1、0构建全方位的网络监测平台唐海娜中国科技网网络中心研发部October 2004 1v网络监测的内容及重要性网络监测的内容及重要性v中国科技网网络监测平台中国科技网网络监测平台v几个实用的网络监测工具几个实用的网络监测工具v下一步的研发计划下一步的研发计划v总结总结2网络发展趋势网络发展趋势网络环境日趋复杂,如:网络环境日趋复杂,如:FR、ATM、VPN网络技术日新月异,如:网络技术日新月异,如:IP电话、电话、IPv6所有的业务运行都和网络紧密相关所有的业务运行都和网络紧密相关网络管理发展趋势网络管理发展趋势实现对复杂网络环境的可视化监控实现对复杂网络环境的可视化监控从监控网络设备到面向网络
2、应用的管理从监控网络设备到面向网络应用的管理在问题未发生时提前预警,最大限度的保证业务应用在问题未发生时提前预警,最大限度的保证业务应用servicesincidentschangecallsstaffcomponentscustomersavailabilitysecurityperformancerecoverabilityusageuserslobm/econbuyerstaffexec mgmtit mgmtreporttrackmeasure(aggregate)network elementsappssystemsopsmgmthelpdesk3网络设备的工作状态是否正常,有没网络
3、设备的工作状态是否正常,有没有直观的监控手段?有直观的监控手段?端到端的网络链路是否正常,网络的端到端的网络链路是否正常,网络的瓶颈在哪里?瓶颈在哪里?网络中发生了什么故障,哪些影响了网络中发生了什么故障,哪些影响了我的网络运行,影响程度如何?我的网络运行,影响程度如何?网络发生了问题,到底根源问题在哪网络发生了问题,到底根源问题在哪里?里?网络的流量如何,带宽需不需要扩容网络的流量如何,带宽需不需要扩容?谁在消耗带宽?谁在消耗带宽?4v网络监测网络监测(Network Measurement)Network Measurement)提供了一种探索实际环提供了一种探索实际环境中网络特性的手段。
4、境中网络特性的手段。v网络监测是指从网络设备上采集数据、收集数据、分析数网络监测是指从网络设备上采集数据、收集数据、分析数据的过程。它从网络中采集一些具体指标性数据,并反馈据的过程。它从网络中采集一些具体指标性数据,并反馈给监测者。这些数据可以用来作为分析网络性能、了解网给监测者。这些数据可以用来作为分析网络性能、了解网络运行动态、诊断可能存在的问题、甚至预测可能出现问络运行动态、诊断可能存在的问题、甚至预测可能出现问题的题的“度量值度量值“。5v网络监测对ISP至关重要:网管人员全面了解网络运行状况的重要手段网管人员全面了解网络运行状况的重要手段网络安全保障的前提网络安全保障的前提网络计费的
5、前提网络计费的前提实现网络实现网络SLASLA的前提的前提网络扩容、升级改造、容量规划的重要依据网络扩容、升级改造、容量规划的重要依据ISPISP建立对等连接的重要依据建立对等连接的重要依据v网络监测对网络使用者非常重要:保护重要应用的前提保护重要应用的前提实现网络安全的手段实现网络安全的手段6v主动监测(active):active):流量采集者主动发包去探测网络设备的运流量采集者主动发包去探测网络设备的运行情况,根据反馈信息分析网络的具体性能。行情况,根据反馈信息分析网络的具体性能。Ping,Ping,TracerouteTracerouteHttp getsHttp gets基于事件戳的
6、分布式测量基于事件戳的分布式测量v被动监测(passive):passive):被动采集网络中现有的标志性数据以了解被动采集网络中现有的标志性数据以了解网络设备的运行情况。网络设备的运行情况。TcpdumpTcpdumpCisco Cisco NetflowNetflowSnmpSnmp7v性能参数测量性能参数测量delay,loss,jitterdelay,loss,jitterv路由测量路由测量路由稳定性;路由可达性路由稳定性;路由可达性;网络拓扑网络拓扑v流量测量流量测量端口进出流量;协议、服务比率;字节、流、包的比率端口进出流量;协议、服务比率;字节、流、包的比率v服务可用性测量服务可
7、用性测量WebWeb服务;服务;emailemail服务;服务;ftpftp服务服务v其他其他8vIPIP网络监测的内容及重要性网络监测的内容及重要性v中国科技网网络监测平台中国科技网网络监测平台v几个实用的网络监测工具几个实用的网络监测工具v下一步的研发计划下一步的研发计划v总结总结9v基于基于RRDtoolRRDtool的的MRTGMRTGv面向安全监测的协议分析仪面向安全监测的协议分析仪v网络气象图网络气象图vHttp getsHttp getsvothersothers10vMRTG(Multi Router Traffic Grapher)称为多称为多路由器流量图示仪,它采用路由器流
8、量图示仪,它采用SNMPSNMP协议采集网络设协议采集网络设备上备上MIBMIB库里的值,加工数据后绘制出流量曲线图库里的值,加工数据后绘制出流量曲线图显示在显示在WEBWEB上。上。vRRDtool:循环数据库。提供了丰富的绘图功能,循环数据库。提供了丰富的绘图功能,海量数据的存储能力。海量数据的存储能力。11v高效的数据采集性能高效的数据采集性能系统在系统在5 5分钟内可以处理的端口数目达分钟内可以处理的端口数目达50005000个。个。v长期的历史数据查询长期的历史数据查询 提供长达一年的精确数据查询。提供长达一年的精确数据查询。v方便的图形查看、缩放方便的图形查看、缩放点击可以缩放正在
9、查看的图像点击可以缩放正在查看的图像,从而使系统操作更加灵活。从而使系统操作更加灵活。v准确的数值显示准确的数值显示 在小时图上移动鼠标可以查看该点的详细流量,包括时间、该时的在小时图上移动鼠标可以查看该点的详细流量,包括时间、该时的进出速率。进出速率。v用户权限分级管理用户权限分级管理 流量数据安全保密流量数据安全保密。1213v背景背景网络蠕虫攻击、带宽滥用、网络蠕虫攻击、带宽滥用、DDoSDDoS攻击成为网络攻击成为网络的隐患的隐患网络带宽的占用按时间成规律性分布网络带宽的占用按时间成规律性分布“流流”分析技术成为近年来安全监测技术的热分析技术成为近年来安全监测技术的热点点大量的攻击事件
