登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/H3C_Soft/Home/Solutions/Application/201004/673558_30003_0.htm

电子政务外网端到端的流量管理与分析

【发布时间:2010-04-28】

“不闻不若闻之,闻之不若见之,见之不若知之,知之不若行之。”——《荀子》

本文将从“闻”、“见”、“知”、“行”四个层次入手,讲述如何构建基于用户、智能化的电子政务外网流量分析管理系统。

不闻不若闻之——现状与问题

随着政府信息化步伐的加快,电子政务网的各种应用越来越丰富,例如,政府OA自动化、政府部门间的信息共建共享、政府实时信息发布、各级政府间的远程视频会议、公民网上查询政府信息、电子化民意调查和社会经济统计等,这些应用时时刻刻都在争夺有限的网络带宽,使得关键应用得不到有效的网络资源保障,从而导致政务网管理的难度不断增大。保证网络的可用性和关键业务的畅通运行,对政务网的顺利发展将起到至关重要的作用。因此,需要有相应的技术手段,准确了解网络上各种应用的带宽占用情况,分析用户流量行为,以便合理的规划和分配网络带宽,有效地保障关键业务应用的正常运行。

具体来说,政务网的管理者非常关心以下问题:

  •  从广域网角度来看,有多少政府单位开通了纵向的VPN业务?每个政府单位所占的带宽是多少?
  • 关键链路的当前流量情况是否正常?带宽是否足够?是否需要带宽扩容?
  •  每个政府单位内部的应用有哪些?哪种应用占的带宽最多?哪些IP地址占用的带宽较多?
  •  对外提供信息共享的服务器有多少IP地址在访问?分别来自哪些部门?每个部门访问所产生的流量是多少?
  •  信息交换与共享的区域中,有多少部门与其他部门之间有相互的访问?相互访问的流量各是多少?
  • l 当前的上网流量占用多大带宽?主要是谁在占用这些带宽?有没有P2P、IM聊天、下载电影等非法应用?
  •  对于有AAA认证机制的政务网来说,每个IP地址对应的用户帐号是什么?MAC地址和主机名是什么?哪些用户有非法攻击网络的行为?是中了病毒还是在运行黑客软件?流量的特征是什么?

由以上内容可以看出,政务网的管理离不开网络流量分析,对流量进行深入分析可以提取出许多有价值的信息,以揭示网络使用的“4W”问题:

Who:谁(IP/帐号/MAC/主机名)使用了网络?

What:网络流量的类型是什么?

When:在什么时间使用网络?使用了多长时间?

Where:网络流量来自何地?流向何处?

闻之不若见之——流量分析技术及其原理

对网络中的流量进行分析,通常有三种做法:SNMP方式、流量探针方式和流方式。其中,SNMP方式只能获取2层信息,主要用于设备接口的管理。流量探针方式可以分析2~7层的信息,但是需要做流量镜像,而且全网部署的话需要多个探针,硬件成本较高。而流(Flow)方式主要基于网络设备,可以获取2~4层信息和MPLS VPN等信息,部署简单,性价比高,因此成为了主流的流量分析技术,其中又可细分为NetFlow、NetStream、sFlow等。上述部分技术的对比如表1所示:

名称

主要原理及抽样比

对设备的要求

sFlow

随机采样技术,抽样比一般为1:10,000

交换机芯片必须支持sFlow

NetStream/

NetFlow

基于网络设备的分析技术,抽样比一般为1:1~1:100。

网络设备通过软件或专用板卡方式支持

DIG探针

协议分析,抽样比1:1

端口镜像,服务器性能要求较高。

表1 部分流量分析技术对比

以NetStream技术为例,NetStream的流定义为在源、目的端点间的一系列单方向的数据包,端点由IP地址和传输层的端口号决定,此外,NetStream还使用了IP协议类型、ToS和输入接口来唯一地标识一个流,即如下的七元组:

  •  源IP地址(Source IP address)
  •  目的IP地址(Destination IP address)
  •  源端口号(Source port number)
  •  目的端口号(Destination port number)
  • 协议类型(Protocol type)
  •  服务类型(Type of service)
  • 输入接口/输出接口(Input interface/Output interface)

通过这些七元组信息,NetStream可以对流量的类型和特征进行判断,帮助网络管理员实现以下功能:

  •  优化网络和常规流量特性建模。
  • WAN流量监控和分析
  • 业务应用/服务质量监控
  • 检测网络病毒
  •  异常流量检测

见之不若知之——系统组成

网络流量分析系统一般包括网络设备、流量探针和流量分析服务器三个组成部分,其中流量探针是可选的。正常情况下,网络设备(如路由器、交换机等)对通过的IP原始流量按一定的比例进行采样,转发给CPU、专用芯片或者是专用的网流分析卡,分析后生成的各种流量日志报文发送给流量分析服务器,服务器分析加工后以直观的图表、报表等方式把结果展现出来。如果网络设备不支持流量分析技术,或者需要对某些七层应用进行分析,那就需要部署流量探针。在网络设备上启用端口镜像,将原始流量镜像给流量探针,流量探针分析后将日志信息发给后台服务器进行分析。如图1所示:

图1 网络流量分析系统组成

一般地,流量分析系统具有以下这些功能:

1. 总体流量趋势分析

可反映一个接口、接口组、IP地址组的入、出流量随时间变化的趋势。对于设备接口,还可提供带宽资源利用率的统计。比如,网络中不同IP地址段的流量高峰各自在什么时候,平均流量曲线与当前流量曲线之间有多少差距,在整个接口流量中占多大的比例等。

图2

2. 应用流量分析

反映各种网络应用占用的带宽随时间变化的趋势。比如,现在网络中有哪些应用,占用带宽最多的应用是哪些,每种应用的峰值流量、当前流量、平均流量各是多少等。

图3

3. 源主机\目的主机\会话流量分析

反映在指定时间范围内总流量最大的网络节点(源、目的主机)、以及网络节点间会话的排名。比如,从10.1.1.1到192.168.0.1之间的网络流量是多少,占用流量最多的TopN会话是哪些等。

图4

知之不若行之——部署方案及注意事项

目前电子政务外网主要分为专用网络区、公用网络区、互联网接入区三种区域。每种区域的流量特点及功能需求如下:

1. 专用网络区

专用网络区主要运行各部门内部的纵向业务,如审计部门内部的审计系统等,每个部门之间则采用MPLS VPN技术进行隔离和区分。由于各部门的纵向专网都需要在广域网上运行,而广域网线路的带宽资源有限,在无限的需求和有限的带宽之间一直存在矛盾。这种情况应考虑部署MPLS VPN流量分析、链路带宽智能基线分析等系统,以便区分各部门所对应的MPLS VPN流量,分析其对广域网带宽的占用。

通过NetStream V9技术,网络流量分析系统可以接收和处理MPLS VPN流量日志,并基于VPN进行流量分析,供网管人员了解网络中各VPN内部的流量使用模型,包括VPN的总体流量趋势情况、VPN内的业务(应用)流量情况、VPN内各节点(源、目的IP)的流量及业务使用的情况、VPN内会话流量情况、VPN组合分析等。

另外可以采用以周为单位整理历史流量信息,生成链路带宽的流量基线(即平均带宽),一旦发现流量异常,就可以给管理员发送告警,采取线路扩容等措施。

2. 公用网络区

公用网络区主要保存各部门共享的信息和资源,跨部门的应用较多,不同应用之间存在数据交互过程,另外也可能部署了用户认证(AAA)系统,应主要考虑IP组流量分析、应用间流量分析、基于用户的流量分析等功能。

公用网络区存在多个部门,每个部门按规划各自使用不同的IP地址段,通过对IP组进行流量分析,就可以看出每个部门的流量模型。另外专区内共享的应用可能由一台服务器提供,也可能由多台服务器提供(即多个IP运行同一应用),可以通过流量分析系统对不同应用间的流量进行分析,判断业务间的数据交互是否正常。对于流量异常的IP地址,可以与用户认证系统联动,动态查询IP地址对应的主机名称/域名和MAC地址,实现基于用户身份的流量分析。

3. 互联网接入区

互联网接入区主要提供Internet用户的公众访问服务,上网的流量中可能存在P2P、电影下载等非工作应用,同时也可能存在安全问题,应考虑部署七层应用分析、流量审计等功能。

公共服务区的出口可以部署流量探针,将Internet上网流量镜像到探针,通过报文特征对4~7层的应用(如BT、eDonkey、MSN、QQ等)进行自动识别和匹配。另外,用户可以根据多种条件进行流量、明细信息的查询,审计某段时间内的网络流量特征信息,方便网络管理者定位DoS攻击等安全问题。

总结

基于流的分析技术和基于探针的分析技术配合,可以满足电子政务外网不同环境的流量分析需求,帮助IT部门建立基于用户、智能化、更加高效的电子政务外网。

新华三官网
联系我们