网络运行情况分析 PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
每秒包数 网络连接数
服务区
业务
服务响应时间 服务窗口变化 业务异常特征
业务应用分布
安全性
扫描 攻击
其他
TCP连接建立情况 数据包大小分布
办公区侧重分析内容
办公区域
பைடு நூலகம்性能 业务 安全性
其他
办公区峰值流量 办公区平均流量
网络连接数 应用分布
扫描 攻击 TCP连接建立情况
数据包大小分布
大家学习辛苦了,还是要坚持
优点
不足
SNMP可以形成 长期的流量曲线 图
Netflow可以生 成较为详尽的业 务应用流量分布 数据
Snmp只能针对接 口流量
Netflow只能识别四 层以上的数据流量
需要设备支持
难以全网部署
主要分析接口的流 量情况
无法对服务器的效 能进行评估和分析
无法分析网络的安 全性
各种分析方法对比
采样法
设备日志分析法
采样法
流量监控法
数据包分析
网段采样:在网络规模较 大,网络同质性很大时, 我们可以通过对部分具有 代表性的网段进行采样分 析
时间段采样:根据网络不 同时间段的运行情况,我 可以按照时间段进行采样 分析
采样法可以辅助其他的分 析方法一起工作
各种分析方法对比
分析方法 流量监控法 设备日志分析法 数据包分析法 采样法
网络分析 系统(交 换机端口 镜像、 hub串接、 分路器串 接)
时间段内, 开启科来 抓取网络 数据包并 保存备用
结合计划 中需要分 析的内容, 对采集到 的数据包 进行相应 的深度分 析
结合数 据包深 度分析 的结果, 生成网 络运行 情况报 告
其他三种分
析方法一起
分析
确认科来的 部署位置
网络运行情况报告实例样式
网络运行情况分析
目录
引言 网络运行情况包含的内容 网络运行情况分析方法 利用科来分析网络运行情况的步骤 网络运行情况报告实例样式 结语
引言
我们了解我们维护的网络吗? 我们的网络需要改造升级吗?
怎么搞呢?
我们的链路带宽需要扩容吗?
什么业务占用了我们的链路?
QOS策略到底需要对各种应用控制多大的流量?
服务器为什么变慢了?
服务器性能够用了吗?
有人在扫描我们的服务器吗?
为什么上网速度变慢了?
如何发现网内的异常主机?
我们向领导提交什么样的月报或年报呢?
。。。。
引言
如何分析网络 运行情况呢?
分析一下网络运行 的情况即可解决楼 上两位的问题!
同志们,搞好 网络分析是很 有钱途的!
网络运行情况分析的内容
1.计划
2.部署
5.报告 4.分析
3.抓包
分析网络运行情况步骤
制定计划
工具部署 数据收集 数据分析
生成报告
确定分析内 根据计划, 根据计划, 根据抓取 根据分 容:根据实 部署科来 在合理的 的数据包, 析计划,
际需求,确 定分析内容 (性能、业 务、安全性)
确定其他分 析方法:结 合实际环境, 看能否结合
部署灵活,可以 根据需要部署在 网络中的任何位 置
功能丰富,可以 详尽的分析网络 的性能、业务服 务、安全性等情 况
技术含量较高,需 要一定的理论基础 和专业素质
需要一定的工作量
各种分析方法对比
分析方法 流量监控法 IDS日志分析法 数据包分析法 采样法
优点
不足
方法成熟,运用 简单
分析方法 流量监控法 设备日志分析法 数据包分析法 采样法
优点
不足
根据设备类型的 不同,其日志内 容各有侧重。
流量管理类设备 的日志可以提供 较为详尽的网络 流量信息和业务 分布数据。
IDS、IPS等设 备的日志则可以 提供丰富、专业 的网络安全方面 的相关信息
一般只能分析边界 接入区域
设备日志分析法
网络规模大、同质性强时,结合 采样法以提高我们的工作效率, 降低工作量,提高分析网络运行 情况的工作效率
在边界接入区域,结合流量监控 法或设备日志分析法,分析网络 运行的流量情况
在服务器区域或办公区域,结合 设备日志分析法,分析网络运行 的安全性
流量监控法
采样法
数据包分析
分析网络运行情况步骤
提高分析网络运 行情况的工作效 率
不能完全反应网络 的运行情况
