F5网络性能管理

1、厦门市雅宝信息技术厦门市雅宝信息技术有限公司有限公司具体需求具体需求1.某集团流量拥塞检测、网络扩容、优化决策2.网络规划流量水平预测重要流量的长期记录访问记录非法访问的分析与取证某集团某集团监控的数据来源端口镜像： 通过探针的千兆监控口实现； 得到链路层利用率、IP主机与通信对、流量的应用类型等资料。NetFlow: 核心路由器Cisco7507设备功能； 分支机构路由器Cisco设备功能； 核心交换机Extreme6800设备功能； 网络设备将NetFlow数据发给探针处理； 得到链路层利用率、IP主机与通信对、流量的应用类型等资料。SNMP MIBII: 全网路由器、交换机的设备功能 得

2、到链路层利用率、错误率、CPU与内存使用率等资料。应用仿真测试软件 NetScout提供，安装在各个远程各个分支机构，用于主动测试中心服务器应用服务的响应时延，用于： 应用服务响应性能各种测试。 当某区域访问中心的应用服务响应性能下降时关联分析流量报表，协助判断故障点是服务器还是网络。数据源数据源广域网全网流量分析广域网全网流量分析 数据源：Cisco7507的RongShiDa链路NetFlow 时间范围：2005年10月20日-21日 分析结果： 该广域网链路已经拥塞 拥塞时间早上8:30-8:45 造成拥塞的应用类型是Emai_POP3国税局链路利用率曲线广域网专线链路利用率曲线专线链路

3、的哪种应用在什么时段造成链路拥塞？专线链路的哪种应用在什么时段造成链路拥塞？ 针对某条广域网专线的流量分析针对某条广域网专线的流量分析专线链路在运行哪种类型的流量？广域网全网流量分析广域网全网流量分析 针对某条广域网专线的流量分析针对某条广域网专线的流量分析RongShiDa链路链路POP3邮件应用占用带宽曲线图邮件应用占用带宽曲线图RongShiDa链路链路Email_POP3的的IP通信对通信对 数据源：Cisco7507的RongShiDa链路NetFlow 时间范围：2005年10月20日-21日 分析结果： 该广域网链路已经拥塞 拥塞时间早上8:30-8:45 造成拥塞的应用类型是E

4、mai_POP3 优化建议：链路在运行正常的邮件应用、可以考虑扩容银行办公网流量分析银行办公网流量分析分支机构分支机构局域网骨干流量分析局域网骨干流量分析 数据源：Cisco6509与3550之间的千兆光纤链路 时间范围：2005年11月8日全天 基本情况： GE光纤的平均利用率不超过6% 从右边的利用率曲线图来看，上班时间9:00-17:00持续用量水平较高，流量峰值在当天的下午5点，非上班时间一直都有流量产生，非上班时间的流量水平接近整日的50%千兆链路当天平均利用率千兆链路当天利用率曲线图 链路拥塞分析链路拥塞分析日报表网络拥塞分析网络拥塞分析 当天流量峰值的流量类型与使用者当天流量峰值

5、的流量类型与使用者拥塞时段利用率已经达到因特网百兆出口利用的83%拥塞时段17:15-17:30拥塞时段哪些应用类型在运行？ 分析结果 ：链路已经拥塞 优化建议：保障WEB网页流量与邮件流量，控制P2P流量、未知流量、异常流量在这个时段是谁造成了拥塞？拥塞时段的流量类型 数据源：Cisco6509与3550之间的千兆光纤链路 时间范围：2005年11月8日全天 基本情况： 本日流量总量为1045G字节，从左边的流量类型与比例图来看，第一名是未知流量（IP_Other），需要再进一步分析其成份与使用者的行为特点 第二名是网页浏览HTTP，第三名是已知的P2P下载eMule(3%)与BT(2%)

6、第四名是多媒体流量NetShow与RealPlayer百兆因特网出口整天的流量类型与比例本日因特网出口的流量类型与流量大小，累计流量总量为1045G字节 网络在运行哪些类型的流量以及用了多少网络在运行哪些类型的流量以及用了多少局域网骨干流量分析局域网骨干流量分析 是谁产生了未知流量是谁产生了未知流量 数据源：Cisco6509与3550之间的千兆光纤链路 时间范围：2005年11月8日全天 基本情况： 上表所列IP当天产生的未知流量每个IP都超过10G字节，当天未知流量累计630G字节 建议： 未知流量已经造成网络拥塞，可适当进行控制这些IP当天产生的未知流量都超过10G字节，未知流量累计63

7、0G字节局域网骨干流量分析局域网骨干流量分析 未知流量是谁与谁在通信未知流量是谁与谁在通信 数据源：Cisco6509与3550之间的千兆光纤链路 时间范围：2005年11月8日全天 基本情况： 上表列出了未知流量的通信双方IP地址，可以明显地看到一个特点： 未知流量的IP通信只有一个方向，这与BT类的P2P下载流量行为比较接近，可以通过NetScout的未知流量端口发现功能找到其应用端口这些IP当天产生的未知流量都超过10G字节，未知流量累计630G字节局域网骨干流量分析局域网骨干流量分析 未知流量的通信端口分析未知流量的通信端口分析 数据源：示例图 分析： 上表列出了NetScout的监控

