Uppfattning om fördelningen av trafiken på nätet för att hitta metoder för att optimera nätverkets prestanda, teknik nätverk för att förstärka nätverkets prestanda, är nätverkstrafiken också bra skydd för informationssäkerhet arbete, som är det viktigaste arbetet för nätverkstrafik innehåll.
■ Li Yang av China Mobile Research Institute
Under det senaste årtiondet har Internet gjort snabba utveckling. Enligt statistiken har Internet blivit den viktigaste mänskliga samhället, information infrastruktur och står för 80% av människors informationsutbyte. I detta sammanhang måste inför ett alltmer komplext nätverk linje och ett växande nätverk trafik, system och chefer nätverk spendera mer tid och ansträngning för att förstå hur status för nätverksenheter att upprätthålla normala drift ett företagsnätverk . I allmänhet nätverk chefer måste förstå bandbredd för varje segment sker nätet flaskhalsen problemet där problemet uppstår när nätet måste snabbt kunna analysera problemen och fastställa orsakerna, det är dessa nätverkstrafik ledningens viktigaste uppgifter. Så, när de hanterar nätverkstrafik bör baseras på grundval av vad, med vilka medel och strategier för att effektivt identifiera flödet, analys och hantering?
Nätverkstrafik förvaltningsmål
Med den ökning av nätverkstrafik och applikationer nätverket blivit allt fler och komplexa, kan vi se, enkla, obegränsad ökning i bandbredd kan inte lösa de grundläggande problemen med nätverkstrafik. Vi måste hantera nätverkstrafik för att säkerställa hälsan för nätverk och applikationer nätverk, normal drift.
I processen för nätverkstrafik förvaltning, är vårt främsta mål för nätverksadministration nödvändigt att definiera problemet. Nätverk trafikstyrning i fyra huvudmål: det första måste vi förstå användandet av nätverkstrafik, för det andra måste vi hitta sätt att optimera prestanda i nätet; det tredje, det nät management-teknologi förbättrar prestanda i nätet; Slutligen måste också göra nätverkstrafik information säkerhetsskydd arbete.
För att uppnå dessa fyra mål, nätverksadministratören första genom effektiv klassificering mycket tydligt, behöver vi bandbredd, som faktiskt används i slutändan. För det andra, hitta flaskhals nätverkets prestanda. Det finns två mycket viktiga nätverk resultatindikator är en genomströmning, det vill säga nätverket kan överföra den maximala mängden data, och den andra är förseningen. För det tredje, om tillämpningen av sofistikerad trafikanalys övervakning och kontroll programvara förbättra nätverksprestanda för att tillgodose olika nätverk applikationer. Slutligen nätet också kan integreras användningen av system för intrångsdetektering (IDS), brandväggar, Unified Threat Management (UTM)-enheter i nätverket trafik för informationssäkerhet skydd arbete.
I dagligt trafikledning, nätverkshantering för att effektivt kunna uppnå fyra mål, måste vi vidta lämpliga åtgärder. De steg som omfattar avskiljning och klassificering av nätverkstrafik, nätverk trafikövervakning (statistik och analys) och kontrollstrategier.
1. Nätverkstrafik avskiljning och klassificering: Detta är det första steget i hanteringen av nätverkstrafik. Endast genom att sätta fånga punkt, om fångst och klassificering av nätverkstrafik för att följa upp analys och kontroll. Här måste betonas att klassificeringen av trafiken på nätet kan vara mycket makroorienterade, kan förfinas. Såsom TCP, UDP, ICMP mm och på de mer makro och HTTP, FTP eller till och med som Kazza, Skype och andra P2P-trafik klassificering och identifiering av en relativt raffinerad. I sitt dagliga arbete kan nätverksadministratörer använda Wireshark, tcpdump andra välkända paket för avskiljning och analysprogram för trafik fånga och klassificering.
2. Network trafikövervakning (analys): övervaka att visa flödet av driftsförhållanden, för att identifiera problemen och genomföra lämpliga strategier för hantering. Ansökan och nätverksadministration insamling, visa och insamling av uppgifter, däribland bandbreddsanvändning, aktiv värd och nätverkets effektivitet och aktiva program. Målet med den gemensamma marknaden genom att använda ntop förvaltningsverktyg, t.ex. visuell analys för att hjälpa nätverksadministratörer att genomföra i praktiken.
