盡在掌控 網(wǎng)絡流量管理各角度解析

申請免費試用、咨詢電話：400-8352-114

近十幾年來，互聯(lián)網(wǎng)得到了飛速發(fā)展。據(jù)統(tǒng)計，互聯(lián)網(wǎng)目前已成為人類社會最重要的信息基礎設施，占人類信息交流的80%。在這種大背景下，面對日益復雜的網(wǎng)絡聯(lián)機及逐漸增加的網(wǎng)絡流量，系統(tǒng)和網(wǎng)絡管理者必須花更多時間和精力來了解這些網(wǎng)絡設備的運作狀況，以維持一個企業(yè)網(wǎng)絡的正常運作。一般來說，網(wǎng)絡管理者需要了解各個網(wǎng)段頻寬的使用率、網(wǎng)絡問題的瓶頸發(fā)生于何處，一旦網(wǎng)絡發(fā)生問題，必須能夠很快地分析和判斷出問題的發(fā)生原因，這些就是網(wǎng)絡流量管理的主要工作內(nèi)容。那么，管理網(wǎng)絡流量的時候應該基于什么樣的依據(jù)，通過什么手段和策略有效地把流量進行識別、分析和管理呢？

網(wǎng)絡流量管理的目標

隨著網(wǎng)絡流量的不斷增長以及網(wǎng)絡應用的日趨紛繁復雜化，我們不難看到，簡單、無限制地增加網(wǎng)絡帶寬是不能解決網(wǎng)絡流量的根本問題的。我們需要對網(wǎng)絡流量進行管理，從而保證網(wǎng)絡的健康和網(wǎng)絡應用的正常服務。

在網(wǎng)絡流量管理的過程中，我們首要的問題就要明確網(wǎng)絡管理目標。在網(wǎng)絡流量管理主要有4個目標： 首先，我們要了解網(wǎng)絡流量的使用情況； 其次，要找到優(yōu)化網(wǎng)絡性能的途徑； 第三，要通過網(wǎng)絡管理技術來提升網(wǎng)絡效能； 最后，還需要做好網(wǎng)絡流量信息安全方面的防護工作。

要達到上述4個目標，網(wǎng)絡管理員首先要通過有效的分類方式非常明確地知道，我們需要的帶寬到底哪些是實際使用的。其次是找到網(wǎng)絡性能的瓶頸。網(wǎng)絡性能有兩個很重要的指標，一個是吞吐量，即網(wǎng)絡能夠傳輸?shù)淖畲髷?shù)據(jù)量，另一個是延遲等。第三，應用成熟的流量監(jiān)控及控制軟件來提升網(wǎng)絡性能，從而滿足不同的網(wǎng)絡應用需求。最后，網(wǎng)管們還可以綜合運用入侵檢測系統(tǒng)（IDS）、防火墻、統(tǒng)一威脅管理（UTM）設備來對網(wǎng)絡流量進行信息安全方面的防護工作。

在日常的網(wǎng)絡流量管理中，為了有效實現(xiàn)網(wǎng)絡管理4個目標，我們需要采取相應的步驟。這個步驟包括網(wǎng)絡流量捕捉和分類、網(wǎng)絡流量監(jiān)視（統(tǒng)計和分析）和控制策略。

1. 網(wǎng)絡流量捕捉和分類： 這是進行網(wǎng)絡流量管理的第一步。只有通過設置捕捉點，對網(wǎng)絡流量進行捕捉和分類，才能進行后續(xù)的分析和控制工作。這里特別需要強調(diào)的是，網(wǎng)絡流量分類可以非常宏觀化，也可以細化。比如TCP、UDP、ICMP等分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化了。在日常工作中，網(wǎng)絡管理員可以采用Wireshark、TCPDump等知名的報文捕捉和分析軟件進行流量捕捉和分類工作。

2.網(wǎng)絡流量監(jiān)視（分析）： 監(jiān)視用來顯示流量的運行狀況，幫助找出問題所在和執(zhí)行相應的管理策略。應用程序和網(wǎng)絡管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機和網(wǎng)絡效率以及活躍的應用程序。該目標可以通過采用市面上常見的NTOP等可視化分析管理工具來協(xié)助網(wǎng)絡管理員在實際工作中實現(xiàn)。

