- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载 (30.73 MB)
3.2.3 网络流量统计(三)支持对用户的P2P流量进行分析
NAM(Network Analysis Module)是网络分析模块的简称,是H3C公司在MSR系列路由器设备上开发的流量监控软硬件平台。使用NAM单板,用户可以把流经路由器的所有流量进行统计和分析,为网络管理员提供网络安全服务。
NAM单板有MIM-NAM和FIC-NAM两种类型,MIM-NAM在MSR 30系列路由器上使用,FIC-NAM在MSR 50系列路由器上使用。
NAM单板对外提供1个管理用的GE电口、2个USB接口;同时提供80G硬盘存储空间。
MIM-NAM的面板如下图所示:
图1-1 MIM-NAM面板
FIC-NAM的面板如下图所示:
NAM用于监控路由器的流量,由于路由器在网络中得天独厚的位置,使任何内Internet通讯的流量都会经过路由器设备,也就是使NAM能够获取最为全面的流量数据,提供出更加准确和详细的网络流量分析结果。
NAM产品提供了如下主要功能:
l 支持对路由器所有出入三层端口网络流量的分析,并且支持定制分析端口。
l 支持在线流量的网络流量分析。
l 支持对网络流量采样记录和对历史流量进行网络流量分析。
l 支队对多种网络协议分析,包括IP/none-IP的、2至7层的协议,多达百余种。
l 支持对网络协议的过滤分析。
l 方便友好的用户配置,支持图形化的分析结果查询。
同时,NAM采用基本功能+插件的方式,为功能的可扩展提供了有力的保障,也为进一步满足用户需求做好了准备。
NAM通过对网络流量的分析和统计,真实的反映了网络的具体情况,有助于网络管理员及时了解和定位各种网络异常。网络管理员可以使用NAM的以下四种应用来提高网络的安全性和健壮性:
l 路由器流量镜像――获取路由器的网络流量信息
l 网络流量统计——分析各种网络事件
l 网络流量监控——及时发现网络事件
l 网络安全漏洞检测——消除隐患的有力武器
l 网络的优化与规划——带来一个更合理、更健壮、更安全的网络
路由器物理接口类型丰富,链路层帧格式各不相同,只能通过软件将IP报文进行镜像才能获得流量信息。NAM软件可以配置路由器,将路由器接口上的进出流量镜像到NAM单板,为进行路由器的网络流量分析提供数据源。
NAM支持对网络中的主机进行流量统计。只要能获取主机的名称、MAC地址或IP地址,NAM就能对该主机发送和接收的流量进行统计。
NAM可以统计的网络流量包括:网络总流量、IP组播流量、TCP/UDP流量。统计的同时,NAM实时对流量进行处理和分析,形成其他附加信息,包括:TCP/UDP服务、主机操作系统信息、带宽使用情况和流量分布情况。
基于各种协议发送和接收的数据的总流量,协议包括各层协议,如网络层协议IP、IPX、应用层协议FTP、HTTP等。
发送和接收的IP组播数据的总流量。
(1) 当前处于活跃状态TCP会话,以及与每个会话对应的流量。
(2) 通过端口号识别各种UDP流量。
通过主机正在监听或使用的端口号,识别主机使能的TCP/UDP服务。
识别主机的操作系统,包括Microsoft Windows、Unix/Linux等常用操作系统。
主机的即时流量、流量平均值和峰值。
本地流量(主机与同一个子网内的其他主机的流量)和本地-远程流量(主机与其他子网主机的流量)的流量分布。
TCP和UDP的流量分布。
网络流量数据包含了网络运行状况的信息,优秀的网络管理员通过这些数据,可以了解网络的使用情况,找出不符合当前网络配置的主机或其他故障点。在NAM网络流量统计功能的基础上,主要可以发现以下几类网络配置问题:
NAM可以监控网络中所有的子网信息,从而发现配置错误掩码的主机。
通过监控网络中各种服务的报文收发情况,特别是请求报文的频繁发送,可以分析网络中的主机使用这些服务时配置是否正确。
通过查看报表中的协议,可以发现不能在网络中正常使用的协议,如网络中正在使用TCP/IP协议,而某些主机安装了IPX、AppleTalk等协议,这些协议不但不能正常使用,还会产生一些无效流量,浪费网络资源。
通过监控网络带宽使用情况,可以分析网络中占用大量带宽、消耗大量网络资源的主机及其使用的服务。
网络安全已经成为网络管理员最关注的问题之一。通常情况下,网络的安全隐患源于网络中存在的漏洞。而漏洞分为两个方面:第一,主机自我保护存在缺陷,容易被攻击;第二,网络中有人利用便利的网络资源,对网络中的其他主机实施攻击。
NAM通过对网络安全漏洞的检测,可以发现缺乏自我保护能力的主机和对外实施攻击的主机,为网络管理员采取针对性措施提供依据。
NAM能检测的安全漏洞包括:
l 端口扫描(Portscan)检测
l 欺骗攻击(Spoofing)检测
l 木马(Trojan horse)检测
l 拒绝服务(DoS)攻击检测
网络的性能也是网络管理员关注的焦点。通常情况下,不是硬件导致网络性能不良,而是对网络不合理的配置与使用导致了带宽浪费。NAM通过对网络流量的分析,可以协助管理员优化网络,或者在局部重新规划网络,从而使网络性能上一个台阶。
NAM能探知的网络不合理使用包括:
(1) 识别无效的网络协议,减少网络流量
前面已经提到,通过查看报表,可以发现主机安装的无效网络层通信协议,如IPX等。
另外,OSPF、IGMP等协议需要在一定范围内使用才能发挥作用。NAM收集协议的流量,并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。网络管理员根据分析的结果采取相应的措施(如关闭特定的协议)来减少网络中的无效流量。
(2) 识别冗余的网络协议,减少网络流量
在网络中,为了实现同一种功能,有时会使用多种协议,浪费了网络带宽资源,如全部服务器都使用DNS服务,而又有少量服务器同时使用WINS服务。NAM可以提供协议报表,为网络管理员去除冗余协议提供依据。
(3) 识别多余连接,节省网络资源
在网络中,适当的设置代理能减少主机之间的连接数,减少多余连接,节省网络资源。NAM可以提供网络连接的报表,为网络管理员合理设置代理提供参考。
(4) 优化路由
NAM可以获取ICMP重定向消息来发现网络中的次优路由。网络管理员可以根据这一信息来优化网络中的路由。
(5) 优化网络结构
NAM可以收集流量并把流量与协议、流向相关联。网络管理员根据这些数据可以分析网络中的服务器(DNS、DHCP)位置是否合理,并作出适当调整。
请参考表2-1中所示的各个检测项目,确保安装NAM软件的条件均已具备。
表2-1 安装环境确认
|
检测项 |
检测标准 |
|
路由器 |
检查路由器是否提供NAM单板插槽。 若已提供,本安装条件已经具备。 |
|
NAM单板 |
检查NAM单板是否符合合同的规定(包括NAM单板型号及版本、NAM主机软件版本、NAM软件版本)。 符合合同的规定表示检查合格,本安装条件已经具备。 |
|
PC |
PC是否安装了网卡并根据实际组网配置IP地址;PC是否安装了网页浏览器应用程序,如IE 6.0。 若已安装,本安装条件已经具备。 |
只有上述三个检测项都通过,安装NAM软件的条件才具备。
& 说明:
NAM软件的使用依赖于路由器的基本功能。在使用NAM软件时,请确保路由器在网络中处于正常运行状态。
& 说明:
在安装MIM-NAM单板之前,请先切断路由器的电源。
将NAM单板完全插入路由器的NAM单板插槽,并固定。
NAM单板和PC可以通过交叉网线直连,也可以通过网络连接。为NAM单板的以太网口和PC配置IP地址后,只要PC和NAM单板路由可达,即可在PC上通过IE访问NAM软件。
按照上述步骤进行操作之后,要使NAM软件能够正确实现其监控功能,仍需要对设备和NAM软件进行一些设置。
