網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)流量控制對管理起到的作用

　　了解網(wǎng)絡(luò)流量的分布、找到優(yōu)化網(wǎng)絡(luò)性能的方法、通過網(wǎng)絡(luò)管理技術(shù)來提升網(wǎng)絡(luò)效能，同時做好網(wǎng)絡(luò)流量信息安全方面的防護工作，這是網(wǎng)絡(luò)流量管理的主要工作內(nèi)容。

　　近十幾年來，互聯(lián)網(wǎng)得到了飛速發(fā)展。據(jù)統(tǒng)計，互聯(lián)網(wǎng)目前已成為人類社會最重要的信息基礎(chǔ)設(shè)施，占人類信息交流的80%。在這種大背景下，面對日益復(fù)雜的網(wǎng)絡(luò)聯(lián)機及逐漸增加的網(wǎng)絡(luò)流量，系統(tǒng)和網(wǎng)絡(luò)管理者必須花更多時間和精力來了解這些網(wǎng)絡(luò)設(shè)備的運作狀況，以維持一個企業(yè)網(wǎng)絡(luò)的正常運作。一般來說，網(wǎng)絡(luò)管理者需要了解各個網(wǎng)段頻寬的使用率、網(wǎng)絡(luò)問題的瓶頸發(fā)生于何處，一旦網(wǎng)絡(luò)發(fā)生問題，必須能夠很快地分析和判斷出問題的發(fā)生原因，這些就是網(wǎng)絡(luò)流量管理的主要工作內(nèi)容。那么，管理網(wǎng)絡(luò)流量的時候應(yīng)該基于什么樣的依據(jù)，通過什么手段和策略有效地把流量進行識別、分析和管理呢?

　　網(wǎng)絡(luò)流量管理的目標

　　隨著網(wǎng)絡(luò)流量的不斷增長以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁復(fù)雜化，我們不難看到，簡單、無限制地增加網(wǎng)絡(luò)帶寬是不能解決網(wǎng)絡(luò)流量的根本問題的。我們需要對網(wǎng)絡(luò)流量進行管理，從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)。

　　在網(wǎng)絡(luò)流量管理的過程中，我們首要的問題就要明確網(wǎng)絡(luò)管理目標。在網(wǎng)絡(luò)流量管理主要有4個目標: 首先，我們要了解網(wǎng)絡(luò)流量的使用情況; 其次，要找到優(yōu)化網(wǎng)絡(luò)性能的途徑; 第三，要通過網(wǎng)絡(luò)管理技術(shù)來提升網(wǎng)絡(luò)效能; 最后，還需要做好網(wǎng)絡(luò)流量信息安全方面的防護工作。

　　要達到上述4個目標，網(wǎng)絡(luò)管理員首先要通過有效的分類方式非常明確地知道，我們需要的帶寬到底哪些是實際使用的。其次是找到網(wǎng)絡(luò)性能的瓶頸。網(wǎng)絡(luò)性能有兩個很重要的指標，一個是吞吐量，即網(wǎng)絡(luò)能夠傳輸?shù)淖畲髷?shù)據(jù)量，另一個是延遲等。第三，應(yīng)用成熟的流量監(jiān)控及控制軟件來提升網(wǎng)絡(luò)性能，從而滿足不同的網(wǎng)絡(luò)應(yīng)用需求。最后，網(wǎng)管們還可以綜合運用入侵檢測系統(tǒng)(IDS)、防火墻、統(tǒng)一威脅管理(UTM)設(shè)備來對網(wǎng)絡(luò)流量進行信息安全方面的防護工作。

　　在日常的網(wǎng)絡(luò)流量管理中，為了有效實現(xiàn)網(wǎng)絡(luò)管理4個目標，我們需要采取相應(yīng)的步驟。這個步驟包括網(wǎng)絡(luò)流量捕捉和分類、網(wǎng)絡(luò)流量監(jiān)視(統(tǒng)計和分析)和控制策略。

　　1. 網(wǎng)絡(luò)流量捕捉和分類: 這是進行網(wǎng)絡(luò)流量管理的第一步。只有通過設(shè)置捕捉點，對網(wǎng)絡(luò)流量進行捕捉和分類，才能進行后續(xù)的分析和控制工作。這里特別需要強調(diào)的是，網(wǎng)絡(luò)流量分類可以非常宏觀化，也可以細化。比如TCP、UDP、ICMP等分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化了。在日常工作中，網(wǎng)絡(luò)管理員可以采用Wireshark、TCPDump等知名的報文捕捉和分析軟件進行流量捕捉和分類工作。

