网络运行情况分析方法论.ppt

网络运行情况分析方法论 王超 QQ:349932999 MoblieMail:shujuhua@163.com 10月21日 @ 合肥 目录 引言 网络运行情况包含的内容 网络运行情况分析方法 利用科来分析网络运行情况的步骤 网络运行情况报告实例样式 结语 引言 我们了解我们维护的网络吗？ 我们的网络需要改造升级吗？ 我们的链路带宽需要扩容吗？ 什么业务占用了我们的链路？ QOS策略到底需要对各种应用控制多大的流量？ 服务器为什么变慢了？ 服务器性能够用了吗？ 有人在扫描我们的服务器吗？ 为什么上网速度变慢了？ 如何发现网内的异常主机？ 我们向领导提交什么样的月报或年报呢？ 。。。。 引言 网络运行情况分析的内容 接入边界侧重分析内容 服务器侧重分析内容 办公区侧重分析内容 网络运行情况分析的方法 流量监控法（snmp、netflow） 设备日志分析法 数据包分析法 采样法 设备日志分析法 流量监控法 数据包分析法 采样法 各种分析方法对比 分析方法 各种分析方法对比 分析方法 各种分析方法对比 分析方法 各种分析方法对比 分析方法 网络运行情况分析的方法 分析网络运行情况步骤 分析网络运行情况步骤 网络运行情况报告实例样式 结语 网络分析方法论尚需完善，欢迎专业人士提宝贵意见！ 邮箱：shujuhua@163.com QQ：349932999 欲知实战如何分析，敬请期待下回讲解！ * * 怎么搞呢？ 分析一下网络运行 的情况即可解决楼 上两位的问题！ 如何分析网络 运行情况呢？ 同志们，搞好 网络分析是很 有钱途的！ 网络组成 办公区域 服务区 边界接入区 网络运行情况分析内容 业务 性能 安全性 其他 网络运行情况分析的内容 网络划分的区域： 数据包大小分布 TCP连接建立情况 其他 边界接入 每秒包数 链路利用率 边界峰值流量 性能 边界平均流量 网络连接数 业务 应用分布 安全性 外部攻击 数据包大小分布 TCP连接建立情况 其他 服务区 每秒包数 服务器峰值流量 性能 服务器平均流量 网络连接数 业务 服务响应时间 安全性 服务窗口变化 业务异常特征 业务应用分布 攻击 扫描 数据包大小分布 TCP连接建立情况 其他 办公区域 办公区峰值流量 性能 办公区平均流量 网络连接数 业务 应用分布 安全性 攻击 扫描 数据包分析 流量监控法 设备日志分析法 采样法 数据包分析 流量监控法 设备日志分析法 采样法 通过对不同网络设备（主要指安全设备，如IDS、IPS、流量整形设备、行为管理设备等）的日志内容（包括流量、攻击、业务分布等内容）的分析来收集相应的网络运行情况的数据，从而完成对网络运行情况的分析 通过对相关网络设备（主要指交换机、路由器、其他网关型设备）接口流量的监控（主要通过SNMP或netflow技术实现）来分析网络运行流量或业务分布的相关情况 数据包分析 流量监控法 设备日志分析法 采样法 通过对网络中的不同网段区域（边界接入区域、服务器区域、办公区域等）中的数据包的捕获和分析来实现对各种不同网络区域的流量、性能、安全性、异常等情况的评估 数据包分析 流量监控法 设备日志分析法 采样法 网段采样：在网络规模较大，网络同质性很大时，我们可以通过对部分具有代表性的网段进行采样分析 时间段采样：根据网络不同时间段的运行情况，我可以按照时间段进行采样分析 采样法可以辅助其他的分析方法一起工作 数据包分析 流量监控法 设备日志分析法 采样法 数据包分析法 流量监控法 设备日志分析法 采样法 优点 不足 SNMP可以形成长期的流量曲线图 Netflow可以生成较为详尽的业务应用流量分布数据 Snmp只能针对接口流量 Netflow只能识别四层以上的数据流量 需要设备支持 难以全网部署 主要分析接口的流量情况 无法对服务器的效能进行评估和分析 无法分析网络的安全性 数据包分析法 流量监控法 设备日志分析法 采样法 优点 不足 根据设备类型的不同，其日志内容各有侧重。 流量管理类设备的日志可以提供较为详尽的网络流量信息和业务分布数据。 IDS、IPS等设备的日志则可以提供丰富、专业的网络安全方面的相关信息 一般只能分析边界接入区域 需要部署相关专业的设备 安全类的日志误报率太高 无法提供完整的数据包数据 无法实现对业务应用的分析 可以提供的网络运行情况的信息较为单一，不全面 数据包分析法 流量监控法 IDS日志分析法 采样法 优点 不足 可以提供最为完整的网络运行情况的数据信息 部署灵活，可以根据需要部署在网络中的任何位置 功能丰富，可以详尽的分析网络的性能、业务服务、安全性等情况 技术含量较高，需要一定的理论基础和专业素质 需要一定的工作量