《CSNA网络分析认证专家实战案例》课件-第43章

第43章IDC出口流量梳理43.1故障背景43.2IDC出口流量梳理43.3小结

某单位有一套独立的生产系统，服务器集中在IDC机房，各分支部门通过专线访问生产业务。IDC所有服务器一直以来都采用相同的安全策略，为了提高网络的安全性，领导决定重新划分网络安全区域。43.1故障背景在网络安全区域划分之前，需要对IDC出口流量进行梳理，调查清楚每个应用对应的服务器IP、服务端口号及用户源头等各种信息，为防火墙策略提供依据。这些信息虽然可以通过应用部门获取，但网络部门依然需要在实际网络流量中验证这些信息是否正确、完整，避免错误的安全规则造成生产业务访问失败。一开始，网络部人员通过各种便携式的数据包分析工具，在IDC出口捕获数据包，手工分析服务器IP、端口号及用户源头等信息。在耗费了大量的精力后，工作进度却非常缓慢。用便携式的数据包分析工具在大流量环境中进行流量梳理，有如下诸多困难：

(1)流量大，每次只能分析短时间的数据，而流量梳理至少需要一个月的周期才有说服力。

(2)效率低，手动分析一次性只能分析一个应用，而IDC有上百种不同的业务。

(3)信息量大，每个业务系统都存在大量的通信信息，人工处理相当困难，而且容易遗漏。

这时候我们便发现“科来网络回溯分析系统”在这方面的应用价值，其回溯分析系统是专用的流量分析硬件设备，不仅仅能抓包，还能统计、存储网络中各种关键指标，并提供快速检索。具体功能和特点有：

(1)

7

×

24小时不间断监控，高性能数据采集。

(2)提供海量存储空间，记录每个时间点数据包、数据流和网络会话等信息，能够保存几天、几周甚至更长时间的数据。

(3)快速的数据检索能力，能够对过去任意时间点网络中发生的时间进行快速的回溯分析。

(4)内置智能专家分析系统，对网络异常行为可进行深入分析。

这些功能和特点可以帮助网络部门的同事高效、准确地进行流量梳理，大大节省管理人员的精力。

43.2.1设备部署

在IDC出口设备上做镜像，将镜像流量接到科来网络回溯分析系统，简单易用。43.2IDC出口流量梳理43.2.2快捷历史数据回溯

部署科来网络回溯分析系统后，可以分析任意时间段的流量概要统计、网络应用、IP地址、物理地址、IP会话、物理会话、TCP会话、UDP会话等信息，并且可以逐层追溯分析和设置告警，如图43-1所示。

图43-143.2.3流量信息验证

网络部门人员已经从应用部门获取应用系统服务器的IP地址等信息，那么我们如何进行确认呢？

通过科来网络分析系统我们可以一次性查看一天、一周甚至更长时间的“IP地址”信息，就可以获取网络中所有IP地址的流量信息，包括通信流量大小、数据包量、进出流量、流量收发比、发送TCP同步包数量、接收TCP同步包数量等各种信息。通过这些信息，我们可以快速地判断每个IP地址是否为服务器，并获得其负载大小等信息，如图43-2所示。

图43-2在所有的IP地址中，可以通过“地址检索”功能快速定位到我们想找的地址。假如服务器X.X.X.10通过TCP443端口提供了财务系统的业务，我们在地址检索中输入X.X.X.10这个地址，就可以获取该服务器的流量信息，如图43-3所示。

图43-3从上图可以看到，地址检索之后，“IP地址”列表中就只剩下我们想要的那台服务器地址的信息了，同时我们看到该服务器的“收TCP同步包”、“发TCP同步确认包”这两列的数量均为9，这就证明该IP地址为服务器，在这段时间内收到9次连接请求，并且都成功响应了。接下来，我们还可以通过数据“挖掘”功能，获取该服务器更多的信息，如图43-4所示。

图43-4例如挖掘该服务器的“TCP会话”信息，见图43-5。

由图43-5可知，服务器X.X.X.10提供服务的端口号是TCP443，而且只有这个端口，于是我们可以很轻松地判断，应用部门提供的信息——“财务系统：X.X.X.10：TCP443”是正确的。

图43-543.2.4业务主动监控

通过以上的步骤，我们能够轻松地检验业务系统的各种信息，那么我们能不能在科来网络回溯分析系统中更智能地记录我们验证过的信息，更主动地对业务系统进行监控，甚至主动地发现异常流量或者新上线的业务流量呢？答案是肯定的！科来网络分析系统提供“定制应用”功能，可以根据服务器IP地址、IP地址段、TCP/UDP端口号、IP地址与TCP/UDP端口号结合等各种方式进行自定义业务的定制。例如，我们可以将X.X.X.10的TCP443端口定义为“财务”，如图43-6所示。

图43-6那么，我们在“网络应用”这里就可以看到“财务”系统的流量信息，如图43-7所示。

“网络应用”界面同样支持应用检索、回溯分析等功能，可以方便、快捷、主动地对业务系统进行分析和监控，如图43-8所示。

如果我们将100多种业务系统都定制在科来网络回溯分析系统中，那么当“网络应用”中出现任何其他应用时，它们不是异常流量便是新上线的业务系统，这是不是一劳永逸的监控方式呢？

图43-7