一、 困扰网络性能的问题

　　随着网络带宽增加与各种不同网络应用程序的使用,企业对网络管理也越来越重视。一般来说,根据网络建置的顺序,网管分为四个阶段:

　　第二阶段为运行管理(Operations　Management):运行管理包括了拓朴管理、资产管理、故障管理、事件管理、除错与告警等,主要目的是让网络能够正常运作,当有问题发生时能通知相关人员来解决,此一阶段主要管理设备各界面是否正常运作,当有故障发生时,系统可以立即发出报警;另外,运行管理也包括了对异常流量之告警与提供除错的工具,如实时监控与协议分析等;此类代表性系统如HP　OpenView、IBM　Tivoli等。

　　第三阶段为性能/服务管理(Performance/Service　Management):当网络建置完成并顺利运作后,就进入性能与服务管理阶段,性能管理涵盖了网络分析监控、应用分析监控、带宽规划、故障排除、错误管理与服务等级管理等,其目的在于维持网络传输之品质与网络应用系统与服务能运行顺畅,除了显示实时流量信息外,还进行长时间之流量收集、分析与统计,提供管理人员带宽规划与趋势分析报告,并可以针对不同应用系统与服务之响应时间进行监测与统计,提供服务等级管理。

　　第四阶段为业务管理(Business　Management):业务管理包括了业务服务、业务影响分析、应用仿真测试等。此一阶段代表了企业在实施新的业务时,如何预先从不同层面去分析新业务上线后对现有网络环境所造成的影响与所带来之效益;

　　目前在企业管理网络时普遍遇到以下问题:

　　1、网络可视性:

　　知道网络的利用率,但不知道是什么应用程序在网络上运行?主要用户有哪些?

　　对于日趋重要的多媒体应用,如VoIP、视频会议等进行有效的监控和管理,以确保服务等级;

　　遭遇到由于病毒或黑客引起的流量暴涨而导致网络严重拥塞;

　　网络带宽规划没有长期统计数据来预测其网络使用趋势;

　网络需要优化,但是需要提出具体的统计资料来支持相关决策;

　　2、应用性能:

　　当用户抱怨应用性能降低时,到底是服务器负载太高而处理慢呢?还是网络拥塞传输慢呢?

　　 如何维持企业内重要应用与服务的性能呢?

　　无法提供详细之网络管理报表,包括各局域网与广域网之流量分析与应用服务器之性能状况;如:IP地址、应用层响应时间及协议分布等;

　　3、故障排除与错误管理:

　　每天都有新的病毒出现,要如何在病毒肆虐前发现中毒征兆呢?

　　业务网,办公网或Internet带宽被个别用户占用,如何找出凶手呢?

　　网络出现异常流量时,如何找出原因并解决问题呢?

　　解决这些问题的根本在于有没有一个好的性能管理工具可以利用,这也是建置性能管理系统的开始。所谓的工欲善其事,必先利其器,有效的性能管理系统可以帮助网络管理人员更了解企业内部网络之运行状况,也能加强故障的管理及排障能力。

　　谈了这么多性能管理之优点与实行的需要,那么性能管理究竟包括了哪些范围呢?首先我们就性能管理之资料来源来看,与设备管理与运行管理不同的是,性能管理之资料来源主要来自网络流量,这些流量可能来自内部网络(Intranet)或是广域网(Internet),最普遍的收集流量的方法为放置探针(Probe)来监控网络,探针是一个硬件收集器,利用不同界面架设在内部网络或广域网上,以旁路分接方式利用Y形缆线或是Tap,将流量复制到探针中进行译码、分析与统计,另外也可利用交换机镜像功能将流量复制到探针。探针将流量归纳为下列七大类资料:

　　1.　统计(Statistic):包括网络利用率与吞吐量、协议分布、包大小、广播包比例;

　　2.　主机(Host):网络层与应用层主机IP地址列表;

　　3.　通信对(Conversations):网络层与应用层通信对列表;

　　4.　告警(Alarm):针对各种异常现象之自动报警;

　　5.　响应时延(Response　Time):应用程序及服务响应时延;

　　6.　误码(Errors):误码种类、错误率;

　　7.　数据包档案(Trace):原始数据包资料;

　　这七大类资料代表性能管理资料核心,可以帮助网络管理人员分析并管理企业网络相关之性能问题,例如统计出网络应用分布与主要使用者;发生异常流量时立即收到告警,并找到问题来源与祸首;当重要业务的性能下降时,也能藉由响应时延统计找到哪个服务器与客户端发生问题,并判断是因为网络或是服务器所造成;或是利用数据包译码来分析原始数据包资料,排除网络故障。