10、可以从流量的异常中预知大量的攻击事件可以从流量的异常中预知14v服务监测、协议监测服务监测、协议监测vTop n userTop n user、Top n portsTop n ports监测监测v安全分析安全分析v实时报警实时报警15 根据以下描述整体网络的使根据以下描述整体网络的使用量用量:接口接口(国际、国内)国际、国内)服务服务(tcp,udp,icmp.)应用应用(email,http,ftp,p2p.)16 根据以下描述用户的网络行为:根据以下描述用户的网络行为:Top n User Top n Port17v 流量建模流量建模设定基线,建立正常模式下的流量模型设定基线,建立正常模
11、式下的流量模型某应用的流量突然上升某应用的流量突然上升,Code Red,Code Red,NimdaNimda?v 模式匹配模式匹配端口匹配,如端口匹配,如sqlsql slammer slammer攻击是针对攻击是针对UDPUDP端口端口14341434地址匹配,如地址匹配,如W32/W32/NetskyNetsky.c.c蠕虫发作时会向如下蠕虫发作时会向如下dnsdns主机发出解析请求:主机发出解析请求:145.253.2.171,151.189.13.35,193.189.244.205,193.193.144.12,193.1145.253.2.171,151.189.13.35,1
12、93.189.244.205,193.193.144.12,193.193.158.1093.158.10等等等等v 扫描发现扫描发现TopNTopN session,session,单个主机对单个或多个目标主机发出超过正常数量的连接单个主机对单个或多个目标主机发出超过正常数量的连接请求请求IPIP伪装伪装源地址、目的地址都非科技网地址源地址、目的地址都非科技网地址1819v尝试以网络气象图的形式来展示网络运行状况尝试以网络气象图的形式来展示网络运行状况v为中国科技网骨干网网络运行提供全局的性能监测为中国科技网骨干网网络运行提供全局的性能监测v图示化北京核心到图示化北京核心到1212个分中心的
13、骨干网的网络性能个分中心的骨干网的网络性能状况状况端到端的性能端到端的性能每一跳的性能每一跳的性能20v网络拓扑图网络拓扑图:整体图整体图地区图地区图21v终端图:终端图:提供了端到端网络性能的浓缩,包括提供了端到端网络性能的浓缩,包括 Max Max cpucpu/memmem/bandwidth/loss utilization/bandwidth/loss utilization22v延迟图延迟图:集成化的集成化的delay,lossdelay,loss监测监测WebWeb方式的方式的TracerouteTraceroutevTOP HITSTOP HITS等表格等表格23v模拟模拟Ht
14、tpHttp请求实时监测网络性能数据请求实时监测网络性能数据v得到网络性能的变化规律得到网络性能的变化规律v网络性能历史统计分析网络性能历史统计分析v网络性能数据预测网络性能数据预测v及时报警及时报警2425vIPIP网络监测的内容及重要性网络监测的内容及重要性v中国科技网网络监测平台中国科技网网络监测平台v几个实用的网络监测工具几个实用的网络监测工具v下一步的研发计划下一步的研发计划v总结总结26v基于基于nagiosnagios的服务测量(的服务测量(WhatsUpWhatsUp Gold)Gold)vPing,Ping,TracerouteTraceroutevPingplotterPi
15、ngplottervSmokepingSmokepingvTcpdumpTcpdump,ethereal,ethereal27v http:/www.http:/28#tcpdump udptcpdump udptcpdumptcpdump:listening on eth0:listening on eth015:33:41.300667 ntec1-20.15:33:41.300667 ntec1-20.syslogsyslog ntec16-36.ntec16-36.syslogsyslog:udpudp 44 4415:33:41.301376 ntec1-20.15:33:41.30
16、1376 ntec1-20.syslogsyslog ntec16-36.ntec16-36.syslogsyslog:udpudp 49 4915:33:41.313577 ntec1-20.699 fortress.989:15:33:41.313577 ntec1-20.699 fortress.989:udpudp 92 9215:33:41.314269 fortress.989 ntec1-20.699:15:33:41.314269 fortress.989 ntec1-20.699:udpudp 68 6815:33:42.900653 ntec3-20.649 fortres
17、s.989:15:33:42.900653 ntec3-20.649 fortress.989:udpudp 56 5615:33:42.901399 ntec1-20.700 fortress.989:15:33:42.901399 ntec1-20.700 fortress.989:udpudp 92 9215:33:42.899936 fortress.989 ntec3-20.649:15:33:42.899936 fortress.989 ntec3-20.649:udpudp 28 2815:33:42.900232 fortress.989 ntec1-20.700:15:33:42.900232 fortress.989 ntec1-20.700:udpudp 64 6429v推出用户权限的网络监测平台推出用户权限的网络监测平台v构建基于时钟同步的分布式网络监测构建基于时钟同步的分布式网络监测vBGPBGP路由稳定性监测路由稳定性监测vIPv6IPv6环境下的网络监测环境下的网络监测30v网络监测对于网络监测对于NOCNOC的运营至关重要的运营至关重要v构建完善的网络监测平台构建完善的网络监测平台,为网络运行保驾护航为网络运行保驾护航31
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。