Forstå fordeling av nettverkstrafikk for å finne metoder for å optimalisere nettverksytelsen, nettverksadministrasjon teknologi for å forbedre nettverksytelsen, er nettverkstrafikken også god beskyttelse av informasjonssikkerhet arbeidet, som er det viktigste arbeidet til nettverkstrafikk innhold.
■ Dr. Li Yang av China Mobile Research Institute
I løpet av det siste tiåret, har internett gjort rask utvikling. Ifølge statistikk har internett blitt den viktigste menneskelige samfunn, informasjon infrastruktur, står for 80% av menneskelig informasjonsutveksling. I denne store bakgrunnen, overfor stadig mer komplekse nettverk av online og gradvis øke trafikken, system og nettverk ledere må bruke mer Shijian og krefter på å forstå disse nettverksutstyr drift tilstand til en Qi Ye Wei Chi fungerer nettverk av Zheng Chang . Generelt, nettverk ledere må forstå båndbredde til hvert segment, oppstår nettverket flaskehalsen problemet der problemet oppstår når nettverket må raskt kunne analysere problemer og finne årsakene, er det disse nettverkstrafikk ledelsens viktigste oppgaver. Så, når du administrerer nettverkstrafikk bør være basert på grunnlag av det, med hvilke midler og strategier for å effektivt identifisere flyten, analyse og styring?
Nettverkstrafikk styring mål
Med den kontinuerlige veksten av nettverkstrafikk og nettverk applikasjoner blitt stadig mange og komplekse, kan vi se, enkle, ubegrenset økning i båndbredde på nettverket kan ikke løse de grunnleggende problemene i nettverkstrafikk. Vi må styre nettverkstrafikk for å sikre helsen til nett og programmer, normal service.
I prosessen med nettverkstrafikk ledelse, er vårt primære mål nettverksadministrasjon nødvendig å definere problemet. Nettverkstrafikken ledelse i de fire hovedmålene: Først må vi forstå bruken av nettverkstrafikk situasjonen, for det andre, for å finne den optimale ytelse i nettverket av Tu Jing, for det tredje, gjennom nettverket til nettverket performance management teknologi for å Tisheng, slutt, behovet for å gjøre nettverkstrafikk informasjonssikkerhet beskyttelse arbeid.
For å oppnå disse fire målene, nettverksadministratoren først gjennom effektive klassifisering er klart, vi trenger båndbredden, som faktisk er brukt til slutt. For det andre finner nettverksytelsen flaskehalsen. Det er to svært viktige nettverk for resultat, er en gjennomstrømning, det vil si nettverket kan overføre den maksimale mengden data, og den andre er forsinkelsen. For det tredje, til anvendelse av avanserte trafikk overvåking og kontroll programvare forbedre nettverksytelsen å møte ulike nettverk programmer. Endelig nettverket også kan være integrert bruk av innbrudd oppdagelse systemer (IDS), brannmurer, Unified Threat Management (UTM)-enheter i nettverket trafikk for informasjonssikkerhet beskyttelse arbeid.
I daglig trafikk ledelse, nettverksadministrasjon for effektivt å kunne oppnå 4 mål, må vi ta nødvendige skritt. Trinnene omfatter fangst og klassifisering av nettverkstrafikk, nettverkstrafikk overvåking (statistikk og analyse) og kontroll strategier.
En. Nettverkstrafikk fangst og klassifisering: Dette er det første trinnet i forvaltningen av nettverkstrafikk. Bare ved å sette fangst punktet, på fangst og klassifisering av nettverkstrafikk for å følge opp analyse og kontroll. Her må understrekes at klassifiseringen av nettverkstrafikk kan være svært makro-orienterte, kan bli raffinert. Som for eksempel TCP, UDP, ICMP, etc. og på flere makro, og HTTP, FTP eller som Kazza, Skype og andre P2P-trafikk klassifisering og identifisering av en relativt raffinert. I sitt daglige arbeid, kan nettverksadministratorer bruke Wireshark, tcpdump andre velkjente pakke fangst og analyse programvare for trafikk-fangst og-klassifisering.
2. Nettverkstrafikk overvåking (analyse): skjerm for å vise flyten av driftsforhold, for å hjelpe med å identifisere problemer og iverksette hensiktsmessige strategier. Søknad og nettverksadministrasjon til innsamling, visning og innsamling av informasjon, inkludert båndbredde utnyttelse, aktiv vert og nettverk effektivitet, og aktive programmer. Målet med det felles markedet gjennom bruk av NTOP administrasjonsverktøy som visuell analyse for å hjelpe nettverksadministratorer å gjennomføre i praksis.