3. Control strategi: nätverkstrafik analys, är nästa steg att fördela bandbredd enligt prioritet. Kan baseras på fördelningen av värden, ansökan, mm, särskilt uppmärksamhet kommer att behöva överväga är förbrukningen av resurser, P2P-applikationer eller försenade ljud och video nerladdningar, etc. att överväga. Särskild operation kan tillämpas på populära verktyg för flödeskontroll och genomföra dem, t.ex. klassificering av nätverkstrafiken övervakning och kontroll, så att vi effektivt kan hantera nätverkstrafik, kommer det att vara den ursprungliga oordnade upp till att bli i storleksordningen nätverkstrafik.
Följande beskriver hur våra specifika nätverkstrafik, inklusive identifiering av nätverkstrafik, nätverkstrafik analys och kontroll.
Identifiering av nätverkstrafik
Flow identifiering, även kallad tjänster identifiering (Application Awareness), är det första steget i hanteringen av nätverkstrafik. Identifiering av flöden nätverkstrafik genom verksamheten från datalänkslagret till applikationslagret djupt Packet Inspection och analys, baserad på protokoll typ, portnummer, egenskaper och flödeskarakteristika beteende av strängen parametrar, för företag, företagsmodell ställning, affärs-innehåll och användare beteendemässiga information, och statistiknomenklaturen och lagring. Det grundläggande syftet med verksamheten identifiering är att hjälpa nätverksadministratörer tillträde till nät lager ovanpå affärer lager flöde av information, t.ex. ekonomisk typ, företagsvillkor, affärer distribution, trafikflöde och andra företagstjänster.
Service identifiering är en relativt komplicerad process som kräver flera funktionella moduler arbeta tillsammans, identifiering affärsprocesser av arbetet korthet på följande sätt:
1. Erkännande bearbetning modul genom flera kanaler erkännande bearbetning, nätverkstrafik genom den källa och destination IP-adress och source / destination portnumret i Hashalgoritm, nätverkstrafiken jämnt över flera bearbetning kanaler.
2. Multi-kanals parallell bearbetning nätverkstrafik av djup Packet Inspection, tillgång till nät trafikmönster information och identifiera egenskaper hos bibliotek och funktioner affärer för matchning.
3. För att matcha resultaten skickas till erkännande bearbetning modulen och identifiera en specifik nätverkstrafik. Om det finns flera matcher, välj högprioriterade matcher identifieras. Vid identifiering av en specifik nätverkstrafik identifiering, uppföljning för att ansluta till nätverket trafiken kommer inte längre att en undersökning på djupet Packet Inspection, direkt till nätverket lager och transport layer information och jämför tolkade resultaten är känd för att öka effektiviteten i verkställighet.
4. Erkännande behandling modul för att identifiera företags resultat av nätverkstrafiken för att identifiera de resultat som lagrats i minnet modul för nätverkstrafik, ligga till grund för statistisk analys.
5. Analys Statistiska modul resultat från identifiering datalagrings-modul för att läsa och kurvan, cirkeldiagram, stapeldiagram eller form av text för att identifiera resultat av information som visas eller ett dokument till utgången.
6. Resultatet lagras i modulen information kommer att lagras i ett erkännande resultatet produktion till nätet trafikledning funktionella områden, att skapa en grund för genomförandet av nätverket trafikledning.
Business erkännande teknik används för närvarande i två, som DPI teknik och DFI teknik.
DPI-tekniken är ett djupt Packet Inspection DPI (Deep Packet Inspection) för korta. DPI Tekniken kallas "djup" för att upptäcka teknik är i förhållande till traditionella upptäckt ändamål. Den traditionella trafiken detektionsteknik endast för de lagras i datapaket nätverkslagret och Transport Layer protokoll huvudet i den grundläggande information, inklusive källa / destination IP-adress, källa och destination Transport Layer portnummer, protokoll nummer och den underliggande anslutningsstatus. Dessa parametrar är svårt att få tillräckligt med information om affärsapplikationer, i synnerhet för innevarande P2P-applikationer, VoIP-applikationer, har IPTV applikationer i stor utsträckning utförts av situationen, kan den traditionella trafiken detektionsteknik uppfyller inte behoven för nätverkstrafik.