3. 控制策略： 網(wǎng)絡流量分析的下一步是根據(jù)優(yōu)先級別分配帶寬資源。分配的依據(jù)可以是主機、應用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進行滯后考慮。具體操作時可以應用流行的流量控制工具來進行和實現(xiàn)，如進行分類監(jiān)視和控制網(wǎng)絡流量，這樣，我們就可以將網(wǎng)絡流量有效管理起來，將原來無序的網(wǎng)絡流量變得有序起來。

以下我們具體介紹如何進行網(wǎng)絡流量管理工作，包括網(wǎng)絡流量的識別、網(wǎng)絡流量的分析和控制。

網(wǎng)絡流量的識別

流量識別，也叫業(yè)務識別（Application Awareness），是網(wǎng)絡流量管理的第一步。網(wǎng)絡流量識別通過對業(yè)務流量從數(shù)據(jù)鏈路層到應用層的報文深度檢查分析，依據(jù)協(xié)議類型、端口號、特征字符串和流量行為特征等參數(shù)，獲取業(yè)務類型、業(yè)務狀態(tài)、業(yè)務內(nèi)容和用戶行為等信息，并進行分類統(tǒng)計和存儲。業(yè)務識別的基本目的是幫助網(wǎng)絡管理員獲得網(wǎng)絡層之上的業(yè)務層流量信息，如業(yè)務類型、業(yè)務狀態(tài)、業(yè)務分布、業(yè)務流量流向等。

業(yè)務識別是一個相對復雜的過程，需要多個功能模塊的協(xié)同工作，業(yè)務識別的工作過程簡單描述如下：

1. 識別處理模塊采用多通道識別處理，通過對網(wǎng)絡流量的源/目的IP地址和源/目的端口號的Hash算法，將網(wǎng)絡流量均勻地分配到多個處理通道中。

2. 多處理通道并行執(zhí)行網(wǎng)絡流量的深度報文檢查，獲取網(wǎng)絡流量的特征信息，并與業(yè)務識別特征庫中的特征進行比對。

3. 將匹配結果送往識別處理模塊，并標識特定網(wǎng)絡流量。如果存在多個匹配結果，選取優(yōu)先級較高的匹配結果進行標識。特定網(wǎng)絡流量一經(jīng)識別確定，該網(wǎng)絡流量的后續(xù)連接將不再進行深度的報文檢查，直接將其網(wǎng)絡層和傳輸層信息與已知識別結果進行比對，以提高執(zhí)行效率。

4. 識別處理模塊將網(wǎng)絡流量的業(yè)務識別結果存儲到識別結果存儲模塊中，為網(wǎng)絡流量的統(tǒng)計分析提供依據(jù)。

5. 統(tǒng)計分析模塊從識別結果存儲模塊中讀取相關信息，并以曲線、餅圖、柱狀圖或者文本的方式將識別結果信息顯示或以文件的形式輸出。

6. 在結果存儲模塊中保存的識別結果信息會輸出到網(wǎng)絡流量管理功能區(qū)，為實施網(wǎng)絡流量管理提供依據(jù)。

目前常用的業(yè)務識別技術有兩種，即DPI技術和DFI技術。

DPI技術  DPI是深度報文檢測（Deep Packet Inspection）的簡稱。DPI技術之所以稱為“深度”的檢測技術，是相對于傳統(tǒng)的檢測技術而言的。傳統(tǒng)的流量檢測技術僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡層和傳輸層協(xié)議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號、協(xié)議號，以及底層的連接狀態(tài)等。通過這些參數(shù)很難獲得足夠多的業(yè)務應用信息，特別是對于當前P2P應用、VoIP應用、IPTV應用被廣泛開展的情況，傳統(tǒng)的流量檢測技術已經(jīng)不能滿足網(wǎng)絡流量管理的需要了。

DPI技術對傳統(tǒng)的流量檢測技術進行了“深度”擴展，在獲取數(shù)據(jù)包基本信息的同時，對多個相關數(shù)據(jù)包的應用層協(xié)議頭和協(xié)議負荷進行掃描，獲取保存在應用層中的特征信息，對網(wǎng)絡流量進行精細的檢查、監(jiān)控和分析。

