五·一”假期雖短，但也足夠讓i博士、歐主管和錢經(jīng)理這些常日奔波忙碌在一線的人享受一番了。剛上班的時(shí)候，大家集體陷入了對(duì)“十·一”的盼望和對(duì)“五·一”的懷念之中。而歐主管所在公司的網(wǎng)絡(luò)似乎也無法打起精神，恢復(fù)足夠的狀態(tài)。因?yàn)槠髽I(yè)內(nèi)部所有人都不能正常訪問互聯(lián)網(wǎng)了，網(wǎng)絡(luò)很不穩(wěn)定，而且MSN時(shí)常掉線，電子郵件也發(fā)不出去，對(duì)公司業(yè)務(wù)產(chǎn)生了嚴(yán)重影響。

歐主管立刻給i博士打電話詢問此事。

談需求分析流量確保業(yè)務(wù)連續(xù)

“i博士，我這邊的網(wǎng)絡(luò)和我一樣，還沒恢復(fù)工作狀態(tài)。突然出現(xiàn)網(wǎng)絡(luò)通訊中斷，內(nèi)部用戶均不能正常訪問互聯(lián)網(wǎng)，我在機(jī)房中進(jìn)行Ping包測(cè)試時(shí)發(fā)現(xiàn)，中心機(jī)房客戶機(jī)對(duì)中心交換機(jī)管理地址的Ping包響應(yīng)時(shí)間較長且出現(xiàn)隨機(jī)性丟包，主機(jī)房客戶機(jī)對(duì)二級(jí)交換機(jī)通訊的通訊丟包情況更加嚴(yán)重。我猜可能是有病毒了，但是我一直沒找到真實(shí)原因?！?

i博士對(duì)歐主管說，經(jīng)過我初步判斷，引起這些問題的原因可能有三：1.交換機(jī)ARP表更新問題；2.廣播或路由環(huán)路故障；3.病毒攻擊。你還需要進(jìn)一步獲取ARP信息、交換機(jī)負(fù)載和網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包。

“我還建議你使用網(wǎng)絡(luò)檢測(cè)分析軟件對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行捕獲，你僅僅通過交換機(jī)的端口流量，或者使用單純的流量軟件，將很難找到問題的根源，如果是病毒引起的網(wǎng)絡(luò)故障，很可能會(huì)耽誤問題的解決，這樣網(wǎng)絡(luò)中感染的主機(jī)會(huì)越來越多，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)的全部癱瘓?！眎博士又補(bǔ)充了一句。

“那么我應(yīng)該用什么樣的網(wǎng)絡(luò)檢測(cè)分析軟件呢？”歐主管對(duì)i博士的建議產(chǎn)生了一個(gè)疑惑。

i博士解釋說，近年來，很多服務(wù)提供商一直使用NetFlow。因?yàn)镹etFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力，可以幫助支持對(duì)等點(diǎn)上的最佳傳輸流，同時(shí)可以用來進(jìn)行建立在單項(xiàng)服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評(píng)估，解決服務(wù)和安全問題方面所表現(xiàn)出來的價(jià)值，為服務(wù)計(jì)費(fèi)提供基礎(chǔ)。

但是，NetFlow也不是萬能的，比如它無法提供應(yīng)用反應(yīng)時(shí)間。在對(duì)軟件的選擇上，應(yīng)該注意他應(yīng)該符合企業(yè)這些需求：

1.可以根據(jù)應(yīng)用、主機(jī)和對(duì)話查看廣域網(wǎng)和局域網(wǎng)的端口速率、分類統(tǒng)計(jì)以及利用率測(cè)量值；

2.可以通過業(yè)務(wù)單位、地理位置、IP子網(wǎng)等合計(jì)網(wǎng)絡(luò)流量；

3.可定制時(shí)間段以支持工作日的測(cè)試報(bào)告；

4.可以報(bào)告全年網(wǎng)絡(luò)流量性能；

5.可以對(duì)網(wǎng)絡(luò)上的每個(gè)端口提供實(shí)時(shí)測(cè)試報(bào)告和告警；

6.可以自動(dòng)運(yùn)行定期的測(cè)試報(bào)告并發(fā)送Email；

7.可以通過將端口、IP地址來詳細(xì)說明應(yīng)用；

8.包括病毒掃描向?qū)В梢钥焖賵?bào)告并對(duì)潛在病毒進(jìn)行告警。

i博士點(diǎn)評(píng)

建議使用網(wǎng)絡(luò)檢測(cè)分析軟件對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行捕獲，僅僅通過交換機(jī)的端口流量，或者使用單純的流量軟件，將很難找到問題的根源。

話采購集中分析讓網(wǎng)絡(luò)更智能

“原來是這個(gè)樣子，我需要部署便捷、分析問題快速，在短時(shí)間內(nèi)就可以提供給我詳細(xì)報(bào)告的智能的網(wǎng)絡(luò)分析和網(wǎng)路應(yīng)用性能分析解決方案。這樣我就可以更有效地對(duì)網(wǎng)絡(luò)進(jìn)行管理，讓老板改善整個(gè)企業(yè)中業(yè)務(wù)運(yùn)作的服務(wù)水平?！睔W主管對(duì)網(wǎng)絡(luò)的管理滿懷希望。

i博士說：“很早以前錢經(jīng)理就用上了網(wǎng)絡(luò)監(jiān)測(cè)分析軟件，可以從遠(yuǎn)程分析儀處收集數(shù)據(jù)，生成測(cè)試報(bào)告，提供了深入的分析，揭示出最難發(fā)覺的應(yīng)用和網(wǎng)絡(luò)故障?！?

