局域网流量管理解决方案

1、智智能能网网全全 (SmartConfig) 局局域域网网流流量量管管理理解解决决方方案案 沈阳通用软件有限公司沈阳通用软件有限公司 二二 OO 七年十一月七年十一月 目目 录录 1 1 引引言言 .1 1 2 2 局域网流量管理的局域网流量管理的历历史和史和现现状状.2 2 3 3 局域网流量管理的基本内容和目局域网流量管理的基本内容和目标标 .4 4 4 4 智能网全智能网全 流量大屏幕流量大屏幕产产品提供的解决方案品提供的解决方案.5 5 5 5 实实施施该该解决方案的解决方案的预预期效果期效果 .1515 6 6 智能网全智能网全 产产品的典型品的典型应应用案例用案例.1616 1 引

2、言引言 在计算机网络中传输的“报文流”，或通常说的网络流量，维系着计算机网络的 高效运转。这就好像人体中循环的血液和神经系统维系着人的生命一样重要。网络 中某些计算机若出现了硬件或软件问题导致某台计算机不能正常工作，通常是一个 局部问题。然而，局域网中若出现了严重的流量异常，则会影响很多计算机的正常 工作，甚至导致整个网络瘫痪。因此，局域网的流量管理本应是局域网安全与管理 领域的重要内容。但是由于缺乏实用、易用的工具或管理平台，对于绝大多数网管 人员而言，局域网流量管理还是一个过于高深的领域，难以涉足。这种状态严重的 影响了信息中心的管理人员对局域网实施有效的管理。 为了从根本上改变信息中心在

3、局域网流量管理这个重要领域的被动状态，通用 软件公司于 2006 年底向市场推出了功能非常强大的智能网全流量大屏幕产品。本 文将对该产品为信息中心提供的全新的局域网流量管理解决方案做系统介绍。 通用软件公司（简称 GSC）是由具有多年海外管理、研发经验的软件行业专家组 建，以多名留美博士和硕士为核心的高科技软件公司。GSC 自创立以来，基于核心 团队的深厚技术底蕴，一直专注于研发适合中国市场的通用计算机网络安全和网络 管理产品，自主研发品牌智能网全(SmartConfig)系列产品已经成为国内 IT 管理 软件的主力品牌。通用软件公司通过“软件企业”、 “高新技术企业”等认定，及 ISO900

4、1-2000 国际质量体系认证，并有幸成为英特尔软件合作伙伴。智能网全 平台获得国家信息产业部颁发的“软件产品登记证书”，通过国家公安部“计算机信 息系统安全产品认证”和中国信息安全产品测评认证中心“国家信息安全认证”。 特别值得一提的是，2007 年 9 月，中南海国务院为了保证机关计算机网络安全 可靠的运行，经过慎重的考察与筛选，最终采购并实施了智能网全产品平台。本产 品从网络系统本身、应用系统、终端用户三个层面，为其提供了安全、稳定、全面、 易用的网络管理平台。智能网全流量大屏幕实现了对异常流量的准确定位、行为 分析、并可实时实施相应的管理策略，同时也解决了长期困扰其局域网的 ARP 病

5、毒 顽症。通用软件产品双管齐下，为中南海国务院打造坚实的局域网安全、管理和维 护全方位解决方案，深得信息中心技术人员的好评。 2 局域网流量管理的局域网流量管理的历历史和史和现现状状 2.1 网网络络流量的定流量的定义义和局域网流量的内涵和局域网流量的内涵 2.1.1 网网络络流量的定流量的定义义 网络流量是指基于现行网络通信协议，在网络传输介质上传送的所有网络协议 包，其中包括数据包和控制包。 2.1.2 局域网流量的内涵局域网流量的内涵 计算机网络通常可以分为互联网（Internet）和局域网（Intranet）两大类。本文讨论 的网络流量是针对局域网而言，局域网流量应包含如下基本内容：

