《CSNA網(wǎng)絡(luò)分析認(rèn)證專家實(shí)戰(zhàn)案例》課件-第43章

第43章IDC出口流量梳理43.1故障背景43.2IDC出口流量梳理43.3小結(jié)

某單位有一套獨(dú)立的生產(chǎn)系統(tǒng)，服務(wù)器集中在IDC機(jī)房，各分支部門通過(guò)專線訪問(wèn)生產(chǎn)業(yè)務(wù)。IDC所有服務(wù)器一直以來(lái)都采用相同的安全策略，為了提高網(wǎng)絡(luò)的安全性，領(lǐng)導(dǎo)決定重新劃分網(wǎng)絡(luò)安全區(qū)域。43.1故障背景在網(wǎng)絡(luò)安全區(qū)域劃分之前，需要對(duì)IDC出口流量進(jìn)行梳理，調(diào)查清楚每個(gè)應(yīng)用對(duì)應(yīng)的服務(wù)器IP、服務(wù)端口號(hào)及用戶源頭等各種信息，為防火墻策略提供依據(jù)。這些信息雖然可以通過(guò)應(yīng)用部門獲取，但網(wǎng)絡(luò)部門依然需要在實(shí)際網(wǎng)絡(luò)流量中驗(yàn)證這些信息是否正確、完整，避免錯(cuò)誤的安全規(guī)則造成生產(chǎn)業(yè)務(wù)訪問(wèn)失敗。一開始，網(wǎng)絡(luò)部人員通過(guò)各種便攜式的數(shù)據(jù)包分析工具，在IDC出口捕獲數(shù)據(jù)包，手工分析服務(wù)器IP、端口號(hào)及用戶源頭等信息。在耗費(fèi)了大量的精力后，工作進(jìn)度卻非常緩慢。用便攜式的數(shù)據(jù)包分析工具在大流量環(huán)境中進(jìn)行流量梳理，有如下諸多困難：

(1)流量大，每次只能分析短時(shí)間的數(shù)據(jù)，而流量梳理至少需要一個(gè)月的周期才有說(shuō)服力。

(2)效率低，手動(dòng)分析一次性只能分析一個(gè)應(yīng)用，而IDC有上百種不同的業(yè)務(wù)。

(3)信息量大，每個(gè)業(yè)務(wù)系統(tǒng)都存在大量的通信信息，人工處理相當(dāng)困難，而且容易遺漏。

這時(shí)候我們便發(fā)現(xiàn)“科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)”在這方面的應(yīng)用價(jià)值，其回溯分析系統(tǒng)是專用的流量分析硬件設(shè)備，不僅僅能抓包，還能統(tǒng)計(jì)、存儲(chǔ)網(wǎng)絡(luò)中各種關(guān)鍵指標(biāo)，并提供快速檢索。具體功能和特點(diǎn)有：

(1)

7

×

24小時(shí)不間斷監(jiān)控，高性能數(shù)據(jù)采集。

(2)提供海量存儲(chǔ)空間，記錄每個(gè)時(shí)間點(diǎn)數(shù)據(jù)包、數(shù)據(jù)流和網(wǎng)絡(luò)會(huì)話等信息，能夠保存幾天、幾周甚至更長(zhǎng)時(shí)間的數(shù)據(jù)。

(3)快速的數(shù)據(jù)檢索能力，能夠?qū)^(guò)去任意時(shí)間點(diǎn)網(wǎng)絡(luò)中發(fā)生的時(shí)間進(jìn)行快速的回溯分析。

(4)內(nèi)置智能專家分析系統(tǒng)，對(duì)網(wǎng)絡(luò)異常行為可進(jìn)行深入分析。

這些功能和特點(diǎn)可以幫助網(wǎng)絡(luò)部門的同事高效、準(zhǔn)確地進(jìn)行流量梳理，大大節(jié)省管理人員的精力。

43.2.1設(shè)備部署

在IDC出口設(shè)備上做鏡像，將鏡像流量接到科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)，簡(jiǎn)單易用。43.2IDC出口流量梳理43.2.2快捷歷史數(shù)據(jù)回溯

部署科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)后，可以分析任意時(shí)間段的流量概要統(tǒng)計(jì)、網(wǎng)絡(luò)應(yīng)用、IP地址、物理地址、IP會(huì)話、物理會(huì)話、TCP會(huì)話、UDP會(huì)話等信息，并且可以逐層追溯分析和設(shè)置告警，如圖43-1所示。

