網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)流量控制對(duì)管理起到的作用

　　了解網(wǎng)絡(luò)流量的分布、找到優(yōu)化網(wǎng)絡(luò)性能的方法、通過(guò)網(wǎng)絡(luò)管理技術(shù)來(lái)提升網(wǎng)絡(luò)效能，同時(shí)做好網(wǎng)絡(luò)流量信息安全方面的防護(hù)工作，這是網(wǎng)絡(luò)流量管理的主要工作內(nèi)容。

　　近十幾年來(lái)，互聯(lián)網(wǎng)得到了飛速發(fā)展。據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)目前已成為人類(lèi)社會(huì)最重要的信息基礎(chǔ)設(shè)施，占人類(lèi)信息交流的80%。在這種大背景下，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)聯(lián)機(jī)及逐漸增加的網(wǎng)絡(luò)流量，系統(tǒng)和網(wǎng)絡(luò)管理者必須花更多時(shí)間和精力來(lái)了解這些網(wǎng)絡(luò)設(shè)備的運(yùn)作狀況，以維持一個(gè)企業(yè)網(wǎng)絡(luò)的正常運(yùn)作。一般來(lái)說(shuō)，網(wǎng)絡(luò)管理者需要了解各個(gè)網(wǎng)段頻寬的使用率、網(wǎng)絡(luò)問(wèn)題的瓶頸發(fā)生于何處，一旦網(wǎng)絡(luò)發(fā)生問(wèn)題，必須能夠很快地分析和判斷出問(wèn)題的發(fā)生原因，這些就是網(wǎng)絡(luò)流量管理的主要工作內(nèi)容。那么，管理網(wǎng)絡(luò)流量的時(shí)候應(yīng)該基于什么樣的依據(jù)，通過(guò)什么手段和策略有效地把流量進(jìn)行識(shí)別、分析和管理呢?

　　網(wǎng)絡(luò)流量管理的目標(biāo)

　　隨著網(wǎng)絡(luò)流量的不斷增長(zhǎng)以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁復(fù)雜化，我們不難看到，簡(jiǎn)單、無(wú)限制地增加網(wǎng)絡(luò)帶寬是不能解決網(wǎng)絡(luò)流量的根本問(wèn)題的。我們需要對(duì)網(wǎng)絡(luò)流量進(jìn)行管理，從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)。

　　在網(wǎng)絡(luò)流量管理的過(guò)程中，我們首要的問(wèn)題就要明確網(wǎng)絡(luò)管理目標(biāo)。在網(wǎng)絡(luò)流量管理主要有4個(gè)目標(biāo): 首先，我們要了解網(wǎng)絡(luò)流量的使用情況; 其次，要找到優(yōu)化網(wǎng)絡(luò)性能的途徑; 第三，要通過(guò)網(wǎng)絡(luò)管理技術(shù)來(lái)提升網(wǎng)絡(luò)效能; 最后，還需要做好網(wǎng)絡(luò)流量信息安全方面的防護(hù)工作。

　　要達(dá)到上述4個(gè)目標(biāo)，網(wǎng)絡(luò)管理員首先要通過(guò)有效的分類(lèi)方式非常明確地知道，我們需要的帶寬到底哪些是實(shí)際使用的。其次是找到網(wǎng)絡(luò)性能的瓶頸。網(wǎng)絡(luò)性能有兩個(gè)很重要的指標(biāo)，一個(gè)是吞吐量，即網(wǎng)絡(luò)能夠傳輸?shù)淖畲髷?shù)據(jù)量，另一個(gè)是延遲等。第三，應(yīng)用成熟的流量監(jiān)控及控制軟件來(lái)提升網(wǎng)絡(luò)性能，從而滿足不同的網(wǎng)絡(luò)應(yīng)用需求。最后，網(wǎng)管們還可以綜合運(yùn)用入侵檢測(cè)系統(tǒng)(IDS)、防火墻、統(tǒng)一威脅管理(UTM)設(shè)備來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行信息安全方面的防護(hù)工作。

　　在日常的網(wǎng)絡(luò)流量管理中，為了有效實(shí)現(xiàn)網(wǎng)絡(luò)管理4個(gè)目標(biāo)，我們需要采取相應(yīng)的步驟。這個(gè)步驟包括網(wǎng)絡(luò)流量捕捉和分類(lèi)、網(wǎng)絡(luò)流量監(jiān)視(統(tǒng)計(jì)和分析)和控制策略。

　　1. 網(wǎng)絡(luò)流量捕捉和分類(lèi): 這是進(jìn)行網(wǎng)絡(luò)流量管理的第一步。只有通過(guò)設(shè)置捕捉點(diǎn)，對(duì)網(wǎng)絡(luò)流量進(jìn)行捕捉和分類(lèi)，才能進(jìn)行后續(xù)的分析和控制工作。這里特別需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)流量分類(lèi)可以非常宏觀化，也可以細(xì)化。比如TCP、UDP、ICMP等分類(lèi)就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類(lèi)和識(shí)別就比較細(xì)化了。在日常工作中，網(wǎng)絡(luò)管理員可以采用Wireshark、TCPDump等知名的報(bào)文捕捉和分析軟件進(jìn)行流量捕捉和分類(lèi)工作。

