Begrijp de verdeling van het netwerkverkeer te vinden methoden voor het optimaliseren van het netwerk performance, netwerk management technologie om de netwerkprestaties te verbeteren, het netwerkverkeer is ook een goede bescherming van informatie beveiliging werk, dat is het belangrijkste werk van het netwerkverkeer inhoud.
■ Dr Li Yang van China Mobile Research Institute
In het laatste decennium heeft het internet gemaakt snelle ontwikkeling. Volgens de statistieken, is het internet uitgegroeid tot het belangrijkste menselijke samenleving, informatie-infrastructuur, goed voor 80% van de menselijke informatie-uitwisseling. In deze achtergrond, het gezicht van een steeds complexer netwerk van online en het vergroten van het netwerkverkeer, systeem-en netwerkbeheerders moeten meer tijd en energie spenderen aan het leren over de werking van het netwerk van voorzieningen om de normale werking van een onderneming in stand te houden . In het algemeen, netbeheerders moeten de bandbreedte gebruik van elk segment te begrijpen, het netwerk bottleneck probleem doet zich voor wanneer het probleem optreedt bij het netwerk moet in staat zijn snel te analyseren problemen en de oorzaken vast te stellen, deze zijn het netwerkverkeer het beheer van de belangrijkste taken. Dus, bij het beheer van het netwerkverkeer moet worden gebaseerd op basis van wat, met welke middelen en strategieën om te bepalen welke van de doorstroming, analyse en het beheer?
Het netwerkverkeer management doelstellingen
Met de voortdurende groei van netwerkverkeer en netwerk toepassingen worden steeds talrijker en complexer, kunnen we zien, simpele, ongelimiteerde toename van de bandbreedte van het netwerk niet kunnen oplossen van de fundamentele problemen van het netwerkverkeer. We moeten het netwerkverkeer beheren van netwerk gezondheid en netwerk toepassingen, de normale dienstverlening te waarborgen.
In het proces van het beheer van het netwerkverkeer, ons primaire doel van de netwerk-management nodig is om het probleem te definiëren. Het netwerkverkeer management in vier hoofddoelen: Eerst moeten we begrijpen het gebruik van het netwerkverkeer, ten tweede moeten we manieren vinden om de netwerkprestaties te optimaliseren, ten derde het netwerk management technologie om de netwerkprestaties te verbeteren; Ten slotte, ook hoeft te doen netwerkverkeer informatie beveiliging werken.
Om deze vier doelstellingen, de netwerkbeheerder eerst door middel van een effectieve classificatie draagt heel duidelijk, we moeten de bandbreedte, die daadwerkelijk gebruikt gaat worden op het einde. In de tweede plaats vindt de performance van het netwerk bottleneck. Er zijn twee zeer belangrijke netwerk-prestatie-indicator, een doorvoersnelheid is, dat netwerk kunnen de maximale hoeveelheid gegevens te verzenden, en de andere is de vertraging. Ten derde, de toepassing van geavanceerde monitoring en controle software te verbeteren performance van het netwerk bij verschillende netwerk-toepassingen. Ten slotte, het netwerk kan ook geïntegreerd gebruik van Intrusion Detection Systems (IDS), firewalls worden van Unified Threat Management (UTM)-apparaten op het netwerk verkeer voor informatie beveiliging werken.
In het dagelijks verkeer, netwerkbeheer om efficiënt te kunnen vier doelstellingen te bereiken, moeten we passende maatregelen te nemen. De maatregelen omvatten het afvangen en de classificatie van netwerkverkeer, netwerk monitoring van het verkeer (statistieken en analyse) en bestrijdingsstrategieën.
