暢通無阻的網絡性能是許多 NetOps 活動的核心目標，其中之一是通過使用數據包數據和網絡流來解決網絡性能問題。當聚合和分析流和數據包數據時，網絡洞察力可以引導團隊找到更好的解決方案。對于每次性能下降時都依賴重新啟動系統的小型企業，流量洞察會引導他們了解網絡使用情況，然后找到網絡問題的根本原因。擁有關鍵業務服務的大型企業可能已經在利用流和數據包數據來監控他們的環境，即使只使用基本的數據包分析工具。

流和數據包數據是收集線索以修復性能問題的基礎數據源（查看事件、日志和系統日志以獲取更多來源）。為了從流經網絡的海量數據包數據中發掘線索，高級網絡性能監控和診斷 (NPMD) 軟件會收集重要的網絡指標和數據，對其進行分析，然后將組織內部網絡活動的準確表示可視化：內部、虛擬和云環境。這種程度的網絡可見性對于 IT 團隊解決網絡性能和安全問題至關重要。

01

什么是流和數據包

數據包包含線索。整個文件不會在整個網絡中以一份形式傳輸。相反，網絡消息被打包，然后通過互聯網和其他連接路由，在目的地重新組裝。每個數據包通常被組織成三個段，無論其大小如何，即header、payload和footer。當數據包流經網絡路由器時，它們的頭部被讀取并基于 5-7 個數據包頭部屬性進行“指紋識別”。

僅從上面的那幾個數據包屬性就可以理解大部分網絡行為。

• 源地址和目標地址告訴誰是流量的發起者和接收者

• 端口和服務等級說明正在使用的應用程序及其流量優先級

• 設備接口告訴設備如何利用流量

• 通過統計數據包，可以確定總的流量流量

• 時間戳可用于及時放置流并確定其速率

• 應用程序和網絡延遲提供有關每個事務所需時間的度量

02

如何衡量

此外，通過深度數據包檢查，數據包會根據一組由 NetOps 和/或 SecOps 團隊創建的定制規則進行判斷（過濾）。通過將某些流量列入白名單或黑名單，例如僅允許關鍵協議，或基于來自先前已知為威脅的數據庫的匹配簽名拒絕數據包模式，DPI 可用于入侵檢測系統 (IDS) 和入侵防御系統(IPS) 以防止蠕蟲、病毒和間諜軟件進入網絡，并在出現網絡問題時提醒團隊。

03 使用監控軟件解決網絡性能問題

對網絡性能問題進行故障排除是一個找出相關數據線索的過程，這些線索可以導致對潛在問題的合理評估。有時問題很簡單，例如，路由器可能會變得擁塞，但問題不一定是設備故障，而是了解網絡流量使用情況可能會導致重新配置修復，將業務關鍵流量優先于個人使用流量，從而導致過度消耗帶寬資源。如果監控網絡流量，可以很快得出這個結論，如果監控軟件能夠清楚地可視化流量或生成警報，則可以更快地得出結論。

底層網絡問題越復雜，就越需要協議和數據包分析方面的偵查和專業知識。通過使用 NPMD 和網絡檢測和響應 (NDR) 軟件，找到常見問題的答案相當容易，只需深入到可視化的問題區域，讓軟件嗅出潛在問題并提供反饋，有些還可能建議潛在問題修復，其他人可能會為您提供詳細的圖表和表格，以進行您自己的評估。流圖中的橙色圓圈顯示了組織整體網絡中的擁塞部分，單擊橙色圓圈將深入到故障區域。

可能有幾個罪魁禍首就會導致網絡滯后。例如，網絡擁塞的根本原因可能來自網絡設備故障或配置錯誤、內部帶寬使用過多或外部 DDoS 攻擊。如果沒有分析流量和數據包數據的綜合工具，嘗試和錯誤可能是網絡運營商唯一的替代故障排除方法。