　　2.網(wǎng)絡(luò)流量監(jiān)視(分析): 監(jiān)視用來(lái)顯示流量的運(yùn)行狀況，幫助找出問(wèn)題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類(lèi)、展示和收集信息，包括帶寬利用率、活躍的主機(jī)和網(wǎng)絡(luò)效率以及活躍的應(yīng)用程序。該目標(biāo)可以通過(guò)采用市面上常見(jiàn)的NTOP等可視化分析管理工具來(lái)協(xié)助網(wǎng)絡(luò)管理員在實(shí)際工作中實(shí)現(xiàn)。

　　3. 控制策略: 網(wǎng)絡(luò)流量分析的下一步是根據(jù)優(yōu)先級(jí)別分配帶寬資源。分配的依據(jù)可以是主機(jī)、應(yīng)用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進(jìn)行滯后考慮。具體操作時(shí)可以應(yīng)用流行的流量控制工具來(lái)進(jìn)行和實(shí)現(xiàn)，如進(jìn)行分類(lèi)監(jiān)視和控制網(wǎng)絡(luò)流量，這樣，我們就可以將網(wǎng)絡(luò)流量有效管理起來(lái)，將原來(lái)無(wú)序的網(wǎng)絡(luò)流量變得有序起來(lái)。

　　以下我們具體介紹如何進(jìn)行網(wǎng)絡(luò)流量管理工作，包括網(wǎng)絡(luò)流量的識(shí)別、網(wǎng)絡(luò)流量的分析和控制。

　　網(wǎng)絡(luò)流量的識(shí)別

　　流量識(shí)別，也叫業(yè)務(wù)識(shí)別(Application Awareness)，是網(wǎng)絡(luò)流量管理的第一步。網(wǎng)絡(luò)流量識(shí)別通過(guò)對(duì)業(yè)務(wù)流量從數(shù)據(jù)鏈路層到應(yīng)用層的報(bào)文深度檢查分析，依據(jù)協(xié)議類(lèi)型、端口號(hào)、特征字符串和流量行為特征等參數(shù)，獲取業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)內(nèi)容和用戶行為等信息，并進(jìn)行分類(lèi)統(tǒng)計(jì)和存儲(chǔ)。業(yè)務(wù)識(shí)別的基本目的是幫助網(wǎng)絡(luò)管理員獲得網(wǎng)絡(luò)層之上的業(yè)務(wù)層流量信息，如業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)分布、業(yè)務(wù)流量流向等。

　　業(yè)務(wù)識(shí)別是一個(gè)相對(duì)復(fù)雜的過(guò)程，需要多個(gè)功能模塊的協(xié)同工作，業(yè)務(wù)識(shí)別的工作過(guò)程簡(jiǎn)單描述如下:

　　1. 識(shí)別處理模塊采用多通道識(shí)別處理，通過(guò)對(duì)網(wǎng)絡(luò)流量的源/目的IP地址和源/目的端口號(hào)的Hash算法，將網(wǎng)絡(luò)流量均勻地分配到多個(gè)處理通道中。

　　2. 多處理通道并行執(zhí)行網(wǎng)絡(luò)流量的深度報(bào)文檢查，獲取網(wǎng)絡(luò)流量的特征信息，并與業(yè)務(wù)識(shí)別特征庫(kù)中的特征進(jìn)行比對(duì)。

　　3. 將匹配結(jié)果送往識(shí)別處理模塊，并標(biāo)識(shí)特定網(wǎng)絡(luò)流量。如果存在多個(gè)匹配結(jié)果，選取優(yōu)先級(jí)較高的匹配結(jié)果進(jìn)行標(biāo)識(shí)。特定網(wǎng)絡(luò)流量一經(jīng)識(shí)別確定，該網(wǎng)絡(luò)流量的后續(xù)連接將不再進(jìn)行深度的報(bào)文檢查，直接將其網(wǎng)絡(luò)層和傳輸層信息與已知識(shí)別結(jié)果進(jìn)行比對(duì)，以提高執(zhí)行效率。

　　4. 識(shí)別處理模塊將網(wǎng)絡(luò)流量的業(yè)務(wù)識(shí)別結(jié)果存儲(chǔ)到識(shí)別結(jié)果存儲(chǔ)模塊中，為網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析提供依據(jù)。

　　5. 統(tǒng)計(jì)分析模塊從識(shí)別結(jié)果存儲(chǔ)模塊中讀取相關(guān)信息，并以曲線、餅圖、柱狀圖或者文本的方式將識(shí)別結(jié)果信息顯示或以文件的形式輸出。

　　6. 在結(jié)果存儲(chǔ)模塊中保存的識(shí)別結(jié)果信息會(huì)輸出到網(wǎng)絡(luò)流量管理功能區(qū)，為實(shí)施網(wǎng)絡(luò)流量管理提供依據(jù)。

　　目前常用的業(yè)務(wù)識(shí)別技術(shù)有兩種，即DPI技術(shù)和DFI技術(shù)。

　　DPI技術(shù) DPI是深度報(bào)文檢測(cè)(Deep Packet Inspection)的簡(jiǎn)稱。DPI技術(shù)之所以稱為“深度”的檢測(cè)技術(shù)，是相對(duì)于傳統(tǒng)的檢測(cè)技術(shù)而言的。傳統(tǒng)的流量檢測(cè)技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號(hào)、協(xié)議號(hào)，以及底層的連接狀態(tài)等。通過(guò)這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息，特別是對(duì)于當(dāng)前P2P應(yīng)用、VoIP應(yīng)用、IPTV應(yīng)用被廣泛開(kāi)展的情況，傳統(tǒng)的流量檢測(cè)技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。