如果采样点选取的 不好,分析的结果 将难以反应网络实 际的运行情况,有 事甚至差别很大
网络运行情况分析的方法
通过上面的分析,我们在对网络运行情况 进行分析的时候,数据包分析法是最理想 、最基本的分析方法,在实际的网络环境 中,我们需要考虑结合其他的方法一起完 成我们的分析工作:
继续保持安静
网络运行情况分析的方法
流量监控法(snmp、netflow)
设备日志分析法 数据包分析法
设备日志分析法
采样法
采样法
流量监控法
数据包分析
设备日志分析法
设备日志分析法
采样法
流量监控法
数据包分析
通过对不同网络设备(主 要指安全设备,如IDS、 IPS、流量整形设备、行为 管理设备等)的日志内容 (包括流量、攻击、业务 分布等内容)的分析来收 集相应的网络运行情况的 数据,从而完成对网络运 行情况的分析
网络运行情况分析的内容
网络运行情 况分析内容
性能
安全性
网络划分的区域:
业务
其他
网络组成
办公区域
服务区
边界接入区
接入边界侧重分析内容
边界接入
性能
业务 安全性 其他
边界峰值流量 边界平均流量
链路利用率 每秒包数 网络连接数 应用分布
外部攻击 TCP连接建立情况
数据包大小分布
服务器侧重分析内容
性能
服务器峰值流量 服务器平均流量
需要部署相关专业 的设备
安全类的日志误报 率太高
无法提供完整的数 据包数据
无法实现对业务应 用的分析
可以提供的网络运 行情况的信息较为 单一,不全面
各种分析方法对比
分析方法 流量监控法 IDS日志分析法 数据包分析法 采样法
优点
不足
可以提供最为完 整的网络运行情 况的数据信息
流量监控法
设备日志分析法
采样法
流量监控法
数据包分析
通过对相关网络设备(主 要指交换机、路由器、其
他网关型设备)接口流量 的监控(主要通过SNMP 或netflow技术实现)来分 析网络运行流量或业务分 布的相关情况
数据包分析法
设备日志分析法
采样法
流量监控法
数据包分析
通过对网络中的不同网段 区域(边界接入区域、服 务器区域、办公区域等) 中的数据包的捕获和分析 来实现对各种不同网络区 域的流量、性能、安全性、 异常等情况的评估
服务区
业务
服务响应时间 服务窗口变化 业务异常特征
业务应用分布
安全性
扫描 攻击
其他
TCP连接建立情况 数据包大小分布
办公区侧重分析内容
办公区域
பைடு நூலகம்性能 业务 安全性
其他
办公区峰值流量 办公区平均流量
网络连接数 应用分布
扫描 攻击 TCP连接建立情况
数据包大小分布
大家学习辛苦了,还是要坚持
优点
不足
SNMP可以形成 长期的流量曲线 图
Netflow可以生 成较为详尽的业 务应用流量分布 数据
Snmp只能针对接 口流量
Netflow只能识别四 层以上的数据流量
需要设备支持
难以全网部署
主要分析接口的流 量情况
无法对服务器的效 能进行评估和分析
无法分析网络的安 全性
各种分析方法对比
采样法
设备日志分析法
采样法
流量监控法
数据包分析
网段采样:在网络规模较 大,网络同质性很大时, 我们可以通过对部分具有 代表性的网段进行采样分 析
时间段采样:根据网络不 同时间段的运行情况,我 可以按照时间段进行采样 分析
采样法可以辅助其他的分 析方法一起工作
各种分析方法对比
分析方法 流量监控法 设备日志分析法 数据包分析法 采样法
网络分析 系统(交 换机端口 镜像、 hub串接、 分路器串 接)
时间段内, 开启科来 抓取网络 数据包并 保存备用
结合计划 中需要分 析的内容, 对采集到 的数据包 进行相应 的深度分 析
结合数 据包深 度分析 的结果, 生成网 络运行 情况报 告
其他三种分
析方法一起
分析
确认科来的 部署位置
网络运行情况报告实例样式
网络运行情况分析
目录
引言 网络运行情况包含的内容 网络运行情况分析方法 利用科来分析网络运行情况的步骤 网络运行情况报告实例样式 结语
引言
我们了解我们维护的网络吗? 我们的网络需要改造升级吗?
怎么搞呢?
我们的链路带宽需要扩容吗?
什么业务占用了我们的链路?
QOS策略到底需要对各种应用控制多大的流量?
服务器为什么变慢了?
