欧主管立刻给i博士打电话询问此事。
谈需求分析流量确保业务连续
“i博士,我这边的网络和我一样,还没恢复工作状态。突然出现网络通讯中断,内部用户均不能正常访问互联网,我在机房中进行Ping包测试时发现,中心机房客户机对中心交换机管理地址的Ping包响应时间较长且出现随机性丢包,主机房客户机对二级交换机通讯的通讯丢包情况更加严重。我猜可能是有病毒了,但是我一直没找到真实原因。”
i博士对欧主管说,经过我初步判断,引起这些问题的原因可能有三:1.交换机ARP表更新问题;2.广播或路由环路故障;3.病毒攻击。你还需要进一步获取ARP信息、交换机负载和网络中传输的原始数据包。
“我还建议你使用网络检测分析软件对网络中传输的数据包进行捕获,你仅仅通过交换机的端口流量,或者使用单纯的流量软件,将很难找到问题的根源,如果是病毒引起的网络故障,很可能会耽误问题的解决,这样网络中感染的主机会越来越多,最终将导致整个网络的全部瘫痪。”i博士又补充了一句。
“那么我应该用什么样的网络检测分析软件呢?”欧主管对i博士的建议产生了一个疑惑。
i博士解释说,近年来,很多服务提供商一直使用NetFlow。因为NetFlow在大型广域网环境里具有伸缩能力,可以帮助支持对等点上的非常好的传输流,同时可以用来进行建立在单项服务基础之上的基础设施最优化评估,解决服务和安全问题方面所表现出来的价值,为服务计费提供基础。
但是,NetFlow也不是功能较多的,比如它无法提供应用反应时间。在对软件的选择上,应该注意他应该符合企业这些需求:
1.可以根据应用、主机和对话查看广域网和局域网的端口速率、分类统计以及利用率测量值;
2.可以通过业务单位、地理位置、IP子网等合计网络流量;
3.可定制时间段以支持工作日的测试报告;
4.可以报告全年网络流量性能;
5.可以对网络上的每个端口提供实时测试报告和告警;
6.可以自动运行定期的测试报告并发送Email;
7.可以通过将端口、IP地址来详细说明应用;
8.包括病毒扫描向导,可以快速报告并对潜在病毒进行告警。
i博士点评
建议使用网络检测分析软件对网络中传输的数据包进行捕获,仅仅通过交换机的端口流量,或者使用单纯的流量软件,将很难找到问题的根源。
话采购集中分析让网络更智能
“原来是这个样子,我需要部署便捷、分析问题快速,在短时间内就可以提供给我详细报告的智能的网络分析和网路应用性能分析解决方案。这样我就可以更有效地对网络进行管理,让老板改善整个企业中业务运作的服务水平。”欧主管对网络的管理满怀希望。
i博士说:“很早以前钱经理就用上了网络监测分析软件,可以从远程分析仪处收集数据,生成测试报告,提供了深入的分析,揭示出最难发觉的应用和网络故障。”
“还真是,我怎么早没想到这些。现在竞争那么激烈,需要新型的业务处理方式才能符合新的业务运营模式。信息结构发生变化就会引发出新的对分布式透视、集中式分析工具以及IT主动性与业务目标结合能力的需求。”
事实上,预测基于网络的资源的性能降级或损害以何种方式发生是不可能的。必须对重要的安全事件和网络威胁作全面的调查,阻止它们的重复发生。
“现在还有一些产品可以实现对整个网络故障事件的回放和重建,可以针对HTTP网页、POP3、SMTP、IMAP4邮件事务、互联网中继聊天(IRC)通信、FTP下载、VoIP会话等。重建和回放的过程可将数据转换成应用层事务流,你就可以轻松进行单步调试,而且感觉很真实。”i博士又给欧主管一个新的建议。
欧主管说:“我们的IT环境越来越复杂,包括很多集成媒体应用。这些应用的非常好的性能需要一个对所有IT架构组件的统一视点。需要一个方法能够确保网络性能问题能够被及时和快速地隔离和解决。”
i博士给欧主管说清了其中的道理:“可以通过监测应用的集中业务,让你真正地把企业的业务与企业所依赖的IT架构集成在一起。业务部门经理能够创建有关服务器、网络或应用的“业务集装箱”,可以让他们轻松地发现业务服务的性能是否和他们预期的一样。”
