网络运行情况分析方法论课件

网络运行情况分析方法论科来安徽办王超网络运行情况分析方法论科来安徽办王超1目录引言网络运行情况包含的内容网络运行情况分析方法利用科来分析网络运行情况的步骤网络运行情况报告实例样式结语目录引言2引言我们了解我们维护的网络吗？我们的网络需要改造升级吗？我们的链路带宽需要扩容吗？什么业务占用了我们的链路？QOS策略到底需要对各种应用控制多大的流量？服务器为什么变慢了？服务器性能够用了吗？有人在扫描我们的服务器吗？为什么上网速度变慢了？如何发现网内的异常主机？我们向领导提交什么样的月报或年报呢？。。。。

怎么搞呢？引言我们了解我们维护的网络吗？怎么搞呢？3引言分析一下网络运行的情况即可解决楼上两位的问题！如何分析网络运行情况呢？同志们，搞好网络分析是很有钱途的！引言分析一下网络运行如何分析网络同志们，搞好4网络运行情况分析的内容网络组成办公区域服务区边界接入区网络运行情况分析内容业务性能安全性其他网络运行情况分析的内容网络划分的区域：网络运行情况分析的内容网络组成办公区域服务区边界接入区网络运5接入边界侧重分析内容数据包大小分布TCP连接建立情况其他边界接入每秒包数链路利用率边界峰值流量性能边界平均流量网络连接数业务应用分布安全性外部攻击接入边界侧重分析内容数据包大小分布TCP连接建立情况其他边界6服务器侧重分析内容数据包大小分布TCP连接建立情况其他服务区每秒包数服务器峰值流量性能服务器平均流量网络连接数业务服务响应时间安全性服务窗口变化业务异常特征业务应用分布攻击扫描服务器侧重分析内容数据包大小分布TCP连接建立情况其他服务区7办公区侧重分析内容数据包大小分布TCP连接建立情况其他办公区域办公区峰值流量性能办公区平均流量网络连接数业务应用分布安全性攻击扫描办公区侧重分析内容数据包大小分布TCP连接建立情况其他办公区8网络运行情况分析的方法流量监控法（snmp、netflow）设备日志分析法数据包分析法采样法数据包分析流量监控法设备日志分析法采样法网络运行情况分析的方法流量监控法（snmp、netflow）9设备日志分析法数据包分析流量监控法设备日志分析法采样法通过对不同网络设备（主要指安全设备，如IDS、IPS、流量整形设备、行为管理设备等）的日志内容（包括流量、攻击、业务分布等内容）的分析来收集相应的网络运行情况的数据，从而完成对网络运行情况的分析设备日志分析法数据包分析流量监控法设备日志分析法采样法通过对10流量监控法通过对相关网络设备（主要指交换机、路由器、其他网关型设备）接口流量的监控（主要通过SNMP或netflow技术实现）来分析网络运行流量或业务分布的相关情况数据包分析流量监控法设备日志分析法采样法流量监控法通过对相关网络设备（主要指交换机、路由器、其他网关11数据包分析法通过对网络中的不同网段区域（边界接入区域、服务器区域、办公区域等）中的数据包的捕获和分析来实现对各种不同网络区域的流量、性能、安全性、异常等情况的评估数据包分析流量监控法设备日志分析法采样法数据包分析法通过对网络中的不同网段区域（边界接入区域、服务器12采样法网段采样：在网络规模较大，网络同质性很大时，我们可以通过对部分具有代表性的网段进行采样分析时间段采样：根据网络不同时间段的运行情况，我可以按照时间段进行采样分析采样法可以辅助其他的分析方法一起工作数据包分析流量监控法设备日志分析法采样法采样法网段采样：在网络规模较大，网络同质性很大时，我们可以通13各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法采样法优点不足SNMP可以形成长期的流量曲线图Netflow可以生成较为详尽的业务应用流量分布数据Snmp只能针对接口流量Netflow只能识别四层以上的数据流量需要设备支持难以全网部署主要分析接口的流量情况无法对服务器的效能进行评估和分析无法分析网络的安全性各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法14各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法采样法优点不足根据设备类型的不同，其日志内容各有侧重。流量管理类设备的日志可以提供较为详尽的网络流量信息和业务分布数据。