养生

如何给校园网络进行流量监控和流量分析

2019-04-09 16:16:53来源:励志吧0次阅读

如何给校园络进行流量监控和流量分析

在我们精心打造的校园中,如果络突然缓慢,在重要数据来往的教学时间段,留给系统管理员的响应时间只有宝贵的10几分钟、乃至几分钟。而且,蠕虫病毒对络速度的影响愈来愈严重,例如“络天空”等邮件蠕虫病毒,它们导致被感染的用户只要一连上就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户的通讯簿上,通过随机地址进行邮件发送。成百上千的这类垃圾邮件有的排着队往外发送,有的又成批地被退回来堆在服务器上。这都造成个教育骨干线路出现明显拥塞,甚至在蠕虫泛滥的局域中,瘫痪的事件屡有产生。

进行流量监控和流量分析是全部络合理化的重要环节,它能在短的时间内发现安全威逼,在时间进行分析,通过流量分析来肯定攻击,然后发出预警,快速采取措施。如何在核心的络装备上监控流量、限制异常流量就成了大家关注的技术问题。

监控对象的制定

连接性

连接性也称可用性、连通性或者可达性,学校需要高效率的带宽服务,更严格的说应该是络服务的基本能力或属性。比如远程教学中需要宽带连接和视频点播等服务,这些都必须以络的连接性能为基础和保障。

丢包率

丢包率是指丢失的IP包与所有的IP包的比值。许多因素会导致数据包在络上传输时被抛弃,例如数据包的大小以及数据发送时链路的拥塞状态等。不同业务对丢包的敏感性不同,在多媒体教学中,丢包是致使图象质量下降和断帧的根本原因。

时延

时延定义了一个IP包穿越一个或多个段所经历的时间。时延由固定时延和可变时延两部份组成。固定时延基本不变,由传播时延和传输时延构成;可变时延由中间路由器处理时延和排队等待时延两部份构成。

带宽分析

带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,络能够提供的的吞吐量。可用带宽是指在络路径(通路)存在背景流量的情况下,能够提供给某个业务的吞吐量。

协议分析

对络流量进行协议划分,如:Web阅读(HTTP)、电子邮件(POP3、SMTP、WEBMAIL、文件下载(FTP)、即时聊天(MSN、等)、流媒体(MMS、RTSP)等。针对不同的络运用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超凡占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现。

运用段流量分析

大多数学校都是将不同的业务运用通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同VLAN来进行络流量监控。

络装备的流量管理

理解CBAC

很多中小学校受到资金的限制,管员大多采用了路由器中CiscoIOS防火墙特性集,基于上下文的访问控制(CBAC)是显著的新增特性。CBAC技术的重要性在于:使管理员能够将IOS防火墙配置为一个智能化、集成化的单框解决方案的一部分。CBAC通过严格审查源和目的地址,增强了使用众所周知端口的TCP和UDP应用程序的安全。CBAC通过检查全部(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这类信息创建一个暂时的、会话(Session)特定的ACL入口,从而允许回返通讯进入可靠络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个会话结束时,ACL入口被删除,大门关闭。CBAC在应用层审查包和维护TCP和UDP会话信息,这给CBAC提供了检测和阻挠某种络攻击的能力,比如SYNflooding。CBAC是针对每个接口进行配置的,可以被用于控制源于防火墙另外一方的通讯(双向);但是,大多数客户将CBAC用于仅源于一方的通讯(单向)。

CBAC可根据需要打开连接,并监视回返通信流量,但CBAC对流量审核检查方面其实不完美。比如它只检查规定的内容,对于更多的流量类型就必须自己增加很多语句。

理解NBAR

络上利用NBAR管理P2P流量的文章相当多,读者可以在操作过程中可以参阅模仿,但很多人对NBAR到底是什么?却一直没有搞清楚。基于络的运用辨认(Network-BasedApplicationRecognition,NBAR),是在CiscoIOS12.0(5)XE2中引入的,在12.3(4)T中得到了加强。

