注:好的中医,仅仅靠望闻问切就可以诊断疑难杂症。那依靠的是以往对病例的积累、细心的观察理性的分析。对于网络其实也一样,长期的分析、观察积累,即使没有专门的反病毒、防攻击设备,大多数的隐患也能查出来。
思科交换机和路由器所支持的NetFlow功能,在竞争激烈的网络市场独树一帜。这一网络监控技术对思科的IT部门贡献很大,不仅仅帮助他们治理、优化网络,且在蠕虫病毒爆发时给予他们有力的支持。
挑战
对思科而言,网络的可用性、服务质量至关重要,IT部门需要有办法IP流量的特征,说明流量的流动方式和地点,并进行分析确定网络中存在的服务质量、乃至安全问题。而以往采用SNMP监控互联网带宽,无法提取流量特征,无法满足IT部门的需求。
解决方案
思科在自己的路由器和交换机上支持NetFlow功能,可以实现上述目标。NetFlow可以统计记录网络中数据包的源目的地址、端口号等信息,将这些信息收集整理分析后,就可以发现网络通信的规律。在思科多数的路由交换设备中,有专门的硬件芯片和软件特性实现NetFlow。而最新的NetFlow 9已被选中参与IETF标准,在成为标准前,这一技术已经得到了业界广泛的支持,用户可以找到很多家厂家所提供的收集交换机路由器NetFlow信息、汇总分析得软件,用户甚至可以找到开放源代码或者免费的软件来收集分析NetFlow的信息。
借助NetFlow,用户不仅可以发现网络通信的规律,分析这些数据还可以达到入侵检测系统(IDS)的部分能力,实际上由于NetFlow在很多Cisco设备上采用硬件实现,性能要优于IDS,结合NetFlow和IDS,可以构成更好的安全监控方案。
多次获益
思科IT部门自从在公司内部网络中使用NetFlow之后,已经多次获益。
彻底避免SQL Slammer蠕虫 2003年1月24日,SQL Slammer蠕虫,也称为Sapphire,在三分钟之内就传遍了全球,几乎使全世界的网络都出现了故障。思科业务的连续性却没有因SQL Slammer而受到损失,IT部门将成功归功于团队合作、健全的通信计划、强大的网络体系结构以及Cisco NetFlow技术的有效使用。NetFlow配合合作伙伴Arbor公司提供的分析治理工具,思科IT人员迅速发现了UDP端口1434出现的大量异常流量。发现潜在问题后,思科进行分析后在所有互联网供给点放置了向内和向外的访问控制列表(ACL),以阻挡这些流量对网络的访问。事故之后的两周内,思科IT天天对网络密切监视,确保威胁已被彻底根除。
发现和预防DoS袭击及其它意外流量
思科也时常会接收到试图发动DoS袭击的流量。利用Cisco NetFlow收集分组的源地址、目标地址、协议号、端口号和分组大小,然后将信息发送到Arbor Peakflow DoS执行异常检测。Cisco NetFlow将指导网络设备进行处理。
审计NAT化流量
NAT的内在限制是非互联网路由地址(例如移动员工采用的地址)与公共路由互联网地址之间的多对一关系。Cisco NetFlow使思科能够审计NAT流量,以便排除网络故障,解决方案问题,并执行定期检查,看移动员工是否能够遵守公司制订的网络接入策略。
通过容量规划从托管式DSL服务移植到互联网VPN
2001年,由于直接DSL与ISDN接入的成本迅速提高,思科将全球范围内的数千完名远程员工和远程办公室员工转向了远程接入VPN。为确定是否需要增加容量,思科使用Cisco NetFlow与各种开放源代码工具提取现有流量的特征,然后推断未来流量。利用这种业务智能,思科只用了三个月就成功地将22,000名用户移植到了VPN。
检测非授权WAN流量
通常情况下,当WAN链路上的流量增多时,公司就会投资,执行链路升级。但很多次,思科都避免了昂贵的链路升级。思科的作法是:寻找造成拥塞的应用,假如需要,修改使用策略。
降低高峰期WAN流量
当某几条链路上的WAN流量迅速增加时,Cisco NetFlow和NetQoS ReporterAnalyzer能够快速找到原因,思科的IT人员会发现不好的应用对带宽的消耗。
QoS指标核实
思科IT为数据、话音和视频分配了一定比例的WAN容量。分配的依据是每个站点产生流量的理论模型,以及目标QoS水平。过去,思科无法核实QoS目标是否实现。借助Cisco NetFlow就可以得到所有的信息。
分析VPN流量和远程员工的行为
利用Cisco NetFlow,思科IT可以方便地发现远程员工的流量,因为这些流量将穿越通用路由封装通道。这种流量分析有助于执行互联网接入容量规划。
核实电信商的服务等级
思科正在运用NetFlow功能来测量运营商提供的服务的SLA。”
计算应用的总拥有成本
在思科内部向大量用户发行新应用之前,思科系统公司都要计算总体拥有成本(TCO)。影响TCO的最大因素之一是WAN。为尽可能准确地估计WAN成本,思科应用开发部率先在测试环境中部署了一个新应用,利用Cisco NetFlow测量向大量用户发行应用时产生的WAN流量有多大,从而更准确地计算TCO。思科IT部门使用NetFlow计算应用TCO的还有当计划将监控系统迁移到IP网络中时、部署Cisco UnityTM语音留言系统时、计算来自全球50,000部思科IP电话的成本节约、计算思科应用和内容网络系统(ACNS)软件实现的成本节约、制订未来服务计划。
成效
对于思科,Cisco NetFlow的优点是,不但能保证经济有效地部署应用,还能确保全球的所有员工、客户和合作伙伴随时都可以使用相应的服务。利用NetFlow数据,思科IT部门不但能防止网络受到病毒侵害或遭到袭击,还能了解当前及未来应用对网络的影响。
未来思科IT部门打算进一步提高收集网络数据的价值,并将NetFlow的使用扩展到网络的其它部分。