F5網(wǎng)絡(luò)性能管理

1、廈門市雅寶信息技術(shù)廈門市雅寶信息技術(shù)有限公司有限公司具體需求具體需求某集團(tuán)流量擁塞檢測、網(wǎng)絡(luò)擴(kuò)容、優(yōu)化決策網(wǎng)絡(luò)規(guī)劃流量水平預(yù)測重要流量的長期記錄訪問記錄非法訪問的分析與取證某集團(tuán)某集團(tuán)監(jiān)控的數(shù)據(jù)來源端口鏡像： 通過探針的千兆監(jiān)控口實(shí)現(xiàn)； 得到鏈路層利用率、IP主機(jī)與通信對、流量的應(yīng)用類型等資料。NetFlow: 核心路由器Cisco7507設(shè)備功能； 分支機(jī)構(gòu)路由器Cisco設(shè)備功能； 核心交換機(jī)Extreme6800設(shè)備功能； 網(wǎng)絡(luò)設(shè)備將NetFlow數(shù)據(jù)發(fā)給探針處理； 得到鏈路層利用率、IP主機(jī)與通信對、流量的應(yīng)用類型等資料。SNMP MIBII: 全網(wǎng)路由器、交換機(jī)的設(shè)備功能 得到鏈路層

2、利用率、錯誤率、CPU與內(nèi)存使用率等資料。應(yīng)用仿真測試軟件 NetScout提供，安裝在各個遠(yuǎn)程各個分支機(jī)構(gòu)，用于主動測試中心服務(wù)器應(yīng)用服務(wù)的響應(yīng)時延，用于： 應(yīng)用服務(wù)響應(yīng)性能各種測試。 當(dāng)某區(qū)域訪問中心的應(yīng)用服務(wù)響應(yīng)性能下降時關(guān)聯(lián)分析流量報(bào)表，協(xié)助判斷故障點(diǎn)是服務(wù)器還是網(wǎng)絡(luò)。數(shù)據(jù)源數(shù)據(jù)源廣域網(wǎng)全網(wǎng)流量分析廣域網(wǎng)全網(wǎng)流量分析 數(shù)據(jù)源：Cisco7507的RongShiDa鏈路NetFlow 時間范圍：2005年10月20日-21日 分析結(jié)果： 該廣域網(wǎng)鏈路已經(jīng)擁塞 擁塞時間早上8:30-8:45 造成擁塞的應(yīng)用類型是Emai_POP3國稅局鏈路利用率曲線廣域網(wǎng)專線鏈路利用率曲線專線鏈路的哪種應(yīng)

3、用在什么時段造成鏈路擁塞？專線鏈路的哪種應(yīng)用在什么時段造成鏈路擁塞？ 針對某條廣域網(wǎng)專線的流量分析針對某條廣域網(wǎng)專線的流量分析專線鏈路在運(yùn)行哪種類型的流量？廣域網(wǎng)全網(wǎng)流量分析廣域網(wǎng)全網(wǎng)流量分析 針對某條廣域網(wǎng)專線的流量分析針對某條廣域網(wǎng)專線的流量分析RongShiDa鏈路鏈路POP3郵件應(yīng)用占用帶寬曲線圖郵件應(yīng)用占用帶寬曲線圖RongShiDa鏈路鏈路Email_POP3的的IP通信對通信對 數(shù)據(jù)源：Cisco7507的RongShiDa鏈路NetFlow 時間范圍：2005年10月20日-21日 分析結(jié)果： 該廣域網(wǎng)鏈路已經(jīng)擁塞 擁塞時間早上8:30-8:45 造成擁塞的應(yīng)用類型是Emai_

4、POP3 優(yōu)化建議：鏈路在運(yùn)行正常的郵件應(yīng)用、可以考慮擴(kuò)容銀行辦公網(wǎng)流量分析銀行辦公網(wǎng)流量分析分支機(jī)構(gòu)分支機(jī)構(gòu)局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析 數(shù)據(jù)源：Cisco6509與3550之間的千兆光纖鏈路 時間范圍：2005年11月8日全天 基本情況： GE光纖的平均利用率不超過6% 從右邊的利用率曲線圖來看，上班時間9:00-17:00持續(xù)用量水平較高，流量峰值在當(dāng)天的下午5點(diǎn)，非上班時間一直都有流量產(chǎn)生，非上班時間的流量水平接近整日的50%千兆鏈路當(dāng)天平均利用率千兆鏈路當(dāng)天利用率曲線圖 鏈路擁塞分析鏈路擁塞分析日報(bào)表網(wǎng)絡(luò)擁塞分析網(wǎng)絡(luò)擁塞分析 當(dāng)天流量峰值的流量類型與使用者當(dāng)天流量峰值的流量類