1. Netwerkverkeer vastleggen en indeling: Dit is de eerste stap in het beheer van netwerkverkeer. Alleen door het instellen van de punt vast te leggen, op het afvangen en de classificatie van netwerkverkeer met het oog op de follow-up analyse en controle. Hier moet worden benadrukt dat de indeling van het netwerkverkeer kan worden zeer macro-georiënteerde, kunnen worden verfijnd. Zoals TCP, UDP, ICMP, etc. en op de meer macro-en HTTP-, FTP of zelfs, zoals Kazza, Skype en andere P2P-verkeer classificatie en identificatie van een relatief verfijnd. In hun dagelijkse werk, kunnen netwerkbeheerders gebruiken Wireshark, tcpdump andere bekende packet capture en analyse software voor het verkeer over te nemen en de indeling.
2. Netwerk monitoring (analyse): monitor op de flow van de bedrijfsactiviteiten weer te geven, om te helpen de problemen te identificeren en passende strategieën voor het beheer. Aanvraag-en netwerkbeheer, verzamelen, weergeven en verzamelen van informatie, met inbegrip van gebruik van de bandbreedte, actieve gastheer en efficiëntie van de netwerken, en de actieve toepassingen. Het doel van de gemeenschappelijke markt, door het gebruik van ntop management tools, zoals visuele analyse netwerkbeheerders helpen om in de praktijk.
3. Control strategie: analyse van het netwerkverkeer, de volgende stap is om bandbreedte toe te wijzen volgens prioriteit. Kan worden gebaseerd op de verdeling van de host, de toepassing, enz., in het bijzonder aandacht zal moeten overwegen is het verbruik van middelen, P2P-toepassingen of vertraagde audio-en video-downloads, enz. te overwegen. Specifieke operatie kan worden toegepast op de populaire tools voor flow control en uitvoering, zoals de indeling van het netwerkverkeer en de controle, zodat we daadwerkelijk kunnen netwerkverkeer te beheren, zal het de oorspronkelijke ongeordende up om de volgorde van het netwerkverkeer te worden.
Het volgende beschrijft hoe onze specifieke netwerkverkeer beheer, met inbegrip van de identificatie van het netwerkverkeer, het netwerkverkeer analyse en controle.
Identificatie van het netwerkverkeer
Flow identificatie, ook wel service-identificatie (Application Awareness), is de eerste stap in het beheer van netwerkverkeer. Identificatie van het netwerk van de verkeersstromen via de business van de data link laag applicatielaag deep packet inspectie en analyse, gebaseerd op protocol type, poortnummer, kenmerken en stromingsgedrag kenmerken van de string parameters, voor zakelijke types, zakelijke status, zakelijke inhoud en de gebruiksvriendelijkheid gedragsmatige informatie en statistische classificatie en opslag. Het voornaamste doel van het bedrijfsleven is de identificatie van netwerkbeheerders toegang tot de business laag boven de netwerklaag verkeers informatie, hulp, zoals het soort bedrijf, de economische conjunctuur, business distributie, de verkeersstroom en andere zaken.
Service identificatie is een relatief complex proces dat vereist meerdere functionele modules werken samen, business process identificatie van het werk kort als volgt:
1. Erkenning verwerking module met behulp van multi-channel erkenning verwerking, netwerkverkeer via de bron / doel IP-adres en de bron / bestemming poortnummer van de hash-algoritme, het netwerk verkeer gelijkmatig over meerdere verwerkingseenheden kanalen.
2. Multi-channel parallelle verwerking netwerkverkeer van deep packet inspection, de toegang tot informatie netwerkverkeer kenmerken, eigenschappen en identificeren van bibliotheek-en zakelijke kenmerken voor matching.
3. Het koppelen van de resultaten naar de erkenning verwerking module, en identificeert een specifiek netwerk verkeer. Als er meerdere wedstrijden, selecteert u een hoge prioriteit wedstrijden worden geïdentificeerd. Na identificatie van een specifiek netwerk verkeer te bepalen, kan het netwerkverkeer verbindingen zullen niet uitvoeren follow-up van de diepte van De packet inspection, 直接 zijn netwerklaag en Transport Layer informatie en de bekende erkenning Jieguo tot meer dan rechts, met het oog op de levering efficiëntie te verbeteren.