确认PC自动获取了IP地址之后,使用PC上的IE浏览器访问http://192.168.0.1。IE浏览器弹出NAM登录窗口,如图2-1所示。
& 说明:
NAM单板网络管理接口的IP地址出厂设置为192.168.0.1,掩码为255.255.255.0。此IP地址可通过NAM管理页面进行设置,请参见2.3.2 配置NAM的内部接口和管理接口IP地址。
图2-1 NAM登录窗口
输入缺省的用户名admin和密码admin,进入NAM管理页面,如图2-2所示。
图2-2 NAM配置页面
NAM前面板的接口是管理接口。用来与网络设备进行数据交互的接口为内部接口。
& 说明:
l 此步骤可省略。如果没有修改NAM内部口IP地址,则IP地址默认为192.167.0.11;如果没有修改NAM的管理口IP地址,则此IP地址默认为192.168.0.1
l NAM上与路由器进行数据交互的接口的地址称为本地IP地址。路由器上与NAM进行数据交互的接口的IP地址称为关联IP地址。因此,我们需要事先在路由器上配置好与NAM相连的接口的地址,再把这个地址填入到关联IP地址栏中。本地IP地址必须与关联IP地址处于同一网段,而且它们两个不能和管理IP地址处于同一网段。
单击导航树中的[Comfiguration/NICs IP Address]菜单项,即可进入配置NAM内部口和管理口IP地址页面,如图2-3所示。
图2-3 NAM管理IP地址配置页面
在页面上方可以配置NAM的内部口和管理口IP,配置的结果将在页面下方的提示信息框中显示。
输入适当的IP地址,选择正确的掩码,单击<Apply>按钮即可完成配置。
& 说明:
修改NAM的管理口IP后,必须使用IE浏览器访问新配置的IP地址才能再次登录NAM。
& 说明:
缺省的用户名和密码均为admin。建议首次登录后,立即更改登录密码。
单击导航树中的[Comfiguration/Web Admin Password]菜单项,即可进入登录密码设置页面,如图2-4所示。
图2-4 设置登录密码页面
输入两遍新的密码后,单击<Apply>按钮即可完成操作。
& 说明:
设置新的登录密码后,再次进入其他管理页面时,会弹出登录窗口。只有输入新设置的密码才能正常进入下一步。
NAM软件需要通过SNMP协议来配置路由器接口的流量镜像,SNMP相关参数必须配置正确,才能配置路由器接口的流量镜像。
单击导航树中的[Configuration/Traffic Mirror/SNMP Preferences]菜单项,即可进入NAM软件SNMP参数配置页面,如下图所示。
“SNMP Protocol Version”为SNMP协议的版本号,目前只支持v2c;“Remote SNMP Agent”为NAM单板路由器侧GE口的IP地址;“Read Community”和“Write Community”分别为路由器配置的SNMP读和写团体字。
图2-5 SNMP参数配置页面
路由器接口的流量默认不进行镜像,NAM软件通过SNMP协议配置路由器将接口流量镜像到NAM软件,才能对路由器接口的流量进行分析。
单击导航树中的[Configuration/Traffic Mirror/Mirror Interface]菜单项,即可进入NAM软件路由器接口流量配置页面,如下图所示。
“Traffic Mirror”中的“Enable”和“Disable”分别表示使能或禁止流量镜像。当选择使能流量镜像时,NAM软件根据用户选择的流量镜像的源接口和NAM单板所在的槽位号来配置路由器;当选择禁止流量镜像时,NAM软件配置路由器,删除所有已配置流量镜像的源接口,不再对路由器的接口流量进行镜像。
“Mirror Source Interface”左边显示路由器所有可以进行流量镜像的接口;右边显示已配置流量镜像的接口。用户可以根据需要将左边列表中的接口添加到右边;也可以将右边列表中的接口添加到左边。
“Mirror Destination Subslot”为NAM单板所在的槽位号,只有正确的配置该槽位号,NAM软件才能正确的配置路由器接口流量。
上述信息配置正确后,点击“Apply”按钮,对路由器接口流量镜像的配置就可以生效了。
图2-6 启动和关闭NAM软件页面
单击导航树中的[NAM/Administration]菜单项,即可进入NAM软件的启动和关闭界面,如图2-7所示。
图2-7 启动和关闭NAM软件页面
对NAM软件的操作有两种:Startup和Shutdown。执行这两种操作后,对应的NAM软件的运行状态分别为Running和Stop。NAM软件当前的运行状态将在下方实时显示。
目前提供HTTP和HTTPS两种方式来访问NAM监控页面。
单击导航树中的[NAM/Monitor(HTTP)]或[NAM/Monitor(HTTPS)]菜单项,即可进入NAM监控页面,如图2-8所示。
图2-8 NAM软件监控页面
NAM监控页面中提供了丰富的菜单项,方便网络管理员进行各种网络流量和网络信息的查看,帮助网络管理员实现网络流量统计、网络安全漏洞检测、网络优化和规划等强大功能。NAM监控页面的具体使用请参见本文第三章的相关内容。
在使用NAM的过程中,网络管理员可以查看各种数据统计界面来对流量进行分析。下文将介绍NAM系统中常用的数据统计界面。
NAM界面的布局都采用统一的风格,类似于图3-1。
|
①:产品Logo。 |
|
②:功能菜单:用于进入不同的NAM报表界面和NAM配置界面。详细说明请参见表3-1 |
|
③:当前界面的标题。 |
|
④:功能链接:用于切换当前界面显示的内容。 |
|
⑤:显示界面:NAM窗口的主体,用于显示NAM报表或NAM配置项。 |
|
⑥: 排序功能:点击表单中的表头,表单将按照该表头的顺序或逆序进行排序。 |
图3-1 界面布局示例
表3-1 功能菜单说明
|
功能菜单项 |
子项 |
相关说明 |
|
About |
What is NAM |
介绍NAM的基本功能 |
|
Show Configuration |
显示NAM当前配置以及进程相关信息 |
|
|
Risk Flags |
说明风险标识的含义 |
|
|
About NAM |
NAM版权说明 |
|
|
Summary |
Traffic |
此界面显示了网卡探测到的所有流量的信息 |
|
Hosts |
此界面显示了主机信息,分别以字节、报文为单位显示,同时又可以基于VLAN 来查看不同的主机信息。更强大的功能是,它每一列都支持排序,方便用户很快的查询到所需要的信息 |
|
|
Network Load |
本页面主要是显示的被监控接口的网络负载情况 |
|
|
VLAN Info |
此界面主要是基于VLAN统计了流量的大小 |
|
|
Network Flows |
此界面主要显示了Host Last Seen插件和用户自定义的流规则的流量情况 |
|
|
All Protocols |
Traffic |
此界面包含了所有协议的网络流量情况,包括所有主机的发送和接收报文情况 |
|
Throughput |
此界面下面包含了所有协议的网络负载情况,包括所有主机的发送和接收报文情况 |
|
|
Activity |
此界面下面包含了所有协议的网络活动情况 |
|
|
IP |
Summary |
主要统计各种应用层协议信息 |
|
Traffic Directions |
记录内网和外网各个流向的流量统计 |
|
|
Local |
记录本地的端口号,TCP连接以及主机操作系统信息 |
|
|
Utils |
Data Dump |
导出数据和日志 |
|
View Log |
查看日志 |
|
|
Plugins |
Host Last Seen |
记录NAM最后一次捕获到本地主机报文的时间 |
|
ICMP Watch |
统计ICMP报文信息 |
|
|
NetFlow |