5、型與使用者擁塞時段利用率已經(jīng)達(dá)到因特網(wǎng)百兆出口利用的83%擁塞時段17:15-17:30擁塞時段哪些應(yīng)用類型在運(yùn)行？ 分析結(jié)果 ：鏈路已經(jīng)擁塞 優(yōu)化建議：保障WEB網(wǎng)頁流量與郵件流量，控制P2P流量、未知流量、異常流量在這個時段是誰造成了擁塞？擁塞時段的流量類型 數(shù)據(jù)源：Cisco6509與3550之間的千兆光纖鏈路 時間范圍：2005年11月8日全天 基本情況： 本日流量總量為1045G字節(jié)，從左邊的流量類型與比例圖來看，第一名是未知流量（IP_Other），需要再進(jìn)一步分析其成份與使用者的行為特點(diǎn) 第二名是網(wǎng)頁瀏覽HTTP，第三名是已知的P2P下載eMule(3%)與BT(2%) 第四名是

6、多媒體流量NetShow與RealPlayer百兆因特網(wǎng)出口整天的流量類型與比例本日因特網(wǎng)出口的流量類型與流量大小，累計(jì)流量總量為1045G字節(jié) 網(wǎng)絡(luò)在運(yùn)行哪些類型的流量以及用了多少網(wǎng)絡(luò)在運(yùn)行哪些類型的流量以及用了多少局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析 是誰產(chǎn)生了未知流量是誰產(chǎn)生了未知流量 數(shù)據(jù)源：Cisco6509與3550之間的千兆光纖鏈路 時間范圍：2005年11月8日全天 基本情況： 上表所列IP當(dāng)天產(chǎn)生的未知流量每個IP都超過10G字節(jié)，當(dāng)天未知流量累計(jì)630G字節(jié) 建議： 未知流量已經(jīng)造成網(wǎng)絡(luò)擁塞，可適當(dāng)進(jìn)行控制這些IP當(dāng)天產(chǎn)生的未知流量都超過10G字節(jié)，未知流量累計(jì)630G字節(jié)

7、局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析 未知流量是誰與誰在通信未知流量是誰與誰在通信 數(shù)據(jù)源：Cisco6509與3550之間的千兆光纖鏈路 時間范圍：2005年11月8日全天 基本情況： 上表列出了未知流量的通信雙方IP地址，可以明顯地看到一個特點(diǎn)： 未知流量的IP通信只有一個方向，這與BT類的P2P下載流量行為比較接近，可以通過NetScout的未知流量端口發(fā)現(xiàn)功能找到其應(yīng)用端口這些IP當(dāng)天產(chǎn)生的未知流量都超過10G字節(jié)，未知流量累計(jì)630G字節(jié)局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析 未知流量的通信端口分析未知流量的通信端口分析 數(shù)據(jù)源：示例圖 分析： 上表列出了NetScout的監(jiān)控口或Ne

8、tFlow數(shù)據(jù)發(fā)現(xiàn)的未知流量通信端口、數(shù)據(jù)包數(shù)量、及流量大?。磺皟?nèi)位是因特網(wǎng)上近期流行的P2P流量端口。局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析基準(zhǔn)分析與基準(zhǔn)告警基準(zhǔn)分析與基準(zhǔn)告警每條廣域網(wǎng)鏈路或每個交換機(jī)端口的利每條廣域網(wǎng)鏈路或每個交換機(jī)端口的利用率基準(zhǔn)線用率基準(zhǔn)線每條廣域網(wǎng)鏈路某個每條廣域網(wǎng)鏈路某個應(yīng)用占用帶寬百分比應(yīng)用占用帶寬百分比的基準(zhǔn)的基準(zhǔn)通過網(wǎng)絡(luò)設(shè)備通過網(wǎng)絡(luò)設(shè)備SNMP MIB得到得到通過網(wǎng)絡(luò)設(shè)備通過網(wǎng)絡(luò)設(shè)備NetFlow得到得到基準(zhǔn)告警能夠依據(jù)當(dāng)天流量水平與歷史特定時段的流量水平差異產(chǎn)生告基準(zhǔn)告警能夠依據(jù)當(dāng)天流量水平與歷史特定時段的流量水平差異產(chǎn)生告警，而不是一個固定的閥值。警，而不

9、是一個固定的閥值。網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備CPU/內(nèi)存基準(zhǔn)分析內(nèi)存基準(zhǔn)分析網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)設(shè)備的CPU/內(nèi)存基準(zhǔn)線內(nèi)存基準(zhǔn)線通過網(wǎng)絡(luò)設(shè)備通過網(wǎng)絡(luò)設(shè)備SNMP MIB得到得到 依據(jù)基準(zhǔn)產(chǎn)生趨勢分析依據(jù)基準(zhǔn)產(chǎn)生趨勢分析 DTT(Days to Threshold)：到達(dá)預(yù)設(shè)的飽和值(默認(rèn)是帶寬 70%)的天數(shù)。 Projection：按照現(xiàn)在的鏈路/應(yīng)用利用率，估算預(yù)設(shè)的天數(shù) (默認(rèn)是30天) 以后的利用率服務(wù)器應(yīng)用響應(yīng)時延分析服務(wù)器應(yīng)用響應(yīng)時延分析平均響應(yīng)時間峰值響應(yīng)時間服務(wù)響應(yīng)次數(shù)響應(yīng)成功的次數(shù)應(yīng)用類型與服務(wù)器IP服務(wù)器應(yīng)用響應(yīng)時延分析服務(wù)器應(yīng)用響應(yīng)時延分析43的郵件服務(wù)響應(yīng)性能