DPI tekniken på traditionella trafiken upptäckt teknik, "djup" av expansion i tillgång till grundläggande information paket medan data-paketen på ett antal protokoll applikationslagret sidhuvuden och protokoll belastning skannas och lagras i applikationslagret av funktionen information , fina nätverkstrafik inspektion, övervakning och analys.
DPI-teknik används oftast som datapaketet analysmetod:
● Analys av Transport Layer hamnen. Många program använder standard transport antal lager hamn, till exempel HTTP-protokollet använder port 80.
● funktioner i ordet matchning. Vissa program på applikationslagret eller applikationslagret protokoll header egenskaper belastning på området innehåller en viss plats, genom att identifiera egenskaper hos området datapaketet inspektion, övervakning och analys.
● kommunikation interaktion process analys. Flera sessioner angelägenheter interaktiv process för övervakning och analys, inklusive paket längd, antalet skickade paket, uppnå kontroll nättjänst, uppföljning och analys.
Tekniken, om en mer detaljerad klassificering, kan delas in i egenskaper hos det kinesiska teckenigenkänning teknik, tillämpning layer gateway identifiering, beteendemönster erkännande, var tre typer av identifiering som används inom olika typer av avtal kan inte ersätta varandra, Endast en integrerad användning av dessa tre tekniker kan effektivt och flexibelt erkänna alla typer av program på nätet, som tillåter kontroll och fakturering.
DFI DFI tekniken är populär för att upptäcka djupa (Deep Flow Inspection) är kort sagt en typisk verksamhet identifiering. DFI teknik är adekvat för DPL teknik som föreslås, att ta upp genomförandet av effektiviteten i DPI teknik, kryptering, trafik identifiering och frekventa uppgraderingar och andra frågor. DFI är mer inriktade på allmänna egenskaper nätverkstrafik är därför DFI tekniken inte djupet av nätverkstrafik Packet Inspection, men endast om tillståndet i nätverkstrafik, nätverkslagret och Transport Layer information, affärsflöde varaktighet, medelflödet , byte längd fördelningen parametrarna i den statistiska analysen, för att få affärer typ, affärer status.
Statistisk analys av nätverkstrafik
Genom statistisk analys av trafik kan nätverket chefer veta det nuvarande nätverket typer tjänst trafik, bandbredd, tid och geografisk fördelning, flöde och annan information.
I förvaltningsprocessen kan administratörer använda gemensamma verktyg för att bidra till fullbordandet av ntop. Ntop verktyg och traditionella som tcpdump eller ethereal att fånga verktyg nätverkstrafiken har en stor skillnad, och det i huvudsak statistik nätverkspaketet, snarare än innehållet i meddelandet. Dessutom behöver ntop inte använda webbservern, som själv skulle stödja HTTP-protokollet. För det första ger det ett snabbt enkelt sätt att få korrekt information om nätverksaktivitet, och inte använder nätet upptäcka eller avlyssningsutrustning. I de flesta fall till nätverket detektorn spåret nätet felet är nödvändigt, men någon gång kan ha detektorer som används för att övervaka annan utrustning inte är tillgänglig kan du använda ntop verktyg, det andra i vissa ges nätverkskonfigurationen inte kan sättas i samband med detektor, t.ex. två Unix-system via WAN samtrafik, i detta fall kan användaren ansöka ntop verktyg.
Generellt kan användningen ntop verktyget hjälpa nätverket administratör för att slutföra följande uppgifter: automatiskt från nätverket till att identifiera användbar information, som vägrats datapaket omvandlas till lätt identifierbar form, på nätet miljö, kommunikation fel analys, upptäckt kommunikation flaskhalsar i nätet miljön, registrera tid och processen kommunikationsnät.
Ntop verktyg genom att analysera nätverkstrafik att fastställa förekomsten av olika nätverk problem kan också användas för att avgöra om en hacker attackerar nätet Ji Tong, också kan lätt visade att unika nätverk protokoll, bandbreddskrävande 主机, Ge gånger Meddelanden i mål värd, datapaketet sändningstid, sänder förseningen datapaket och andra detaljer. Genom att förstå denna information kan nätverksadministratörer göra ett snabbt svar på misslyckanden, nätverk optimering och anpassning därför att säkerställa effektiviteten och säkerheten för nätdrift.