　　2.網(wǎng)絡(luò)流量監(jiān)視(分析): 監(jiān)視用來顯示流量的運行狀況，幫助找出問題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機和網(wǎng)絡(luò)效率以及活躍的應(yīng)用程序。該目標可以通過采用市面上常見的NTOP等可視化分析管理工具來協(xié)助網(wǎng)絡(luò)管理員在實際工作中實現(xiàn)。

　　3. 控制策略: 網(wǎng)絡(luò)流量分析的下一步是根據(jù)優(yōu)先級別分配帶寬資源。分配的依據(jù)可以是主機、應(yīng)用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進行滯后考慮。具體操作時可以應(yīng)用流行的流量控制工具來進行和實現(xiàn)，如進行分類監(jiān)視和控制網(wǎng)絡(luò)流量，這樣，我們就可以將網(wǎng)絡(luò)流量有效管理起來，將原來無序的網(wǎng)絡(luò)流量變得有序起來。

　　以下我們具體介紹如何進行網(wǎng)絡(luò)流量管理工作，包括網(wǎng)絡(luò)流量的識別、網(wǎng)絡(luò)流量的分析和控制。

　　網(wǎng)絡(luò)流量的識別

　　流量識別，也叫業(yè)務(wù)識別(Application Awareness)，是網(wǎng)絡(luò)流量管理的第一步。網(wǎng)絡(luò)流量識別通過對業(yè)務(wù)流量從數(shù)據(jù)鏈路層到應(yīng)用層的報文深度檢查分析，依據(jù)協(xié)議類型、端口號、特征字符串和流量行為特征等參數(shù)，獲取業(yè)務(wù)類型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)內(nèi)容和用戶行為等信息，并進行分類統(tǒng)計和存儲。業(yè)務(wù)識別的基本目的是幫助網(wǎng)絡(luò)管理員獲得網(wǎng)絡(luò)層之上的業(yè)務(wù)層流量信息，如業(yè)務(wù)類型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)分布、業(yè)務(wù)流量流向等。

　　業(yè)務(wù)識別是一個相對復(fù)雜的過程，需要多個功能模塊的協(xié)同工作，業(yè)務(wù)識別的工作過程簡單描述如下:

　　1. 識別處理模塊采用多通道識別處理，通過對網(wǎng)絡(luò)流量的源/目的IP地址和源/目的端口號的Hash算法，將網(wǎng)絡(luò)流量均勻地分配到多個處理通道中。

　　2. 多處理通道并行執(zhí)行網(wǎng)絡(luò)流量的深度報文檢查，獲取網(wǎng)絡(luò)流量的特征信息，并與業(yè)務(wù)識別特征庫中的特征進行比對。

　　3. 將匹配結(jié)果送往識別處理模塊，并標識特定網(wǎng)絡(luò)流量。如果存在多個匹配結(jié)果，選取優(yōu)先級較高的匹配結(jié)果進行標識。特定網(wǎng)絡(luò)流量一經(jīng)識別確定，該網(wǎng)絡(luò)流量的后續(xù)連接將不再進行深度的報文檢查，直接將其網(wǎng)絡(luò)層和傳輸層信息與已知識別結(jié)果進行比對，以提高執(zhí)行效率。

　　4. 識別處理模塊將網(wǎng)絡(luò)流量的業(yè)務(wù)識別結(jié)果存儲到識別結(jié)果存儲模塊中，為網(wǎng)絡(luò)流量的統(tǒng)計分析提供依據(jù)。

　　5. 統(tǒng)計分析模塊從識別結(jié)果存儲模塊中讀取相關(guān)信息，并以曲線、餅圖、柱狀圖或者文本的方式將識別結(jié)果信息顯示或以文件的形式輸出。

　　6. 在結(jié)果存儲模塊中保存的識別結(jié)果信息會輸出到網(wǎng)絡(luò)流量管理功能區(qū)，為實施網(wǎng)絡(luò)流量管理提供依據(jù)。

　　目前常用的業(yè)務(wù)識別技術(shù)有兩種，即DPI技術(shù)和DFI技術(shù)。

　　DPI技術(shù) DPI是深度報文檢測(Deep Packet Inspection)的簡稱。DPI技術(shù)之所以稱為“深度”的檢測技術(shù)，是相對于傳統(tǒng)的檢測技術(shù)而言的。傳統(tǒng)的流量檢測技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號、協(xié)議號，以及底層的連接狀態(tài)等。通過這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息，特別是對于當前P2P應(yīng)用、VoIP應(yīng)用、IPTV應(yīng)用被廣泛開展的情況，傳統(tǒng)的流量檢測技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。