拿什么來分析網(wǎng)絡(luò)故障以及診斷網(wǎng)絡(luò)性能[2]

傳統(tǒng)的基于SNMP的通用網(wǎng)管軟件僅能對(duì)網(wǎng)絡(luò)的整體流量進(jìn)行監(jiān)控，而無法對(duì)具體協(xié)議種類和應(yīng)用流量組成進(jìn)行進(jìn)一步分析，它無法回答當(dāng)前網(wǎng)絡(luò)流量分別由哪些應(yīng)用（協(xié)議）組成、各占多大的比例，哪些用戶的訪問數(shù)據(jù)量，分別使用什么協(xié)議，數(shù)據(jù)源和目的地是什么等問題。而基于基于網(wǎng)絡(luò)探針（Probe）的分析方法中，“探針”和軟件之間的接口一般是私有接口，第三方軟件無法使用，所以此種軟硬件結(jié)合的方案價(jià)格昂貴，部署不是很方便。
    基于Flow的分析方法中，網(wǎng)絡(luò)流（network flow）通常被定義為給定源節(jié)點(diǎn)和目的節(jié)點(diǎn)之間傳輸?shù)膯蜗驍?shù)據(jù)包/幀序列。通常，網(wǎng)絡(luò)設(shè)備（3層交換機(jī)、路由器等）本身提供了基于IP包頭的分析功能，負(fù)責(zé)網(wǎng)絡(luò)流數(shù)據(jù)的分析和整理，按照一定的條件和定義良好的數(shù)據(jù)格式向流采集器（Flow Collector）輸出數(shù)據(jù)，然后再有相關(guān)的軟件將采集到的流數(shù)據(jù)進(jìn)行整理、分析和客戶端展現(xiàn)。這種方法具有價(jià)格低廉、部署和配置方便的特點(diǎn)，可適應(yīng)長(zhǎng)期的、大流量環(huán)境下的數(shù)據(jù)采集和分析。最近，IETF的技術(shù)人員正在制訂IPFIX（IP Flow Information Export）規(guī)范，使得網(wǎng)絡(luò)中流量統(tǒng)計(jì)信息的格式趨于標(biāo)準(zhǔn)化。IPFIX基于Cisco的NetFlow V9設(shè)計(jì)，是一種針對(duì)數(shù)據(jù)輸出的、基于模板的格式，具有很強(qiáng)的可擴(kuò)展性。
    NetFlow何處用武？
    基于NetFlow的應(yīng)用系統(tǒng)，根據(jù)其側(cè)重點(diǎn)不同，可以分成多種類型的應(yīng)用：
    網(wǎng)絡(luò)流量分析及容量規(guī)劃
    基于NetFLow的應(yīng)用系統(tǒng)可以根據(jù)NetFlow記錄的源/目的IP地址、源/目的端口、L3協(xié)議類型、Flow開始/結(jié)束時(shí)間、包數(shù)、字節(jié)數(shù)等字段，進(jìn)行綜合的靜態(tài)和動(dòng)態(tài)分析，獲取大量的有用信息，如網(wǎng)絡(luò)在某一時(shí)間段內(nèi)的具體協(xié)議、流量大小分布，TopN的流量用戶排行、TopN的應(yīng)用排行，用戶之間的詳細(xì)通信會(huì)話，各種應(yīng)用的流量隨時(shí)間的變化趨勢(shì)等等。
    經(jīng)過長(zhǎng)時(shí)間的數(shù)據(jù)采集，可以了解整體網(wǎng)絡(luò)流量和重要應(yīng)用帶寬的占用狀況及其變化趨勢(shì)，用戶的使用模式等信息，為今后的網(wǎng)絡(luò)規(guī)劃和升級(jí)提供決策參考。
    流量計(jì)費(fèi)
    基于NetFlow可實(shí)現(xiàn)多種計(jì)費(fèi)方式，如基于流量、不同的時(shí)間段、QoS、應(yīng)用類型、自治域計(jì)費(fèi)等。
    安全監(jiān)測(cè)
    根據(jù)采集的NetFlow數(shù)據(jù)，可綜合進(jìn)行模式匹配、基線分析等，進(jìn)行DoS/DDoS攻擊和蠕蟲等病毒檢測(cè)，從而快速定位網(wǎng)絡(luò)中的異常行為。
    傳統(tǒng)的安全解決方案不能定位攻擊的來源，只能被動(dòng)防御，如果采用FLOW技術(shù)，那么可以很清晰地定位攻擊的源地址，目的地址，以及從哪個(gè)路由器的物理接口進(jìn)來，從哪個(gè)物理接口出去，這樣可以在物理接口上配置ACL，適時(shí)地切斷蠕蟲或者DDOS的流量，進(jìn)而保護(hù)整個(gè)網(wǎng)絡(luò)不受影響。