“同时,对于你来说能够创建一个准确的分组,用来追踪特定设备、应用、服务器或他们监测和维护的数据库。”
欧主管按照i博士的建议后,马上安排人进行网络故障排查工作。很快,问题就得到了解决,果然是因为放假的缘故,很多人放松了警惕,让病毒流窜到网络中。
这次教训也提醒了欧主管,对于企业安全,只有起点,没有终点。而通过对网络进行不断的监控分析,可以确保业务连续。
i博士点评
对于企业安全,只有起点,没有终点。而通过对网络进行不断的监控分析,可以确保业务连续。
用户观点
北京市古城外国语学校信息处主任 张琦
流量要分析 网络要优化
进行流量监控和流量分析是整个网络合理化的重要环节,它能在最短的时间内发现安全威胁,在第一时间进行分析,通过流量分析来确定攻击,然后发出预警,快速采取措施。
流量分析要点
连接性 也称可用性、连通性或者可达性,严格说应该是网络的基本能力或属性。Internet的出现以及采用新技术而带来的生产力提高,导致对更高带宽和服务的需求。
企业需要更高带宽的定制服务;而消费者则需要像宽带连接和视频点播等服务;运营商必须在他们的目标市场需求与他们业务的现实之间取得平衡;这些都必须以网络的连接性能为基础和保障。
时延 定义了一个IP包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变,由传播时延和传输时延构成;可变时延由中间路由器处理时延和排队等待时延两部分构成。
丢包率 是指丢失的IP包与所有的IP包的比值。许多因素会导致数据包在网络上传输时被丢弃,例如数据包的大小以及数据发送时链路的拥塞状况等。不同业务对丢包的敏感性不同,在多媒体业务中,丢包是导致图像质量降低和断帧的根本原因。
带宽 一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,网络能够提供的最大的吞吐量。可用带宽是指在网络路径(通路)存在背景流量的情况下,能够提供给某个业务的最大吞吐量。
在复杂的网络系统上面,不同的应用占用不同的带宽,重要的应用是否得到了非常好的的带宽?它占的比例是多少?队列设置和网络优化是否生效?通过例如MRTG等网络流量分析会使其更加明确,并以图形HTML文档方式显示给用户,以非常直观的形式显示流量负载。
协议分析 对网络流量进行协议划分,如:Web浏览(HTTP)、电子邮件(POP3、SMTP、WEB MAIL)、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。针对不同的网络应用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现。
业务网段流量分析 大多数组织,都是将不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同VLAN来进行网络流量监控。
主动分析避免异常流量
面对异常流量,我们应当建立一套分析系统,支持异常流量发现和报警,能够通过对一个时间段内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。
如果自行建立主动型的网络分析系统一般包括:测量节点、中心服务器、数据库和分析服务器。但对于中小企业来说难度较大。主动分析是借助产品化和集成程度较高的测量工具,有目的对生产网络注入监控点,并根据测量数据流的传送情况来分析网络的性能。虽然这些监控点也会占用带宽,但和P2P下载所占用的可用带宽相比是微不足道的。
在排除病毒和封锁P2P之后,一般带宽占用前两名的应用是基于网站页面的在线音频与在线视频。为了节约带宽,我们应该在工作时间段对其进行限制和封锁。随着网络本身的性能增强,流量分析相关理论、测量方法、和各种测量工具的不断出现,人们对网络的认识也会越来越深刻,从而不断地推动网络技术向前发展。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=6030&categ_code=10151002