暢通無阻的網絡性能是許多 NetOps 活動的核心目標，其中之一是通過使用數據包數據和網絡流來解決網絡性能問題。當聚合和分析流和數據包數據時，網絡洞察力可以引導團隊找到更好的解決方案。對于每次性能下降時都依賴重新啟動系統(tǒng)的小型企業(yè)，流量洞察會引導他們了解網絡使用情況，然后找到網絡問題的根本原因。擁有關鍵業(yè)務服務的大型企業(yè)可能已經在利用流和數據包數據來監(jiān)控他們的環(huán)境，即使只使用基本的數據包分析工具。

流和數據包數據是收集線索以修復性能問題的基礎數據源（查看事件、日志和系統(tǒng)日志以獲取更多來源）。為了從流經網絡的海量數據包數據中發(fā)掘線索，高級網絡性能監(jiān)控和診斷 （NPMD） 軟件會收集重要的網絡指標和數據，對其進行分析，然后將組織內部網絡活動的準確表示可視化：內部、虛擬和云環(huán)境。這種程度的網絡可見性對于 IT 團隊解決網絡性能和安全問題至關重要。

01

什么是流和數據包

網絡流量監(jiān)控的思想本質上是對通過路由器的所有網絡流量進行統(tǒng)計、記錄和分析，實際上，創(chuàng)建網絡使用情況的匯總模型。就像快速通行收費站以電子方式計算汽車和記錄使用情況一樣，流量監(jiān)控也是如此。同時，深度數據包檢測 （DPI）是檢查每個數據包的有效負載內容的過程，以確定是通過拒絕該數據包還是允許其通過網絡來對該數據包采取行動。

DPI 的第三個選項是被動地收集有關哪些流量正在穿越網絡的信息。數據包捕獲存儲網絡數據包的鏡像副本，并使用取證搜索和過濾，當出現新的性能、安全性或取證事件時，可以稍后在特定時間范圍內檢查存儲的鏡像副本。為了實時了解網絡流動，主要的實際挑戰(zhàn)是必要的計算和存儲容量的限制，以跟上要處理的網絡數據的速度和數量。這是因為網絡流量的數據包捕獲副本會消耗大量存儲空間，并且通常僅在幾周甚至幾天后才會被清除，以便為更多副本創(chuàng)造空間。這意味著，如果實施了數據包捕獲、深度數據包檢查和流量監(jiān)控，那么 NetOps 和 SecOps 團隊將擁有最相關的數據來解決當前的事件，離事件時間越遠，其根源的可能性就越大- 導致線索消失（通過復制數據包捕獲副本修復的情況）。

數據包包含線索。整個文件不會在整個網絡中以一份形式傳輸。相反，網絡消息被打包，然后通過互聯網和其他連接路由，在目的地重新組裝。每個數據包通常被組織成三個段，無論其大小如何，即header、payload和footer。當數據包流經網絡路由器時，它們的頭部被讀取并基于 5-7 個數據包頭部屬性進行“指紋識別”。

如果路由器無法識別流經它的數據包的指紋，則將在流緩存中創(chuàng)建具有該指紋的新流條目。該條目將包含一個 5 元組，即上面列出的主要數據包屬性，以及用于計算數據包流量及其字節(jié)數的變量。每次與指紋匹配的數據包通過時，相應的流條目計數器都會增加，從而有效地創(chuàng)建一個總結該數據包流的記錄。然后將緩存的流數據通過網絡周期性地輸出到流收集器和流分析器，將來自各個路由器的不同的輸出流數據匯總在一起，進行可視化分析。今天的大多數路由器都具有某種品牌的 xFlow 導出功能，允許將流數據從路由器發(fā)送到收集器和分析器。Netflow 是事實上的行業(yè)流協(xié)議，起源于 Cisco 設備并以該協(xié)議為特色，其他流行的協(xié)議包括 IPFIX、J-Flow 和 sFlow。