收集和分析NetFlow报文 |
|
|
PDA |
网络的简单统计信息 |
|
|
Round-Robin Databases |
保存和查看历史流量信息 |
|
|
sFlow |
收集和分析NetFlow报文 |
|
|
All |
集中显示各个插件的状态 |
|
|
Admin |
Switch NIC |
切换网络接口 |
|
Configure |
更改NAM系统级配置,包括下次启动的配置参数,当前的配置参数,以及安全策略 |
|
|
Shutdown |
关闭NAM |
后续进行界面介绍时,以上提到的部分不再赘述。
顾名思义,流量信息概览是以图形和表单形式,对NAM监控的所有信息进行汇总,内容包括流量信息、主机信息、负载情况和流分布情况。
流量汇总界面主要包括物理/逻辑接口的流量信息和各种协议的流量统计、报文统计等信息。
(1) NAM监控接口的信息
NAM监控的接口包括物理接口(eth0)和逻辑接口(如NetFlow-device.2),如图3-2所示。下方的饼图显示了各个接口流量所占的比重。
& 说明:
NAM监控的物理接口的流量是MSR系列路由器GE接口的镜像流量。
图3-2 Global Traffic Statistics
(2) NAM监控的具体接口的流量信息
对eth0接口的报文统计方式包括报文的传输方式、报文的大小等如图3-3所示。点击“switch”链接,可以查看其他接口的报文统计。
图3-3 eth0接口的报文信息
对eth0接口的流量统计包括是否分片、TTL的范围、最近一段时间的流量等,如图3-4所示。同时,点击
可以查看历史信息,包括最近一年到最近一小时的历史记录。
图3-4 eth0接口的流量统计
(3) 协议的分布情况
NAM能对报文所使用的协议进行分类,如图3-5所示。表格中具体的百分比和柱状图可以清晰的显示各种协议在总流量中所占的比重。
图3-5 协议分布图
(4) 各种TCP/UDP协议的分布情况
NAM能细致的区分各种不同的TCP/UDP协议,在按照时间段分别进行统计(图3-6)的同时,还使用了柱状图和表格进行汇总(图3-7)。
图3-6 TCP/UDP协议的分布情况(1)
图3-7 TCP/UDP协议的分布情况(2)
(5) 基于端口的TCP/UDP协议的分布情况
由于很多TCP/UDP协议采用非标准的端口进行通信,针对这种情况,NAM还对各种TCP/UDP协议的通信端口的分布情况进行了统计,如图3-8所示。
图3-8 基于端口的TCP/UDP协议的分布情况
主机信息界面主要包括主机所在的域、IP地址、MAC地址、占用网络的带宽等基本信息,如图3-9所示。通过左上角的Bytes/Packets链接,可以切换带宽的统计方式为按字节统计/按包数统计。显示带宽时,深绿色表示发送带宽,蓝色表示接收带宽。
图3-9 主机信息
网络负载情况显示图分别显示了最近十分钟、最近一小时、当天、以及最近一个月的网络负载,如图3-10所示。
图3-10 网络负载情况
点击右下角的Change Throughput Granularity链接可以进入数据存储的参数设置界面,如图3-11所示。具体可以设置数据存储间隔、数据更新间隔、数据导出地等参数。该界面和[Plugins/Round-Robin Databases/Configure]菜单项对应的RRD配置界面是同一个界面。
图3-11 存储参数的设置
此界面主要显示了Host Last Seen插件和用户自定义的流规则的流量情况,如图3-12所示。
图3-12 流的分布情况
基础协议报表是以表单形式,给出基于主机和各种基础协议的流量报表,内容包括各种基础协议的流量统计、主机的流量统计和主机活动情况。
& 说明:
基础协议报表不对承载于TCP/UDP之上的各种协议进行细分。要了解这些协议的流量情况,可以查看3.1.4 1. (1)基于主机和IP协议的流量统计[IP/Summary/Traffic]。
此界面的流量是统计网络中具体主机的流量(包括总流量和各种协议的具体流量),这是和[Summary/Traffic](3.1.2 1. 流量汇总界面[Summary/Traffic])的主要区别。如图3-13所示,每一台主机的总流量、所占的百分比、各种协议的流量都在表格中有所体现。
由于某些广播报文不包含特定的发送或接收主机的相关信息,因此界面中显示的流量可能并没有包含所有的广播报文,数据流量总和与[Summary/Traffic]中的Global Protocol Distribution也不一定相等。
图3-13 全协议流量统计
此界面主要显示主机流量和包数的即时值、平均值和最大值,如图3-14所示。
图3-14 流量的即时值和统计值
通过对主机在最近24小时中流量的统计和计算,可以确定主机最近24小时内流量分布的百分比,以此体现主机最活跃的时间段,如图3-15所示。
在表格中用颜色表示特定时间段内主机的流量占最近24小时主机总流量的比重。不同的颜色表示的百分比不同,具体的颜色和百分比的对应关系可查看页面下方的说明。
图3-15 主机的活动情况
IP协议报表主要统计了承载于TCP/UDP之上的各种协议的流量、会话等相关信息。
IP协议信息汇总包括:流量信息、组播信息、网段的具体信息、集群信息和本地/远程分布信息。
(1) 基于主机和IP协议的流量统计[IP/Summary/Traffic]
此界面主要是统计了网络中具体主机的流量(包括总流量和各种协议的具体流量)。协议都承载于TCP/UDP之上,这是和[All Protocol/Traffic]的主要区别。其中包括Internet上最常见的应用层协议HTTP和著名的P2P协议Bit Torrent,如图3-16所示。
由于某些广播报文不包含特定的发送或接收主机的相关信息,因此界面中显示的流量可能并没有包含所有的广播报文,数据流量总和与[Summary/Traffic]中的Global Protocol Distribution也不一定相等。
图3-16 基于IP的流量信息
(2) 组播流量统计[IP/Summary/Multicast]
此界面主要统计网络中组播的发送和接收情况,如图3-17所示。同时把每个组播目的地址显示为一台主机,这样就可以看到每种组播应用的具体流量。
图3-17 组播流量统计
(3) 域信息统计[IP/Summary/Internet Domain]
图3-18 域信息统计
(4) 网段的信息统计[IP/Summary/Host Clusters]
通过在NAM中的配置,可以把网段定义为Cluster。此界面显示了网段的流量信息,如图3-19所示。
图3-19 未知主机信息统计
点击网段的名称“Home”,即可查看该网段中每个主机具体的TCP/IP和ICMP流量信息,如图3-20所示。
图3-20 网段内每台主机的流量信息
点击图3-19或图3-20说明文字中的preferences链接,进入Preference的配置界面,如图3-21所示。
在其中可以找到网段的配置,如图3-22所示。
图3-22 已经配置好的网段
在界面最后的编辑框中可以定义新的网段,如图3-23所示。图中定义了新的网段test。
图3-23 定义新的网段
& 说明:
Preference配置界面也可以通过[Admin/Configure/Preferences]进入。
(5) 本地/远程流量的全局分布[IP/Summary/Distribution]
此界面统计了本地、本地到远程、远程到本地、远程到远程的流量信息,如图3-24所示。界面上方的饼图显示了比例,其他表单显示了具体数据。
图3-24 本地/远程流量的全局分布图
& 说明:
l 本地/远程流量全局分布界面并没有给出具体主机的流量信息,这部分信息请参见2. 基于主机的本地/远程流量分布。
l 区分本地和远程的相关说明,请参见第4章 12. NAM中的local和remote是怎么定义的?