圖43-143.2.3流量信息驗(yàn)證

網(wǎng)絡(luò)部門人員已經(jīng)從應(yīng)用部門獲取應(yīng)用系統(tǒng)服務(wù)器的IP地址等信息，那么我們?nèi)绾芜M(jìn)行確認(rèn)呢？

通過(guò)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)我們可以一次性查看一天、一周甚至更長(zhǎng)時(shí)間的“IP地址”信息，就可以獲取網(wǎng)絡(luò)中所有IP地址的流量信息，包括通信流量大小、數(shù)據(jù)包量、進(jìn)出流量、流量收發(fā)比、發(fā)送TCP同步包數(shù)量、接收TCP同步包數(shù)量等各種信息。通過(guò)這些信息，我們可以快速地判斷每個(gè)IP地址是否為服務(wù)器，并獲得其負(fù)載大小等信息，如圖43-2所示。

圖43-2在所有的IP地址中，可以通過(guò)“地址檢索”功能快速定位到我們想找的地址。假如服務(wù)器X.X.X.10通過(guò)TCP443端口提供了財(cái)務(wù)系統(tǒng)的業(yè)務(wù)，我們?cè)诘刂窓z索中輸入X.X.X.10這個(gè)地址，就可以獲取該服務(wù)器的流量信息，如圖43-3所示。

圖43-3從上圖可以看到，地址檢索之后，“IP地址”列表中就只剩下我們想要的那臺(tái)服務(wù)器地址的信息了，同時(shí)我們看到該服務(wù)器的“收TCP同步包”、“發(fā)TCP同步確認(rèn)包”這兩列的數(shù)量均為9，這就證明該IP地址為服務(wù)器，在這段時(shí)間內(nèi)收到9次連接請(qǐng)求，并且都成功響應(yīng)了。接下來(lái)，我們還可以通過(guò)數(shù)據(jù)“挖掘”功能，獲取該服務(wù)器更多的信息，如圖43-4所示。

圖43-4例如挖掘該服務(wù)器的“TCP會(huì)話”信息，見圖43-5。

由圖43-5可知，服務(wù)器X.X.X.10提供服務(wù)的端口號(hào)是TCP443，而且只有這個(gè)端口，于是我們可以很輕松地判斷，應(yīng)用部門提供的信息——“財(cái)務(wù)系統(tǒng)：X.X.X.10：TCP443”是正確的。

圖43-543.2.4業(yè)務(wù)主動(dòng)監(jiān)控

通過(guò)以上的步驟，我們能夠輕松地檢驗(yàn)業(yè)務(wù)系統(tǒng)的各種信息，那么我們能不能在科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)中更智能地記錄我們驗(yàn)證過(guò)的信息，更主動(dòng)地對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行監(jiān)控，甚至主動(dòng)地發(fā)現(xiàn)異常流量或者新上線的業(yè)務(wù)流量呢？答案是肯定的！科來(lái)網(wǎng)絡(luò)分析系統(tǒng)提供“定制應(yīng)用”功能，可以根據(jù)服務(wù)器IP地址、IP地址段、TCP/UDP端口號(hào)、IP地址與TCP/UDP端口號(hào)結(jié)合等各種方式進(jìn)行自定義業(yè)務(wù)的定制。例如，我們可以將X.X.X.10的TCP443端口定義為“財(cái)務(wù)”，如圖43-6所示。

圖43-6那么，我們?cè)凇熬W(wǎng)絡(luò)應(yīng)用”這里就可以看到“財(cái)務(wù)”系統(tǒng)的流量信息，如圖43-7所示。

“網(wǎng)絡(luò)應(yīng)用”界面同樣支持應(yīng)用檢索、回溯分析等功能，可以方便、快捷、主動(dòng)地對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行分析和監(jiān)控，如圖43-8所示。

如果我們將100多種業(yè)務(wù)系統(tǒng)都定制在科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)中，那么當(dāng)“網(wǎng)絡(luò)應(yīng)用”中出現(xiàn)任何其他應(yīng)用時(shí)，它們不是異常流量便是新上線的業(yè)務(wù)系統(tǒng)，這是不是一勞永逸的監(jiān)控方式呢？

圖43-7