Nätverkstrafik kontroll
Trafikledning kommer att läggas till i nätverket trafikledning, kan hjälpa nätverket chefer till nätverksresurser och resurser företag, bandbredd kontroll och resursplanering, till exempel HTTP, FTP, SMTP och hantera P2P-applikationer, särskilt P2P trafik förtryck traditionella datatjänster för att öka graden användarupplevelsen.
Med trafikövervakning nätet trafikledning kan också allvarligt påverka affärsverksamheten för de intäkter för andra företag att undertrycka obehöriga. Till exempel för VoIP-tjänster, kan vi flödet genom VoIP-signalering och media som är förbundna med provning och statistisk analys, samt genom att trunkera media paket, dolda anordningar meddelanden på trafikstyrning. Kan även integreras med hjälp av nätverkslagret, transport lagret och applikationsnivå inspektion teknik, obehörig användare ta bredband för att koppla frånkopplad, aktiva larm, tid-kontroll och andra åtgärder förvaltning.
Flödeskontroll kan också hjälpa till nätet för trafik för att uppnå schemaläggning affärer resurs och tillgång för företagen resurser och användningen av realtid driftstatus av situationen. När ett nätverksprogram tjänst lasten på servern är hög, den övergripande operativa resurser kan vara balanserad belastning för att Pingjun De Chengdan företag Qing Qiu, samtidigt kan också begära användarens verksamhet, distributionscentraler besluta om att fortsätta att svara på användarens nya affärer förfrågningar och prioriteringen av prioriteringar på grundval av användarnas svar på hög prioritet tjänst begära att användaren effektivisera verksamheten.
Flödeskontroll är vanligt i utdataport OLAF utarbetar en kö för trafikstyrning, kontroll strategi som bygger på dirigering, som bygger på objektiva eller att IP-adressen till det subnät nätet numret. Grundläggande funktioner flödesregulatorn modul kö, sortering och filter. Eftersom de olika nuvarande nätverkstrafik, nätverksadministratörer i förvaltningen av vanliga klassificeringen sätt.
För nätverkstrafik förvaltning bör det dessutom ha flödet identifiering, trafikanalys och trafikkontroll funktionalitet, vi brukar ha, och hoppas också att deras nät säkerhetsanordningar såsom brandväggar och bygga nya säkerhetshot mot ett aktivt försvar funktioner för att öka kapaciteten i hela nätverket säkerhet för att bättre se till att nätverkstrafiken.
Till exempel är flödet av funktionen erkännande ett nödvändigt medel för trafikstyrning. Det kan ta initiativ till att hitta, såsom DDoS attacker, virus och trojaner som onormal trafik, bättre att kompensera för andra nätverksenheter säkerhet som brandväggar, system intrångsskydd (IPS) och Unified Threat Management (UTM) och andra brister, för att uppgradera sitt initiativ för att hitta ett hot mot säkerheten kapacitet och kan snabbt skicka till andra nät säkerhetsutrustning larm, källan till säkerhetshot från början till aktivt försvar. Dessutom möjligheten att identifiera nätet med trafikflödesplanering kan också komma åt och spara nätverkstrafik, nätverkslagret information (t.ex. källa / destination IP-adress, ansökan port, användar-ID och andra identifieringsuppgifter), varigenom information kan nätverksadministratörer chefer säker Ursprunget till hot läggning.
Länkar 1
Jämförelse av DFI teknik och DPI teknik
DFI och DPI grundläggande utformningen av både teknik för att uppnå affärsmål är identifierade, men både fokus och i genomförandet av de tekniska detaljerna eller förekomsten av stora skillnader. Jämförelsen av två tekniker för att se, båda har sina respektive fördelar, också har svagheter, DPI teknik för precision och noggrannhet fastställa behov, fina förvaltning av miljön är DFI teknik tillämpas och effektiv kartläggning av behov, extensiv miljö.