NAM把IP流量划分成四种:本地、本地到远程、远程到本地和远程到远程。四种情况的统计界面类似,以下仅以本地流量为例进行说明。
如图3-25所示,界面显示了本地主机之间通信的IP流量统计信息。
图3-25 本地流量
NAM对本地主机进行统计和分析,以表单形式给出了本地主机的TCP/UDP端口使用、TCP/UDP会话、操作系统、提供的服务、本地子网的流量情况等信息。
(1) TCP/UDP端口使用[IP/Local/Ports Used]
图3-26 TCP/UDP端口使用情况
(2) 活动的TCP/UDP会话[IP/Local/Active TCP/UDP Sessions]
NAM对当前活动的TCP/UDP会话进行统计,主要包括会话双方的IP地址、端口号、接收和发送的数据量、会话建立和活动的一些基本信息,如图3-27所示。
图3-27 活动的TCP/UDP会话
(3) 本地主机操作系统使用情况[IP/Local/Host Fingerprints]
此界面中显示了NAM收集的主机的相关信息。本地主机可以显示操作系统,远程主机不能显示操作系统;本地和远程主机的数量都将被统计,如图3-28所示。
图3-28 本地主机操作系统信息
(4) 本地主机的角色[IP/Local/Hosts Characterization]
NAM可以识别本地主机在网络中提供的服务和其他一些特征,从而判断这些主机在网络中担当的角色。如图3-29所示,角色还包括存在安全隐患的主机(包括MAC地址冲突、使用了0端口、连接的主机连超过1024等情况),以此提醒网络管理员需要重点注意。
图3-29 本地主机的角色
(5) 本地网络中主机间的连接图[IP/Local/Network Traffic Map]
NAM以示意图的方式显示了本地网络中的主机间的连接关系,如图3-30所示。
图3-30 本地网络中主机间的连接图
(6) IP子网的流量信息[IP/Local/Ports Used]
NAM监控本地子网内主机之间的流量情况,以表单形式给出统计结果,如图3-31所示。网络管理员可以根据这一信息从整体上监控本地子网内主机之间的数据交互情况。
图3-31 子网流量信息
典型应用主要描述NAM及其插件在各个具体网络环境中的使用实例。主要包括三种类型的应用:
l 网络流量统计
l 网络流量监控
l 网络安全漏洞检测
l 网络优化和规划
& 说明:
本节旨在指导网络管理员使用NAM,实例不覆盖所有NAM及其插件的功能。同时,描述过程中涉及的参数将不作具体说明。参数的具体说明请参见附录。
企业网中的流量分为两类:Intranet和Internet进行通信的流量、Intranet主机之间进行通信的流量。网络管理员对于这两类流量都很关心。路由器是企业网的出口,集成于路由器上的NAM能很方便的监控Intranet和Internet通信的流量。那NAM是否能实现对内容流量的监控呢?答案是肯定的。只需使用NAM中的NetFlow插件,即可实现上述功能。
首先,网络管理员需要在网络设备上启用NetFlow技术(一种流量采集技术)。NetFlow可以统计接口上报文的源/目的IP地址,源/目的端口号以及报文大小等信息,并将这些信息组织成Flow格式。网络设备把NetFlow信息发送给启用了NetFlow插件的NAM,NAM就可以对这些信息进行存储和分析。
网络管理员只需在待监控的网络设备上启用NetFlow,即可实现对流经该网络设备的流量进行监控和分析。这一方式突破了物理地域的限制,也无需在网络中布置多个流量监控软件,实现了一套NAM软件,监控整个网络的功能。
图3-32为某企业的网络拓扑图,NAM集成于企业的出口路由器上。
如图3-32所示,企业使用集成了NAM的路由器作为网络出口。内部网络主要有三个网段:202.38.1.0/24、202.38.2.0/24、202.38.3.0/24。
如果想监控这三个网段的流量,网络管理员只需进行如下两步操作:
(1) 在MSR系列路由器上启用NAM,激活NetFlow插件。
(2) 在RouterA、B、C上分别启用NetFlow采集对应接口的流量。并设置发送NetFlow信息的目的IP为路由器的Intranet接口,即202.38.4.2;目的端口为65534。
这样NAM就能接收并存储这三个网络的流量信息,以便网络管理员直观的查看和分析。
(1) 相关配置
NAM提供NetFlow插件作为NetFlow分析工具,必须按照以下三个步骤进行正确的配置。
l 激活NetFlow插件
单击[Plugins/NetFlow/Active]菜单项,激活NetFlow插件。
& 说明:
若此菜单项显示为Deactive,说明插件已经激活。
l 添加并配置NetFlow虚拟接口
单击[Plugins/NetFlow/Configure]菜单项,进入如图3-33所示的界面。
图3-33 Plugins/NetFlow/Configure界面
单击<Add NetFlow Device>按钮,即可创建NetFlow虚拟接口,并进入虚拟接口配置界面,如图3-34所示。
图3-34 NetFlow接口配置界面
需要对参数进行如下配置:
NetFlow Device(interface name):NetFlow
Local Collector UDP Port :65534
Virtual NetFlow Interface Network Address :202.38.0.0/16
其他参数均使用默认值。
l 切换网络接口
单击[Admin/Switch NIC]菜单项,进入如图3-35所示的界面。把接口切换到NetFlow接口。
图3-35 切换接口界面
(2) 查看结果
上述配置完成后,等待一段时间,NAM中即会形成最新的NetFlow流量信息。可以查看具体NetFlow数据的菜单包括Summary、All Protocol和IP。
单击[Summary/Traffic]菜单项,进入如图3-36所示的界面。可以查看NetFlow采集点(即启用了NetFlow的网络设备)的总流量信息。
图3-36 NetFlow采集点总体流量信息(部分)
单击[Summary/Host]菜单项,进入如图3-37所示的界面。可以查看NetFlow采集点统计的主机信息。
图3-37 主机统计信息
在配置NetFlow参数时,Local Collector UDP Port一定要配置为正确的端口,否则NetFlow插件无法正常接收NetFlow数据。
在企业网中,各种网络异常情况发生在各个时间段中。网络管理员可以实时查看网络流量来定位分析各种异常情况,也需要通过查看历史数据来定位分析问题。同时,历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布,有助于网络管理员对网络进行综合评价。
NAM的RRD插件可以存储全局的历史流量,结合NAM本身直观的图表显示功能,正好满足了网络管理员查看历史数据的需求。
图3-38为某企业的网络拓扑图,安装了RRD插件的NAM集成于企业的出口MSR系列路由器上。网络管理员需要了解Intranet访问Internet占用的带宽,以及最近一段时间Intranet访问知名WEB站点101.5.3.1的流量。
图3-38 查看Intranet服务器历史流量的组网图
根据RRD插件的特点,网络管理员只需启用并简单配置NAM中的RRD插件,就能对启用插件后的流量进行保存。网络管理员无需实时查看流量信息,只需每隔一段时间查看历史数据,即能了解企业Intranet访问Internet的带宽和访问特定站点的流量。
(1) 相关配置
利用RRD查看流量图,需要进行一些必要的配置。
l 激活RRD插件
单击[Plugins/Round-Robin Database/Active]菜单项,激活RRD插件。
& 说明:
若此菜单项显示为Deactive,说明插件已经激活。
l 配置RRD参数
单击[Plugins/ Round-Robin Database/Configure]菜单项,进入RRD插件的配置界面。RRD插件的所有参数都有缺省值,本例中只需修改如下两个参数:
Dump Interval:向RRD增加一条记录的间隔,默认是300秒。间隔越小越能真实反映网络活动情况,同时增加CPU资源的消耗。设置此参数的值为10秒。
Data to Dump:指定需要存储到RRD的数据类型。缺省只保存interfaces的历史记录。为了查看访问101.5.3.1的流量,选中Hosts。
l 重启RRD插件
重启RRD才能使新配置生效。单击[Plugins/Round-Robin Database/Deactive]菜单项关闭RRD,然后再次激活RRD即可完成重启操作。