NBAR可以根据OSI参考模型的第3层到第7层信息来对流量进行分类,设置NBAR个步就是建立审查的流量分类。NBAR检查可以帮助我们做很多事情,如应用类型、连接的具体地址、连接中的数据和数据包的长度。基于匹配标准,NBAR将匹配的流量放进特定的类(或组)中。在建立了分类规则之后,建立用来标识流量策略,对于IP流量,我们使用IP优先级来对流量进行分组(类)。IP优先级标准(和DSCP)使用IP包头中的TOS域中的位来分类流量。当流量进入路由器时就履行这两步,然后当流量离开路由器上的一个特定的外出接口时,定义对被标记的流量将采取什么操作。我们在流量优先级控制上通常使用QOS,这将影响数据包被发送接口之前,首先需要排成队列。而NBAR可以为这些流量定义其他策略,限制这们的带宽或乃至抛弃这些流量。

理解分析模块NAM

NAM(NetworkAnalysisModule)是一个集成的通信流监视解决方案,可以提供全面的RMONI、RMONII、NetFlow和VLAN监视、与协议相干的故障诊断以及趋势分析功能。由于这个模块一般在高端交换机上,所有在中小学中比较少见,而区县级的教育信息中心多采取这类流量管理方案。

NAM的一个关键功能是它能够同时并实时地监控多个交换机端口或VLAN,并能够为每一个数据源提供独立的RMONI/RMONII统计数据。例如,一个需要监视三个以太客户机端口的络管理员可以在一个端口上运行分组捕获应用;在另一个端口上运行IP主机和会话应用;而在第三个端口上运行协议分发和运用层矩阵表应用。

NAM是对交换环境进行监视或故障诊断的理想选择,通过加入像NAM这样的RMONI/RMONII技术,可以使Catalyst5000/6500系列交换机上的每个以太、快速以太和千兆位以太交换机端口的mini-RMON统计功能得到加强,进而提供全部7个层次的监视和故障诊断功能。更详细的信息可以参考:

用于HTTP流量的NBAR扩大检查,通过使用HTTP特定的条件辨认除尽人皆知的TCP端口80以外的端口上的HTTP流量。

NBAR用户定义的定制应用程序分类,使用户可以指定自己的匹配条件来辨认端口范围以及特定端口上基于TCP或UDP的应用程序。

其他流量管理的做法

在校园出口管理中,应分析不同的运用占用不同的带宽,重要的运用是不是得到了的带宽?它占的比例是多少?队列设置和络优化是不是生效?通用的做法使用MRTG等络流量分析软件,并以图形HTML文档方式显示给用户,以非常直观的情势显示流量负载。我常使用的一个叫NTOP的软件,个人感觉比MRTG更直观一些,乃至可以列出每个节点计算机的络带宽利用率。它可以通过分析络流量来确定络上存在的各种问题;也可以用来判断是否有黑客正在攻击络系统;还可以很方便地显示出特定的络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。通过了解这些信息,管员可以对故障做出及时的响应,对络进行相应的优化调剂,以保证络运行的效力和安全。

面对异常流量,我们应当建立一套分析系统,支持异常流量发现和报警,能够通过对一个时间段内历史数据的自动学习,获得包括总体络流量水平、流量波动、流量跳变等在内的多种络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。如果自行建立主动型的络分析系统一般包括:测量节点、中心服务器、数据库和分析服务器。但对学校来说难度较大。主动分析是借助产品化和集成程度较高的测量工具,有目的对生产络注入监控点,并根据测量数据流的传送情况来分析络的性能。虽然这些监控点也会占用带宽,但和P2P下载所占用的可用带宽是微不足道的。

水厂通过调节水的各个阀门将饮用水送进千家万户,必要时只要打开或关闭其中1、两个就能到达“开源”或“节流”的目的,控制起来为所欲为。推而广之,如果能对校园中的数据流量进行“阀门式”控制,就能有效提高宽带络的利用率。

某些管理软件可以做到“阀门”作用,比如:SiteViewTC,它通过主动动态调控内外双向数据流量,能有效分配有限的带宽资源,做到了弹性管理。SiteViewTC可有效控制每个IP地址流量,从而限制P2P、络游戏、络电视等应用对宽带资源的占用,保证关键业务的正常进行。有兴趣的老师可以到他们的站上申请一个试用版尝试一下。

孩子不爱吃饭的4大原因
芪斛楂颗粒多少钱一盒
芪斛楂颗粒多少钱一盒
分享到: