《电子政务外网端到端的流量管理与分析》由会员分享,可在线阅读,更多相关《电子政务外网端到端的流量管理与分析(4页珍藏版)》请在金锄头文库上搜索。
1、电子政务外网端到端的流量管理与分析不闻不若闻之,闻之不若见之,见之不若知之,知之不若行之。荀子本文将从闻“、见、知、行”四个层次入手,讲述如何构建基于用户、智能化的电子政务外网流量分析管理系统。不闻不若闻之一一现状与问题随着政府信息化步伐的加快,电子政务网的各种应用越来越丰富,例如,政府OA自动化、政府部门间的信息共建共享、政府实时信息发布、各级政府间的远程视频会议、公民网上查询政府信息、电子化民意调查和社会经济统计等,这些应用时时刻刻都在争夺有限的网络带宽,使得关键应用得不到有效的网络资源保障,从而导致政务网管理的难度不断增大。保证网络的可用性和关键业务的畅通运行,对政务网的顺利发展将起到至
2、关重要的作用。因此,需要有相应的技术手段,准确了解网络上各种应用的带宽占用情况,分析用户流量行为,以便合理的规划和分配网络带宽,有效地保障关键业务应用的正常运行。具体来说,政务网的管理者非常关心以下问题:l从广域网角度来看,有多少政府单位开通了纵向的VPN业务?每个政府单位所占的带宽是多少?l关键链路的当前流量情况是否正常?带宽是否足够?是否需要带宽扩容?l每个政府单位内部的应用有哪些?哪种应用占的带宽最多?哪些IP地址占用的带宽较多?l对外提供信息共享的服务器有多少IP地址在访问?分别来自哪些部门?每个部门访问所产生的流量是多少?l信息交换与共享的区域中,有多少部门与其他部门之间有相互的访问
3、?相互访问的流量各是多少?l当前的上网流量占用多大带宽?主要是谁在占用这些带宽?有没有P2P、IM聊天、下载电影等非法应用?l对于有AAA认证机制的政务网来说,每个IP地址对应的用户帐号是什么?MAC地址和主机名是什么?哪些用户有非法攻击网络的行为?是中了病毒还是在运行黑客软件?流量的特征是什么?由以上内容可以看出,政务网的管理离不开网络流量分析,对流量进行深入分析可以提取出许多有价值的信息,以揭示网络使用的“4W问题:Who:谁(IP/帐号/MAC/主机名)使用了网络?What:网络流量的类型是什么?When:在什么时间使用网络?使用了多长时间?Where:网络流量来自何地?流向何处?闻之不
4、若见之一一流量分析技术及其原理对网络中的流量进行分析,通常有三种做法:SNMP方式、流量探针方式和流方式。其中,SNMP方式只能获取2层信息,主要用于设备接口的管理。流量探针方式可以分析27层的信息,但是需要做流量镜像,而且全网部署的话需要多个探针,硬件成本较高。而流(Flow)方式主要基于网络设备,可以获取24层信息和MPLSVPN等信息,部署简单,性价比高,因此成为了主流的流量分析技术,其中又可细分为NetFlow、NetStream、sFlow等。上述部分技术的对比如表1所示:名称主要原理及抽样比对设备的要求sFlow随机采样技术,抽样比一般为1:10,000交换机芯片必须支持sFlow
5、NetStream/NetFlow基于网络设备的分析技术,抽样比一般为1:11:100。网络设备通过软件或专用板卡方式支持DIG探针协议分析,抽样比1:1端口镜像,服务器性能要求较高。表1部分流量分析技术对比以NetStream技术为例,NetStream的流定义为在源、目的端点间的一系列单方向的数据包,端点由IP地址和传输层的端口号决定,此外,NetStream还使用了IP协议类型、ToS和输入接口来唯一地标识一个流,即如下的七元组:l源IP地址(SourceIPaddress)l目的IP地址(DestinationIPaddress)l源端口号(Sourceportnumber)l目的端口
6、号(Destinationportnumber)l协议类型(Protocoltype)l服务类型(Typeofservice)l输入接口/输出接口(Inputinterface/Outputinterface)通过这些七元组信息,NetStream可以对流量的类型和特征进行判断,帮助网络管理员实现以下功能:l优化网络和常规流量特性建模。lWAN流量监控和分析l业务应用/服务质量监控l检测网络病毒l异常流量检测见之不若知之一一系统组成网络流量分析系统一般包括网络设备、流量探针和流量分析服务器三个组成部分,其中流量探针是可选的。正常情况下,网络设备(如路由器、交换机等)对通过的IP原始流量按一定的