　　预防、发现、监控与分析异常流量

　　在所有异常流量中,以黑客攻击与病毒对企业影响最为严重;病毒之散播主要是以非固定对象为主,从早期之邮件病毒、蠕虫,到冲击波病毒利用微软操作系统内之安全漏洞,散播的方式从被动到主动,传播速度快,影响范围也越来越大。黑客攻击则是以特定对象为主,以非法入侵方式去更改、破坏或是窃取资料,例如近来出现之DoS(拒绝服务)与DDoS(分布式拒绝服务)攻击方式。DoS之目的就是拒绝服务访问,让服务器充斥大量要求回复的请求,消耗网络带宽与系统资源,导致网络或系统不胜负荷以至于瘫痪,而停止提供正常的网络服务。而DDoS是基于DoS的特殊形式的拒绝服务攻击,主要针对大型与知名网站,如商业公司、搜索引擎和政府部门的网站。它利用网络协议的缺陷或是计算机操作系统之漏洞,伪造大量或是不正常的数据包涌向服务器提供服务的连接端口,使得服务器疲于处理大量的垃圾数据包而无法提供正常的服务。

　　要预防病毒与黑客攻击首先需要完善防护企业的大门,防火墙与IDS是主要防线。防火墙是界于企业内部网络与Internet间第一道关卡,与IDS共同防护已知的病毒与黑客攻击;然而,防火墙与IDS对于新病毒或新的黑客攻击模式并无法事先防范,必须等到管理员手动增加新的存取限制与攻击模式特征后,才能找出问题与解决安全漏洞。针对防火墙这个限制,让不少病毒与黑客有了活动与发展之空间。企业网络人员与各大网络安全系统设备厂商,往往在病毒或黑客造成企业重大的损失后,才能提供有效的解决方法与更新之病毒码。企业网络管理人员希望在一有异常流量时,就能收到警报并进行分析与监控,找出异常流量发生原因、位置与解决方法,以避免病毒继续扩散或主机服务被黑客阻断。有效的网络性能管理系统为企业网络管理人员提供强大与可靠之工具,使他们在处理异常流量时,能够主动预防性地察觉并解决可能发生的问题。

　　网络性能管理系统对异常流量进行监控与分析。流量分析可以为管理人员提供几个指针性网络信息,包括利用率、主机IP、对话列IP、误码、响应时延、原始数据包内容与告警等。利用这些信息我们可以实时监控各网段之利用率、网络应用与业务之运行状况,是否有大量误码包发生等,并且透过长期历史资料统计之基准线数据来比对是否有异常流量出现。有效的性能管理除了对网络整体之利用率提供监控外,对各个应用程序与业务利用率也进行同样的监控,例如当某个应用程序流量异常增加时,也可以提供相同之利用率信息与报警通知网管人员进行深度分析。

　　网络性能管理可以帮助管理人员厘清哪些是正常之流量、哪些是异常流量,以及异常流量的来源与发生之原因。针对可能是由病毒或是黑客攻击所产生之异常流量,我们可以利用下面几个步骤来判断其发生原因:

　　1、发现异常流量

　　2、判断此异常流量所属之应用程序

　　3、找出异常流量发生之原因与散播对象

　　4、针对已知之病毒特征预先告警

　　成功的性能管理不但能帮助发现这些未知之病毒与攻击行为,还可以对已知之病毒与攻击方式加以警戒,防患于未然。已知之病毒与攻击方式,如红色代码病毒以HTTP作为攻击媒介,冲击波病毒利用微软之TCP　135端口来散播,SQL　Slammer　则利用UDP　1434端口来传送大量数据包,黑客利用ICMP进行拒绝服务之攻击等,当这些特征一旦出现在网络上,网络性能管理系统就可以实时侦测并发出告警给相关人员,并且提供详细信息,如造成异常流量之应用程序、是哪些主机所造成的、这些异常流量又被传送什么地方等等,可以帮助管理人员节省不少除错与排障所花之时间,在损失尚未扩大前,就将问题解决。

　　网络性能管理为网络管理的一部分,相较于一般网管平台强调网络设备之管理,或是网络安全管理系统提供之防毒与防黑客入侵,网络性能管理所着重的是流量的监控与分析。

　　提供完整解决方案

　　随着网管的范围与架构迅速扩充,所要管理的网络设备与网络流量也大量增加,包括交换机、路由器、服务器、防火墙、IDS等网络设备,在局域网与广域网传送之资料、语音数据,数据库、存储系统等。网管系统中有专门管理网络设备之网元管理系统、侦测网络状态与故障检测之运行管理系统、监控网络流量之性能管理系统与仿真网络业务之业务管理系统。这么多不同系统加上不同网络设备所产生之资料,往往造成管理上之困难,包括了管理工具之混乱与资料来源之混乱,不仅各系统无法兼容、不同之操作方式与系统设计,让管理人员与使用者需要花更多时间来学习与自行整合,造成昂贵的总拥有成本(Total　Cost　of　Ownership),更无法有效的利用这些系统与资料来管理企业网络。

　　整合不同网络管理系统,充分利用相同的资料来源与采用统一之解决方案,已经成为目前企业选择网管系统之趋势。在网管之四个阶段中-设备管理、运行管理、性能/服务管理与业务管理,同时可以支持多个管理阶段之解决方案,并可以垂直整合其它网管系统将会是今后发展之趋势。不仅减少重复投资与工具浪费,并可以充分统一企业网络中不同之资料来源,以支持不同网管系统,达到企业网络全面性之监控与管理。