顺畅的网络性能是许多NetOps活动的核心目标之一,其中之一是使用分组数据和网络流解决网络性能问题。 网络洞察力有助于团队在聚合和分析流和数据包数据时找到更好的解决方案。 对于每次性能下降都依赖系统重新启动的中小型企业,流量洞察可以了解网络使用情况,并确定网络问题的根本原因。 拥有重要业务服务的大型企业可能正在使用流数据和分组数据监视环境,即使他们只使用基本的分组分析工具。
流数据和包数据是收集解决性能问题的线索的基本数据源。 查看事件、日志和系统日志以获取更多源。 为了从网络中流动的大量分组数据中找到线索,高级网络性能监测和诊断(NPMD )软件收集、分析关键网络指标和数据,并在内部、虚拟和云环境组织中开展网络活动这种程度的网络可视性对于IT团队解决网络性能和安全问题至关重要。
01流和分组网络流量监测是什么的思想,本质上是对通过路由器的所有网络流量进行统计、记录和分析,并建立实际网络使用情况的总结模型。 正如高速通行费站通过电子方式计算汽车并记录使用情况一样,流量监测也是如此。
另一方面,深度包检查(DPI )是检查每个包的有效载荷内容以确定是拒绝包还是通过网络对包执行操作的过程。 DPI的第三个选项是被动收集有关哪些通信通过网络的信息。
该包捕获存储的网络包的镜像副本,并使用取证搜索和过滤,在发生新的性能、安全性或取证事件时,在特定时间段复制存储的镜像副本
要实时了解网络流动,主要的实际挑战是跟上要处理的网络数据的速度和量所需的计算和存储容量限制。 这是因为网络通信的数据包捕获拷贝占用大量存储空间,通常在几周到几天后就会被擦除,从而为更多的拷贝留出空间。 这意味着,在进行数据包捕获、详细的数据包检查和流量监视时,NetOps和SecOps团队拥有最相关的数据来解决当前事件,距离事件越长,根本原因的可能性就越高,而对手
数据包中包含线索。 整个文件不会在整个网络中以一种格式传输。 相反,网络消息被打包并通过互联网和其他连接路径在目的地重新组装。 通常,无论包的大小如何,每个包都组织为三个分段:头、排它和头。 当数据包流经网络路由器时,它将读取其标头,并根据5到7个包头属性进行“指纹验证”。
如果路由器无法识别流过它的数据包的指纹,则会在流缓存中创建一个具有该指纹的新流条目。 条目包含上述主包属性,以及五组用于计算包通信及其字节数的变量。 每次通过与指纹匹配的数据包时,相应的流入口计数器都会增加,从而有效地创建分组流的记录。 然后,将缓存的流数据通过网络周期性地输出到流收集器和流分析器,将来自各路由器的不同输出流数据集中进行可视化分析。
当今大多数路由器都具有品牌xFlow导出功能,可以将流数据从路由器发送到收集器和分析器。 Netflow是一种源自Cisco设备的事实上的行业流协议,以该协议为特色。 其他常见协议包括IPFIX、J-Flow和sFlow。
只有上面的几个数据包属性才能理解大多数网络行为。
源地址和目标地址告诉流量的始发者和接收者
端口和服务级别指示正在使用的APP应用程序及其通信的优先级
设备接口向设备传达如何使用流量
通过统计数据包,可以确定总流量
时间戳可以用于及时放置流并确定速率
APP应用程序和网络延迟提供了有关每个事务所需时间的度量
02如何测量网络性能面板中可见的流量——显示了使用NetFlow数据的端到端网络流量可视化。
如下图所示,流和分组数据是单个源分组的互补方面——,通常被称为网络监测中的最终真实源。 流将在端点之间传输的数据包放在一起以显示顶层可见性,数据包捕获和DPI更详细地说明数据包内部的内容,并揭示实际上通过网络传输的数据。 两者的结合为NetOps和SecOps团队提供了巨大的价值,但每个团队都有其局限性和缺点。
由于流数据是摘要而不是详细的,因此在诊断和故障排除配置问题和错误条件方面存在限制。 他们最擅长的是通过APP应用程序、协议、域、端口以及源和目标IP提供流量洞察。 这意味着大量的业务带宽问题突然分解成一个个的流。 这样可以快速高效地强调带宽消耗。 流带宽还表示哪些设备正在运行这些hogs,以及是APP应用程序还是设备本身正在运行hogging。 此级别的可见性有助于根据网络和用户行为创建使用策略。
通过在包中捕获存储的网络通信的镜像副本,可以重新创建历史通信,并在数据中找到详细的线索。 这样可以解决详细隐藏的更具体的技术问题,如配置错误的证据、外部入侵和硬件故障。
此外,详细的数据包检查还将根据NetOps或SecOps团队创建的一组自定义规则来确定(过滤)数据包。 通过将某些流量列入白名单或黑名单,可以只允许重要协议,也可以基于以前已知的路径
