暢通無(wú)阻的網(wǎng)絡(luò)性能是許多 NetOps 活動(dòng)的核心目標(biāo)，其中之一是通過(guò)使用數(shù)據(jù)包數(shù)據(jù)和網(wǎng)絡(luò)流來(lái)解決網(wǎng)絡(luò)性能問(wèn)題。當(dāng)聚合和分析流和數(shù)據(jù)包數(shù)據(jù)時(shí)，網(wǎng)絡(luò)洞察力可以引導(dǎo)團(tuán)隊(duì)找到更好的解決方案。對(duì)于每次性能下降時(shí)都依賴重新啟動(dòng)系統(tǒng)的小型企業(yè)，流量洞察會(huì)引導(dǎo)他們了解網(wǎng)絡(luò)使用情況，然后找到網(wǎng)絡(luò)問(wèn)題的根本原因。擁有關(guān)鍵業(yè)務(wù)服務(wù)的大型企業(yè)可能已經(jīng)在利用流和數(shù)據(jù)包數(shù)據(jù)來(lái)監(jiān)控他們的環(huán)境，即使只使用基本的數(shù)據(jù)包分析工具。

流和數(shù)據(jù)包數(shù)據(jù)是收集線索以修復(fù)性能問(wèn)題的基礎(chǔ)數(shù)據(jù)源（查看事件、日志和系統(tǒng)日志以獲取更多來(lái)源）。為了從流經(jīng)網(wǎng)絡(luò)的海量數(shù)據(jù)包數(shù)據(jù)中發(fā)掘線索，高級(jí)網(wǎng)絡(luò)性能監(jiān)控和診斷 (NPMD) 軟件會(huì)收集重要的網(wǎng)絡(luò)指標(biāo)和數(shù)據(jù)，對(duì)其進(jìn)行分析，然后將組織內(nèi)部網(wǎng)絡(luò)活動(dòng)的準(zhǔn)確表示可視化：內(nèi)部、虛擬和云環(huán)境。這種程度的網(wǎng)絡(luò)可見(jiàn)性對(duì)于 IT 團(tuán)隊(duì)解決網(wǎng)絡(luò)性能和安全問(wèn)題至關(guān)重要。

01

什么是流和數(shù)據(jù)包

數(shù)據(jù)包包含線索。整個(gè)文件不會(huì)在整個(gè)網(wǎng)絡(luò)中以一份形式傳輸。相反，網(wǎng)絡(luò)消息被打包，然后通過(guò)互聯(lián)網(wǎng)和其他連接路由，在目的地重新組裝。每個(gè)數(shù)據(jù)包通常被組織成三個(gè)段，無(wú)論其大小如何，即header、payload和footer。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)路由器時(shí)，它們的頭部被讀取并基于 5-7 個(gè)數(shù)據(jù)包頭部屬性進(jìn)行“指紋識(shí)別”。

僅從上面的那幾個(gè)數(shù)據(jù)包屬性就可以理解大部分網(wǎng)絡(luò)行為。

• 源地址和目標(biāo)地址告訴誰(shuí)是流量的發(fā)起者和接收者

• 端口和服務(wù)等級(jí)說(shuō)明正在使用的應(yīng)用程序及其流量?jī)?yōu)先級(jí)

• 設(shè)備接口告訴設(shè)備如何利用流量

• 通過(guò)統(tǒng)計(jì)數(shù)據(jù)包，可以確定總的流量流量

• 時(shí)間戳可用于及時(shí)放置流并確定其速率

• 應(yīng)用程序和網(wǎng)絡(luò)延遲提供有關(guān)每個(gè)事務(wù)所需時(shí)間的度量

02

如何衡量

此外，通過(guò)深度數(shù)據(jù)包檢查，數(shù)據(jù)包會(huì)根據(jù)一組由 NetOps 和/或 SecOps 團(tuán)隊(duì)創(chuàng)建的定制規(guī)則進(jìn)行判斷（過(guò)濾）。通過(guò)將某些流量列入白名單或黑名單，例如僅允許關(guān)鍵協(xié)議，或基于來(lái)自先前已知為威脅的數(shù)據(jù)庫(kù)的匹配簽名拒絕數(shù)據(jù)包模式，DPI 可用于入侵檢測(cè)系統(tǒng) (IDS) 和入侵防御系統(tǒng)(IPS) 以防止蠕蟲(chóng)、病毒和間諜軟件進(jìn)入網(wǎng)絡(luò)，并在出現(xiàn)網(wǎng)絡(luò)問(wèn)題時(shí)提醒團(tuán)隊(duì)。