(2) 查看结果
NAM中很多流量图都是由RRD导出的,通过这些流量图,即可查看相关的历史记录。同时,NAM还提供专门的页面让用户根据自身的需要定制流量图。
l 查看Intranet访问Internet占用的带宽
一般情况下,Intranet的流量不会被镜像到路由器,所以流经路由器Eth0/1接口的流量绝大部分都是Intranet访问Internet的流量。因此,网络管理员只需查看Eth0/1接口上的吞吐量即可。单击[Summary/Network Load]菜单项,进入如图3-39所示的界面,其中显示了过去十分钟和过去一小时。
图3-39 网络负载流量图
& 说明:
根据NAM监控网络的时间和RRD参数的配置,界面中可能会显示过去一个月或一年的历史流量。
l 查看Intranet访问站点101.5.3.1的流量
单击[Plugins/Round-Robin Database/Arbitrary Graphs]菜单项,进入导出流量图界面。修改以下参数的值:
File: HTTP Sent Bytes
Host IP Address: 101.5.3.1
Legend:bytes
Title to appear above the graph:http of 101.5.3.1
Start:now
End:now-12h
配置完参数以后,单击<Make Request>按钮,生成流量图。该流量图体现过去十二小时Intranet访问101.5.3.1的HTTP流量。
图3-40 HTTP历史流量图
单击[Plugins/Round-Robin Database/Arbitrary Graphs]菜单项,进入导出流量图界面后,如果设置的File参数没有对应的RRD文件,则单击<Make Request>按钮生成流量图时,会报错,如图3-41所示。
图3-41 出错页面
随着人们越来越热衷于使用互联网,各种网络技术和网络服务满足了不同人群的各种需求。P2P技术是近来比较流行的一种技术。这种技术提高了用户的下载速度,但是也占用了大量的带宽。网络管理员希望发现和监控网络中的P2P流量,以便在适当的时候采取必要的措施。
NAM具备了在诸多网络流量中分辨各种应用层流量的能力,并通过人性化的图表显示了网络流量的统计结果。因此网络管理员使用NAM即可发现和监控P2P流量。。
图3-42为某企业的网络拓扑图,NAM集成于企业的出口路由器上。近来,企业内部员工反映上网速度很慢,还经常掉线。网络管理员经过初步判断,认为企业内部有人使用P2P软件下载,占用了大量带宽。网络管理员将使用NAM软件对这一情况进行监控和分析。
图3-42 P2P流量分析组网图
如图3-42所示,企业使用路由器连接Intranet和Internet。Intranet主要由三个网段组成:192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。为了同时监控Intranet内部的P2P流量,分别在RouterA,RouterB,RouterC上使用NetFlow采集流量,NetFlow目的端口为默认的2055,目的IP为路由器的NAM的管理IP。
经过以上配置,网络管理员只需登录NAM,即可查看NAM提供的流量统计图表,实现对网络中P2P流量的监控。
& 说明:
关于NAM中NetFlow插件的典型应用,请参见3.2.1 网络流量统计(一)NetFlow流量分析。
(1) 相关配置
配置NetFlow插件。具体请参见3.2.1 网络流量统计(一)NetFlow流量分析。
(2) 查看结果
l 查看各种P2P协议的流量信息。
单击[Summary/Traffic]菜单项,进入流量汇总界面。在页面中直接查看Global TCP/UDP Protocol Distribution图表,如图3-43和图3-44所示。把其中的几种P2P协议所占的百分比相加,得出所有P2P协议所占流量的百分比为24%。
& 说明:
NAM可以分析的P2P软件包括:BitTorrent、Gnutella、Kazaa、WinMX、DirectConnect(DC++)和eDonkey。
图3-43 各种P2P协议所占流量的百分比
图3-44 各种P2P协议的比例图和历史信息
l 确定使用P2P软件的主机,并查看这些主机详细信息
单击[IP/Summary/traffic]菜单项,进入基于主机的IP流量统计界面。按照各种P2P协议排序,可以找到P2P流量较大的主机,如图3-45和图3-46所示。
图3-45 按照Gnutella流量排序
图3-46 按照图3-45和图3-46都做了一定裁减,让图片的信息更集中。
单击[All Protocols/Traffic]菜单项,进入如图3-47所示的界面,即可查看P2P流量较大的主机占用带宽的情况。
图3-47 主机流量所占总流量的百分比
点击Host列的主机IP,即可进入该IP对应的主机的详细信息显示界面,如图3-48所示。
图3-48 主机详细信息显示界面
l 快速查看主机占用带宽的情况
如果网络管理员想快速查看哪些主机占用了大量带宽,可以使用NAM的PDA插件。单击[Plugins/PDA/View]菜单项,进入如图3-49所示的界面。界面分别显示了接收和发送的流量排名前几位的主机(以IP方式显示)。
图3-49 PDA插件显示的流量排序界面
(3) 分析结果
通过上面的图表,网络管理员可以很清晰的指导使用P2P协议的主机主要为192.168.2.123和192.168.2.125,同时占用了20%以上的总带宽。
通过上述分析,网络管理员已经知道了使用P2P软件的主机、P2P软件的类型及其使用的端口号。根据企业网具体情况,如果P2P软件的使用已经影响了正常的数据交互,建议网络管理员对路由器进行设置,关闭P2P软件使用的端口或配置P2P协议使用的带宽上限。
在企业网中,虽然网络管理员可以对网络中的主机进行统一的配置和部署,但是主机的使用者随时可以对主机进行相关修改,比如修改主机的IP地址,主机使用的DNS服务器地址等。一方面,使用者的随意修改可能使其无法正常使用网络;另一方面,各种修改使得网络管理员很难定位问题。NAM可以帮助网络管理员解决以上烦恼。NAM对网络进行实时监控,可以发现网络配置错误,使得网络管理员不用现场定位即可发现问题。
图3-50为某企业的网络拓扑图,NAM集成于企业的出口路由器上。Intranet的网络设备把192.168.0.0/24网段的流量镜像到路由器上。Intranet的DNS服务器的地址为192.168.0.21。NAM实时监控网络,探察网络中的配置错误。
图3-50 网络配置错误组网图
NAM实时监控192.168.0.0/24网段的流量,能发现DNS配置错误情况和重用IP地址的情况。
常见的网络异常有以下几种,下文将使用NAM来一一定位。
(1) 用户A造成访问WEB站点不成功
第一,使用ping,查看用户A的网络连接是否存在问题。从用户A ping DNS服务器的地址,能ping通说明网络连接没有问题。
第二,判断DNS是否出现异常。如果用户A配置的DNS服务器有误,DNS服务器就不会响应用户A的DNS报文。因此只需在NAM中是否有回应用户A的DNS报文。
NAM提供基于主机的应用层流量的统计。单击[IP/Summary/Traffic]菜单项,进入查看具体协议报文的界面。
l 点击右上角的Sent Only链接,显示结果表明192.168.0.65发送了一定量的DNS报文,如图3-51所示。
图3-51 查看发送的DNS字节数
l 点击右上角的Received Only链接,结果表明192.168.0.65没有接受到DNS报文,如图3-52所示。
图3-52 查看接收的DNS字节数
192.168.0.65的发送的DNS字节数为590字节,接收的DNS字节数为0,说明用户A无法正常使用DNS服务,排除DNS服务器本身的问题后,网络管理员即可确定用户A的DNS服务器地址配置错误。
(2) 用户B将IP地址配置成了192.168.0.65,与用户A的IP地址冲突。
NAM可以记录Intranet主机的详细信息,包括IP地址,MAC地址等。通过查看同一个IP地址是否存在不同的MAC来判断是否有IP地址冲突。
单击[Summary/Host]菜单项,进入如图3-53所示的界面。其中显示了所有被NAM监控到的主机信息。点击主机列表的IP Adress项,使主机信息按照IP地址排列。
图3-53 查看主机信息
很明显,IP地址192.168.0.65对应了两个不同的MAC地址。由此判断网络中有两台主机的IP地址冲突。