DPI技術通常采用如下的數(shù)據(jù)包分析方法：

●  傳輸層端口分析。許多應用使用默認的傳輸層端口號，例如HTTP協(xié)議使用80端口。

●  特征字匹配分析。一些應用在應用層協(xié)議頭或者應用層負荷中的特定位置包含特征字段，通過特征字段的識別實現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。

●  通信交互過程分析。對多個會話的事務交互過程進行監(jiān)控分析，包括包長度、發(fā)送的包數(shù)目等，實現(xiàn)對網(wǎng)絡業(yè)務的檢查、監(jiān)控和分析。

該技術如果進行更加詳細的劃分，還可分為特征字的識別技術、應用層網(wǎng)關識別技術、行為模式識別技術，這三類識別技術分別適用于不同類型的協(xié)議，相互之間無法替代，只有綜合地運用這三大技術，才能有效、靈活地識別網(wǎng)絡上的各類應用，從而實現(xiàn)控制和計費。

DFI技術  DFI是深度流行為檢測（Deep Flow Inspection）的簡稱，也是一種典型的業(yè)務識別技術。DFI技術是針對DPl技術的不足提出的，為了解決DPI技術的執(zhí)行效率、加密流量識別和頻繁升級等問題。DFI更關注于網(wǎng)絡流量特征的通用性，因此，DFI技術并不對網(wǎng)絡流量進行深度的報文檢測，而僅通過對網(wǎng)絡流量的狀態(tài)、網(wǎng)絡層和傳輸層信息、業(yè)務流持續(xù)時間、平均流速率、字節(jié)長度分布等參數(shù)的統(tǒng)計分析，來獲取業(yè)務類型、業(yè)務狀態(tài)。

網(wǎng)絡流量的統(tǒng)計分析

通過流量統(tǒng)計分析，網(wǎng)絡管理者能夠知道當前網(wǎng)絡中的業(yè)務流量的類型、帶寬、時間和空間分布、流向等信息。

在管理的過程中，管理員可以采用常見的NTOP工具來協(xié)助完成。NTOP工具與傳統(tǒng)的tcpdump或ethereal等網(wǎng)絡流量捕捉工具有著極大的差異，它主要是提供網(wǎng)絡報文的統(tǒng)計數(shù)據(jù)，而不是報文的內(nèi)容。此外，NTOP不需要使用Web服務器，它自身就支持HTTP協(xié)議。首先，它提供了一種快速容易的方法來得到網(wǎng)絡活動的準確信息，并且不使用網(wǎng)絡探測或偵聽設備。在大多數(shù)情況下，網(wǎng)絡探測器對追蹤網(wǎng)絡故障是必需的，而在某些時候可能因為探測器正被使用于監(jiān)測其他設備而無法獲得，就可以使用NTOP工具； 其次，在某些給定的網(wǎng)絡配置下可能無法與探測器連接，比如兩個通過WAN互連的Unix系統(tǒng)，在這種情況下，用戶可以應用NTOP工具。

一般說來，使用NTOP工具可以輔助網(wǎng)絡管理員完成以下一些工作： 自動從網(wǎng)絡中識別有用的信息； 將截獲的數(shù)據(jù)包轉換成易于識別的格式； 對網(wǎng)絡環(huán)境中通信失敗的情況進行分析； 探測網(wǎng)絡環(huán)境中的通信瓶頸； 記錄網(wǎng)絡通信的時間和過程。

NTOP工具可以通過分析網(wǎng)絡流量來確定網(wǎng)絡上存在的各種問題，也可以用來判斷是否有黑客正在攻擊網(wǎng)絡系統(tǒng)，還可以很方便地顯示出特定的網(wǎng)絡協(xié)議、占用大量帶寬的主機、各次通信的目標主機、數(shù)據(jù)包的發(fā)送時間、傳遞數(shù)據(jù)包的延時等詳細信息。通過了解這些信息，網(wǎng)管員可以對故障做出及時的響應，對網(wǎng)絡進行相應的優(yōu)化調(diào)整，以保證網(wǎng)絡運行的效率和安全。