僅從上面的那幾個數據包屬性就可以理解大部分網絡行為。

源地址和目標地址告訴誰是流量的發(fā)起者和接收者

端口和服務等級說明正在使用的應用程序及其流量優(yōu)先級

設備接口告訴設備如何利用流量

通過統(tǒng)計數據包，可以確定總的流量流量

時間戳可用于及時放置流并確定其速率

應用程序和網絡延遲提供有關每個事務所需時間的度量

02

如何衡量

可以在網絡性能儀表板上可視化流量——說明了使用 NetFlow 數據的端到端網絡流量可視化。如下圖所示，流和數據包數據是單個源數據包的互補方面——通常被稱為網絡監(jiān)控中的最終真實來源。流通過總結在端點之間傳輸的數據包來顯示Top可見性，而數據包捕獲和 DPI 提供了對數據包內部內容的更深入的詳細信息，闡明了實際通過網絡的數據。將兩者結合為 NetOps 和 SecOps 團隊提供了巨大的價值，但是，每個團隊都有其局限性和缺點。因為流數據是總結而不是深入細節(jié)，所以流數據在診斷和排除配置問題或錯誤條件方面受到限制。他們擅長的是通過應用程序、協(xié)議、域、端口以及源和目標 IP 提供對流量的洞察。這意味著大量流量的帶寬問題突然被分解為一個一個流。這可以快速有效地突出帶寬占用。此外，流帶寬表示伴隨著哪些設備正在運行這些 hogs，以及是應用程序還是設備本身在進行 hogging。這種級別的可見性對于根據網絡和用戶行為制定使用策略非常有用。通過數據包捕獲存儲的網絡流量的鏡像副本，可以重新創(chuàng)建歷史流量，并且可以在數據中發(fā)現詳細的線索，以解決隱藏在細節(jié)中的更具體的技術問題，例如錯誤配置的證據、外部入侵或硬件故障。

此外，通過深度數據包檢查，數據包會根據一組由 NetOps 和/或 SecOps 團隊創(chuàng)建的定制規(guī)則進行判斷（過濾）。通過將某些流量列入白名單或黑名單，例如僅允許關鍵協(xié)議，或基于來自先前已知為威脅的數據庫的匹配簽名拒絕數據包模式，DPI 可用于入侵檢測系統(tǒng) （IDS） 和入侵防御系統(tǒng)（IPS） 以防止蠕蟲、病毒和間諜軟件進入網絡，并在出現網絡問題時提醒團隊。

03 使用監(jiān)控軟件解決網絡性能問題

對網絡性能問題進行故障排除是一個找出相關數據線索的過程，這些線索可以導致對潛在問題的合理評估。有時問題很簡單，例如，路由器可能會變得擁塞，但問題不一定是設備故障，而是了解網絡流量使用情況可能會導致重新配置修復，將業(yè)務關鍵流量優(yōu)先于個人使用流量，從而導致過度消耗帶寬資源。如果監(jiān)控網絡流量，可以很快得出這個結論，如果監(jiān)控軟件能夠清楚地可視化流量或生成警報，則可以更快地得出結論。

底層網絡問題越復雜，就越需要協(xié)議和數據包分析方面的偵查和專業(yè)知識。通過使用 NPMD 和網絡檢測和響應 （NDR） 軟件，找到常見問題的答案相當容易，只需深入到可視化的問題區(qū)域，讓軟件嗅出潛在問題并提供反饋，有些還可能建議潛在問題修復，其他人可能會為您提供詳細的圖表和表格，以進行您自己的評估。流圖中的橙色圓圈顯示了組織整體網絡中的擁塞部分，單擊橙色圓圈將深入到故障區(qū)域。

可能有幾個罪魁禍首就會導致網絡滯后。例如，網絡擁塞的根本原因可能來自網絡設備故障或配置錯誤、內部帶寬使用過多或外部 DDoS 攻擊。如果沒有分析流量和數據包數據的綜合工具，嘗試和錯誤可能是網絡運營商唯一的替代故障排除方法。