7、比例进行采样,转发给CPU、专用芯片或者是专用的网流分析卡,分析后生成的各种流量日志报文发送给流量分析服务器,服务器分析加工后以直观的图表、报表等方式把结果展现出来。如果网络设备不支持流量分析技术, 要部署流量探针。在网络设备上启用端口镜像, 后将日志信息发给后台服务器进行分析。如图或者需要对某些七层应用进行分析, 那就需 将原始流量镜像给流量探针,流量探针分析1所示:图1网络流量分析系统组成一般地,流量分析系统具有以下这些功能:1 .总体流量趋势分析可反映一个接口、接口组、IP地址组的入、出流量随时间变化的趋势。对于设备接口,还可提供带宽资源利用率的统计。比如,网络中不同IP地址段的流量高峰
8、各自在什么时候,平均流量曲线与当前流量曲线之间有多少差距,在整个接口流量中占多大的比例等。图22 .应用流量分析反映各种网络应用占用的带宽随时间变化的趋势。比如,现在网络中有哪些应用,占用带宽最多的应用是哪些,每种应用的峰值流量、当前流量、平均流量各是多少等。图33 .源主机目的主机会话流量分析反映在指定时间范围内总流量最大的网络节点(源、目的主机)、以及网络节点间会话的排名。比如,从10.1.1.1至IJ192.168.0.1之间的网络流量是多少,占用流量最多的TopN会话是哪些等。图4知之不若行之部署方案及注意事项目前电子政务外网主要分为专用网络区、公用网络区、互联网接入区三种区域。每种区
9、域的流量特点及功能需求如下:1 .专用网络区专用网络区主要运行各部门内部的纵向业务,如审计部门内部的审计系统等,每个部门之间则采用MPLSVPN技术进行隔离和区分。由于各部门的纵向专网都需要在广域网上运行,而广域网线路的带宽资源有限,在无限的需求和有限的带宽之间一直存在矛盾。这种情况应考虑部署MPLSVPN流量分析、链路带宽智能基线分析等系统,以便区分各部门所对应的MPLSVPN流量,分析其对广域网带宽的占用。通过NetStreamV9技术,网络流量分析系统可以接收和处理MPLSVPN流量日志,并基于VPN进行流量分析,供网管人员了解网络中各VPN内部的流量使用模型,包括VPN的总体流量趋势情
10、况、VPN内的业务(应用)流量情况、VPN内各节点(源、目的IP)的流量及业务使用的情况、VPN内会话流量情况、VPN组合分析等。另外可以采用以周为单位整理历史流量信息,生成链路带宽的流量基线(即平均带宽)旦发现流量异常,就可以给管理员发送告警,采取线路扩容等措施。2 .公用网络区公用网络区主要保存各部门共享的信息和资源,跨部门的应用较多,不同应用之间存在数据交互过程,另外也可能部署了用户认证(AAA)系统,应主要考虑IP组流量分析、应用间流量分析、基于用户的流量分析等功能。公用网络区存在多个部门,每个部门按规划各自使用不同的IP地址段,通过对IP组进行流量分析,就可以看出每个部门的流量模型。
11、另外专区内共享的应用可能由一台服务器提供,也可能由多台服务器提供(即多个IP运行同一应用),可以通过流量分析系统对不同应用间的流量进行分析,判断业务间的数据交互是否正常。对于流量异常的IP地址,可以与用户认证系统联动,动态查询IP地址对应的主机名称/域名和MAC地址,实现基于用户身份的流量分析。3 .互联网接入区互联网接入区主要提供Internet用户的公众访问服务,上网的流量中可能存在P2P、电影下载等非工作应用,同时也可能存在安全问题,应考虑部署七层应用分析、流量审计等功能。公共服务区的出口可以部署流量探针,将Internet上网流量镜像到探针,通过报文特征对47层的应用(如BT、eDonkey、MSN、QQ等)进行自动识别和匹配。另外,用户可以根据多种条件进行流量、明细信息的查询,审计某段时间内的网络流量特征信息,方便网络管理者定位DoS攻击等安全问题。总结基于流的分析技术和基于探针的分析技术配合,可以满足电子政务外网不同环境的流量分析需求,帮助IT部门建立基于用户、智能化、更加高效的电子政务外网。