4. Erkenning verwerking module om de commerciële resultaten van het netwerkverkeer te identificeren om de resultaten opgeslagen in het geheugen module voor het netwerkverkeer te identificeren, vormen de basis voor de statistische analyse.
5. Statistische analyse module de resultaten van de identificatie informatie-opslag en de module om te lezen curve, cirkeldiagram, staafdiagram of de vorm van tekst naar de aanleiding van de informatie weer te geven of een document om de output te identificeren.
6. Het resultaat wordt opgeslagen in de module informatie zal worden opgeslagen in de erkenning resultaat output naar het netwerkverkeer beheer van functionele gebieden, de basis voor de uitvoering van het verkeer management.
Business erkenning technologie die momenteel gebruikt worden in twee, dat DPI technologie en DFI technologie.
DPI-technologie is een deep packet inspection DPI (Deep Packet Inspection) voor korte. DPI technologie heet "diepte" van de detectie-technologie, is ten opzichte van de traditionele detectie doeleinden. De traditionele verkeerslichten detectie-technologie alleen voor opslag in de packet-netwerklaag en transport layer protocol header in de basisgegevens, met inbegrip van bron / doel IP-adres, bron / bestemming transportlaag poortnummer, protocol-nummer, en de onderliggende verbinding status. Deze parameters moeilijk is om voldoende informatie over de zakelijke toepassingen te verkrijgen, met name voor de huidige P2P-applicaties, VoIP-toepassingen, IPTV-toepassingen is op grote schaal uitgevoerd door de situatie kan de traditionele verkeerslichten detectie technologie niet voldoen aan de behoeften van het netwerkverkeer.
DPI-technologie op de traditionele verkeerslichten detectie-technologie, de "diepte" van expansie in de toegang tot de basisinformatie, terwijl pakketjes data pakketten op een aantal applicatielaag protocol headers en protocol lading worden gescand en opgeslagen in de applicatielaag van de informatie over de functies , fijne netwerkverkeer inspectie, monitoring en analyse.
DPI-technologie wordt meestal gebruikt als de packet-analyse methode:
● Analyse van de transportlaag poort. Veel toepassingen maken gebruik van de standaard transportlaag poortnummer, zoals HTTP protocol poort 80 gebruikt.
● functies van Word matching. Sommige toepassingen op de applicatielaag of applicatielaag protocol header belasting kenmerken op het gebied bevat een specifieke locatie, door het identificeren van de kenmerken van het gebied van data packet inspectie, monitoring en analyse.
● communicatie interactie proces-analyse. Meerdere zittingen van de zaken van het interactieve proces van monitoring en analyse, met inbegrip van het pakket lengte, het aantal verzonden pakketten, te bereiken netwerkdienst inspectie, monitoring en analyse.
De technologie, indien er een meer gedetailleerde classificatie, kunnen worden onderverdeeld in kenmerken van de Chinese Character Recognition technologie, Application Layer Gateway identificatie, gedrags-patroonherkenning, werden drie types van identificatie toegepast op verschillende soorten overeenkomsten kunnen niet vervangen elkaar Alleen een geïntegreerd gebruik van deze drie technologieën effectief kunnen worden en flexibel te erkennen allerlei toepassingen op het netwerk, zodat controle en facturering.
DFI DFI technologie is populair voor het opsporen van diepe (Deep Flow Inspection) Kortom, is een typische business identificatie. DFI-technologie is onvoldoende voor de voorgestelde DPL technologie, om de uitvoering van de efficiëntie van de DPI-technologie, encryptie, verkeers-identificatie en frequente upgrades en andere problemen aan te pakken. DFI is meer gericht op de universele kenmerken van het netwerkverkeer, dus DFI-technologie is niet goed voor de diepte van netwerkverkeer packet inspection, maar alleen door de toestand van het netwerkverkeer, netwerklaag en Transport Layer informatie, service-flow duur, gemiddelde debiet , byte lengte van de verdeling van de parameters de statistische analyse, het bedrijfsleven type te verkrijgen, zakelijke status.