服务器性能够用了吗?
有人在扫描我们的服务器吗?
为什么上网速度变慢了?
如何发现网内的异常主机?
我们向领导提交什么样的月报或年报呢?
。。。。
引言
如何分析网络 运行情况呢?
分析一下网络运行 的情况即可解决楼 上两位的问题!
同志们,搞好 网络分析是很 有钱途的!
网络运行情况分析的内容
1.计划
2.部署
5.报告 4.分析
3.抓包
分析网络运行情况步骤
制定计划
工具部署 数据收集 数据分析
生成报告
确定分析内 根据计划, 根据计划, 根据抓取 根据分 容:根据实 部署科来 在合理的 的数据包, 析计划,
际需求,确 定分析内容 (性能、业 务、安全性)
确定其他分 析方法:结 合实际环境, 看能否结合
部署灵活,可以 根据需要部署在 网络中的任何位 置
功能丰富,可以 详尽的分析网络 的性能、业务服 务、安全性等情 况
技术含量较高,需 要一定的理论基础 和专业素质
需要一定的工作量
各种分析方法对比
分析方法 流量监控法 IDS日志分析法 数据包分析法 采样法
优点
不足
方法成熟,运用 简单
分析方法 流量监控法 设备日志分析法 数据包分析法 采样法
优点
不足
根据设备类型的 不同,其日志内 容各有侧重。
流量管理类设备 的日志可以提供 较为详尽的网络 流量信息和业务 分布数据。
IDS、IPS等设 备的日志则可以 提供丰富、专业 的网络安全方面 的相关信息
一般只能分析边界 接入区域
设备日志分析法
网络规模大、同质性强时,结合 采样法以提高我们的工作效率, 降低工作量,提高分析网络运行 情况的工作效率
在边界接入区域,结合流量监控 法或设备日志分析法,分析网络 运行的流量情况
在服务器区域或办公区域,结合 设备日志分析法,分析网络运行 的安全性
流量监控法
采样法
数据包分析
分析网络运行情况步骤
提高分析网络运 行情况的工作效 率
不能完全反应网络 的运行情况
如果采样点选取的 不好,分析的结果 将难以反应网络实 际的运行情况,有 事甚至差别很大
网络运行情况分析的方法
通过上面的分析,我们在对网络运行情况 进行分析的时候,数据包分析法是最理想 、最基本的分析方法,在实际的网络环境 中,我们需要考虑结合其他的方法一起完 成我们的分析工作:
继续保持安静
网络运行情况分析的方法
流量监控法(snmp、netflow)
设备日志分析法 数据包分析法
设备日志分析法
采样法
采样法
流量监控法
数据包分析
设备日志分析法
设备日志分析法
采样法
流量监控法
数据包分析
通过对不同网络设备(主 要指安全设备,如IDS、 IPS、流量整形设备、行为 管理设备等)的日志内容 (包括流量、攻击、业务 分布等内容)的分析来收 集相应的网络运行情况的 数据,从而完成对网络运 行情况的分析
网络运行情况分析的内容
网络运行情 况分析内容
性能
安全性
网络划分的区域:
业务
其他
网络组成
办公区域
服务区
边界接入区
接入边界侧重分析内容
边界接入
性能
业务 安全性 其他
边界峰值流量 边界平均流量
链路利用率 每秒包数 网络连接数 应用分布
外部攻击 TCP连接建立情况
数据包大小分布
服务器侧重分析内容
性能
服务器峰值流量 服务器平均流量
需要部署相关专业 的设备
安全类的日志误报 率太高
无法提供完整的数 据包数据
无法实现对业务应 用的分析
可以提供的网络运 行情况的信息较为 单一,不全面
各种分析方法对比
分析方法 流量监控法 IDS日志分析法 数据包分析法 采样法
优点
不足
可以提供最为完 整的网络运行情 况的数据信息
流量监控法
设备日志分析法
采样法
流量监控法
数据包分析
通过对相关网络设备(主 要指交换机、路由器、其
他网关型设备)接口流量 的监控(主要通过SNMP 或netflow技术实现)来分 析网络运行流量或业务分 布的相关情况
数据包分析法
设备日志分析法
采样法
流量监控法
数据包分析
通过对网络中的不同网段 区域(边界接入区域、服 务器区域、办公区域等) 中的数据包的捕获和分析 来实现对各种不同网络区 域的流量、性能、安全性、 异常等情况的评估