Tre. Control strategi: nettverkstrafikk analyse, er neste trinn å fordele båndbredde i henhold til prioritet. Kan være basert på fordelingen av verten, program, osv., særlig oppmerksomhet må vurdere er forbruket av ressurser, P2P programmer eller forsinket lyd og video nedlastinger, etc. for å vurdere. Spesifikk operasjon kan brukes på populære verktøy for flytkontroll og gjennomføring, slik som klassifiseringen av nettverkstrafikk overvåking og kontroll, slik at vi effektivt kan administrere nettverk trafikk, vil det være det opprinnelige uordnede opp til å bli rekkefølgen på nettverkstrafikk.
Følgende beskriver hvordan vårt bestemte nettverkstrafikk ledelse, inkludert identifisering av nettverkstrafikk, nettverkstrafikk analyse og kontroll.
Identifisering av nettverkstrafikk
Flow identifisering, også kalt service identifisering (Application Awareness), er det første trinnet i forvaltningen av nettverkstrafikk. Identifisering av nettverkstrafikk renn gjennom saker fra det datalink laget til applikasjonslaget dype Packet Inspection og analyse, basert på protokoll type, portnummer, egenskaper og flyt atferd egenskapene til strengen parametere, for businessfolk, business status, business innhold og brukere atferdsmessige informasjon, og statistisk klassifisering og lagring. Den grunnleggende hensikten med virksomheten identifikasjon er å hjelpe nettverksadministratorer tilgang til nettverket lag på toppen av virksomheten laget flyt av informasjon, for eksempel virksomhetstype, forretningsforhold, business distribusjon, trafikkflyt og annen virksomhet.
Tjenesten identifikasjon er en relativt komplisert prosess som krever flere funksjonelle moduler arbeide sammen, forretningsprosesser identifikasjon av arbeidet kort som følger:
En. Anerkjennelse bearbeiding modul bruker multi-kanal anerkjennelse behandling, nettverkstrafikken gjennom kilde / destinasjon IP-adresse og kilde / destinasjon portnummer Hash algoritmen, nettverket trafikken jevnt over flere prosessering kanaler.
2. Flerkanals parallell prosessering nettverkstrafikk av dype Packet Inspection, tilgang til nettverkstrafikk egenskaper informasjon, og identifisere egenskaper for bibliotek og kontorfunksjoner for målretting.
Tre. Å matche resultatene sendt til gjenkjennelse prosessering modulen, og identifisere et bestemt nettverk trafikk. Hvis det er flere kamper, velger du høyt prioriterte kamper identifiseres. Ved identifisering av en bestemt nettverkstrafikk identifisering, oppfølging for å koble til nettverket trafikken ikke vil bli dypt Packet Inspection, direkte til nettverkslaget og transportlaget informasjon og sammenlign anerkjennelse resultatene er kjent for å øke effektiviteten.
4. Anerkjennelse prosessering modulen for å identifisere virksomheten resultatene av nettverkstrafikk til å identifisere resultatene lagret i minnet modul for nettverkstrafikk, gir grunnlag for statistisk analyse.
5. Statistisk analyse modulen resultater fra identifisering lagring av informasjon modulen for å lese og å bøye, sektordiagram, stolpediagram eller tekst skjema for å angi et resultat av informasjon visning eller et dokument til utskrift.
Seks. Resultatet er lagret i modulen vil bli lagret i anerkjennelse resultatet utgang til nettverket trafikkstyring funksjonelle områder, som grunnlag for implementering av nettverkstrafikk ledelse.
Business gjenkjennelse teknologien i dag brukes i to, at DPI teknologi og DFI-teknologi.
DPI-teknologi er en dyp Packet Inspection DPI (Deep Packet Inspection) for korte. DPI teknologien kalles "dybden" av oppdagelsen teknologien, er i forhold til den tradisjonelle oppdagelsen formål. Den tradisjonelle trafikken oppdagelsen teknologien bare for de som lagring i datapakke nettverkslaget og transportlaget protokollen header i grunnleggende informasjon, inkludert kilde / destinasjon IP-adresse, kilde / destinasjon transportlaget portnummer, protokoll nummer, og den underliggende tilkoblingsstatusen. Disse parametrene er vanskelig å få nok informasjon på forretningsapplikasjoner, særlig for den nåværende P2P-programmer, VoIP-applikasjoner, har IPTV søknader vært mye Kaizhan situasjonen, Chuan Tong trafikken måleteknikk har innfrir nettverkstrafikken etterspørselen.