10、大致良好4:30有超時現(xiàn)象49的數(shù)據(jù)庫服務(wù)響應(yīng)性能良好關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系 網(wǎng)絡(luò)的意義在于承載關(guān)鍵業(yè)務(wù)與應(yīng)用，集中式的業(yè)務(wù)訪問當(dāng)遇到某些局部地區(qū)的性能下降投訴時常需要網(wǎng)管人員花費(fèi)大量時間去排除障： 首先是介定特定業(yè)務(wù)的性能下降是否與流量有關(guān)以及與哪條鏈路 的流量有關(guān) 如果與流量有關(guān)，是哪一種流量，以及哪一個IP造成 如果與流量無關(guān)，有哪些證據(jù)能夠表明是服務(wù)器的問題 NetScout的仿真客戶端軟件的仿真客戶端軟件Active Agent（AA）結(jié)合探針與網(wǎng)絡(luò)）結(jié)合探針與網(wǎng)絡(luò)設(shè)

11、備的設(shè)備的NetFlow流量分析可以協(xié)助用戶判斷這個問題流量分析可以協(xié)助用戶判斷這個問題 AA可以安裝在服務(wù)器本地、樓層、及遠(yuǎn)程的分支機(jī)構(gòu)客戶端，可以安裝在服務(wù)器本地、樓層、及遠(yuǎn)程的分支機(jī)構(gòu)客戶端，用于長期測試同一個特定應(yīng)用的響應(yīng)性能用于長期測試同一個特定應(yīng)用的響應(yīng)性能上圖中：AA1 = 安裝在服務(wù)器群本地AA2 = 安裝在主交換機(jī)連接的客戶端AA3 = 安裝在樓層客戶端AA4 = 安裝在遠(yuǎn)程分支機(jī)構(gòu)1AA5 = 安裝在遠(yuǎn)程分支機(jī)構(gòu)2關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系 多個仿真客戶端同時長期測試同一個業(yè)務(wù)應(yīng)用的響

12、應(yīng)性能，多個響應(yīng)性能報(bào)表同時比較，有助于快速判斷故障范圍，節(jié)約人工投入，提高網(wǎng)絡(luò)生產(chǎn)力關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系15:45-18:00 DNS域名服務(wù)響應(yīng)性能嚴(yán)重惡化，全省有一半用戶無法解析域名關(guān)聯(lián)分析15:45-18:00該DNS服務(wù)的流量情況，快速判斷是異常攻擊流量造成： 同一時間，某些IP對服務(wù)器的DNS訪問量超過一個城市 這些IP對服務(wù)器的DNS請求沒有得到應(yīng)答（流量只有一個方向）1個IP1個城市本案難點(diǎn)：與歷史同期水平比較 鏈路無誤碼 鏈路用量沒有明顯變化 DNS整體用量沒有明顯變化 沒有流量激

13、增僅發(fā)現(xiàn)DNS數(shù)據(jù)包有增長關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系關(guān)聯(lián)分析案例：如何快速定位（排除）應(yīng)用性能下降與網(wǎng)絡(luò)的關(guān)系智能告警案例智能告警案例智能告警案例：提供告警證據(jù)智能告警案例：提供告警證據(jù)導(dǎo)致告警的應(yīng)用導(dǎo)致告警的IP與應(yīng)用類型導(dǎo)致告警的IP通信對與應(yīng)用類型 單個單個IP對網(wǎng)絡(luò)資源的消耗對網(wǎng)絡(luò)資源的消耗7當(dāng)天流量32G字節(jié)的流量大小分布曲線圖當(dāng)天流量水平最高的10臺主機(jī)（TopN數(shù)目可調(diào)到999）凌晨峰值時每15分鐘1G的流量大?。ㄟM(jìn)出雙向）局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析 單個單個IP對網(wǎng)絡(luò)資源的消耗對網(wǎng)絡(luò)資源的消耗7當(dāng)天流量32G字節(jié)的流量類型與流量速率分布曲線圖局域網(wǎng)骨干流量分析局域網(wǎng)骨干流量分析方案總結(jié)方案總結(jié)分析范圍廣度的與深度：支持多種數(shù)據(jù)源，將網(wǎng)絡(luò)性能監(jiān)控覆蓋到