこれらの3つの技術だけの統合を使用効果的にすることができます柔軟、有効ネットワーク上のアプリケーションのすべての種類を認識制御と請求。
DFIのDFIの技術が人気の深さの検出(ディープフロー検査)短いのは、典型的なビジネスのIDです。 DFIの技術は、DPL技術提案は、DPI技術、暗号化、トラフィックの識別と頻繁にアップグレードやその他の問題の効率の実装に対処するには不十分です。 DFIのは、多くのネットワークトラフィックの一般的な特性、その上に焦点を当てて、DFIの技術は、ネットワークトラフィックのパケットインスペクションの深さが、ネットワークのトラフィックは、ネットワーク層とトランスポート層の情報、サービスの流れ期間、平均劉率の状態を介してのみされていません統計分析の分布のパラメータのバイト長、ビジネスタイプを取得するために、ビジネスの状態。
ネットワークの統計解析のトラフィック
トラフィックの統計分析を通じ、ネットワーク管理者は、現在のネットワークサービスのトラフィックの種類、帯域幅、時間と空間分布、フローおよびその他の情報を知ることができます。
管理プロセスでは、管理者は、NTOPの完了を支援する一般的なツールを使用できます。 NTOPのツール、およびtcpdumpまたはEtherealの伝統などは、ネットワークトラフィックのツールをキャプチャするために大きな違いがあり、それは主ではなく、メッセージの内容をネットワークパケットの統計情報を提供しています。また、NTOPのはそれ自体が、HTTPプロトコルをサポートするWebサーバーを使用する必要はありません。まず、ネットワークアクティビティに関する正確な情報を得るために、高速かつ簡単な方法を提供するネットワークの検出やデバイスをリスニングを使用しないでください。ほとんどの場合、ネットワーク障害の検出器が必要ですが、ネットワークを追跡するために、いくつかの時点で検出可能性があります他の機器を利用できないの監視に使用されている場合は、NTOPのツールを使用することができます。第2に、いくつかの指定ネットワークの設定は、WAN接続を介して2つのUNIXシステムなどの検出器と、この例では接続できない可能性がありますは、ユーザーがNTOPのツールを適用することができます。
一般的に、使用NTOPのツールは、ネットワーク管理者に次のタスクを完了するために支援することができます:ネットワークに自動的から有用な情報を識別する。形式に簡単に傍受データパケットを識別するために、ネットワーク環境での通信障害の状況を分析する。検出ネットワーク環境での通信のボトルネック、レコード、時間とプロセスのネットワーク通信。
NTOPのツールでは、ネットワーク上の様々な問題を識別するネットワークトラフィックを分析することができ、かどうかをハッカーがネットワークシステムを攻撃するかを判断する場合は、簡単にセッションごとに特定のネットワークプロトコル、帯域幅を集中的にホストを示すことができます使用することができます通信ターゲットホストの、データパケットの送信時間、データパケットの遅延やその他の詳細を送信する。この情報を理解することによって、ネットワーク管理者はネットワークの最適化と調整の失敗に応じて効率性とネットワークの運用のセキュリティを確保するためにタイムリーに対応することができます。
ネットワークトラフィック制御
トラフィック制御は、ネットワークのトラフィック管理、ネットワークリソースやビジネスリソースを、帯域制御、リソースのスケジューリング、にHTTPやFTP、SMTP、およびP2Pアプリケーションを管理するなど、特にP2Pトラフィックの抑制をネットワーク管理者に役立つ追加されます。従来のデータサービスは、ユーザーの経験度を高めるために。
トラフィック制御のネットワークトラフィックの管理も真剣に不正を抑制する他の企業の所得の業務に影響を与えることができると。たとえば、VoIPサービスのための、我々は、VoIPを介したシグナル伝達とメディアのテストと統計分析に関連付けられて流れ、流れることができる、メディアパケット、トラフィック管理のメッセージをシグナリングの偽装手段を切り捨てることによって。また、ネットワーク層を使用して統合することが、トランスポート層とアプリケーション層の検査技術、権限のないユーザーの接続にブロードバンド利用することはできますが切断、アクティブなアラーム、時間制御およびその他の管理アクション。
フロー制御は、ビジネスのリソースのスケジューリングを実現するには、ネットワークのトラフィック管理を助けることができるとビジネスリソースへのアクセス状況をリアルタイムで動作状態の使用。は、ネットワークアプリケーションサービスのサーバーの負荷が大きい場合、全体的な運用のリソースのバランスを読み込むことができます、平均は、サービス要求になる。同時に、ユーザーの業務を要求できるようにするかどうかを新たなビジネスのためのユーザーの要求、および応答を継続する決定優先度の高いサービスの要求ユーザーにユーザーの応答に業務の効率を向上させるに基づいて優先順位の優先順位。
フロー制御は、出力ポートで一般的なオフィスのトラフィック制御のためのキューを確立するために、コントロールのアプローチは、その目的やサブネットのネットワーク番号のIPアドレスの目的に基づいてルーティングに基づいています。フローコントローラの基本的な機能モジュールキュー、並べ替えとフィルタ。現在のネットワークトラフィックの様々なように、よく使われる分類方法の管理、ネットワーク管理者。
ネットワークのトラフィック管理では、流れに加えて、我々は、generallyまた、ORDER助けるためにファイアウォールやその他のネットワークセキュリティデバイスとコラボレーション、セキュリティの脅威に対する積極的な防衛システムを構築するためにしたいの識別情報をトラフィック分析とトラフィック制御機能は必要だより良いネットワークトラフィックを確保するために、ネットワーク全体のセキュリティの能力を高める。
