李 瑶
(遵义供电局)
近年来,电力系统信息网络的不断扩大和各种业务系统的陆续上线,对网络的需求也越来越大,网络应用的管理要求也越来越高。在现有网络带宽的前提条件下,网络的管理必须从网络流量、业务系统及客户的需求等方面出发,网络流量作为网络用户活动特征的重要载体,发挥着极为重要的作用。通过分析网络流量,可以对网络进行实时监控,对网络性能等进行分析,在网络的优化和网络维护方面发挥着重要的作用。
随着互联网技术的飞速发展,电力系统对信息系统的依赖性大大增加,信息网络已经成为电力系统的重要组成部分。同时,电力系统网络用户的需求在逐年增加,电力系统网络面临着前所未有的挑战。最突出的问题是网络带宽不够用。当进行视频通话或者召开视频会议时,将占据较多带宽资源,导致其他业务无法正常开展。鉴于电力系统硬件更新采购进程较慢,单单靠更换硬件来提升网络带宽显得捉襟见肘,远远不能满足应用自身的实际需求。所以,如何对带宽进行分配和调节,如何有效利用有限的带宽资源,来满足各种业务发展的需求,成为了电力系统信息网络需要解决的问题。
电力系统的信息安全问题也是一个必须重点关注的问题。电力系统的网络设备,早期都是采用的国外设备,比如思科等国外品牌,甚至连核心网络设备,都是采用国外设备,这些设备在当时处于于国际领先水平。随着我国综合国力的增强,我国自主研发的网络设备在技术上已经达到国际先进水平,推进国产化进程是当前我国网络设备的必然趋势,降低使用国外设备带来的外在风险。近几年,电力企业网络设备基本上都更换为国产设备。但是在信息安全管控方面,仍然处于劣势,特别是在流量的管控方面。
P2P技术问世以来,仅仅一两台终端电脑使用P2P软件,就能占用大部门有限的带宽,甚至把整个网络的带宽资源抢占完毕,使得其他系统无法正常使用带宽资源。因此,要保证电力系统中各种业务的正常稳定运行,就要对网络中的流量进行监控与限制,一旦发现流量异常,就需及时解决,才能保证电力信息系统的正常运行。
电力系统信息网络用户的规模不断扩大和网络结构日益复杂,网络设备的数量逐年增加,使得网络维护的难度也随之增加,要满足复杂网络维护的需求,并且还要维护网络稳定运行,对网络中流量的检测和监控是必不可少的重要手段。
随着电网用户的增加和网络的覆盖范围越来越广泛,不同地区和不同用户,对网络的需求不一样,对网络中流量进行及时的监控与分析,对网络用户的使用行为进行分析,对网络性能改善具有十分重要的意义。
网络用户数量的增加和业务规模的不断扩大,使得网络中对各个端口的流量需求也越来越大,从而增加了现有网络设备的压力,通过对网络中流量进行监控和分析,可以为电力企业信息网络的改造和扩容提供依据。
此类技术主要依赖于对数据包进行分析。数据包在经过路由器时,在路由器上设置不同的规则,将这些规则集合在一起,形成网络分类器,数据包通过路由器时,依照匹配的规则,来识别不同的应用类型。当数据包通过时,通过解析数据包头信息,获取TCP/UDP连接的SYN包,从而得到源IP、目的IP、源端口、目的端口。以下以端口号匹配规则为例来阐述。如获取到常用端口号为22、80、8443等端口信息时,依据匹配规则可判断不同的应用类型。如图1所示为获取的SYN包信息。
图1 SYN包
此类分类方法有一定限制,比如某些应用没有IANA注册端口,或者使用在熟知端口以外的端口,便无法判断其应用类型。尤其P2P技术问世以来,此类方式更是失去效用,因P2P技术采用动态端口分配,使通过端口号映射的方式无法检测应用类型,此外,对于IP层载荷的加密,无法解析数据包,便获取不到端口号,也致使该方法无法实施。
在数据传输过程中,如果当前供给的资源对于需求的资源不足时,便产生拥塞,导致网络性能、网络服务质量下降,为了缓解和解决网络拥塞问题,利用队列调度控制是解决方法之一。网络队列调度可以分为几类,FIFO(Frist in Frist Out Queuing)、优先级队列调度、公平队列调度和定制队列调度是队列调度的几类。对于FIFO类型,正常网络访问是可以的,但是,如果设备的每个端口只有一个基于队列的输入或者输出队列,恶性应用可能会占用所有资源,影响业务的开展。优先级队列,可根据业务的重要程度进行分级设计,重要等级越高的业务优先级越高,当发生网络拥塞,把影响降到最低。定制队列,总共有0-16个队列,0队列系统默认保留,1-16个队列用户可根据需求进行设计,不同业务对应不同队列,从而保证业务的高效稳定。公平队列,主要体现在公平上,即所有队列拥有发送数据的同等机会。在实际环境中,根据业务的需求和实际情况选择不同的队列或者组合不同的队列,来达到流量监控和控制的目的。