DPI teknologi på tradisjonelle trafikken oppdagelsen teknologien, det "dybden" av utvidelse, anskaffelse av data pakke med grunnleggende informasjon samtidig, blir dataene pakker over applikasjonslaget protokollen overskrifter og protokoll laste skannet og lagret i applikasjonslaget, karakteristikkene av informasjon , fine nettverkstrafikk inspeksjon, overvåking og analyse.
DPI-teknologi er vanligvis brukt som datapakke analysemetode:
● Analyse av transportlaget porten. Mange programmer bruker standard transportlaget portnummer, som for eksempel HTTP-protokollen bruker port 80.
● funksjoner i ord som passer. Noen programmer på programmet laget eller applikasjonslaget protokollen header laste egenskaper i feltet inneholder et bestemt sted, ved å identifisere kjennetegn ved feltet datapakke inspeksjon, overvåking og analyse.
● kommunikasjon samhandling prosessanalyse. Flere økter i saker av den interaktive prosessen med overvåking og analyse, inkludert pakkelengde, antall pakker som sendes, oppnå nettverkstjeneste inspeksjon, overvåking og analyse.
Teknologien, hvis en mer detaljert klassifisering, kan deles inn i karakteristikkene av kinesiske tegn gjenkjennelse teknologien, applikasjonslaget gateway identifisering, atferdsmessige mønstergjenkjenning, ble tre typer identifikasjon brukes til ulike typer avtaler kan ikke erstatte hverandre, Bare en integrert bruk av disse tre teknologiene kan være effektivt og fleksibelt gjenkjenne alle typer applikasjoner på nettverket, slik at kontroll og fakturering.
DFI DFI teknologi er populært for påvisning av dyp (Deep Flow Inspection) kort, er en typisk bedrift identifikasjon. DFI-teknologien er god nok for DPL teknologi foreslått, for å ta opp gjennomføringen av effektiviteten av DPI-teknologi, kryptering, trafikk identifisering og hyppige oppgraderinger og andre problemer. DFI er mer fokusert på generelle kjennetegn ved nettverkstrafikk, derfor er DFI teknologien ikke dybden på nettverkstrafikk Packet Inspection, men bare gjennom delstaten nettverkstrafikk, nettverkslaget og transportlaget informasjon, service flyt varighet, gjennomsnittlig flyt Sushuai , byte lengde av distribusjonen parameterne for den statistiske analysen, for å få virksomheten type virksomhet status.
Statistisk analyse av nettverkstrafikk
Gjennom statistisk analyse av trafikken, kan nettverket ledere vite om gjeldende nettverkstjenesten trafikk typer, båndbredde, tid og romlige distribusjon, flyt og annen informasjon.
I ledelsen prosessen, kan administratorer bruke vanlige verktøy for å bistå i gjennomføringen av NTOP. NTOP verktøy og tradisjonelle som tcpdump eller eterisk å fange nettverkstrafikk verktøyet har en stor forskjell, og det hovedsakelig gir nettverkspakke statistikken, heller enn meldingsinnholdet. I tillegg trenger NTOP ikke trenger å bruke web-server, som i seg selv ville støtte HTTP-protokollen. Først, det gir en rask og enkel måte å få nøyaktig informasjon om nettverksaktivitet, og ikke bruker nettverket oppdagelsen eller lytter enheter. I de fleste tilfeller, til nettverket feilen detektoren spore nettverket er nødvendig, i noen tid kan nå brukes som Tan Ceqi overvåkning av annet utstyr ikke er tilgjengelig, kan du bruke NTOP verktøy; det andre, i et gitt nettverkskonfigurasjonen kan ikke kobles til detektoren, for eksempel to Unix-systemer via WAN samtrafikk, i dette tilfellet, kan brukeren søke NTOP verktøyet.
Generelt kan bruke NTOP verktøyet hjelpe nettverksadministratoren for å fullføre følgende oppgaver: automatisk fra nettverket for å avdekke nyttige opplysninger, som blir avskåret datapakkene til et format lett å identifisere, i nettverket miljøet å analysere situasjonen for kommunikasjon feil; deteksjon kommunikasjon flaskehalser i nettet miljø, registrere tid og prosessen nettverkskommunikasjon.
NTOP verktøy ved å analysere nettverkstrafikk å identifisere nettverksproblemer finnes, kan den brukes til å avgjøre om det er hackere angriper nettverket systemet, er det lett å vise at et bestemt nettverksprotokoll, båndbredde-intensive vert, ulike Kommunikasjon av målet vert, den datapakke overføringstiden, overføre dataene pakke forsinkelsen og andre detaljer. Ved å forstå denne informasjonen, kan nettverksadministratorer gjøre en betimelig respons til svikt i nettverket optimalisering og justering i henhold til å sikre effektiviteten og sikkerheten til nettverksdrift.
