IPv6网络流量监控解决方案

关键词：IPv6 网络安全 全流量分析 性能监控 运维管理 网络流量监控分析

IPv6网络已被广泛使用，无论国家省部级网站，还是央视网站，亦或是各大运行商和自营流媒体互联网企业，都已支持IPv6网络。

那么问题来了，如果才能更好的进行IPv6网络运维，深度监测和分析IPv6网络运行状况呢？下面，网深科技带来了IPv6网络流量监控解决方案，看看是如何满足IPv6网络流量监控运维需求的。

需求分析

传统基于SNMP和日志的网络管理系统主要通过监视主机和网络设备，实现对故障、变更、流量等数据的监控，以及对拓扑和资源使用的管理。

而现今，很多IPv6关键网络链路对于时间敏感度高，故障恢复时间的长短直接关系到企业的业务效率和日常工作，常规的网络管理手段难以满足信息系统高效、稳定、安全的要求，其主要局限性表现在以下几个方面：

• 缺乏对基于IPv6的应用关键质量指标的预警和主动分析手段，使用者感受到业务访问质量下降或中断后，相关部门才能着手分析原因，不能对业务应用通讯的网络延时、服务器响应时间、丢包重传等关键质量指标进行实时预警，很难主动发现业务应用的问题隐患。
• 基于IPv6的应用系统出现性能问题（如运行缓慢或意外中断时），由于没有历史记录，仅凭经验解决，难以分析问题根本原因并加以解决，问题也可能成为系统运行的隐患。
• 无法掌握各级IPv6网络运行的趋势和规律，难以主动、科学的进行规划和策略调整，网络管理处于被动状态, 尤其在使用了IPv6网络后，问题存在更加明显。
• IPv6网络承载了各种业务系统的应用流量，传统监管手段缺乏对各业务传输端口、带宽占用和关键性能指标的监控和梳理能力，不能有效掌握各业务流量的运行情况，难以区分非业务流量与正常业务流量，无法为网络优化、安全策略等工作提供准确的数据依据。
• 侧重于网络基础设施状态监控，对于IPv6监控深度不够，无法透视业务应用的访问状况，例如：业务应用访问量、业务应用访问质量、业务应用访问的实际交互过程等等。
  维护网络系统的持续高效安全运行将是各个部门业务正常运行的基础和保证，因此，需要通过加强网络的管理、采用新的网络管理技术来提高网络运行的稳定性、高效性和安全性，避免网络故障和安全问题给企业生产造成严重损失。

IPv6流量监控分析解决方案

关于IPv6流量监控分析的技术和方案众多，有基于SNMP方式获取数据源的，有基于NetFlow方式获取数据源的，也有基于日志信息进行数据分析的。各种解决方案各有千秋，能够从不同程度上满足部分运维需求。

网深科技带来的基于全流量旁路方式采集数据源的解决方案，在不影响现有应用、网络及用户端的情况下，不但能够以更细粒度和更多分析指标实时监控分析IPv6网络流量，还能长期存储原始数据包信息。

方案概述

NetInside全流量监控分析IPv6网络方案，由一台硬件设备组成，该设备内含操作系统及程序，系统集IPv6网络流量数据采集、计算、分析和存储于一体，用户只需要通过浏览器即可访问系统，查看和展示自己关注的内容。

分析设备部署在网络的各个重要功能区或关键链路，通过交换机端口镜像采集关键区域的网络通讯数据，分析并存储于分析系统。分析系统加载各个功能模块对采集得到的网络通讯数据做深入分析，取得需要的各种网络流量指标、应用性能指标和产生相关警报。

用户通过浏览器对服务器采集的数据和分析结果进行集中的管理，实现集中的告警分析、报表汇总、配置管理等重要功能，同时提供数据的挖掘分析功能，方便用户进行查看、检索、数据挖掘等应用。

数据采集和存储方式

通常情况下，分析设备部署在靠近监控的线路旁，监控方法是通过交换机流量镜像，然后把镜像的流量导入到设备里。整个安装与配置过程在一个小时内能完成，其间对网络零影响，并且服务器或客户端不需安装任何代理程序（如SNMP代理）。
为实现全面的链路和应用监控，常见的数据采集方式有2种：

多层应用架构环境

用户环境如果是由多个设备组成的多层架构应用环境，或者多线路多区域接入环境中，数据源来自多台网络设备，需要汇聚数据，然后接入到性能分析设备。

单一应用架构环境

当应用架构较为集中时，数据源可从少量设备镜像获得，只需在对应设备进行镜像设置，然后将镜像流量接入性能分析设备。

NetInside网络流量分析系统支持多种原始数据存储方式，针对不同的应用，可选择是全包存储，还是截取包头一部分存储。
同时，所有的分析数据以动态聚合的方式，长期保存在设备中。