6、1.在局域网内部交互的流量； 2.与互联网交互的流量； 3.在局域网内某个应用所产生的流量； 4.在局域网内某个节点所产生的流量； 5.在局域网内某个交换设备及端口的流量； 6.在局域网内某一部分（网段）的流量情况。 因此，要想完整的了解一个局域网的流量情况，并不是一件容易的事情。 2.2 局域网流量管理的局域网流量管理的历历史史 在局域网应用初期，由于应用环境简单，带宽占用量不大，在大多数情况下，局 域网内部的流量并不会构成很多问题。但在一些特殊的应用环境中，确实存在一些 以流量异常为表现形式的网络问题，或者某些其他形式的网络问题要求对流量构成 进行仔细的分析，才能搞清问题的根源。基于这种需

7、求，在二十世纪八十年代就开 始出现一些“网络流量分析仪”类的产品，其中最成功的产品应该是 Sniffer 一类的产 品。Sniffer 的基本原理是在网络的某些点上旁路监听获取报文，并进行网络协议分 析，从而了解网络流量情况。这种专业的流量分析仪，对于专业网络工程师调查和 解决某些网络问题是很有用的专业工具。然而，Sniffer 一类流量分析仪存在两个严 重的局限性：一是它只是在网络协议或技术层面分析流量，因此，对于大多数管理者 而言，没有很多直观可用的信息；二是它只采集了网络中一部分流量，不便于了解局 域网的整体状况。 2.3 局域网流量管理的局域网流量管理的现现状状 当前，随着网络应用的普

8、及和日益复杂，局域网流量管理对于大多数单位的信 息中心而言，都正在成为一个重要的工作内容，但是，这方面的产品或工具却远远 落后于客户的需求。尽管目前在市场上，存在很多种流量管理产品，但只要仔细了 解后就会发现，这些产品都是 Sniffer 的某类变种，从基本原理和架构上，还没有脱 开 Sniffer 的框架，因此，也必然存在 Sniffer 的局限性。例如，这些流量管理产品只 能看到局域网的一部分流量，并不是全部。有些产品标榜可以管理全网流量，可仔 细了解后，真实情况是在某种条件下管理全网的互联网流量。另外，这些产品还没 有摆脱主要在技术层面上展现流量的局限性。因此，目前在绝大多数单位，局域网

9、 流量对于信息中心而言，还是一个“黑匣子”。在这个“黑匣子”中，如果问题不严重爆 发，网管人员则不知情。问题严重爆发之后，网管人员也只能靠手工来排查问题的 根源。有经验的网管人员最常见的做法是在核心路由或交换机后面逐一拔网线，以 求压缩问题的根源。 总而言之，由于缺乏实用的可视化管理平台，对于病毒发包、网络风暴、ARP 欺 骗、不正当行为占用大量带宽等流量异常现象，网管人员基本上处于“看不见、管不 了”的被动状态，这种状态严重影响了计算机网络的高效运转。 3 局域网流量管理的基本内容和目局域网流量管理的基本内容和目标标 局域网流量管理的内容和目标是和局域网整体安全与管理的目标密切相关的。 进而

10、言之，局域网的整体安全与管理目标并不是仅仅保障网络本身的安全可靠，而 真正的目标是确保在网络中运行的业务系统的安全、可靠和高效，以及使用网络的 终端用户的行为规范、工作高效等。因此我们应该从如下三个方面来设定局域网流 量管理的内容： 1.服务器和业务系统的流量分析和管理； 2.终端用户网络行为的流量分析和管理； 3.网络节点或节点群的流量分析和管理。 然而评价一个局域网流量管理系统的指标主要有如下几项： 1.展示流量的完整性和可视化程度。这主要是指是否能够把上述三大类流量 都完整的展现出来，另外展示的形式是否直观。 2.管理带宽、流量，特别是异常流量的能力。对明确的流量异常条件要有报警 功能，