通过上述分析,网络管理员已经知道了错误配置DNS和IP地址冲突的主机的IP地址。如果网络管理员保存了一份企业网设备信息的文档,立即就能定位到这些主机在企业网中的物理位置。之后,网络管理员即可采取相关的修复措施,如通知主机所有者修改错误配置等。
因业务需要,很多企业经常在企业网内部或者向Internet提供一些网络服务(如HTTP服务、FTP服务等)。为了保证这些网络服务能够正常被用户使用,并具备一定的稳定性和可靠性,这些服务器的管理员(往往也是企业的网络管理员)必须实时关注服务器是否运行正常。NAM提供了对网络服务的数据收集功能,让网络管理员在NAM的界面中就能获悉各种网络服务的流量信息,以此来判断服务器的工作状态。
图3-54为某企业的网络拓扑图,NAM集成于企业的出口路由器上。企业网中配备了HTTP服务器和FTP服务器,对企业网内部和Internet提供了HTTP服务和FTP服务。
图3-54 网络服务器负载分析组网图
HTTP服务器的IP地址为202.38.2.10,网络管理员只需查看HTTP服务器的负载情况即可初步判断当前HTTP服务能否被正常使用。同时,查看HTTP服务器的历史流量,通过分析HTTP服务的流量分布,可以了解HTTP服务器的历史运行情况,有针对性的进行维护和管理。FTP服务的判断方法类似。
(1) 查看结果
l 查看HTTP服务器202.38.2.10每天的流量图,找出一天的流量规律。
单击[Plugins/ Round-Robin Database/Arbitrary Graphs]菜单项,进入RRD数据导出配置界面。修改以下参数的值:
File: bytesSend (byesRcvd)
Host IP Address: 202.38.2.10
Legend:bytes。
Title to appear above the graph:bytesSend of 202.38.2.10
Start:now
End:now-1d
Start和End参数表明,导出的流量图以天为单位。
配置完参数以后,单击<Make Request>按钮,生成流量图。
图3-55 网络服务器最近一天的流量图
上面三张图,分别是今天、昨天和前天的流量图,从图中可以推断出每天下午3点和上午10点左右HTTP服务器的流量比较大。
l 查看HTTP服务器202.38.2.10每周的流量图,找出一周的流量规律。
单击[Plugins/ Round-Robin Database/Arbitrary Graphs]菜单项,进入RRD数据导出配置界面。修改以下参数的值:
File: bytesSend (byesRcvd)
Host IP Address: 202.38.2.10
Legend:bytes。
Title to appear above the graph:bytesSend of 202.38.2.10 this week
Start:now
End:now-1w
Start和End参数表明,导出的流量图以周为单位。
配置完参数以后,单击<Make Request>按钮,生成流量图。
图3-56 网络服务器每周流量图
上面三张图,分别是本周、上周和上两周的流量图,从图中可以推断出周一到周五,HTTP服务器的流量比较大,周末几乎无人使用HTTP服务。
l 查看HTTP服务器的TCP会话
单击[Summary/Hosts]菜单项,进入主机信息界面。点击Host 202.38.2.10,显示HTTP服务器的具体信息。
图3-57 近期访问HTTP服务器的主机
通过上图可以查看近期有哪些主机访问了HTTP服务器。
(2) 分析结果
通过查看HTTP服务器每天、每周的具体流量(特别是流量较大的时间段),可以分析HTTP服务器是否过载。上例的图中表明,HTTP服务的流量较小,HTTP服务器完全能满足现在的流量需求。
通过查看和HTTP服务器交互信息的主机IP,可以分析是否有大量的Internet用户来访问HTTP服务器。上例的图中表明,并没有很多用户使用该企业网提供的HTTP服务,或者是因为宣传较少,或者是因为网站本身不吸引人。这些数据都可以作为参考数据。
网络安全成为网络管理员越来越关注的问题。当网络中出现恶意攻击时,正确使用NAM,就能对几种常见的攻击行为进行检测和分析。
图3-58为某企业的网络拓扑图,NAM集成于企业的出口路由器上。近来,企业内部员工反映访问企业内部的WEB服务器很慢,有时甚至无法访问。网络管理员将对这一情况进行排查和分析,其中使用了NAM来帮助定位问题。
图3-58 DOS攻击检测组网图
因为员工只是反映无法访问特定的服务器,而不是无法使用网络。因此初步判断大部分网络运行正常。在网络管理员的建议下,员工之间进行了主机互ping操作,发现ping正常,而员工的主机ping服务器时却丢包严重。初步判断为服务器存在问题。
为了进行细致而深入的分析,网络管理员使用NAM对服务器进行监控。在如图3-58所示的组网环境中,网络管理员可以把服务器的流量镜像到NAM(集成于MSR系列路由器上)。登录NAM之后,通过查看NAM提供的流量统计图表,即可对服务器的流量进行监控,进而分析服务器的问题所在。
(1) 查看结果
l 查看服务器的TCP连接情况来判断是否遭受SYN Flood攻击。
启用NAM的TCP Session信息监控。单击[Admin/Configure/Startup Options]菜单项,进入NAM配置界面。把Enable Session Handling (-z)配置为Yes,如图3-59所示。
图3-59 NAM配置页面
保存配置并重启NAM。重启完毕后,NAM使能了监控TCP Session的功能。
单击[Summary/Hosts]菜单项,点击待查看的服务器的IP,进入服务器的详细信息界面。直接查看Packet Statistics表,如图3-60所示,表中显示了服务器的TCP 连接情况。如果发现收到了很多SYN报文,但没有收到对应的ACK报文,即可初步判断服务器收到了SYN Flood 攻击。
从上图可以看出服务器收到了4496个TCP的SYN报文,而只有2个是有效的,由此判定服务器正在受到SYN Flood攻击。
l 查看服务器的ICMP流量来判断是否遭受ICMP Flood攻击。
在同一个页面中,查看ICMP流量情况,如图3-61所示。
图3-61 ICMP流量情况
发现ICMP流量很大,说明服务器收到非正常的ICMP流量。
单击[Plugins/ICMP Watch/View]菜单项,进入ICMP报文信息统计界面,如图3-62所示。
图3-62 ICMP报文信息统计界面
在此界面中,可以定位到发送ICMP报文的主机。
(2) 分析结果
从NAM的各种报表中发现,服务器的大量TCP连接都是无效的。而且服务器还同时收到了大量的ICMP报文。这些都消耗了服务器大量的资源,导致服务器无法提供正常的网络服务。
配置相应的路由器设置,来减少DOS攻击,可以参考下面配置方法:
l 禁止对服务器的非开放服务的访问。
l 限制同时打开的SYN最大连接数。
l 限制特定IP地址的访问。
l 启用路由器的防DDoS的属性。
l 严格限制对外开放的服务器对外访问的权限。
在企业网中,经常因为某台PC中毒而导致病毒在网络中泛滥。更令人头疼的是,企业中的一些员工缺乏防病毒知识,而且防病毒意识淡薄。网络管理员如果能尽早发现病毒,就能及时采取措施,防止病毒在网络中的蔓延。同时定位到问题主机,及时进行杀毒和修复,消除安全隐患。
图3-63为某企业的网络拓扑图,NAM集成于企业的出口路由器上。近来,企业内部有不少员工抱怨网络速度缓慢,不能正常使用网络服务。网络管理员将对这一情况进行排查和分析,其中使用了NAM来帮助定位问题。
图3-63 病毒探测组网图
因为有较多员工反映网络速度缓慢,不能正常使用网络服务。因此初步判断网络中存在大量的无效报文,浪费了大量的带宽。在网络管理员的建议下,员工之间进行了主机互ping操作,发现ping时严重丢包。而且在没有网络连接的情况下,一些主机的网卡流量也比较大。根据这些信息,网络管理员判断网络中存在病毒。
如图3-63所示,企业使用路由器连接Intranet和Internet。Intranet主要由三个网段组成:192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。为了同时监控Intranet内部的流量,分别在RouterA,RouterB,RouterC上使用NetFlow采集流量,NetFlow目的端口为默认的2055,目的IP为路由器的NAM的管理IP。
经过以上配置,网络管理员只需登录NAM,即可查看NAM提供的流量统计图表,对网络中感染病毒的主机进行定位。另外,有些异常流量发生时并不体现为大流量,此时需要综合异常流量发生时的其它现象来判断,这些现象表现为:设备端口的包转发速率异常、网络时延较大、丢包严重、网络设备的CPU利用率频繁变化等。