Nettverk trafikk-kontroll
Trafikk-kontroll vil bli lagt til i nettverket trafikkstyring, kan hjelpe nettverk ledere til nettverksressurser og næringsliv ressurser, båndbredde kontroll og ressursplanlegging, for eksempel HTTP, FTP, SMTP, og til å administrere P2P-programmer, særlig P2P trafikk undertrykkelse tradisjonelle datatjenester for å forbedre brukeropplevelsen grad.
Med trafikk-kontroll nettverkstrafikk ledelse kan også alvorlig påvirke driften av inntekten for andre bedrifter å undertrykke uvedkommende. For eksempel, for VoIP-tjenester, kan vi flyte gjennom VoIP signalering og media flyter forbundet med testing og statistisk analyse, og ved å trunkere media pakkene, forkledd måte å signalisere meldinger på trafikkstyring. Kan også være integrert med nettverkslaget, til transportlaget og applikasjonslaget inspeksjon teknologi, uautoriserte brukere tar bredbånd for å koble frakoblet, aktiv alarm, tid-kontroll og andre tiltak ledelse.
Flytkontroll kan også hjelpe nettverkstrafikk ledelsen å oppnå forretningsmessige ressursplanlegging, og tilgang til virksomheten ressurser og bruk av sanntids operativ status av situasjonen. Når et nettverk søknad tjeneste lasten på tjeneren er høy, kan den globale virksomheten ressursen lastbalansering til jevnt bære forespørsel om service, men også til å be om brukerens driften, bestemme om du vil fortsette å svare på brukerens forespørsler om ny virksomhet og prioriteten til prioriteringer basert på respons fra brukerne til høy prioritet tjenesten be brukeren om å forbedre effektiviteten av drift.
Flytkontroll er vanlig praksis i utgang Office for å etablere en kø for trafikk kontroll, er kontroll tilnærming basert på ruting, som er basert på objektive eller formålet med IP-adressen til subnettet nettverket nummeret. De grunnleggende funksjonene i vannmengdebegrenser modul kø, sortering og filtre. Som utvalg av dagens nettverkstrafikk, nettverksadministratorer i forvaltningen av brukte klassifikasjon måte.
For nettverkstrafikk styring, bør i tillegg til flyt har identifisering, trafikk analyse og trafikk kontrollfunksjoner, vi generelt vil også ha en brannmur og annen nettverkssikkerhet enheter og samarbeid for å bygge et system med proaktiv beskyttelse mot sikkerhetstrusler for å hjelpe øke kapasiteten på hele nettverkssikkerhet for bedre å kunne sikre nettverkstrafikken.
For eksempel er flyten av funksjonen anerkjennelse en nødvendig middel for trafikkstyring. Det kan ta initiativ til å finne, slik som DDoS angrep, virus og trojanere som unormal trafikk, bedre gjøre opp for andre nettverkssikkerhet enheter som brannmurer, Intrusion Prevention System (IPS) og Unified Threat Management (UTM) og andre mangler, for å oppgradere deres initiativ for å finne en sikkerhetstrussel kapasitet, og kan straks sende til andre nettverkssikkerhet utstyr alarm, kilden til sikkerhetstrusler fra begynnelsen til aktive forsvar. I tillegg evnen til å identifisere nettverket med trafikkflyten ledelse kan også få tilgang til og lagre nettverkstrafikk, nettverkslaget informasjon (for eksempel kilde / destinasjon IP-adresse, søknad port, bruker-ID og annen identifikasjon informasjon), gjennom hvilken informasjon, kan nettverket ledere sikkert opprinnelse trusselen orientering.
Linker 1
Sammenligning av DFI teknologi og DPI teknologi
DFI og DPI grunnleggende design av begge teknologiene for å oppnå forretningsmessige mål er identifisert, men både fokus og i realiseringen av den tekniske detaljer eller eksistensen av store forskjeller. Fra sammenligning av to teknikker for å se, begge har sine respektive fordeler, har også svakheter, PPT-teknologi for presis og nøyaktig med å identifisere behov, fine forvaltning av miljøet, er DFI teknologi relevant og effektiv identifisering av behov, omfattende ledelse miljø.