網(wǎng)絡流量的控制

將流量控制能力添加到網(wǎng)絡流量管理中，能夠幫助網(wǎng)絡管理者對網(wǎng)絡資源和業(yè)務資源進行帶寬控制和資源調(diào)度，如對HTTP、FTP、SMTP以及P2P等應用進行管理，尤其是對P2P流量進行抑制來提升傳統(tǒng)數(shù)據(jù)業(yè)務的用戶體驗度。

具備流量控制能力的網(wǎng)絡流量管理還能夠?qū)乐赜绊憳I(yè)務運營者收入的未經(jīng)許可的其他業(yè)務進行抑制。比如，對于VoIP業(yè)務，我們可以通過對VoIP信令流量和媒體流量的關聯(lián)檢測和統(tǒng)計分析，以及通過截斷媒體數(shù)據(jù)包、偽裝信令報文等方式對流量進行管理。還可以通過綜合使用網(wǎng)絡層、傳輸層和應用層檢測技術，對未經(jīng)許可的寬帶私接用戶采取中斷連接、主動告警、分時控制等多種管理動作。

流量控制還能夠幫助網(wǎng)絡流量管理實現(xiàn)業(yè)務資源的調(diào)度，并能夠獲得業(yè)務資源使用、業(yè)務狀態(tài)的實時情況。當某一網(wǎng)絡應用業(yè)務服務器負載較大時，可以進行全局的業(yè)務資源負載均衡，以平均地承擔業(yè)務請求； 同時也能夠?qū)τ脩舻臉I(yè)務請求進行調(diào)度，決定是否繼續(xù)響應用戶新的業(yè)務請求，并根據(jù)用戶的優(yōu)先級優(yōu)先響應高優(yōu)先級用戶的業(yè)務請求，以提升業(yè)務運營效率。

流量控制通常的做法是在輸出端口處建立一個隊列進行流量控制，控制的方式是基于路由，亦即基于目的IP地址或目的子網(wǎng)的網(wǎng)絡號。流量控制器基本的功能模塊為隊列、分類和過濾器。由于目前網(wǎng)絡流量種類繁多，網(wǎng)絡管理員在管理時通常都采用分類的方式進行。

對于網(wǎng)絡流量管理來說，除了應具有上述的流量識別、流量分析和流量控制的功能之外，我們一般還希望其具有和防火墻等網(wǎng)絡安全設備協(xié)同構建一個主動的安全威脅防御體系的功能，以提升整個網(wǎng)絡的安全防護能力，從而更好地保證網(wǎng)絡流量。

比如，流量特征識別分析就是一種必要的流量管理手段。它能夠主動發(fā)現(xiàn)諸如DDoS攻擊、病毒和木馬等異常流量，較好地彌補其他網(wǎng)絡安全設備如防火墻、入侵防護系統(tǒng)（IPS）和統(tǒng)一威脅管理（UTM）等的不足，提升其主動發(fā)現(xiàn)安全威脅的能力，并能夠及時向其他網(wǎng)絡安全設備發(fā)出告警，從安全威脅源頭開始就進行主動的防御。此外，具備流量識別能力的網(wǎng)絡流量管理還能夠獲取并保存網(wǎng)絡流量的網(wǎng)絡層信息（例如，源/目的IP地址、應用端口、用戶標識ID等信息），通過這些信息，網(wǎng)絡管理者能夠?qū)Π踩{進行溯源定位。

鏈接一 DFI技術與DPI技術比較

DFI與DPI兩種技術的設計基本目標都是為了實現(xiàn)業(yè)務識別，但是兩者在實現(xiàn)的著眼點和技術細節(jié)方面還是存在著較大區(qū)別的。從兩種技術的對比情況看，兩者互有優(yōu)勢，也都有短處，DPI技術適用于需要精細和準確識別、精細管理的環(huán)境，而DFI技術適用于需要高效識別、粗放管理的環(huán)境。