Genom bearbetning perspektiv: DFI relativt snabb processorhastighet, medan användningen av DPI teknikpaketet som skall packas upp drift, och jämfört med bakgrunden att matcha databasen kommer processhastighet bli långsammare. Som ett resultat av DFI teknik för trafikanalys för endast flödet egenskaper jämfört med bakgrunden trafik-modellen kan därför den nuvarande majoriteten av DPI-baserade bandbredd ledningssystem är endast wire-speed processorkraft 1Gbit / s jämfört med DFI-system kan uppnå wire-speed 10Gbit / s, fullständigt uppfylla behoven hos företagets nätverk trafikledning.
Underhållskostnader ur perspektivet: DFI underhållskostnader är relativt låga, baserad på DPI teknik alltid ligger bakom den nya bandbredden tillämpningar ledningssystemet, måste hålla jämna steg med nya protokoll och nya tillämpningar Fortsätta att förbättra produktionen och tillämpningen av databasen bakgrund, annars kan det inte effektivt identifiera, bandbredd ledningen i den nya tekniken påverkar effektivitet mönstermatchning, den DFI-baserad teknik för drift och underhåll på systemet arbetsbelastningen att vara mindre än DPI-systemet, eftersom samma typer av nya tillämpningar och egenskaper flödet av gamla program inte kommer att vara större förändringar Därför kräver trafik beteende modell inte frekventa uppgraderingar.
Erkännande noggrannhet från den uppfattningen: den egna starka sidor båda teknikerna. Som DPI används av-paket analys, mönstermatchning teknik, därför kan ske anges i ansökan typer och protokoll för att uppnå mer exakta erkännande, det DFI endast trafik beteende analys, därför endast allmänna kategorier av ansökan, som till exempel P2P trafik för att tillgodose en enhetlig tillämpning av modellen identifierats som P2P-trafik, VoIP-trafik modell som uppfyller den typ av enhet klassificeras som VoIP-trafik, men kan inte avgöra om trafik med hjälp av H.323 eller andra protokoll. Om datapaket är krypterad överföring med hjälp av DPI sätt teknik flödeskontroll kan inte identifiera sina specifika tillämpningar, medan DFI sätt flödesreglering teknik inte kommer att påverkas, eftersom tillämpningen av nuvarande beteende och de grundläggande förändring kommer inte att krypteras.
Länk 2
Flera gemensamma nätverkstrafik
Aktuell som nätverket ständigt berika och utveckla tillämpningen, är nätverkstrafik blir komplicerade och ett brett spektrum av dem är följande de vanligaste typerna av nätverkstrafik:
1. HTTP-trafik: HTTP är det mest använda Internet-protokollet, som redan har ersatt den traditionella pappers nerladdningar huvudsaken Layer-protokoll FTP, nu, med YouTube och andra video delar tomt dra, HTTP-protokollet nätverkstrafik under de senaste fyra åren I första P2P ansökan trafik över.
2. FTP-trafik: Från början av tillkomsten av Internet, har FTP varit en användare av ansökningarna mest använda ett, andra i vikt bara HTTP och SMTP. Med uppkomsten av P2P-applikationer, även om status av dess betydelse minskat, men fortfarande användarna ladda ner programmet och en oersättlig ett sätt.
3. SMTP-trafik: e-post är den viktig del av Internet-företag. Enligt statistiken, 3 / 4 eller fler användare tillgång till främsta syfte är att skicka och ta emot e-post, varje dag miljarder e-postmeddelanden i den globala stafetten. Särskilt på grund av billig och enkel e-post, att förmå människor att sprida sin information som en stort antal verktyg, så småningom ledde till Internet världen, spridningen av skräppost.
4. VoIP-trafik: IP-telefon användare under 2006 ökat från 10.300.000 till 18.700.000, en ökning med 83%. VoIP-samtal volym under 2007 nådde 75% av den totala ringa volym. Därför Internet är VoIP-trafik också mycket värt att fråga administratören.
5. P2P trafik: den nuvarande bandbredd "stora utgifter" är ett P2P-fildelning stod för 49% i Mellanöstern, Central-och Östeuropa svarade för 84%. Globalt ockuperade natten bandbredd 95% av P2P.
6. Streaming Flow: Med sådan som PPLive, PPStream etc. Uppkomsten av video programvara, video, live och on-demand visning som alla Internet-användare och underhållning, det bästa sättet att leva, så trafiken ökar också.