Fra behandling perspektiv: DFI relativt rask behandling hastighet, mens bruk av ppt teknologi pakken som skal pakkes ut ved operasjon, og sammenlignet med bakgrunnen å matche databasen, vil prosessorhastigheten bli langsommere. Som et resultat av DFI-teknologi for trafikk analyse bare strømningsforholdene i forhold til bakgrunnen trafikken modellen kan derfor den nåværende flertallet av DPI-baserte båndbredde styringssystem er bare kabelhastighet prosessorkraft 1Gbit / s sammenlignet med DFI-basert system kan oppnå wire-speed 10 Gbit / s, fullt ut oppfyller behovene til bedriften nettverkstrafikk ledelse.
Vedlikeholdskostnader fra perspektivet: DFI vedlikeholdskostnader er relativt lave, basert på PPT-teknologi etterslep alltid bak det nye båndbredde styringssystemet programmer, trenger å holde tritt med nye protokoller og nye programmer fortsette å oppgradere produksjonen og bruken av databasen bakgrunnen, ellers ikke effektivt kan identifisere, båndbredde styring under den nye teknologien påvirker effektiviteten i mønsteret samsvarer, den DFI-basert teknologi drift og vedlikehold på systemet arbeidsmengden å være mindre enn PPT-systemet, fordi samme type nye applikasjoner og strømningsforholdene av de gamle programmene ikke vil bli store endringer Derfor er trafikk oppførsel modell ikke krever hyppige oppgraderinger.
Gjenkjenningsnøyaktigheten fra visningen: sine egne sterke sider av begge teknologiene. Som DPI brukes av-pakke analyse, mønstergjenkjenning teknikker, derfor kan strømme i den spesifikke applikasjonen typer og protokoller for å oppnå mer nøyaktig anerkjennelse, det DFI bare trafikk atferdsanalyse, derfor bare generelle kategorier av programmet, for eksempel P2P-trafikk for å møte ensartet anvendelse av modellen identifisert som P2P-trafikk, på linje med den typen nettverk taletrafikk modell for VoIP trafikk klassifisert som uniform, men kan ikke fastslå om trafikken ved hjelp av H.323 eller andre protokoller. Hvis avsender er krypterte sendinger, med DPI måten flyt-kontroll-teknologien kan ikke identifisere deres spesifikke applikasjoner, mens DFI måte flytkontroll teknologien ikke vil bli berørt, fordi bruk av nåværende tilstand av atferdsmessige egenskaper og grunnleggende endring ikke vil bli kryptert.
Link 2
Flere vanlige nettverkstrafikk
Oppdaterte som nettverket stadig berike og utvikle programmet, er nettverkstrafikk bli kompleks og et bredt spekter av dem, er følgende de mest vanlige nettverkstrafikk:
En. HTTP-trafikk: HTTP er den mest brukte Internett-protokollen, som allerede har erstattet den tradisjonelle papiret nedlastinger hoved applikasjonslaget protokollen FTP, nå, med YouTube og andre video-deling av området trekk, HTTP-protokollen nettverkstrafikken i de siste fire årene der for første gang oversteget P2P programmet trafikken.
2. FTP trafikk: Fra begynnelsen av advent av Internett, har FTP vært en bruker av søknadene mest brukte ett, andre først viktig HTTP og SMTP. Med fremveksten av P2P-programmer, selv om status for dets betydning redusert, men fortsatt brukerne laster ned programmet og en uerstattelig en vei.
Tre. SMTP-trafikk: e-post er den viktigste delen av Internett-bedrift. Ifølge statistikk, 3 / 4 eller flere brukere tilgang hovedformålet er å sende og motta e-post, hver dag milliarder av e-poster i den globale stafetten. Spesielt på grunn av de billige og enkle e-post, å lokke folk til å spre sin informasjon som et stort antall verktøy, førte til slutt til Internett verden, spredning av spam.
4. VoIP-trafikk: IP-telefon-brukere i 2006 økte 10300000-18700000, en økning på 83%. VoIP-anrop volum i 2007 nådd 75% av total ringe volum. Derfor, Internett, VoIP trafikk også svært verdig administrator berørte.
5. P2P-trafikk: gjeldende nettverksbåndbredden "store utgifter" er en P2P fildeling sto for 49% i Midtøsten, Sentral-og Øst-Europa sto for 84%. Globalt, okkuperte natten nettverksbåndbredden 95% av P2P.
Seks. Streaming Flow: Med som PPLive, PPStream, etc. Fremveksten av videoprogrammer, video, live og on-demand ser som den generelle Internett-brukere og online underholdning, den beste måten for livet, så trafikken er også økende.