11、并有详细的异常定位信息，必要时还可以自动制止异常条件，可以配 置实施灵活强大的管理策略。 3.流量历史数据的分析能力，可以帮助管理者在数据庞大的流量历史数据中 方便的分析出有价值的数据或结论。 4 智能网全智能网全流量大屏幕流量大屏幕产产品提供的解决方案品提供的解决方案 4.1 直直观观展示全网展示全网实时实时流量的整体信息流量的整体信息 4.1.1 流量流量变变化化 智能网全流量大屏幕产品能够直观的展示全网的流量实时变化，通过查看流 量变化视图，直观的将局域网的流量及变化情况显示在用户面前，包括内网交换数 据量、与 Internet 交互总数据量、出口流量、入口流量等多种数据和曲线，无论是针

12、 对每台计算机、一组计算机或整个局域网，都能实时的监测流量使用情况。同时通 过查看“排名”可以迅速定位使用流量较大的节点或组。 图 流量变化图 4.1.2 流量关系流量关系 智能网全流量大屏幕产品能够提供流量关系视图，基于对网络流量数据的采 集，本产品可以从全网、网段、节点三个层面提供流量关系图，分别可以显示局域网 中网段间的流量情况、同一网段中节点与节点间的流量情况以及与某一节点相关的 所有流量情况等，直观的反应出实时的网络流量的关系构成。同时通过查看“排名” 可以迅速发现和定位流量异常节点。 图 流量关系图 4.1.3 流量行流量行为为 智能网全流量大屏幕产品能够对局域网的流量构成进行实时

13、分析，可以明确 的显示出占用流量的行为，如终端用户进行下载、聊天、发送邮件或局域网中的某 项业务系统的正常运行等，从而实时掌握网络中流量的行为构成，乃至产生网络流 量的进程。当有网络阻塞和网速变慢等异常情况发生时，能够迅速找出造成网络流 量异常的原因。 图 流量行为图 4.1.4 服服务务器流量器流量监测监测 局域网中，经常会存在一些重要的服务器，在这些服务器上往往运行着一些业 务系统，如何确保这些业务系统能够稳定的运行成为一个必须解决的问题。智能网 全流量大屏幕的服务器流量监控功能可提供一个独立的服务器组，对组内的服务 器可进行全面的流量变化监视、流量关系分析和流量行为分析，及时发现服务器的

14、 流量问题，并迅速查找根源。能够精确的定位到局域网中哪个节点的哪个使用者使 用了哪些进程对服务器造成了多大的影响。从而真正确保这些业务系统能够安全、 高效的运行。 4.2 强强大、灵活的流量大、灵活的流量带宽带宽管理机制管理机制 智能网全流量大屏幕产品提供简单、灵活的多种管理策略，对流量和带宽的 使用进行有效的管理，或对某种网络行为进行限制，并且提供了与流量相关的强大 的安全管理机制。 4.2.1 ARP 安全安全 目前在局域网中常有一些利用 ARP 特性进行网络攻击或者欺骗的软件或病毒， 如网络执法官等和一些 ARP 蠕虫病毒或后门（如密码高手等），最终导致整个网络 变慢或者瘫痪。这给网络使

15、用者和其单位都带来了很大的影响和损失。所以如何及 时有效地发现并解决这些问题是非常重要的。 智能网全流量大屏幕产品采用全新的可靠机制，在全网内独自建立真实的地 址解析表并分发到每一个被管理的网络节点。同时，在网卡驱动层过滤每一个数据 包，保证识别并阻止每一个 ARP 欺骗包。加之流量大屏幕产品的其他强大机制，它 不仅能够识别和禁止 ARP 欺骗，更能准确的定位哪个节点、进程和登录账号是 ARP 欺骗的源头。此外，流量大屏幕产品在系统内部采取了一系列安全措施，未经 授权根本无法使用该系统，即使是授权的网管人员，也不可能利用该系统进行与 ARP 欺骗相关的恶意操作。目前已经有很多局域网用户，利用智

