傅静琴 局制作中心视频部工程师
一、引言
近几年来随着信息技术的发展和广泛应用,企业单位的网络建设中心已经从初期的硬件建设转变为应用建设,越来越多的关键业务应用运行在计算机网络上,这些应用大大提高了企业的生产效率和生产质量,成为提高企业竞争力的重要砝码。计算机网络系统在生产中的作用越来越重要,网络是否运行良好直接关系到企业业务的正常运行,“计算机网络是企业的生命线”日益被大家所认知。
维护计算机网络系统的持续高效安全运行将是业务正常运行的基础和保证,随着计算机网络的规模和复杂程度的增加、网络上应用的不断增加以及网络安全问题对网络的威胁不断增长,维护网络正常运行的难度也不断增加,在这种情况下,必须通过加强网络的管理、采用新的网络管理技术来提高网络运行的稳定性、高效性和安全性,避免网络故障和安全问题给生产造成严重损失,或者在网络故障即将发生、发生后能进行准确的定位并进行排除。
但是,现在的计算机网络中,网络管理存在以下的问题:
1、网络和应用问题分析能力不足
现有的网络管理系统对网络问题和应用问题的分析能力不足或不具备网络问题的分析能力。在出现网络或应用问题时,不能为网络技术人员提供有效的帮助,问题往往是依靠网络技术人员经验进行手工解决甚至无法解决,这样解决网络问题的效率很低,同时一些应用问题难以解决,给用户造成损失。
2、缺乏对网络问题的预判能力
不能前瞻性的发现网络问题,往往是网络宕机后才发现问题,并开始着手解决,这时网络宕机已经发生,给用户的业务运行带来极大的损失。
3、缺乏对应用问题的监控能力
不能及时地发现应用问题,往往是应用宕机后一段时间都没有被发现,这样造成服务质量下降,给用户带来损失。
4、缺乏对网络性能的优化能力
无有效的网络性能监控分析和优化手段,在用户抱怨网络慢时往往是无法可施。依靠升级网络来解决网络性能低下问题。
5、对网络安全问题的分析能力不足
在发生网络安全问题时,缺乏有效的监控分析手段,导致网络的安全性降低。
针对以上问题,传统的网络管理解决方案是用网络管理软件、测试工具来进行网络管理维护,但是这些只能对网络设备的运行状态、网络链路的通断进行监控,无法对网络中的流量进行有效的监控和分析。而要实现对网络及网络应用的智能分析、网络问题的预判和网络应用问题的迅速发现,必须具备对网络流量的监控和分析能力。
特别是当网络发生拥塞异常、访问的服务无法连接、网络遭受攻击、未知病毒爆发时,如何定位如何处理?我的网络安全吗?我管理的网络中正在发生什么事情?我的网络架构是否存在性能隐患?此时往往需要了解网络运行的细节,网络中各网段、主机究竟在干些什么,流量如何分布,有什么异常特征等等。针对这些问题,采用协议分析系统是一个很好的方案。通过协议分析系统实时对网络中最原始的通信包的捕获、解码分析来了解网络中的各种行为特征,准确、及时、实时地了解网络中正在发生地一切和可能发生事情。
二、协议分析系统对网络管理的功能及意义
协议分析系统的主要功能可以概括为数据采集、实时监控、统计、解码、分析、诊断、日志、图表等,在这些功能模块的基础上完成网络运行分析与排障信息搜集。
(1)流量采集
流量采集通过相应的驱动系统在链路层完成,捕获底层的以太网数据包,也可以获取拨号适配器的数据包。绝大多数软件都可以定义一些特定的过滤规则与条件,从而获得所需要的流量,并且这些规则可以导入和导出,一些软件的官方网站上也会提供过滤器的下载。
(2)实时监控
网络分析软件的一个常用功能,它能实时监测网络流量和负载率、TCP连接情况、错误数据包数、数据包大小分布情况等并可以图表形式显示。事实上,尤其是对于一些未部署长期流量性能监测的局域网这是一种简便易行而且能提供丰富信息的监控手段。
(3)统计分析
提供非常详尽的统计信息,包括全局统计和针对某些特定对象如站点、协议等的统计,如要了解网络中各站点(可以是IP也可以是MAC)间的通信流量大小、百分比、排位、各种协议所占的百分比、各种大小数据包的数目、错误事件的统计等,都可以一目了然地显示出来。
(4)解码分析
对捕获到的数据包调用相应的协议分析模块对其进行分析,遵循OSI模型及TCP/IP协议簇的规程将数据包层次化地展现给用户,通过对各字段详细解码、十六进制的还原解码等使用户可以看到每个数据包的细节。
(5)专家诊断
完善的网络分析软件提供专家诊断系统,能智能地对网络进行故障诊断,提供对网络异常事件的解释、产生原因,以及建议如何解决。此功能对快速定位故障点大有帮助,可以极大地简化发现及解决网络障碍的过程。
(6)日志图表
日志系统记录网络中用户的高级网络应用,包括HTTP请求、邮件信息、FTP传输等,日志信息可以保存或者打印。系统也可以将各种详细统计信息以网页的形式生成输出报告,直观明了并可以储存以备查阅。
综上分析,我们可以利用网络分析软件完成很多事,如流量分析、通讯监测、故障诊断、网络安全分析、性能检测、病毒/攻击定位、取证等等,与其它软件相比较,其最有特色的功能应该是专业而深入的协议分析诊断系统因而在查修诸如网络速度异常、某些应用异常、DOS攻击、伪造IP/MAC攻击、环路、广播风暴、蠕虫病毒攻击、暴力破解/密码攻击、恶意扫描等多方面都能发挥独到的作用。对日益复杂的网络故障、网络欺骗和攻击,当其它手段一时难以准确定位时用网络分析软件强大的实时采集—分析—诊断输出功能,我们能快速了解到网络的通讯状况,通过对异常数据包的辨识让网络欺骗和攻击无处藏身,快速定位故障点,从而保障网络安全可靠的运行。
三、常见的协议分析系统架构
根据协议分析系统的组成,一般可以分为如下几类:纯软件方式、硬件捕获辅助、线速捕获及分布式系统。
1、基本软件方式(见图1)