03 使用監(jiān)控軟件解決網(wǎng)絡(luò)性能問(wèn)題

對(duì)網(wǎng)絡(luò)性能問(wèn)題進(jìn)行故障排除是一個(gè)找出相關(guān)數(shù)據(jù)線索的過(guò)程，這些線索可以導(dǎo)致對(duì)潛在問(wèn)題的合理評(píng)估。有時(shí)問(wèn)題很簡(jiǎn)單，例如，路由器可能會(huì)變得擁塞，但問(wèn)題不一定是設(shè)備故障，而是了解網(wǎng)絡(luò)流量使用情況可能會(huì)導(dǎo)致重新配置修復(fù)，將業(yè)務(wù)關(guān)鍵流量?jī)?yōu)先于個(gè)人使用流量，從而導(dǎo)致過(guò)度消耗帶寬資源。如果監(jiān)控網(wǎng)絡(luò)流量，可以很快得出這個(gè)結(jié)論，如果監(jiān)控軟件能夠清楚地可視化流量或生成警報(bào)，則可以更快地得出結(jié)論。

底層網(wǎng)絡(luò)問(wèn)題越復(fù)雜，就越需要協(xié)議和數(shù)據(jù)包分析方面的偵查和專業(yè)知識(shí)。通過(guò)使用 NPMD 和網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR) 軟件，找到常見(jiàn)問(wèn)題的答案相當(dāng)容易，只需深入到可視化的問(wèn)題區(qū)域，讓軟件嗅出潛在問(wèn)題并提供反饋，有些還可能建議潛在問(wèn)題修復(fù)，其他人可能會(huì)為您提供詳細(xì)的圖表和表格，以進(jìn)行您自己的評(píng)估。流圖中的橙色圓圈顯示了組織整體網(wǎng)絡(luò)中的擁塞部分，單擊橙色圓圈將深入到故障區(qū)域。

可能有幾個(gè)罪魁禍?zhǔn)拙蜁?huì)導(dǎo)致網(wǎng)絡(luò)滯后。例如，網(wǎng)絡(luò)擁塞的根本原因可能來(lái)自網(wǎng)絡(luò)設(shè)備故障或配置錯(cuò)誤、內(nèi)部帶寬使用過(guò)多或外部 DDoS 攻擊。如果沒(méi)有分析流量和數(shù)據(jù)包數(shù)據(jù)的綜合工具，嘗試和錯(cuò)誤可能是網(wǎng)絡(luò)運(yùn)營(yíng)商唯一的替代故障排除方法。

• 拓?fù)湟晥D對(duì)于理解底層物理網(wǎng)絡(luò)非常重要，因?yàn)楫?dāng)今的網(wǎng)絡(luò)更加復(fù)雜和動(dòng)態(tài)，融合了不同的技術(shù)，如廣域網(wǎng)、SD-WAN、WiFi、遠(yuǎn)程站點(diǎn)、數(shù)據(jù)中心和多云服務(wù)，因此尤其難以排除故障。
• 流路徑分析功能提供設(shè)備、接口、應(yīng)用程序、VPN 和用戶的端到端可見(jiàn)性。通過(guò)關(guān)聯(lián)躍點(diǎn)和流量，監(jiān)控軟件可以將網(wǎng)絡(luò)和應(yīng)用程序性能疊加到拓?fù)湟晥D上。綜合起來(lái)，這些模型將性能與底層物理網(wǎng)絡(luò)相關(guān)聯(lián)，強(qiáng)調(diào)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的弱點(diǎn)。
• 應(yīng)用程序監(jiān)控通過(guò)了解跨多個(gè)網(wǎng)段、域和結(jié)構(gòu)的應(yīng)用程序?qū)拥臄?shù)據(jù)包數(shù)據(jù)來(lái)識(shí)別應(yīng)用程序使用情況。這不僅有助于了解網(wǎng)絡(luò)性能，而且可以直接解決用戶體驗(yàn)問(wèn)題并減少負(fù)面業(yè)務(wù)影響。

• 入侵檢測(cè)和預(yù)防監(jiān)控對(duì)于檢測(cè)可能發(fā)生的事件的跡象并試圖阻止它們很有用。在更高級(jí)的網(wǎng)絡(luò)中發(fā)現(xiàn)，作為預(yù)防網(wǎng)絡(luò)性能下降的主動(dòng)響應(yīng)，IDS 和 IDP 系統(tǒng)依靠讀取數(shù)據(jù)包并應(yīng)用多種檢測(cè)技術(shù)、基于簽名的方法、基于異常的方法和狀態(tài)協(xié)議分析來(lái)檢測(cè)問(wèn)題即時(shí)的。