Statistische analyse van het netwerkverkeer
Door middel van statistische analyse van het verkeer, kan het netwerk managers weten het huidige netwerkdienst soorten verkeer, bandbreedte, tijd en ruimtelijke verdeling, stroming en andere informatie.
In het management-proces, kunnen beheerders gebruikmaken van gemeenschappelijke instrumenten om te helpen bij de voltooiing van ntop. Ntop instrumenten en traditionele als tcpdump of etherische netwerkverkeer te vangen tool heeft een groot verschil, en het voornamelijk voorziet netwerkpakket statistieken, in plaats van de inhoud van de boodschap. Daarnaast zijn ntop niet nodig om de Web server, gebruikt u die zelf zou het HTTP-protocol ondersteunen. In de eerste plaats biedt het een snelle en eenvoudige manier om nauwkeurige informatie over het netwerk activiteit, en geen gebruik maken van het netwerk opsporen of afluisterapparatuur. In de meeste gevallen, het netwerk storing detector track van het netwerk vereist is, maar op een punt kunnen hebben detectoren worden gebruikt om andere apparatuur niet beschikbaar te controleren, kunt u gebruik maken ntop hulpmiddelen, ten tweede, in enkele bepaalde netwerkconfiguratie kan niet worden verbonden met de detector, zoals twee Unix-systemen via WAN interconnectie, in dit geval, kan de gebruiker van toepassing ntop tool.
In het algemeen kan het gebruik ntop tool te helpen met de netwerkbeheerder om de volgende taken: automatisch van het netwerk naar nuttige informatie; de onderschepte data pakketjes naar een formaat dat gemakkelijk te identificeren, op het netwerk omgeving om de situatie van communicatie falen te analyseren; detection knelpunten in het communicatienetwerk milieu; Noteer de tijd en het proces-netwerk communicatie.
Ntop instrumenten door het analyseren van netwerkverkeer naar de verschillende problemen aanwezig zijn op het netwerk kan ook gebruikt worden om te bepalen of de hacker is het netwerk het systeem aanvallen te identificeren, kan ook zeer gemakkelijk aan te tonen dat een bepaald netwerkprotocol, grote hoeveelheden bandbreedte bezet door de host, diverse Mededelingen van de doel host, de packet-zendtijd, dat de gegevens doorgeeft packet delay en andere details. Door het begrijpen van deze informatie, kunnen netwerkbeheerders een tijdige reactie op het mislukken van de netwerk-optimalisatie en aanpassing daarvan aan de efficiëntie en veiligheid van de exploitatie van het netwerk te waarborgen.
Het netwerkverkeer controle
Traffic controle zal worden toegevoegd aan het netwerkverkeer het beheer, kan het netwerk te helpen bij het netwerk resources en business middelen, bandbreedte controle en resource planning, zoals HTTP, FTP, SMTP, en P2P-toepassingen te beheren, met name P2P verkeer onderdrukking traditionele datadiensten aan de user experience mate te verbeteren.
Met luchtverkeersleiding netwerkverkeer beheer kan ook ernstige gevolgen hebben voor de bedrijfsvoering van het inkomen van andere bedrijven te onderdrukken onbevoegden. Bijvoorbeeld, voor VoIP-diensten, kunnen we stroom door de VoIP-signalering en de media die gepaard gaan met het testen en statistische analyse, en door de media afknotten pakketten, vermomd middel van signalering berichten op verkeersmanagement. Kan ook worden geïntegreerd met behulp van de netwerklaag, de transportlaag en de applicatielaag inspectie technologie, onbevoegde gebruiker neemt breedband verbinding de verbroken, actieve alarm, tijd-controle en het beheer van andere acties.