たとえば、機能の認識の流れは、トラフィック管理の必要な手段です。これは、DDoS攻撃、ウイルスやトロイの木馬異常トラフィックなどのような見つけるには、より他のネットワークセキュリティデバイスのファイアウォールなどを構成するセキュリティ上の脅威を見つけるために、侵入防止システム(IPS)と統合脅威管理(UTM)およびその他の欠陥、そのイニシアチブをアップグレードするイニシアチブを取ることができる容量は、速やかに他のネットワークセキュリティ機器のアラームに送ることができる、アクティブな防衛に最初からセキュリティ上の脅威のソースです。また、能力もアクセスできるように、ネットワークトラフィックを、ネットワーク層の情報(/宛先IPアドレス例えば、ソース、アプリケーションのポート、ユーザIDやその他の識別情報)、それを通じて情報は、ネットワーク管理者はセキュリティで保護することができます保存交通流管理ネットワークを識別する起源脅威の向きです。
リンク1
比較DFIの技術とDPIの技術の
DFIの両方の技術のDPIの基本的な設計が識別されますが、ビジネス目標を達成するために両方の焦点と技術的な詳細や大きな違いの存在を実現します。 2つの手法の比較から、両方のそれぞれの利点を持って、また、正確かつ正確な環境の、上質な管理のニーズを特定する、DFIの技術が適用されると効率的なニーズの識別、広範な管理環境ですのDPI技術を弱点を持って表示されます。
処理の観点から:DFIの比較的高速な処理速度、DPI技術パッケージの使用が原因操作で解凍することながら、背景を持つデータベースを一致するように比べると、処理速度が遅くなります。背景トラフィックのモデルと比較してトラフィック分析のためDFIのの技術の結果としてのみフロー特性ができますので、、DPIの-型波長管理システムの現在のmajorityは、唯一のワイヤスピードの処理能力の拡張ボードは、/ DFIの-ベースのシステムachieveすることができますto比べてs is / sのワイヤスピードの10ギガビット、完全に企業ネットワークのトラフィック管理のニーズを満たしています。
の観点から保守費:DFIのメンテナンスコストが比較的低く、DPI技術に基づいて、常に新しい帯域幅管理システムのアプリケーションの背後に、遅れ新しいプロトコルや新しいアプリケーションについていく必要が生産し、データベースの背景アプリケーションをアップグレードし続ける、それ以外の場合は、効果的に識別できない場合は、新技術は、帯域幅管理は、パターンマッチングの効率に影響を与える。DFIのベースの技術管理と保守、システム上のDPIシステムよりも少なくなるワークロード、新しいアプリケーションや古いアプリケーションの流れ特性の同じ種類の主要な変更されないため、したがって、交通行動モデルでは、頻繁にアップグレードを必要としません。
ビューから認識精度:両方の技術の独自の強力なポイント。 DPIは、特定のアプリケーションの種類とプロトコルで流れることができる、より正確な認識を達成するためのパケット解析、パターンマッチング手法したがって、単位として使われる。DFIの唯一の交通行動分析、アプリケーションの種類、そのためだけ一般的なカテゴリなどP2Pトラフィックが、モデルのP2Pトラフィックを、団結の種類を、VoIPトラフィックに分類される通りです。VoIPトラフィックのモデルとして識別さの均一なアプリケーションに対応するかどうかのトラフィックは、H.323または他のプロトコルを使用して決定することはできません。 DFIの方法のフロー制御の技術が影響を受けることはないだろうが行動特性抜本的な変化の現在の状態の適用が暗号化されないため、データパケットは、その特定のアプリケーションを識別できないDPIの方法のフロー制御技術を用いて、転送を暗号化されてください。
リンク2
いくつかの一般的なネットワークトラフィック
ネットワークとして電流は常に豊かにアプリケーションの開発、ネットワークのトラフィックは、それらの幅広い複雑になっている、以下のネットワークトラフィックの最も一般的な種類です:
1。HTTPトラフィックは:HTTPが最も広く使用さインターネットプロトコルは、すでに伝統的な紙のダウンロードをメインのアプリケーション層プロトコルのFTP、現在、YouTubeや他の動画共有サイトのプル、過去4年間で、HTTPプロトコルのネットワークトラフィックに置き換えている初めてのP2Pアプリケーションのトラフィックを超えたところ。
2。のFTPトラフィックは:インターネットの出現の初めからは、FTPアプリケーションのユーザーが最も頻繁に1つ、重要な唯一のHTTPやSMTP 2番目の使用されています。 P2Pアプリケーションの出現、その重要性のステータスが減少したが、しかしでも、ユーザーは、かけがえのない1つの方法のアプリケーションをダウンロードします。
3。SMTPトラフィックは:電子メール、インターネットビジネスの重要な部分です。統計、3 / 4以上のユーザのアクセスの主な目的をによると、送信するメールを受信すると、グローバルなリレーメールの毎日10億。メール、安価でシンプルな特にため、電子のツールの多くは自分の情報を発信し、最終的にインターネットに世界に先駆けて人々を誘導するために、スパムの拡散。
4。VoIPトラフィック:のIP電話ユーザーは2006年からの増加10300000から18700000まで、83%増加した。 2007年にVoIP通話量は合計コール量の75%に達した。したがって、インターネット、VoIPトラフィックも非常に管理者が関係者の価値がある。
5。P2Pトラフィック:現在のネットワーク帯域幅を"大きな支出は"P2Pファイル共有、中東、中欧および東欧の49%を占めて84%を占めている。グローバル、夜間のネットワーク帯域幅は、P2Pの95%を占めていた。
6。ストリーミングの流れ:PPLive、ppstreamの、など一般的なインターネットユーザーとオンラインエンターテイメントは、人生の最良の方法として、ビデオ、ソフトウェア、ビデオ、ライブ、オンデマンド視聴の出現によりなども増えてトラフィックがいるので。