• 拓撲視圖對于理解底層物理網絡非常重要，因為當今的網絡更加復雜和動態，融合了不同的技術，如廣域網、SD-WAN、WiFi、遠程站點、數據中心和多云服務，因此尤其難以排除故障。
• 流路徑分析功能提供設備、接口、應用程序、VPN 和用戶的端到端可見性。通過關聯躍點和流量，監控軟件可以將網絡和應用程序性能疊加到拓撲視圖上。綜合起來，這些模型將性能與底層物理網絡相關聯，強調網絡基礎設施中的弱點。
• 應用程序監控通過了解跨多個網段、域和結構的應用程序層的數據包數據來識別應用程序使用情況。這不僅有助于了解網絡性能，而且可以直接解決用戶體驗問題并減少負面業務影響。

• 入侵檢測和預防監控對于檢測可能發生的事件的跡象并試圖阻止它們很有用。在更高級的網絡中發現，作為預防網絡性能下降的主動響應，IDS 和 IDP 系統依靠讀取數據包并應用多種檢測技術、基于簽名的方法、基于異常的方法和狀態協議分析來檢測問題即時的。

04利用流和數據包進行故障排除

• 拓撲視圖

• 識別需要升級或更換的基礎設施組件

• 使用自動設備發現維護實時全面的設備清單

• 主動識別阻塞點

• 比較不同的性能指標

• 流路徑分析

• 根據 IP 地址跨端點識別可能的路由、躍點和網絡延遲影響

• 識別由負載平衡引起的問題

• 識別由路由引起的問題

• 應用監控

• 建立可用于監控異常流量水平的性能基線

• 發現有關如何在應用程序級別使用網絡的最深刻見解

• 識別允許使用的策略弱點

• 入侵檢測和防御監控

• 根據其簽名（基于簽名）識別已知的攻擊或攻擊類型

• 識別與網絡行為規范的偏差（基于異常）

• 識別與協議使用規范的偏差（狀態協議分析）

這表明從流和數據包數據推斷的端到端可見性有助于在最關鍵級別進行網絡故障排除，并為進一步監控跟蹤應用程序性能的集成以及對業務目標產生重大影響的復雜用戶體驗奠定基礎。

05使用LiveNX進行網絡故障排除

LiveNX基于流（即 Netflow、IPFIX、SFlow、JFlow 等）,SNMP和數據包等多種數據源，通過來自幾乎任何地方的數據——WAN、SD-WAN、WiFi、遠程站點、數據中心，查看并整個網絡，關聯多種數據源，實現端到端的可視化分析。輕松地從警報和上下文數據下鉆到 Flow 性能數據，并進一步深入到目標數據包級分析，以實現全面的故障解決工作流程 - 實現加速網絡、減少延遲抖動并減少 MTTR。LiveNX 提供從多個事件聚合的特定的警報，從而僅顯示需要立即關注的警報。此外，LiveNX Insight 模塊利用機器學習進行主動異常檢測和路徑更改通知。LiveNX 可幫助您以前所未有的方式排除網絡故障：

• 用于應用程序故障排除的可視化分析

• 綜合儀表板和報告

• 主動警報和異常檢測

• 端到端的可視化分析

• 從Flow到數據包取證分析

LiveNX

虹科提供具有端到端監控分析能力的解決方案LIveNX和數據包捕獲分析設備LiveWire/LiveCapture，兩者既可以單獨使用也可以集成到一起實現更強大的分析能力。

• 網絡性能監控

• 應用性能監控

• 端到端可視化

• flow到數據包詳細分析

• 高速全流量捕獲分析

• 上百種詳細報告

• 高級異常檢測和預測分析

-END-

往期推薦

【虹科】LiveNX 下一代企業網絡監控軟件

【虹科】如何逐跳識別網絡問題

【虹科】增加網絡可見性以優化網絡檢測和響應 (NDR)

【虹科】進階-端到端的網絡流量監控

點擊下方“閱讀原文”查看更多