胁的数据库的匹配签名拒绝数据包模式,DPI 可用于入侵检测系统 (IDS) 和入侵防御系统(IPS) 以防止蠕虫、病毒和间谍软件进入网络,并在出现网络问题时提醒团队。03 使用监控软件解决网络性能问题
对网络性能问题进行故障排除是一个找出相关数据线索的过程,这些线索可以导致对潜在问题的合理评估。有时问题很简单,例如,路由器可能会变得拥塞,但问题不一定是设备故障,而是了解网络流量使用情况可能会导致重新配置修复,将业务关键流量优先于个人使用流量,从而导致过度消耗带宽资源。如果监控网络流量,可以很快得出这个结论,如果监控软件能够清楚地可视化流量或生成警报,则可以更快地得出结论。
底层网络问题越复杂,就越需要协议和数据包分析方面的侦查和专业知识。通过使用 NPMD 和网络检测和响应 (NDR) 软件,找到常见问题的答案相当容易,只需深入到可视化的问题区域,让软件嗅出潜在问题并提供反馈,有些还可能建议潜在问题修复,其他人可能会为您提供详细的图表和表格,以进行您自己的评估。流图中的橙色圆圈显示了组织整体网络中的拥塞部分,单击橙色圆圈将深入到故障区域。
可能有几个xlmdhmg就会导致网络滞后。例如,网络拥塞的根本原因可能来自网络设备故障或配置错误、内部带宽使用过多或外部 DDoS 攻击。如果没有分析流量和数据包数据的综合工具,尝试和错误可能是网络运营商唯一的替代故障排除方法。
利用流和数据包数据的网络性能监控软件共有的有用功能可以为网络管理员提供有关解决其网络性能问题的线索。这四个提供了对网络的非凡洞察力:
拓扑视图对于理解底层物理网络非常重要,因为当今的网络更加复杂和动态,融合了不同的技术,如广域网、SD-WAN、WiFi、远程站点、数据中心和多云服务,因此尤其难以排除故障。
流路径分析功能提供设备、接口、应用程序、VPN 和用户的端到端可见性。通过关联跃点和流量,监控软件可以将网络和应用程序性能叠加到拓扑视图上。综合起来,这些模型将性能与底层物理网络相关联,强调网络基础设施中的弱点。
应用程序监控通过了解跨多个网段、域和结构的应用程序层的数据包数据来识别应用程序使用情况。这不仅有助于了解网络性能,而且可以直接解决用户体验问题并减少负面业务影响。
入侵检测和预防监控对于检测可能发生的事件的迹象并试图阻止它们很有用。在更高级的网络中发现,作为预防网络性能下降的主动响应,IDS 和 IDP 系统依靠读取数据包并应用多种检测技术、基于签名的方法、基于异常的方法和状态协议分析来检测问题即时的。
04 利用流和数据包进行故障排除拓扑视图
识别需要升级或更换的基础设施组件
使用自动设备发现维护实时全面的设备清单
主动识别阻塞点
比较不同的性能指标
流路径分析
根据 IP 地址跨端点识别可能的路由、跃点和网络延迟影响
识别由负载平衡引起的问题
识别由路由引起的问题
应用监控
建立可用于监控异常流量水平的性能基线
发现有关如何在应用程序级别使用网络的最深刻见解
识别允许使用的策略弱点
入侵检测和防御监控
根据其签名(基于签名)识别已知的攻击或攻击类型
识别与网络行为规范的偏差(基于异常)
识别与协议使用规范的偏差(状态协议分析)
这表明从流和数据包数据推断的端到端可见性有助于在最关键级别进行网络故障排除,并为进一步监控跟踪应用程序性能的集成以及对业务目标产生重大影响的复杂用户体验奠定基础。
05 使用LiveNX进行网络故障排除
LiveNX基于流(即 Netflow、IPFIX、SFlow、JFlow 等),SNMP和数据包等多种数据源,通过来自几乎任何地方的数据——WAN、SD-WAN、WiFi、远程站点、数据中心,查看并整个网络,关联多种数据源,实现端到端的可视化分析。轻松地从警报和上下文数据下钻到 Flow 性能数据,并进一步深入到目标数据包级分析,以实现全面的故障解决工作流程 - 实现加速网络、减少延迟抖动并减少 MTTR。LiveNX 提供从多个事件聚合的特定的警报,从而仅显示需要立即关注的警报。此外,LiveNX Insight 模块利用机器学习进行主动异常检测和路径更改通知。LiveNX 可帮助您以前所未有的方式排除网络故障:
用于应用程序故障排除的可视化分析
综合仪表板和报告
主动警报和异常检测
端到端的可视化分析
从Flow到数据包取证分析
LiveNX虹科提供具有端到端监控分析能力的解决方案LIveNX和数据包捕获分析设备LiveWire/LiveCapture,两者既可以单独使用也可以集成到一起实现更强大的分析能力。
网络性能监控
应用性能监控
端到端可视化
flow到数据包详细分析
高速全流量捕获分析
上百种详细报告
高级异常检测和预测分析