“還真是，我怎么早沒想到這些?，F(xiàn)在競爭那么激烈，需要新型的業(yè)務(wù)處理方式才能符合新的業(yè)務(wù)運(yùn)營模式。信息結(jié)構(gòu)發(fā)生變化就會(huì)引發(fā)出新的對(duì)分布式透視、集中式分析工具以及IT主動(dòng)性與業(yè)務(wù)目標(biāo)結(jié)合能力的需求?！?

事實(shí)上，預(yù)測(cè)基于網(wǎng)絡(luò)的資源的性能降級(jí)或損害以何種方式發(fā)生是不可能的。必須對(duì)重要的安全事件和網(wǎng)絡(luò)威脅作全面的調(diào)查，阻止它們的重復(fù)發(fā)生。

“現(xiàn)在還有一些產(chǎn)品可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)故障事件的回放和重建，可以針對(duì)HTTP網(wǎng)頁、POP3、SMTP、IMAP4郵件事務(wù)、互聯(lián)網(wǎng)中繼聊天（IRC）通信、FTP下載、VoIP會(huì)話等。重建和回放的過程可將數(shù)據(jù)轉(zhuǎn)換成應(yīng)用層事務(wù)流，你就可以輕松進(jìn)行單步調(diào)試，而且感覺很真實(shí)?！眎博士又給歐主管一個(gè)新的建議。

歐主管說：“我們的IT環(huán)境越來越復(fù)雜，包括很多集成媒體應(yīng)用。這些應(yīng)用的最佳性能需要一個(gè)對(duì)所有IT架構(gòu)組件的統(tǒng)一視點(diǎn)。需要一個(gè)方法能夠確保網(wǎng)絡(luò)性能問題能夠被及時(shí)和快速地隔離和解決?！?

i博士給歐主管說清了其中的道理：“可以通過監(jiān)測(cè)應(yīng)用的集中業(yè)務(wù)，讓你真正地把企業(yè)的業(yè)務(wù)與企業(yè)所依賴的IT架構(gòu)集成在一起。業(yè)務(wù)部門經(jīng)理能夠創(chuàng)建有關(guān)服務(wù)器、網(wǎng)絡(luò)或應(yīng)用的“業(yè)務(wù)集裝箱”，可以讓他們輕松地發(fā)現(xiàn)業(yè)務(wù)服務(wù)的性能是否和他們預(yù)期的一樣。”

“同時(shí)，對(duì)于你來說能夠創(chuàng)建一個(gè)準(zhǔn)確的分組，用來追蹤特定設(shè)備、應(yīng)用、服務(wù)器或他們監(jiān)測(cè)和維護(hù)的數(shù)據(jù)庫。”

歐主管按照i博士的建議后，馬上安排人進(jìn)行網(wǎng)絡(luò)故障排查工作。很快，問題就得到了解決，果然是因?yàn)榉偶俚木壒剩芏嗳朔潘闪司?，讓病毒流竄到網(wǎng)絡(luò)中。

這次教訓(xùn)也提醒了歐主管，對(duì)于企業(yè)安全，只有起點(diǎn)，沒有終點(diǎn)。而通過對(duì)網(wǎng)絡(luò)進(jìn)行不斷的監(jiān)控分析，可以確保業(yè)務(wù)連續(xù)。

i博士點(diǎn)評(píng)

對(duì)于企業(yè)安全，只有起點(diǎn)，沒有終點(diǎn)。而通過對(duì)網(wǎng)絡(luò)進(jìn)行不斷的監(jiān)控分析，可以確保業(yè)務(wù)連續(xù)。

用戶觀點(diǎn)

北京市古城外國語學(xué)校信息處主任 張琦

流量要分析 網(wǎng)絡(luò)要優(yōu)化

進(jìn)行流量監(jiān)控和流量分析是整個(gè)網(wǎng)絡(luò)合理化的重要環(huán)節(jié)，它能在最短的時(shí)間內(nèi)發(fā)現(xiàn)安全威脅，在第一時(shí)間進(jìn)行分析，通過流量分析來確定攻擊，然后發(fā)出預(yù)警，快速采取措施。

流量分析要點(diǎn)

連接性 也稱可用性、連通性或者可達(dá)性，嚴(yán)格說應(yīng)該是網(wǎng)絡(luò)的基本能力或?qū)傩浴nternet的出現(xiàn)以及采用新技術(shù)而帶來的生產(chǎn)力提高，導(dǎo)致對(duì)更高帶寬和服務(wù)的需求。

企業(yè)需要更高帶寬的定制服務(wù)；而消費(fèi)者則需要像寬帶連接和視頻點(diǎn)播等服務(wù)；運(yùn)營商必須在他們的目標(biāo)市場(chǎng)需求與他們業(yè)務(wù)的現(xiàn)實(shí)之間取得平衡；這些都必須以網(wǎng)絡(luò)的連接性能為基礎(chǔ)和保障。

時(shí)延 定義了一個(gè)IP包穿越一個(gè)或多個(gè)網(wǎng)段所經(jīng)歷的時(shí)間。時(shí)延由固定時(shí)延和可變時(shí)延兩部分組成。固定時(shí)延基本不變，由傳播時(shí)延和傳輸時(shí)延構(gòu)成；可變時(shí)延由中間路由器處理時(shí)延和排隊(duì)等待時(shí)延兩部分構(gòu)成。

丟包率 是指丟失的IP包與所有的IP包的比值。許多因素會(huì)導(dǎo)致數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時(shí)被丟棄，例如數(shù)據(jù)包的大小以及數(shù)據(jù)發(fā)送時(shí)鏈路的擁塞狀況等。不同業(yè)務(wù)對(duì)丟包的敏感性不同，在多媒體業(yè)務(wù)中，丟包是導(dǎo)致圖像質(zhì)量降低和斷幀的根本原因。

帶寬 一般分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當(dāng)一條路徑（通路）中沒有其它背景流量時(shí)，網(wǎng)絡(luò)能夠提供的最大的吞吐量。可用帶寬是指在網(wǎng)絡(luò)路徑（通路）存在背景流量的情況下，能夠提供給某個(gè)業(yè)務(wù)的最大吞吐量。

在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)上面，不同的應(yīng)用占用不同的帶寬，重要的應(yīng)用是否得到了最佳的帶寬？它占的比例是多少？隊(duì)列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效？通過例如MRTG等網(wǎng)絡(luò)流量分析會(huì)使其更加明確，并以圖形HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載。

協(xié)議分析 對(duì)網(wǎng)絡(luò)流量進(jìn)行協(xié)議劃分，如：Web瀏覽（HTTP）、電子郵件（POP3、SMTP、WEB MAIL）、文件下載（FTP）、即時(shí)聊天（MSN、QQ等）、流媒體（MMS、RTSP）等。針對(duì)不同的網(wǎng)絡(luò)應(yīng)用協(xié)議進(jìn)行流量監(jiān)控和分析，如果某一個(gè)協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常占用可用帶寬的情況，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。

業(yè)務(wù)網(wǎng)段流量分析 大多數(shù)組織，都是將不同的業(yè)務(wù)系統(tǒng)通過VLAN來進(jìn)行邏輯隔離的，所以可以通過流量分析系統(tǒng)針對(duì)不同VLAN來進(jìn)行網(wǎng)絡(luò)流量監(jiān)控。

主動(dòng)分析避免異常流量

面對(duì)異常流量，我們應(yīng)當(dāng)建立一套分析系統(tǒng)，支持異常流量發(fā)現(xiàn)和報(bào)警，能夠通過對(duì)一個(gè)時(shí)間段內(nèi)歷史數(shù)據(jù)的自動(dòng)學(xué)習(xí)，獲取包括總體網(wǎng)絡(luò)流量水平、流量波動(dòng)、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測(cè)度，并自動(dòng)建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測(cè)的基礎(chǔ)。

如果自行建立主動(dòng)型的網(wǎng)絡(luò)分析系統(tǒng)一般包括：測(cè)量節(jié)點(diǎn)、中心服務(wù)器、數(shù)據(jù)庫和分析服務(wù)器。但對(duì)于中小企業(yè)來說難度較大。主動(dòng)分析是借助產(chǎn)品化和集成程度較高的測(cè)量工具，有目的對(duì)生產(chǎn)網(wǎng)絡(luò)注入監(jiān)控點(diǎn)，并根據(jù)測(cè)量數(shù)據(jù)流的傳送情況來分析網(wǎng)絡(luò)的性能。雖然這些監(jiān)控點(diǎn)也會(huì)占用帶寬，但和P2P下載所占用的可用帶寬相比是微不足道的。

在排除病毒和封鎖P2P之后，一般帶寬占用前兩名的應(yīng)用是基于網(wǎng)站頁面的在線音頻與在線視頻。為了節(jié)約帶寬，我們應(yīng)該在工作時(shí)間段對(duì)其進(jìn)行限制和封鎖。隨著網(wǎng)絡(luò)本身的性能增強(qiáng)，流量分析相關(guān)理論、測(cè)量方法、和各種測(cè)量工具的不斷出現(xiàn)，人們對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)也會(huì)越來越深刻，從而不斷地推動(dòng)網(wǎng)絡(luò)技術(shù)向前發(fā)展。