1、网络运行情况分析方法论科来安徽办 王超目录l引言l网络运行情况包含的内容l网络运行情况分析方法l利用科来分析网络运行情况的步骤l网络运行情况报告实例样式l结语引言l 我们了解我们维护的网络吗?l 我们的网络需要改造升级吗?l 我们的链路带宽需要扩容吗?l 什么业务占用了我们的链路?l QOS策略到底需要对各种应用控制多大的流量?l 服务器为什么变慢了?l 服务器性能够用了吗?l 有人在扫描我们的服务器吗?l 为什么上网速度变慢了?l 如何发现网内的异常主机?l 我们向领导提交什么样的月报或年报呢?l 。 怎么搞呢?怎么搞呢?引言分析一下网络运行分析一下网络运行的情况的情况即可解决楼即可解决楼上
2、两位的问题!上两位的问题!如何分析网络如何分析网络运行情况呢?运行情况呢?同志们,搞好同志们,搞好网络分析是很网络分析是很有钱途的!有钱途的!网络运行情况分析的内容网络组成网络组成办公区域办公区域服务区服务区边界接入区边界接入区网络运行情网络运行情况分析内容况分析内容业务业务性能性能安全性安全性其他其他网络运行情况分析的内容网络运行情况分析的内容网络划分的区域:网络划分的区域:接入边界侧重分析内容数据包大小分布TCP连接建立情况其他边界接入每秒包数链路利用率边界峰值流量性能边界平均流量网络连接数业务应用分布安全性外部攻击服务器侧重分析内容数据包大小分布TCP连接建立情况其他服务区每秒包数服务器
3、峰值流量性能服务器平均流量网络连接数业务服务响应时间安全性服务窗口变化业务异常特征业务应用分布攻击扫描办公区侧重分析内容数据包大小分布TCP连接建立情况其他办公区域办公区峰值流量性能办公区平均流量网络连接数业务应用分布安全性攻击扫描网络运行情况分析的方法l流量监控法(snmp、netflow)l设备日志分析法l数据包分析法l采样法数据包分析数据包分析流量监控法流量监控法设备日志分析法设备日志分析法采样法采样法设备日志分析法数据包分析数据包分析流量监控法流量监控法设备日志分析法设备日志分析法采样法采样法 通过对不同网络设备(主要指安全设备,如IDS、IPS、流量整形设备、行为管理设备等)的日志内
4、容(包括流量、攻击、业务分布等内容)的分析来收集相应的网络运行情况的数据,从而完成对网络运行情况的分析流量监控法 通过对相关网络设备(主要指交换机、路由器、其他网关型设备)接口流量的监控(主要通过SNMP或netflow技术实现)来分析网络运行流量或业务分布的相关情况数据包分析数据包分析流量监控法流量监控法设备日志分析法设备日志分析法采样法采样法数据包分析法 通过对网络中的不同网段区域(边界接入区域、服务器区域、办公区域等)中的数据包的捕获和分析来实现对各种不同网络区域的流量、性能、安全性、异常等情况的评估数据包分析数据包分析流量监控法流量监控法设备日志分析法设备日志分析法采样法采样法采样法
5、网段采样:网段采样:在网络规模较在网络规模较大,网络同质性很大时,大,网络同质性很大时,我们可以通过对部分具有我们可以通过对部分具有代表性的网段进行采样分代表性的网段进行采样分析析 时间段采样:时间段采样:根据网络不根据网络不同时间段的运行情况,我同时间段的运行情况,我可以按照时间段进行采样可以按照时间段进行采样分析分析 采样法可以辅助其他的分采样法可以辅助其他的分析方法一起工作析方法一起工作数据包分析数据包分析流量监控法流量监控法设备日志分析法设备日志分析法采样法采样法各种分析方法对比l 分析方法分析方法l 数据包分析法数据包分析法l 流量监控法流量监控法l 设备日志分析法设备日志分析法l
6、采样法采样法l 优点优点l 不足不足 SNMP可以形成长期的流量曲线图 Netflow可以生成较为详尽的业务应用流量分布数据 Snmp只能针对接口流量 Netflow只能识别四层以上的数据流量 需要设备支持 难以全网部署 主要分析接口的流量情况 无法对服务器的效能进行评估和分析 无法分析网络的安全性各种分析方法对比l 分析方法分析方法l 数据包分析法数据包分析法l 流量监控法流量监控法l 设备日志分析法设备日志分析法l 采样法采样法l 优点优点l 不足不足 根据设备类型的不同,其日志内容各有侧重。 流量管理类设备的日志可以提供较为详尽的网络流量信息和业务分布数据。 IDS、IPS等设备的日志则
7、可以提供丰富、专业的网络安全方面的相关信息 一般只能分析边界接入区域 需要部署相关专业的设备 安全类的日志误报率太高 无法提供完整的数据包数据 无法实现对业务应用的分析 可以提供的网络运行情况的信息较为单一,不全面各种分析方法对比l 分析方法分析方法l 数据包分析法数据包分析法l 流量监控法流量监控法l IDS日志分析法日志分析法l 采样法采样法l 优点优点l 不足不足 可以提供最为完整的网络运行情况的数据信息 部署灵活,可以根据需要部署在网络中的任何位置 功能丰富,可以详尽的分析网络的性能、业务服务、安全性等情况 技术含量较高,需要一定的理论基础和专业素质 需要一定的工作量各种分析方法对比l
8、 分析方法分析方法l 数据包分析法数据包分析法l 流量监控法流量监控法l IDS日志分析法日志分析法l 采样法采样法l 优点优点l 不足不足 方法成熟,运用简单 提高分析网络运行情况的工作效率 不能完全反应网络的运行情况 如果采样点选取的不好,分析的结果将难以反应网络实际的运行情况,有事甚至差别很大网络运行情况分析的方法数据包分析数据包分析流量监控法流量监控法设备日志分析法设备日志分析法采样法采样法通过上面的分析,我们在对网络运行情况通过上面的分析,我们在对网络运行情况进行分析的时候,进行分析的时候,数据包分析法是最理想数据包分析法是最理想、最基本的分析方法、最基本的分析方法,在实际的网络环境
9、,在实际的网络环境中,我们需要考虑结合其他的方法一起完中,我们需要考虑结合其他的方法一起完成我们的分析工作:成我们的分析工作: 网络规模大、同质性强时,结合采样法以提高我们的工作效率,降低工作量,提高分析网络运行情况的工作效率 在边界接入区域,结合流量监控法或设备日志分析法,分析网络运行的流量情况 在服务器区域或办公区域,结合设备日志分析法,分析网络运行的安全性分析网络运行情况步骤5.报告报告1.计划计划2.部署部署3.抓包抓包4.分析分析分析网络运行情况步骤制定计划制定计划工具部署工具部署数据收集数据收集数据分析数据分析生成报告生成报告 确定分析内容:根据实际需求,确定分析内容(性能、业务、安全性) 确定其他分析方法:结合实际环境,看能否结合其他三种分析方法一起分析 确认科来的部署位置 根据计划,部署科来网络分析系统(交换机端口镜像、hub串接、分路器串接) 根据抓取的数据包,结合计划中需要分析的内容,对采集到的数据包进行相应的深度分析 根据分析计划,结合数据包深度分析的结果,生成网络运行情况报告 根据计划,在合理的时间段内,开启科来抓取网络数据包并保存备用网络运行情况报告实例样式结语l网络分析方法论尚需完善,欢迎专业人士提宝贵意见! 邮箱: QQ:349932999l欲知实战如何分析,敬请期待下回讲解!
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。