TCP建立连接需要进行三次握手的过程,通过握手,最终达成协议并建立端到端连接,使用全双工通信传输数据。TCP采用滑动窗口来缓存要发送或者接收的数据,缓存区的大小决定了发送和接收的速率。窗口大小是一个16bit字段,所以窗口最大值是65535字节。那么可以通过在窗口刻度,来调整合适的窗口大小,使网络能普遍接受的速度发送数据,防止网络拥塞造成数据包丢失,从而提升网络服务质量和性能。
图2 TCP窗口流控窗口
发送端的发送为接收端尚未确认或未接收的窗口边界,接收端在接收数据后,会给发送端回传一个ACK,告知发送端还剩余多少缓存空间,发送端接收到ACK后,调整发送速率,以此达到流量控制目的。基于此种机制,可人为干预窗口大小,即发送端和接收端不直接进行握手过程,而是增加中间设备,使发送端和中间设备握手,接收端和中间设备握手,以达到窗口干预的目的。具体过程是:主机A和主机B要建立一个TCP连接,主机A和主机B不直接握手,而是分别要和设备C建立连接,主机A和主机B都要和设备C握手,建立连接后,设备C根据自身流控策略配置,调整TCP滑动窗口大小,然后通知A和B,要他们各自按照这个窗口的大小来发送和接收文件,从而达到流量控制的目的。
DPI(Deep packet inspection,深度包检测技术)是一种基于应用层的流量检测和控制技术,是在传统流量控制技术 (对IP包头进行分析)的基础增加了对应用层的应用协议识别。传统流量检测技术主要对“5tuple”进行分析,即五元组进行分析,但其只分析四层以下内容,包括源端口、源地址、目的端口、目的地址和应用协议,但随着不用的网络应用类型不断出现,用传统的流量检测和监控技术显然无法达到流量控制的目的。
图3 传统流控和DPI技术对应表
DPI技术在出传统流量控制技术的基础上,增加了应用层协议的分析,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,通过对网络通讯的原始数据包捕获并深度读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得出整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。不同的网络应用对应不同的协议类型,而不同的协议类型具有区别于其他协议的特征,这个特征称为协议的指纹,这个指纹可以是特定的端口或者是其他的特殊字符。如果获取到的指纹是端口,且是在IANA注册过的端口,那么可以快速对应用类型进行识别,按照设计的规则进行流量分配和监控。如果获取到的指纹是特殊字符,根据检测方式的不同,又可以分为特征字符和掩码结合的方式和正则表达式方式两大类。
总体来说,对网络中流量进行监控,必须要对网络中主干路由器、交换机等的进出口流量进行采集和分析,这就需要流量监控系统要有数据采集子系统和WEB页面展示子系统两个部分组成。流量采集子系统通过网络协议SNMP响应报文来实现。在采集过程中,需要对数据包进行捕获以及对模块进行分析。分析模块包括流量获取的模块、访问性能的数据子模块、显示子模块、框架子模块。在获取数据包的基础上,对这些模块进行流量分析,最终实现网络流量的采集。对于WEB页面展示子系统而言,就是把流量采集子系统的数据,分类划分、分析后,通过页面的方式,对其进行展示。这样网络管理人员就能很直观地通过WEB页面来实时监控网络中的流量。
对于电力系统信息网络而言,网络流量的监控变得异常重要,尤其针对局域网用户,希望从流量监控中能够提升电力系统信息网络的管理能力,解决网络堵塞的现象,提升网络用户体验度。针对网络流量监控的设计和实现来说,一定要完善系统,保障流量监控体系科学合理的实施,保障各个软件在流量监督体系中能够更加完善,从总体上推动网络系统性能的提升并确保网络运行的畅通。