16、能网全流量大屏 幕产品，在他们真实的网络环境中，彻底解决了长期困扰他们的 ARP 问题。因此， 毫不夸张地说，智能网全流量大屏幕产品才是 ARP 病毒的真正克星！ 图 ARP 安全设置 4.2.2 带宽带宽管理管理 随着网络应用的增加，对有限的带宽资源的合理分配，越发成为很多局域网用 户急待解决的问题。针对这种需求，智能网全流量大屏幕产品提供了可以区分内 外网的带宽管理功能。通过设置带宽策略，可以非常方便的配置每台客户机或组可 以使用的外网和内网带宽、出口及入口带宽。这样就可以有效地杜绝占用大量带宽 做与工作无关的事情。 图 带宽管理设置 4.2.3 行行为为管理管理 智能网全流量大屏幕产品提

17、供全面、灵活的网络行为管理机制，对网络行为 的设置可详细到进程、协议及端口，管理点覆盖的十分全面。一方面通过配置指定 的网络行为来对单位网络的利用情况进行规范，例如限制或禁止上网浏览、上网聊 天、网络游戏等网络行为，当有禁止或限制的网络行为发生时，阻断该网络行为的 通讯或限制行为带宽，从而能够有效的对终端的行为进行限制。另一方面通过行为 配置，可保证单位正常的核心业务能够使用足够的带宽，使正常的业务高效运转。 此外，利用本系统配备的时间段管理功能，可以按照工作时间和休息时间等不同的 时间段进行分别的管理，使管理策略更加灵活、人性化。 图 行为管理设置 4.2.4 网站网站访问访问控制控制 当今

18、互联网已是人们获得信息的最主要途径之一，很多单位的工作都离不开互 联网。但访问互联网也是很多网络管理和网络安全问题的根源。此外，沉迷于互联 网也必然会降低工作效率。因此如何使访问互联网成为有益无害的信息交换手段， 成为网络管理所面临的又一大难题。通过网站访问控制功能可设置只允许访问的网 站或禁止访问的网站。有效地保证计算机使用者只在互联网上做与工作有关的事情。 4.3 多种形式展示、分析多种形式展示、分析历历史流量数据史流量数据 智能网全流量大屏幕产品提供强大的报表系统，针对整个网络、网络分组、单 个节点、行为、进程及异常情况等提供丰富的报表，记录流量历史数据。系统提供网 络异常统计、网络流量

19、统计和网络行为统计三大类型的报表，其中每类报表还可以 分为多种报表，逐步细化。 4.3.1 网网络络异常异常统计统计 提供异常统计列表、异常时间分布图、节点异常报表、异常节点报表、异常进程 明细报表和异常节点明细报表，由粗略到细致，多方面的展现网络流量异常的历史 统计信息。 异常统计报表：使用户对流量异常情况有个整体的了解。 异常时间分布图：以曲线图的形式展示异常发生的次数，并按时间进行分布。 节点-异常报表：以节点为中心，查看节点发生流量异常的历史信息。 异常-节点报表：以流量异常事件为中心，定位该流量异常事件是由哪些节 点造成的。 异常进程明细报表：查看异常事件是由哪些进程造成的，并可以了

20、解这些进 程是由哪些节点产生的。 异常客户机明细报表：可以查看到异常是由哪些客户机导致的，并可以查看 出该客户机相应的进程信息及帐号信息。 4.3.2 网网络络流量流量统计统计 提供流量分布图、流量时间分布图和流量分析图，针对全网、组、单个节点、出 口流量、入口流量、内网流量及外网流量等类别，全面、详细的展现流量历史统计信 息。 流量分布图：可以以组或节点为单位查看全网流量的分布情况，以及某个节 点或组的历史流量详细信息。 流量时间分布图：可查看一个时间段内的整体流量分布情况及单个节点在 指定时间段内的流量分布情况。 流量进程报表：分析产生流量的进程，并清晰的展现在用户面前。 4.3.3 网网