Flow control kan ook helpen het beheer van netwerkverkeer om zaken resource planning te verwezenlijken, en toegang tot zakelijke middelen en het gebruik van real-time operationele status van de situatie. Wanneer een netwerk applicatie service serverbelasting hoog is, kan de wereldwijde business resource load balancing gelijkmatig voorzien van de service aanvraag, maar ook om de gebruiker de bedrijfseconomische verzoek, of te blijven reageren op verzoeken van gebruikers voor nieuwe bedrijven, en de prioriteit van de prioriteiten op basis van gebruikersbehoeften reactie op hoge prioriteit te vragen de gebruiker om de efficiëntie van de bedrijfsvoering te verbeteren.
Flow control is een gangbare praktijk in de output havenkantoor te stellen een wachtrij voor de luchtverkeersleiding, is de controle aanpak, gebaseerd op routing, dat is gebaseerd op objectieve of het doel van het IP-address van het subnet netwerk nummer. De basisfuncties van de flow controller module wachtrij, sorteren en filters. Zoals de verscheidenheid van de huidige netwerkverkeer, netwerkbeheerders in het beheer van veelgebruikte indeling manier.
Voor netwerk verkeersmanagement, moeten in aanvulling op de stroom van de identificatie, het verkeer analyse en traffic control functies, hebben we in het algemeen willen ook een firewall en andere netwerkbeveiligingsapparaten en medewerking aan een systeem van pro-actieve verdediging te bouwen tegen de bedreigingen voor de veiligheid om te helpen vergroten van de capaciteit van het gehele netwerk beveiliging om beter te kunnen waarborgen het netwerkverkeer.
Bijvoorbeeld, de stroom van de functie is de erkenning een noodzakelijk middel om traffic management. Het kan nemen het initiatief om, vinden zoals zoals DDoS-aanvallen, virussen en Trojaanse paarden, zoals abnormale verkeer, better up te maken voor de andere netwerk-beveiliging, zoals firewalls, intrusion prevention System (IPS) en Unified Threat Management (UTM) en andere tekortkomingen, op hun initiatief upgrade naar een beveiliging bedreiging te vinden capaciteit, en kan direct verzenden naar andere Netwerkbeveiligingsapparatuur alarm, de bron van bedreigingen van de veiligheid van het begin tot actieve verdediging. Bovendien is de mogelijkheid om het netwerk met de verkeersstroom management kunnen identificeren, kan ook de toegang tot en het netwerkverkeer, netwerklaag informatie (bijvoorbeeld, bron / doel IP-adres, de toepassing haven, gebruikers-ID en andere identificatie-informatie), waardoor informatie-, netwerk-beheerders kunnen veilig op te slaan Oorsprong van de dreiging geaardheid.
Links 1
Vergelijking van DFI technologie en DPI-technologie
DFI en DPI basisontwerp van beide technologieën om bedrijfsdoelstellingen te bereiken zijn geïdentificeerd, maar zowel de focus en in de realisatie van de technische details of het bestaan van grote verschillen. Uit de vergelijking van twee technieken te zien, beide hebben hun eigen voordelen, hebben ook zwakke punten, DPI-technologie voor precieze en accurate bij het identificeren van behoeften, fijne beheer van het milieu, DFI-technologie van toepassing is en efficiënte identificatie van de behoeften, extensief beheer omgeving.
Vanuit het perspectief van de verwerking: DFI relatief snelle verwerking snelheid, terwijl het gebruik van DPI-technologie pakket zal worden uitgepakt door het exploiteren, en vergeleken met de achtergrond van de database overeenkomen, zal de verwerking snelheid langzamer. Als gevolg van DFI-technologie voor het verkeer analyse alleen de stroom kenmerken in vergelijking met de achtergrond het verkeer model kan daarom de huidige meerderheid van de DPI-op basis van bandbreedte management systeem is alleen wire-speed processing power 1Gbit / s ten opzichte van DFI-gebaseerde systeem kunnen bereiken wire-speed 10Gbit / s, volledig voldoen aan de behoeften van de zakelijke beheer van het netwerkverkeer.