IDS、IPS等设备的日志则可以提供丰富、专业的网络安全方面的相关信息一般只能分析边界接入区域需要部署相关专业的设备安全类的日志误报率太高无法提供完整的数据包数据无法实现对业务应用的分析可以提供的网络运行情况的信息较为单一，不全面各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法15各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析法采样法优点不足可以提供最为完整的网络运行情况的数据信息部署灵活，可以根据需要部署在网络中的任何位置功能丰富，可以详尽的分析网络的性能、业务服务、安全性等情况技术含量较高，需要一定的理论基础和专业素质需要一定的工作量各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析16各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析法采样法优点不足方法成熟，运用简单提高分析网络运行情况的工作效率不能完全反应网络的运行情况如果采样点选取的不好，分析的结果将难以反应网络实际的运行情况，有事甚至差别很大各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析17网络运行情况分析的方法数据包分析流量监控法设备日志分析法采样法通过上面的分析，我们在对网络运行情况进行分析的时候，数据包分析法是最理想、最基本的分析方法，在实际的网络环境中，我们需要考虑结合其他的方法一起完成我们的分析工作：网络规模大、同质性强时，结合采样法以提高我们的工作效率，降低工作量，提高分析网络运行情况的工作效率在边界接入区域，结合流量监控法或设备日志分析法，分析网络运行的流量情况在服务器区域或办公区域，结合设备日志分析法，分析网络运行的安全性网络运行情况分析的方法数据包分析流量监控法设备日志分析法采样18分析网络运行情况步骤5.报告1.计划2.部署3.抓包4.分析分析网络运行情况步骤5.报告1.计划2.部署3.抓包4.分析19分析网络运行情况步骤制定计划工具部署数据收集数据分析生成报告确定分析内容：根据实际需求，确定分析内容（性能、业务、安全性）确定其他分析方法：结合实际环境，看能否结合其他三种分析方法一起分析确认科来的部署位置根据计划，部署科来网络分析系统（交换机端口镜像、hub串接、分路器串接）根据抓取的数据包，结合计划中需要分析的内容，对采集到的数据包进行相应的深度分析根据分析计划，结合数据包深度分析的结果，生成网络运行情况报告根据计划，在合理的时间段内，开启科来抓取网络数据包并保存备用分析网络运行情况步骤制定计划工具部署数据收集数据分析生成报告20网络运行情况报告实例样式网络运行情况报告实例样式21结语网络分析方法论尚需完善，欢迎专业人士提宝贵意见！邮箱：shujuhua@163.comQQ：349932999欲知实战如何分析，敬请期待下回讲解！结语网络分析方法论尚需完善，欢迎专业人士提宝贵意见！22网络运行情况分析方法论科来安徽办王超网络运行情况分析方法论科来安徽办王超23目录引言网络运行情况包含的内容网络运行情况分析方法利用科来分析网络运行情况的步骤网络运行情况报告实例样式结语目录引言24引言我们了解我们维护的网络吗？我们的网络需要改造升级吗？我们的链路带宽需要扩容吗？什么业务占用了我们的链路？QOS策略到底需要对各种应用控制多大的流量？服务器为什么变慢了？服务器性能够用了吗？有人在扫描我们的服务器吗？为什么上网速度变慢了？如何发现网内的异常主机？我们向领导提交什么样的月报或年报呢？。。。。

怎么搞呢？引言我们了解我们维护的网络吗？怎么搞呢？25引言分析一下网络运行的情况即可解决楼上两位的问题！如何分析网络运行情况呢？同志们，搞好网络分析是很有钱途的！