21、络络行行为统计为统计 提供行为构成图、行为节点分布图、行为时间分布图和行为进程图，从网络行 为的角度，记录网络行为的历史分布情况以及产生网络行为的节点及进程信息等。 行为构成图：整体展示网络流量的行为构成，其中包括每种网络行为占用的 带宽百分比及流量大小，能够定位出占用流量最大的行为。 行为节点分布图：针对网络行为，例如是占用流量最大的网络行为，可查看 产生该网络行为的节点分布情况，将问题定位到节点。 行为时间分布图：针对某种网络行为，查看在某一时间段内，该网络行为的 流量使用情况。 行为进程图：用于查看指定节点的某种网络行为的进程情况，将问题定位到 进程。 4.4 故障点的及故障点的及时时准

22、确定位准确定位 4.4.1 病毒大量病毒大量发发包，形成网包，形成网络风络风暴暴 当您使用的网络被黑客软件攻击或发生震荡波、RPC 等网络病毒时，就会损耗 大量的网络带宽，引起网络堵塞，形成广播风暴。 针对此问题，智能网全流量大屏幕产品可采取如下措施对问题进行定位： 1.对整个网络执行流量大小的监测，并启动排名功能，确定具体的流量异常大 的节点。 2.对所查找出的流量异常大的节点执行网络行为的监测，判断流量是由哪些 具体的网络行为及进程产生的。 3.同时通过配置正确的系统异常信息，在异常报警的详细信息中可查看到使 用者的登录帐号，将问题定位到使用人。 定位问题后智能网全流量大屏幕产品可采取的解

23、决方案：通过本产品的管理 策略，阻断此病毒进程的网络通讯。此操作可以立即排除病毒造成网络堵塞。然后 再根据流量系统定位到的问题节点，对其进行定点杀毒。 4.4.2 大量大量 BT 下下载载，造成网，造成网络变络变慢慢 工作时间中，在网络管理者不知情的情况下，有些员工常常使用 BT 等下载工 具下载电影或其他文件，占用了大量的网络带宽，影响了正常工作的进行，对整体 网速造成影响。而由于缺乏具体的监控管理手段，只能对这种行为进行口头的呼吁， 但又收效甚微。 针对此问题，智能网全流量大屏幕产品可采取如下措施对问题进行定位： 1.对所有组进行网络行为的监控，将会监控到“P2P 下载”的网络行为。 2.

24、查看此行为的进程信息和排名信息。 3.可以监测到使用 BT 工具的具体进程，以及哪些节点在使用该进程，将问题 定位到进程和节点。 4.通过客户端管理，可以查看到有 BT 下载行为的节点当前使用的登录帐号， 将问题定位到帐号。 定位问题后智能网全流量大屏幕产品可采取的解决方案：对所有节点执行“禁 用 BT 下载”的策略。 4.4.3 ARP 欺欺骗骗，造成网，造成网络时络时断断时续时续 目前在局域网中常有一些利用 ARP 特性进行网络攻击或者欺骗的软件或病毒， 如网络执法官等和一些 ARP 蠕虫病毒或后门（如密码高手等），最终导致整个网络 变慢或者瘫痪，或是重要数据丢失。这给网络使用者和其单位都

25、带来了很大的影响 和损失。 针对此问题，智能网全流量大屏幕产品可采取如下措施对问题进行定位： 1.利用安全策略的 ARP 安全设置，设置启用发生外部攻击、对外攻击、IP 冲 突报警。 2.当发生相关的 ARP 报警时，便可根据报警信息查询到问题源及问题类型。 定位问题后智能网全流量大屏幕产品可采取的解决方案：在安全策略的 ARP 安全设置中，设置启用防范外部攻击、禁止对外攻击、防止 IP 冲突、主动保护网关 的安全保护策略。执行策略后网络中所有关于 ARP 的系列问题即可全部解决。 4.4.4 网网络络中的部分中的部分计计算机断网算机断网 由于终端的网络连接问题，或系统的配置问题，造成其断网或