Onderhoudskosten vanuit het perspectief: DFI onderhoudskosten relatief laag zijn, gebaseerd op de DPI-technologie altijd achterloopt op de nieuwe bandbreedte management systeem applicaties, moet gelijke tred houden met nieuwe protocollen en nieuwe toepassingen blijven voor de productie en toepassing van database achtergrond upgrade, anders kan het niet efficiënt identificeren, Management technieken, de bandbreedte en de invloed op de efficiëntie van patroonherkenning, de DFI-gebaseerde technologie beheer en onderhoud op de werklast van het systeem is minder dan de DPI-systeem, omdat het hetzelfde type van nieuwe toepassingen en de stroom kenmerken van de oude aanvragen worden niet in grote veranderingen niet vereist frequente upgrades stromingsgedrag model.
Erkenning juistheid van de opvatting: hun eigen sterke punten van beide technologieën. Zoals de DPI gebruikt door packet-analyse, patroonherkenning technieken, dus kan stromen in de specifieke aanvraag en protocollen om meer nauwkeurige herkenning te bereiken; de DFI alleen het verkeer gedragsanalyse, daarom alleen algemene categorieën van soorten toepassingen, zoals P2P-verkeer naar de uniforme toepassing van het model geïdentificeerd als P2P verkeer, VoIP-verkeer model dat de aard van de eenheid is ingedeeld als VoIP-verkeer voldoet aan voldoen, maar kan niet bepalen of het verkeer of andere protocollen H.323 gebruikt. Als de gegevens pakket wordt versleuteld transmissies, met behulp van DPI manier Flow Control-technologie niet kan identificeren met hun specifieke toepassingen, terwijl de DFI manier Flow Control-technologie zal niet worden beïnvloed, omdat de toepassing van de huidige stand van de gedragskenmerken en de fundamentele verandering zal niet versleuteld worden.
Link 2
Verschillende gemeenschappelijke netwerkverkeer
Actueel vanaf het netwerk voortdurend verrijken en ontwikkelen van de applicatie-, netwerk verkeer worden steeds complexer en een breed scala van hen, de volgende is de meest voorkomende soorten netwerkverkeer:
1. HTTP-verkeer: HTTP is het meest gebruikte internet-protocol, al is vervangen het traditionele papieren downloads de belangrijkste applicatielaag protocol FTP, nu, met YouTube en andere video sharing site trekken, HTTP-protocol netwerkverkeer in de afgelopen vier jaar in de eerste P2P-programma verkeer over.
2. FTP verkeer: Vanaf het begin van de komst van het internet, FTP is een gebruiker van de meest gebruikte toepassingen een tweede in belang alleen HTTP en SMTP. Met de opkomst van P2P-toepassingen, hoewel de status van het belang ervan afgenomen, maar nog steeds de gebruikers het downloaden van de applicatie en een onvervangbare een manier.
3. SMTP-verkeer: e-mail is het belangrijkste onderdeel van internet business. Volgens de statistieken, 3 / 4 of meer gebruikers toegang tot het voornaamste doel is voor het verzenden en ontvangen van mail, elke dag miljarden e-mails in de wereldwijde estafette. Vooral omwille van de goedkope en eenvoudige e-mail, om mensen ertoe te bewegen hun informatie als een groot aantal tools te verspreiden, leidde uiteindelijk tot de wereld van Internet, de verspreiding van spam.
4. VoIP-verkeer: IP-telefoon gebruikers steeg in 2006 10.300.000 tot 18,7 miljoen, een stijging van 83%. VoIP call volume in 2007 bereikt 75% van de totale belvolume. Daarom, het internet, VoIP-verkeer is ook zeer waardig van de betrokken beheerder.
5. P2P verkeer: de huidige bandbreedte van het netwerk "big spending" is een P2P file sharing goed voor 49% in het Midden-Oosten, Centraal-en Oost-Europa goed voor 84%. Wereldwijd, de nacht-time bandbreedte van het netwerk bezet 95% van P2P.
6. Streaming Flow: Met als PPLive, ppstream, enz. De opkomst van video software, video, live en on-demand viewing als de algemene Internet-gebruikers en online entertainment, de beste manier van leven, dus het verkeer is eveneens in stijgende lijn.