& 说明:
关于NAM中NetFlow插件的典型应用,请参见3.2.1 网络流量统计(一)NetFlow流量分析。
(1) 相关配置
配置NetFlow插件。具体请参见3.2.1 网络流量统计(一)NetFlow流量分析。
(2) 查看结果
l 查看当前活动的TCP/UDP的端口
单击[Summary/Traffic]菜单项,直接找到TCP/UDP Traffic Port Distribution表,如图3-64所示。
图3-64 TCP/UDP Traffic Port Distribution表
在表中发现一个可疑端口1434,而把1434作为目的端口正是2003蠕虫王的典型特征。
l 查看使用特定目的端口的主机
为了进一步确定哪些主机在发送目的端口为1434的报文,点击相应的端口号链接,进入如图3-65所示的界面。
图3-65 Active TCP/UDP Sessions表
在表中可以看出是192.168.1.19和192.168.1.29在向192.168.1.41发送目的端口为1434的UDP报文。以此判断192.168.1.19和192.168.1.29已感染了2003蠕虫王病毒。
& 说明:
上述检测方式是实时检测,是以最近1分钟流量中的端口信息作为判断的依据。若要查看较长时间的监控结果,可以查看[IP/Local/Ports Used]界面下的端口信息(查看这些信息时,需要在[Admin/Configure/Startup Options]界面下把Local Subnet Address (-m)参数设置为需要监控网段)。
(3) 分析结果
以上通过NetFlow插件,可以清晰的定位Intranet中感染病毒的机器以及感染的病毒(需要网络管理员事先了解病毒的特征)。
如果需要发现来自Internet对Intranet的蠕虫传播,需要检查来自Internet的TCP flag设置为RST/ACK的流记录。Intranet中的主机即使关闭了相应端口也会向来自Internet的TCP请求回应RST/ACK,如3.2.6 网络安全漏洞检测(一)DOS攻击检测中的图3-60所示。这些回应了RST/ACK的主机就有可能被蠕虫病毒感染,网络管理员应该认真排查这些回应了RST/ACK的主机,及时发现病毒。
(1) 切断连接
在问题主机可控的情况下,切断问题主机的物理连接是最直接的办法,需要最先执行。
(2) 配置ACL过滤规则
在相关网络设备上配置ACL(Access Control List)过滤规则,能够灵活实现针对源/目的IP地址、协议类型、端口号等各种形式的过滤,有效防止病毒扩散。同时也带来两个副作用:
l 消耗网络设备的系统资源
l 如果过滤条件设置不当,有可能过滤一些与病毒类似的正常报文,限制了一些正常的网络访问。
网络管理员可以谨慎的采用这一方法。
(3) 配置静态空路由过滤
在可以确定异常流量目的地址的情况下,可以相关网络设备上用静态路由把异常流量的目的地址指向空(Null)。这种过滤几乎不消耗网络设备的系统资源,但同时也完全阻断了对目的地址的正常访问。
网络管理员可以根据实际情况(如病毒严重程度,目的地址的使用频度等)谨慎使用这一方法。
通过以上方式可以防止病毒的扩散,之后需要网络管理员进行有效的杀毒。
在企业网中,IP是最常用的网络通信协议。而企业员工经常会安装一些无用的网络协议,如IPX、NetBIOS等。这些协议经常广播报文,浪费了网络带宽。网络管理员可以定期普查网络协议的使用状况,发现并指导企业员工把这些无用的协议删除,优化网络环境。
图3-66为某企业的网络拓扑图,NAM集成于企业的出口路由器上。网络管理员定期使用NAM对网络协议进行查看,如果发现冗余协议,并定位到具体的主机,即可指导企业员工进行删除。
图3-66 网络冗余协议探测组网图
如图3-63所示,企业使用路由器连接Intranet和Internet。Intranet主要由三个网段组成:192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。为了监控Intranet内部的网络层协议,分别在RouterA,RouterB,RouterC上使用sFlow采集流量,sFlow目的端口为6343,目的IP为路由器的NAM的管理IP。
经过以上配置,网络管理员只需登录NAM,即可查看NAM提供的流量统计图表,对网络层协议进行查看。
& 说明:
RouterA等设备上sFlow的相关配置,请参见设备的配置手册。
(1) 相关配置
NAM提供sFlow插件作为sFlow分析工具,必须按照以下三个步骤进行正确的配置。
l 激活sFlow插件
单击[Plugins/sFlow/Active]菜单项,激活sFlow插件。
& 说明:
若此菜单项显示为Deactive,说明插件已经激活。
l 添加并配置sFlow虚拟接口
单击[Plugins/sFlow/Configure]菜单项,进入如图3-67所示的界面。
图3-67 Plugins/sFlow/Configure界面
单击<Add sFlow Device>按钮,即可创建sFlow虚拟接口,并进入虚拟接口配置界面,如图3-68所示。
图3-68 sFlow接口配置界面
需要对参数进行如下配置:
sFlow Device(interface name):sFlow
Local Collector UDP Port :6343
Virtual sFlow Interface Network Address :192.168.0.0/16
其他参数均使用默认值。
l 切换网络接口
单击[Admin/Switch NIC]菜单项,进入如图3-69所示的界面。把接口切换到sFlow接口。
图3-69 切换接口界面
(2) 查看结果
l 查看全局流量,确定网络中包含协议的类型。
单击[Summary/Traffic]菜单项,直接找到Global Protocol Distribution表,如图3-70所示。
图3-70 Global Protocol Distribution表
在表中可以看出网络中存在IPX、NetBIOS流量。网络管理员需要定位到安装了这些协议的主机。
l 定位运行了IPX和NetBIOS的主机。
单击[All Protocols/traffic]菜单项,直接找到Network Traffic表,按照IPX、NetBIOS协议的流量对主机排序,找出使用了IPX或NetBIOS的全部主机,如所示。
图3-71 Network Traffic表
根据主机的IP地址,即可定位到具体的主机。
网络管理员找到对应的主机,确认此主机不需要使用IPX或NetBIOS,把相应的协议删除即可。
Global Protocol Distribution表(图3-70)中统计的NetBIOS,包含了TCP/IP的NetBIOS(NetBT)流量和NetBEUI流量。早期的Windows及其他操作系统需要使用NetBEUI协议来进行通信,新版本的Windows都使用TCP/IP的NetBIOS(NetBT)来进行通信。
使用NetBEUI协议的操作系统包括:Microsoft Windows NT Server 3.5 或者更新版本、Microsoft Windows NT、Workstation 3.5或更新版本、Microsoft LAN Manager、Microsoft Windows for Workgroups、Microsoft Windows 3.1、Microsoft Windows 95、Microsoft Windows 98、Microsoft WindowsNT3.1、LAN Manager for UNIX,以及IBM PCLAN和LAN Server。
在[All Protocols/Traffic]菜单项对应的界面中,查看NetBIOS列,此列显示了非NetBT类型的NetBIOS报文,即NetBEUI报文。
如果发现网络中有NetBEUI协议,请在删除时确认主机的操作系统,避免因为误删出而导致主机无法通信。
如果需要监控局域网中的所有VLAN,被监控接口必须配置为trunk类型,同时把需要监控的VLAN配置为允许通过。这样即可监控相应VLAN的流量。
这是因为[Admin/Configure/Startup Options]对应的页面中,Basic Preferences下的Enable Session Handling (-z)参数没有配置为Yes。只需该参数配置为Yes,即可看到[IP/Local/Active TCP/UDP Sessions]菜单项。