引言分析一下网络运行如何分析网络同志们，搞好26网络运行情况分析的内容网络组成办公区域服务区边界接入区网络运行情况分析内容业务性能安全性其他网络运行情况分析的内容网络划分的区域：网络运行情况分析的内容网络组成办公区域服务区边界接入区网络运27接入边界侧重分析内容数据包大小分布TCP连接建立情况其他边界接入每秒包数链路利用率边界峰值流量性能边界平均流量网络连接数业务应用分布安全性外部攻击接入边界侧重分析内容数据包大小分布TCP连接建立情况其他边界28服务器侧重分析内容数据包大小分布TCP连接建立情况其他服务区每秒包数服务器峰值流量性能服务器平均流量网络连接数业务服务响应时间安全性服务窗口变化业务异常特征业务应用分布攻击扫描服务器侧重分析内容数据包大小分布TCP连接建立情况其他服务区29办公区侧重分析内容数据包大小分布TCP连接建立情况其他办公区域办公区峰值流量性能办公区平均流量网络连接数业务应用分布安全性攻击扫描办公区侧重分析内容数据包大小分布TCP连接建立情况其他办公区30网络运行情况分析的方法流量监控法（snmp、netflow）设备日志分析法数据包分析法采样法数据包分析流量监控法设备日志分析法采样法网络运行情况分析的方法流量监控法（snmp、netflow）31设备日志分析法数据包分析流量监控法设备日志分析法采样法通过对不同网络设备（主要指安全设备，如IDS、IPS、流量整形设备、行为管理设备等）的日志内容（包括流量、攻击、业务分布等内容）的分析来收集相应的网络运行情况的数据，从而完成对网络运行情况的分析设备日志分析法数据包分析流量监控法设备日志分析法采样法通过对32流量监控法通过对相关网络设备（主要指交换机、路由器、其他网关型设备）接口流量的监控（主要通过SNMP或netflow技术实现）来分析网络运行流量或业务分布的相关情况数据包分析流量监控法设备日志分析法采样法流量监控法通过对相关网络设备（主要指交换机、路由器、其他网关33数据包分析法通过对网络中的不同网段区域（边界接入区域、服务器区域、办公区域等）中的数据包的捕获和分析来实现对各种不同网络区域的流量、性能、安全性、异常等情况的评估数据包分析流量监控法设备日志分析法采样法数据包分析法通过对网络中的不同网段区域（边界接入区域、服务器34采样法网段采样：在网络规模较大，网络同质性很大时，我们可以通过对部分具有代表性的网段进行采样分析时间段采样：根据网络不同时间段的运行情况，我可以按照时间段进行采样分析采样法可以辅助其他的分析方法一起工作数据包分析流量监控法设备日志分析法采样法采样法网段采样：在网络规模较大，网络同质性很大时，我们可以通35各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法采样法优点不足SNMP可以形成长期的流量曲线图Netflow可以生成较为详尽的业务应用流量分布数据Snmp只能针对接口流量Netflow只能识别四层以上的数据流量需要设备支持难以全网部署主要分析接口的流量情况无法对服务器的效能进行评估和分析无法分析网络的安全性各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法36各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法采样法优点不足根据设备类型的不同，其日志内容各有侧重。流量管理类设备的日志可以提供较为详尽的网络流量信息和业务分布数据。IDS、IPS等设备的日志则可以提供丰富、专业的网络安全方面的相关信息一般只能分析边界接入区域需要部署相关专业的设备安全类的日志误报率太高无法提供完整的数据包数据无法实现对业务应用的分析可以提供的网络运行情况的信息较为单一，不全面各种分析方法对比分析方法数据包分析法流量监控法设备日志分析法37各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析法采样法优点不足可以提供最为完整的网络运行情况的数据信息部署灵活，可以根据需要部署在网络中的任何位置功能丰富，可以详尽的分析网络的性能、业务服务、安全性等情况技术含量较高，需要一定的理论基础和专业素质需要一定的工作量各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析38各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析法采样法优点不足方法成熟，运用简单提高分析网络运行情况的工作效率不能完全反应网络的运行情况如果采样点选取的不好，分析的结果将难以反应网络实际的运行情况，有事甚至差别很大各种分析方法对比分析方法数据包分析法流量监控法IDS日志分析39网络运行情况分析的方法数据包分析流量监控法设备日志分析法采样法通过上面的分析，我们在对网络运行情况进行分析的时候，数据包分析法是最理想、最基本的分析方法，在实际的网络环境中，我们需要考虑结合其他的方法一起完成我们的分析工作：网络规模大、同质性强时，结合采样