利用流和數據包數據的網絡性能監(jiān)控軟件共有的有用功能可以為網絡管理員提供有關解決其網絡性能問題的線索。這四個提供了對網絡的非凡洞察力：

拓撲視圖對于理解底層物理網絡非常重要，因為當今的網絡更加復雜和動態(tài)，融合了不同的技術，如廣域網、SD-WAN、WiFi、遠程站點、數據中心和多云服務，因此尤其難以排除故障。

流路徑分析功能提供設備、接口、應用程序、VPN 和用戶的端到端可見性。通過關聯躍點和流量，監(jiān)控軟件可以將網絡和應用程序性能疊加到拓撲視圖上。綜合起來，這些模型將性能與底層物理網絡相關聯，強調網絡基礎設施中的弱點。

應用程序監(jiān)控通過了解跨多個網段、域和結構的應用程序層的數據包數據來識別應用程序使用情況。這不僅有助于了解網絡性能，而且可以直接解決用戶體驗問題并減少負面業(yè)務影響。

入侵檢測和預防監(jiān)控對于檢測可能發(fā)生的事件的跡象并試圖阻止它們很有用。在更高級的網絡中發(fā)現，作為預防網絡性能下降的主動響應，IDS 和 IDP 系統(tǒng)依靠讀取數據包并應用多種檢測技術、基于簽名的方法、基于異常的方法和狀態(tài)協(xié)議分析來檢測問題即時的。

04 利用流和數據包進行故障排除

拓撲視圖

識別需要升級或更換的基礎設施組件

使用自動設備發(fā)現維護實時全面的設備清單

主動識別阻塞點

比較不同的性能指標

流路徑分析

根據 IP 地址跨端點識別可能的路由、躍點和網絡延遲影響

識別由負載平衡引起的問題

識別由路由引起的問題

應用監(jiān)控

建立可用于監(jiān)控異常流量水平的性能基線

發(fā)現有關如何在應用程序級別使用網絡的最深刻見解

識別允許使用的策略弱點

入侵檢測和防御監(jiān)控

根據其簽名（基于簽名）識別已知的攻擊或攻擊類型

識別與網絡行為規(guī)范的偏差（基于異常）

識別與協(xié)議使用規(guī)范的偏差（狀態(tài)協(xié)議分析）

這表明從流和數據包數據推斷的端到端可見性有助于在最關鍵級別進行網絡故障排除，并為進一步監(jiān)控跟蹤應用程序性能的集成以及對業(yè)務目標產生重大影響的復雜用戶體驗奠定基礎。

05 使用LiveNX進行網絡故障排除

LiveNX基于流（即 Netflow、IPFIX、SFlow、JFlow 等），SNMP和數據包等多種數據源，通過來自幾乎任何地方的數據——WAN、SD-WAN、WiFi、遠程站點、數據中心，查看并整個網絡，關聯多種數據源，實現端到端的可視化分析。輕松地從警報和上下文數據下鉆到 Flow 性能數據，并進一步深入到目標數據包級分析，以實現全面的故障解決工作流程 - 實現加速網絡、減少延遲抖動并減少 MTTR。LiveNX 提供從多個事件聚合的特定的警報，從而僅顯示需要立即關注的警報。此外，LiveNX Insight 模塊利用機器學習進行主動異常檢測和路徑更改通知。LiveNX 可幫助您以前所未有的方式排除網絡故障：

用于應用程序故障排除的可視化分析

綜合儀表板和報告

主動警報和異常檢測

端到端的可視化分析

從Flow到數據包取證分析

虹科提供具有端到端監(jiān)控分析能力的解決方案LIveNX和數據包捕獲分析設備LiveWire/LiveCapture，兩者既可以單獨使用也可以集成到一起實現更強大的分析能力。

網絡性能監(jiān)控

應用性能監(jiān)控

端到端可視化

flow到數據包詳細分析

高速全流量捕獲分析

上百種詳細報告

高級異常檢測和預測分析

責任編輯：haq