04利用流和數(shù)據(jù)包進(jìn)行故障排除

• 拓?fù)湟晥D

• 識(shí)別需要升級(jí)或更換的基礎(chǔ)設(shè)施組件

• 使用自動(dòng)設(shè)備發(fā)現(xiàn)維護(hù)實(shí)時(shí)全面的設(shè)備清單

• 主動(dòng)識(shí)別阻塞點(diǎn)

• 比較不同的性能指標(biāo)

• 流路徑分析

• 根據(jù) IP 地址跨端點(diǎn)識(shí)別可能的路由、躍點(diǎn)和網(wǎng)絡(luò)延遲影響

• 識(shí)別由負(fù)載平衡引起的問(wèn)題

• 識(shí)別由路由引起的問(wèn)題

• 應(yīng)用監(jiān)控

• 建立可用于監(jiān)控異常流量水平的性能基線

• 發(fā)現(xiàn)有關(guān)如何在應(yīng)用程序級(jí)別使用網(wǎng)絡(luò)的最深刻見(jiàn)解

• 識(shí)別允許使用的策略弱點(diǎn)

• 入侵檢測(cè)和防御監(jiān)控

• 根據(jù)其簽名（基于簽名）識(shí)別已知的攻擊或攻擊類型

• 識(shí)別與網(wǎng)絡(luò)行為規(guī)范的偏差（基于異常）

• 識(shí)別與協(xié)議使用規(guī)范的偏差（狀態(tài)協(xié)議分析）

這表明從流和數(shù)據(jù)包數(shù)據(jù)推斷的端到端可見(jiàn)性有助于在最關(guān)鍵級(jí)別進(jìn)行網(wǎng)絡(luò)故障排除，并為進(jìn)一步監(jiān)控跟蹤應(yīng)用程序性能的集成以及對(duì)業(yè)務(wù)目標(biāo)產(chǎn)生重大影響的復(fù)雜用戶體驗(yàn)奠定基礎(chǔ)。

05使用LiveNX進(jìn)行網(wǎng)絡(luò)故障排除

LiveNX基于流（即 Netflow、IPFIX、SFlow、JFlow 等）,SNMP和數(shù)據(jù)包等多種數(shù)據(jù)源，通過(guò)來(lái)自幾乎任何地方的數(shù)據(jù)——WAN、SD-WAN、WiFi、遠(yuǎn)程站點(diǎn)、數(shù)據(jù)中心，查看并整個(gè)網(wǎng)絡(luò)，關(guān)聯(lián)多種數(shù)據(jù)源，實(shí)現(xiàn)端到端的可視化分析。輕松地從警報(bào)和上下文數(shù)據(jù)下鉆到 Flow 性能數(shù)據(jù)，并進(jìn)一步深入到目標(biāo)數(shù)據(jù)包級(jí)分析，以實(shí)現(xiàn)全面的故障解決工作流程 - 實(shí)現(xiàn)加速網(wǎng)絡(luò)、減少延遲抖動(dòng)并減少 MTTR。LiveNX 提供從多個(gè)事件聚合的特定的警報(bào)，從而僅顯示需要立即關(guān)注的警報(bào)。此外，LiveNX Insight 模塊利用機(jī)器學(xué)習(xí)進(jìn)行主動(dòng)異常檢測(cè)和路徑更改通知。LiveNX 可幫助您以前所未有的方式排除網(wǎng)絡(luò)故障：

• 用于應(yīng)用程序故障排除的可視化分析

• 綜合儀表板和報(bào)告

• 主動(dòng)警報(bào)和異常檢測(cè)

• 端到端的可視化分析

• 從Flow到數(shù)據(jù)包取證分析

LiveNX

虹科提供具有端到端監(jiān)控分析能力的解決方案LIveNX和數(shù)據(jù)包捕獲分析設(shè)備LiveWire/LiveCapture，兩者既可以單獨(dú)使用也可以集成到一起實(shí)現(xiàn)更強(qiáng)大的分析能力。

• 網(wǎng)絡(luò)性能監(jiān)控

• 應(yīng)用性能監(jiān)控

• 端到端可視化

• flow到數(shù)據(jù)包詳細(xì)分析

• 高速全流量捕獲分析

• 上百種詳細(xì)報(bào)告

• 高級(jí)異常檢測(cè)和預(yù)測(cè)分析

-END-

往期推薦

【虹科】LiveNX 下一代企業(yè)網(wǎng)絡(luò)監(jiān)控軟件

【虹科】如何逐跳識(shí)別網(wǎng)絡(luò)問(wèn)題

【虹科】增加網(wǎng)絡(luò)可見(jiàn)性以優(yōu)化網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR)

【虹科】進(jìn)階-端到端的網(wǎng)絡(luò)流量監(jiān)控

點(diǎn)擊下方“閱讀原文”查看更多