從處理速度來看： DFI處理速度相對快，而采用DPI技術由于要逐包進行拆包操作，并與后臺數(shù)據(jù)庫進行匹配對比，處理速度會慢些。由于采用DFI技術進行流量分析僅需將流量特征與后臺流量模型比較即可，因此，與目前多數(shù)基于DPI的帶寬管理系統(tǒng)的處理能力僅為線速1Gbit/s相比，基于DFI的系統(tǒng)可以達到線速10Gbit/s，完全可以滿足企業(yè)網(wǎng)絡流量管理的需求。

從維護成本來看： DFI維護成本相對較低，而基于DPI技術的帶寬管理系統(tǒng)總是滯后新應用，需要緊跟新協(xié)議和新型應用的產(chǎn)生而不斷升級后臺應用數(shù)據(jù)庫，否則就不能有效識別、管理新技術下的帶寬，影響模式匹配效率； 而基于DFI技術的系統(tǒng)在管理維護上的工作量要少于DPI系統(tǒng)，因為同一類型的新應用與舊應用的流量特征不會出現(xiàn)大的變化，因此不需要頻繁升級流量行為模型。

從識別準確率來看： 兩種技術各有所長。由于DPI采用逐包分析、模式匹配技術，因此，可以對流量中的具體應用類型和協(xié)議做到比較準確的識別； 而DFI僅對流量行為分析，因此只能對應用類型進行籠統(tǒng)分類，如對滿足P2P流量模型的應用統(tǒng)一識別為P2P流量，對符合網(wǎng)絡語音流量模型的類型統(tǒng)一歸類為VoIP流量，但是無法判斷該流量是否采用H.323或其他協(xié)議。如果數(shù)據(jù)包是經(jīng)過加密傳輸?shù)模捎肈PI方式的流控技術則不能識別其具體應用，而DFI方式的流控技術不受影響，因為應用流的狀態(tài)行為特征不會因加密而根本改變。

鏈接二 幾種常見的網(wǎng)絡流量

當前隨著網(wǎng)絡應用的不斷豐富和發(fā)展，網(wǎng)絡流量也隨之變得復雜和種類繁多起來，下面是最為常見的幾種網(wǎng)絡流量：

1. HTTP流量： HTTP是互聯(lián)網(wǎng)上使用最為廣泛的協(xié)議，早就已經(jīng)取代傳統(tǒng)文件下載的主要應用層協(xié)議FTP，如今，隨著YouTube等視頻共享網(wǎng)站的拉動，HTTP協(xié)議的網(wǎng)絡流量在過去四年里首次超過了P2P應用的流量。

2. FTP流量： 從互聯(lián)網(wǎng)出現(xiàn)的開始，F(xiàn)TP就一直是用戶使用頻率最高的應用服務之一，重要性僅次于HTTP和SMTP。而隨著P2P應用的出現(xiàn)，其重要性地位雖然有所降低，但是仍然是用戶們下載文件不可替代的重要應用和途徑之一。

3. SMTP流量： 電子郵件是整個互聯(lián)網(wǎng)業(yè)務重要的組成部分。據(jù)統(tǒng)計，3/4以上的用戶上網(wǎng)的主要目的是收發(fā)郵件，每天有十數(shù)億封電子郵件在全球傳遞。特別是由于電子郵件的廉價和操作簡便，誘使有人將它作為大量散發(fā)自己信息的工具，最終導致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。

4. VoIP流量： 2006年全球IP電話用戶從1030萬增長到1870萬，增幅達83%。2007年VoIP通話量已達到全部通話量的75%。因此，互聯(lián)網(wǎng)上VoIP的流量也是非常值得管理員關注的。

5. P2P流量： 目前網(wǎng)絡帶寬“消費大戶”是P2P文件共享，在中東占據(jù)了49%，東歐地區(qū)占據(jù)了84%。從全球來看，夜間時段的網(wǎng)絡帶寬有95%被P2P占據(jù)。

6. Streaming流量： 隨著諸如PPLive、PPStream等視頻軟件的出現(xiàn)，視頻直播和點播成為廣大互聯(lián)網(wǎng)用戶觀看節(jié)目和網(wǎng)上娛樂的最佳生活方式，因此其流量也在不斷地增加。（來自互聯(lián)網(wǎng)）