8、口或NetFlow数据发现的未知流量通信端口、数据包数量、及流量大小；前内位是因特网上近期流行的P2P流量端口。局域网骨干流量分析局域网骨干流量分析基准分析与基准告警基准分析与基准告警每条广域网链路或每个交换机端口的利每条广域网链路或每个交换机端口的利用率基准线用率基准线每条广域网链路某个每条广域网链路某个应用占用带宽百分比应用占用带宽百分比的基准的基准通过网络设备通过网络设备SNMP MIB得到得到通过网络设备通过网络设备NetFlow得到得到基准告警能够依据当天流量水平与历史特定时段的流量水平差异产生告基准告警能够依据当天流量水平与历史特定时段的流量水平差异产生告警，而不是一个固定的阀值。

9、警，而不是一个固定的阀值。网络设备网络设备CPU/内存基准分析内存基准分析网络设备的网络设备的CPU/内存基准线内存基准线通过网络设备通过网络设备SNMP MIB得到得到 依据基准产生趋势分析依据基准产生趋势分析 DTT(Days to Threshold)：到达预设的饱和值(默认是带宽 70%)的天数。 Projection：按照现在的链路/应用利用率，估算预设的天数 (默认是30天) 以后的利用率服务器应用响应时延分析服务器应用响应时延分析平均响应时间峰值响应时间服务响应次数响应成功的次数应用类型与服务器IP服务器应用响应时延分析服务器应用响应时延分析43的邮件服务

10、响应性能大致良好4:30有超时现象49的数据库服务响应性能良好关联分析案例：如何快速定位（排除）应用性能下降与网络的关系关联分析案例：如何快速定位（排除）应用性能下降与网络的关系 网络的意义在于承载关键业务与应用，集中式的业务访问当遇到某些局部地区的性能下降投诉时常需要网管人员花费大量时间去排除障： 首先是介定特定业务的性能下降是否与流量有关以及与哪条链路 的流量有关 如果与流量有关，是哪一种流量，以及哪一个IP造成 如果与流量无关，有哪些证据能够表明是服务器的问题 NetScout的仿真客户端软件的仿真客户端软件Active Agent（AA）结合探针与网络）结合探针

11、与网络设备的设备的NetFlow流量分析可以协助用户判断这个问题流量分析可以协助用户判断这个问题 AA可以安装在服务器本地、楼层、及远程的分支机构客户端，可以安装在服务器本地、楼层、及远程的分支机构客户端，用于长期测试同一个特定应用的响应性能用于长期测试同一个特定应用的响应性能上图中：AA1 = 安装在服务器群本地AA2 = 安装在主交换机连接的客户端AA3 = 安装在楼层客户端AA4 = 安装在远程分支机构1AA5 = 安装在远程分支机构2关联分析案例：如何快速定位（排除）应用性能下降与网络的关系关联分析案例：如何快速定位（排除）应用性能下降与网络的关系 多个仿真客户端同时长期测试同一个业务

12、应用的响应性能，多个响应性能报表同时比较，有助于快速判断故障范围，节约人工投入，提高网络生产力关联分析案例：如何快速定位（排除）应用性能下降与网络的关系关联分析案例：如何快速定位（排除）应用性能下降与网络的关系15:45-18:00 DNS域名服务响应性能严重恶化，全省有一半用户无法解析域名关联分析15:45-18:00该DNS服务的流量情况，快速判断是异常攻击流量造成： 同一时间，某些IP对服务器的DNS访问量超过一个城市 这些IP对服务器的DNS请求没有得到应答（流量只有一个方向）1个IP1个城市本案难点：与历史同期水平比较 链路无误码 链路用量没有明显变化 DNS整体用量没有明显变化 没

13、有流量激增仅发现DNS数据包有增长关联分析案例：如何快速定位（排除）应用性能下降与网络的关系关联分析案例：如何快速定位（排除）应用性能下降与网络的关系智能告警案例智能告警案例智能告警案例：提供告警证据智能告警案例：提供告警证据导致告警的应用导致告警的IP与应用类型导致告警的IP通信对与应用类型 单个单个IP对网络资源的消耗对网络资源的消耗7当天流量32G字节的流量大小分布曲线图当天流量水平最高的10台主机（TopN数目可调到999）凌晨峰值时每15分钟1G的流量大小（进出双向）局域网骨干流量分析局域网骨干流量分析 单个单个IP对网络资源的消耗对网络资源的消耗7当天流量32G字节的流量类型与流量速率分布曲线图局域网骨干流量分析局域网骨干流量分析方案总结方案总结1.分析范围广度的与深度：支持多种数据源，将网络性能监控覆盖到广域网全网范围