26、不能访问互联网。 针对此问题，智能网全流量大屏幕产品可采取如下措施对问题进行定位： 在流量系统的客户机管理中，可以查看问题节点以及交换机、路由器等网络设 备的当前通讯状态、IP 地址、MAC 地址等信息，通过通讯状态和信息定位问题根源。 定位问题后智能网全流量大屏幕产品可采取的解决方案： 1.可以通过检测此节点的当前通讯状态是否可以进行内网通讯，从而可以压 缩问题范围。 2.分别对节点和连接设备执行流量变化、流量关系的监控，判断是否连接问题。 3.通过客户机管理获取到的 IP 地址等信息，可以判断是否由于系统设置错误 造成断网。 4.4.5 业务业务服服务务器器瘫痪瘫痪 由于某些节点产生过大的

27、业务流量，造成其它终端不能访问相关的业务服务器， 致使相关业务工作不能正常进行。 针对此问题，智能网全流量大屏幕产品可采取如下措施对问题进行定位： 1.通过系统的服务器组的搜索功能枚举出业务系统服务器，将其添加入服务 器组中。 2.对此服务器进行流量关系监控，可监控到网络中具体是哪一个节点与服务 器进行大量的网络访问，将问题定位到节点。 3.针对这个流量关系进行行为监控和进程监控。将问题定位到进程。 4.通过客户端管理，可以查看到此问题节点的当前登录帐号，将问题定位到使 用人。 定位问题后智能网全流量大屏幕产品可采取的解决方案：通过管理策略限制 或阻断问题节点与服务器的网络通信，恢复服务器的业

28、务工作。 5 实实施施该该解决方案的解决方案的预预期效果期效果 如上所述，智能网全流量大屏幕产品是目前市场上唯一可以对局域网全 网流量进行管理的产品平台。完整实施该产品平台提供的解决方案可以预期如 下实施效果： 1.把局域网流量管理这个以往网管的“黑匣子”变成在大屏幕上直观展示的完 整信息。 2.一旦出现网络流量异常，可以立即实现问题点的准确定位，定位精度为明确 的 IP 节点，相关进程及登录帐号。 3.在大屏幕上，直观了解局域网中的服务器及业务系统的流量运行情况，以确 保单位业务系统的稳定平滑运行。 4.在大屏幕上，直观展示各种网络行为占用带宽的情况，并可以对应具体的 IP、进程和帐号，由此

29、可以一清二楚的了解每个终端用户的带宽使用情况， 规范带宽使用的行为。 5.彻底解决 ARP 问题，在局域网中杜绝 ARP 病毒或 ARP 攻击。 6.可以非常方便的从大量的流量历史数据中了解局域网的真实使用和运行情 况，以便及时准确的识别问题或潜在问题，做出相应调整或新的规划。 6 智能网全智能网全产产品的典型品的典型应应用案例用案例 1.中南海国中南海国务务院院 2007 年 9 月，中南海国务院为了保证机关计算机网络安全可靠的运行，经 过慎重的考察与筛选，最终采购并实施了智能网全产品平台。本产品从网络 系统本身、应用系统、终端用户三个层面，为其提供了安全、稳定、全面、易用的 网络管理平台。

30、智能网全流量大屏幕实现了对异常流量的准确定位、行为分 析、并可实时实施相应的管理策略，同时也解决了长期困扰其局域网的 ARP 病 毒顽症。通用软件产品双管齐下，为中南海国务院打造坚实的局域网安全、管理 和维护全方位解决方案，深得信息中心技术人员的好评。 2.辽辽宁省凌源宁省凌源钢铁钢铁公司公司 凌源钢铁集团有限责任公司是集采矿、选矿、冶炼、轧材为一体的钢铁联合 企业，是全国最大 500 户企业和国务院重点支持的 520 户企业之一。2004 年 8 月该企业首次购买智能网全产品，经过长时间的使用，反映良好，并多次增加 购买点数，扩大管理范围。智能网全产品提供了一个强大、易用的管理平台， 解决了该企业局域网的安全、管理与维护的多种难题，为企业的正常工作和业 务发展创造了良好的环境。 3.首都医科大学附属北京天首都医科大学附属北京天坛坛医院医