通常情况下,被监控端口都配置了镜像,镜像流量被统计1次。同时,广播报文会在所在的VLAN中泛洪,监控端口也会接收到此泛洪,于是再被统计1次。因此一共会被统计2次。
若NAM启动时的配置参数No DNS(-n)为no(具体请参见附录A.7.2.1),则NAM会把探测到的IP地址试图解析成相应的FQDN名称。如果解析成功,则在Host列显示FQDN名称,否则显示IP地址。若NAM启动时的配置参数No DNS(-n)为yes,则NAM不对探测到的IP地址进行解析,直接显示为IP地址。若NAM探测到的报文不是基于IP的(如:STP、IPX等),则显示为MAC地址。
只有IP地址解析成相应的FQDN名后,才能显示正确的Domain。Domain列通常以图标的方式显示。如果IP地址不属于私有IP地址范围(10.0.0.0/8、176.16.0.0/12或192.168.0.0/16),则NAM会查找p2c.opt.table.gz文件,从中找出IP地址与国家的对应关系,然后以相应的国旗表示。如果p2c.opt.table.gz文件中包含的不是最新的对应关系,则IP地址与国家的对应关系可能出错。
可以到相应网站下载最新的信息,也可以手工编辑配置文件(甚至添加新的国家图标)来更新IP与国家的对应关系。点击NAM对应页面中的NOTE下面的here链接,可查看详细步骤。
NAM把正在使用的数据都保存在内存中,所以重启NAM软件后这些数据会丢失。历史数据保存在RRD数据库中,激活RRD插件后,即可查看历史数据。
在[Admin/Switch NIC]中查看监控端口是否正确。如果端口配置正确却没有流量,请查看路由器上端口GigabitEthernet 1/0流量情况,只有GigabitEthernet 1/0的流量会被统计。
在NAM软件中,如果启用了NetFlow或sFlow插件,则Don't Merge Interfaces (-M)不生效。
因为两者并不冲突。
Capture File Path参数的含义是从文件中读取报文数据,NetFlow、sFlow虚拟接口则打开了相应的UDP端口监听数据。两者的数据来源不同,不会冲突。NAM都会进行统计。
Preference和Startup Options中的参数表现形式不同,而且Preferences中的参数更加齐全。Preferences和Startup Options中的参数配置的效果相同。
[Admin/Configure/Reset Stats]清空了内存中的数据。进行了清空操作之后,页面还会有显示两种数据:
l 清空操作之后,NAM实时监控的流量。
l 某些存放在磁盘中的数据,如[Summary/Network Load]中显示的数据。
[Admin/Configure/Startup Options]中的Local Subnet Address参数用于配置local的范围。
举例说明如下:
配置了Local的范围为1.2.3.0/24
源为1.2.3.0/24、目的为1.2.3.0/24的数据属于local->local。
原为1.2.3.0/24、目的为131.114.21.9的数据属于local->remote。
remote->local和remote->remote类似。
(1) 确认RRD插件是否使能
(2) 缺省情况下,没有为每个主机保存一个RRD文件。如果需要输出某个主机的流量,需要在[Admin/Configure/Startup Options]中通过Local Subnet Address参数配置该主机所在的子网和掩码。
出现这个日志的原因是NAM发现同一个主机的报文(同一个IP和MAC)属于不通的VLAN。NAM软件发现一个报文就统计一个报文,有可能出现重复统计。因此这不是问题。
NAM软件具有一定的告警功能。当主机的某些配置或者网络行为符合NAM中的某些设定时,就会显示risk flag。不同颜色的risk flag用于提示主机不同的配置或网络行为。具体情况可以参见NAM软件页面中对risk flag的说明。
这是为了表达主机的一些特殊信息。例如:ACTIVE TCP SESSIONS中用五种不同的颜色表示主机距第一次被NAM捕获到报文的时间。
(1) 请确认NAM是否已经启动,具体操作请参见2.3.6 启动和关闭NAM软件。
(2) 请确认使用的访问方式是否正确,即需要正确使用http或https来访问NAM。
Cluster是管理员根据自身需要配置的网段,在[Admin/Configure/Preferences]中设置。格式为:cluster.myCluster = 网段范围,其中myCluster为管理员自定义的网段名称,网段范围格式如下所示:169.254.0.0/16,192.168.0.0/16,可以设置一个或者多个网段。
因为NAM对于这些协议的统计是基于端口号的,如果网络中的某些报文使用的端口号恰好与这些协议的相同,那么就会出现上述情况。
BPF是一种过滤机制,用于筛选需要关注的报文。BPF表达式是一种基本的格式,表示了筛选报文的条件。
BPF表达式一般由三种类型的原语组成:
Type:host、net、port
Dir:src、dst、src or dst、src and dst
Proto:ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp
各原语用and、or、not连接。
如:src host 192.168.1.1 and dst host 192.168.1.2 就表示筛选源为192.168.1.1,目的为192.168.1.2的报文。
表4-1 常见原语表
|
常见的基本原语 |
常见的基本原语 |
常见的基本原语 |
|
dst host host |
src net net |
greater length |
|
src host host |
net net |
ip proto protocol |
|
host host |
net net mask mask |
ether broadcast |
|
ether dst ehost |
net net/len |
ip broadcast |
|
ether src ehost |
dst port port |
ether multicast |
|
ether host ehost |
src port port |
ip multicast |
|
gateway host |
port port |
ether proto protocol |
|
dst net net |
less length |
|
& 说明:
上表中正体字表示原语中的关键字;斜体字表示原语中的参数,需要原语使用者自定义。
在报文的分类统计图中,统计值均省略了计数单位Bytes,如1.3k表示1.3k Bytes,1.3M表示1.3M Bytes。
统计值后面的字母(区分大小写)表示该统计值的数量级。每个字母的具体含义请参见表4-2。
表4-2 字母含义表
|
字符 |
含义 |
|
a |
10e-18(Ato) Bytes |
|
f |
10e-15(Femto) Bytes |
|
p |
10e-12(Pico) Bytes |
|
n |
10e-9(Nano) Bytes |
|
u |
10e-6(Micro) Bytes |
|
m |
10e-3(Milli) Bytes |
|
无 |
Bytes |
|
k |
10e3(Kilo) Bytes |
|
M |
10e6(Mega) Bytes |
|
G |
10e9(Giga) Bytes |
|
T |
10e12(Terra) Bytes |
|
P |
10e15(Peta) Bytes |
|
E |
10e18(Exa) Bytes |
l 小流量报文统计值对应的纵坐标比大流量报文统计值对应纵坐标值还大。
l 某些类型报文的统计值和其在图中对应的纵坐标不相符。
为了清晰显示代表各种类型报文的颜色,第二种报文的图形会以第一种报文的数值对应的纵坐标作为y坐标轴的原点进行绘制,以此类推。因此,当查看图中纵坐标不是从0开始的色块所代表的报文数值时,正确值为该色块对应的纵坐标最大值和最小值之差。
这是因为此时图中的x坐标轴对应的纵坐标数值不为0。
NAM收集的流量信息都是时间敏感数据,在计算各种统计值时会使用当前系统时间。如果修改了Linux的系统时间,就会导致各种统计值计算错误,甚至出现负数值的情况。因此请不要轻易修改Linux的系统时间。如果确实需要修改,请在修改后重新启动NAM软件。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