方案安全性

网深科技IPv6网络流量监控分析系统在设计之初，就考虑到方案的安全性，已经在数据源、数据采集、操作系统及系统访问各个层面进行了安全性考虑。详细信息如下：

• 从数据源层面来说，NetInside解决方案完全通过旁路方式获取所需数据，对生产应用和网络没有风险和影响，具有极高的安全性。
• 从数据采集层面来说，数据接收接口无需配置IP地址，因此无IP栈，在网络上是隐形的，安全的，无法向网络发回任何数据，因此不会对网络和网络上的主机产生任何影响。
• 从系统层面来说，流量分析系统运行在64位Unix平台上，本身具备很高的安全性和可靠性，而产品本身具有完备的用户权限控制，也最大程度地提高了用户访问安全性。系统经过严格的加固，包括只允许少数TCP/UDP端口访问、只运行与数据采集相关的服务进程、封闭所有操作系统安全漏洞。因此，探针能避免大部分攻击。
• 从访问操作层面来说，登录每台设备配置和使用，使用SSL方式，按照SSL协议进行加密，保障数据访问的安全性。

IPv6网络流量监控分析功能简介

随着IPv6网络的建设和应用投产，在不影响现有应用、网络及用户端的情况下，实时掌握IPv6网络运行状况、用户体验快慢、网络应用性能好坏及网络资源利用等需求已然来临。

下面，介绍使用IPv6网络流量分析系统能够实现的基本功能。

流量分布趋势实时监测分析

流量分析提供实时分析和展现当前网络环境中IPv6的真实流量大小分布情况，通过不同流向，可以清晰的看到细粒度的流量分布趋势。

网络延时实时监测分析

分析系统针对IPv6网络性能状况实时分析，例如流出流入方向的网络丢包情况，流出流入方向的网络延时大小等等。

下图显示了某用户IPv6网络在选定时间范围内，不同流向的延时分布情况。

任意分组详细分析

分析系统支持将任意范围的IPv6地址自定义为个性化监控对象，简称工作组、分组或节点。针对任意工作组，系统支持网络利用率、服务器响应时间、网络性能、网络连接等类型百余种指标分析。

任意分组成员比例分析

对于任何工作组，系统通过多种维度信息进行比较，采用多种方式显示方式直观对比分析。

单个分组连接的IP地址分析

每个工作组成员可能会连接访问很多服务器，进行应用数据传输。这些交互访问的对象性能可能由于区域分布、应用类型、传输方式等因素不同而不同。系统支持对任意工作组连接的IP地址信息深度分析。

IPv6数据包过滤和下载

在网络故障定位分析过程中，抓包分析是不可或缺的要求之一。现实中，如果没有部署全流量分析系统，一旦出现网络故障、性能问题或安全攻击，运维人员在历经各种排障波折后，想到何不通过抓包方式分析问题呢。而这时，故障可能消失了，网络和应用恢复了正常，之前的故障原因再也无法通过最细粒的数据包级复现，真正的问题原因不得而知，这无异于在网络中埋下了一颗不知何时引爆的炸弹。

NetInside网络流量分析系统实时采集和存储原始数据包，系统支持大容量数据包存储空间，长期保存原始报文信息，在故障分析危机关头，直接回放故障现场，溯源问题真实原因。

分析IPv6数据包

通过分析系统下载对应的IPv6数据包，使用协议分析工具打开，即可清晰了解谁在什么时间做了什么。

结语

通过对全网IPv6流量进行实时和回溯分析，能够及时发现和解决网络上出现的各种问题和安全隐患，分析各应用业务系统性能，有针对性地及时优化业务系统，这对保障网络健康运行及信息系统安全和稳定有重要意义。

通常意义上的安全分析产品是通过IP Payload载荷中的某些特征值识别，来检测该IP流量是否属于某种病毒或网络攻击手段。这种特征值识别的技术的缺陷在于需要维护一个特征值的库并且不断更新，对于新出现的或变种的攻击手段无法识别和判断。

NetInside TTRA（全流量回溯分析系统）可以通过对全网IPv6流量的监控，可以感知到所有主机的网络行为，对于其中一些“可疑”的网络流量和行为，通过内置的分析引擎可以自动检测并提供告警。这些“可疑”的流量包括主机扫描、端口扫描、蠕虫病毒、可疑连接等。