第1章 关于网络流量分析

本章主要说明网络流量分析的概念、用途，以及如何将网络流量分析技术融入到网络管理流程中。

1.1 什么是网络流量分析

网络的作用是传输应用数据，应用数据在OSI协议模型中的传输过程描述如 图1-1所示。

在OSI协议模型中，发送方的应用数据由下层协议逐层处理，最后通过物理层传输，接收方则逐层向上处理从物理链路上接收的信号，最后还原成应用层数据。

一个Web应用数据在OSI模型中的网络数据传输处理过程如图1-2所示。

从图1-2可以看出，应用数据在应用层采用HTTP协议，在传输层被分段，在网络层封包，在数据链路层封帧，由物理层传输，由每一层进行处理，按照相应的协议进行封装。

网络流量的分析就是对在网络中传输的实际数据流进行分析，网络数据流的分析包括从底层的数据流一直到应用层数据的分析，有时我们也称为网络协议分析。

1.2 为什么要分析网络流量

简单地说，我们对网络流量进行分析的目的是了解、发现和证明。

管理好一个网络最重要的就是对网络的了解，了解网络拓扑、设备、配置等是必须的，但要保证网络的服务质量，那是远远不够的，对网络流量的分析能使网络技术人员更深入地了解网络。

（1）网络运行规律的了解。

每个网络都有自身的运行规律，这和网络的结构、应用特点等紧密相关，通过对网络流量的长期分析，能够了解网络系统运行的规律。

（2）网络应用运行规律的了解。

网络上重要的应用在运行时，每一个访问，每一个交易处理，数据都由网络来传输，通过分析应用的流量，能够清楚了解应用运行的规律，访问量、交易处理数量、响应性能等数据，都可以通过流量分析手段获取。

（3）网络用户的网络行为。

每个网络用户的网络行为都是相互影响的，同时会对网络的运行产生影响，伴随每个用户在网络中的每个网络行为都有网络流量产生，通过对网络用户的网络流量进行分析，能够直观地了解网络用户的网络行为。

发现，主要是针对异常的发现，是建立在了解的基础之上的，如果能做到及时地发现网络中的异常，将使网络管理更主动，将为网络的持续高性能运行提供重要的保障。

（1）网络运行异常的发现。

网络中流量的异常，包括利用率、数据包数的异常。

（2）网络应用运行的异常发现。

连接数量、应用响应、应用流量的异常，都可以通过长期主动分析来及时发现。

（3）网络用户的异常网络行为。

异常的网络行为也都有明显的流量特征，如感染的蠕虫病毒、安装了后门程序等，长期的流量分析能及时发现网络用户的这些异常网络行为，及时发现网络用户的异常网络行为是避免其影响网络运行的关键。

网络流量的分析可以为网络和应用问题的分析提供依据，特别是数据包级的分析，而这些依据是真实的，因为它们是实实在在在网络中传输的数据包，这也是流量分析能够大大提高网络和应用问题分析效率的原因。

1.3 网络流量分析的意义

网络流量分析是有助于维护网络持续、高效和安全运行的一种手段，网络流量分析的意义在于取得对网络运行管理、应用运行管理和网络应用问题分析有意义的数据。

这些数据多种多样，像利用率、bps、pps还是延迟、重传、连接数量等这些流量分析的数据，都要和我们实际的网络应用运行情况结合起来才有意义，因为不同的网络和不同的应用都有完全不同的流量数据。

网络流量分析的数据的意义是建立在了解的基础上的，只有对你的网络和应用进行深入了解，才能使这些数据的价值得到真正的体现。

举个例子说，血液中白血球数量对分析一个人的身体状态来说是很重要的数据，不管是检查身体还是生病做检查它都是重要数据，但是这数据要和每个人的实际情况结合才有意义，如年龄大小、怀孕与否、身体情况等，另外这个数据的意义是建立在对身体了解的基础上的，只有了解了每种状况下该数据的正常值以及什么原因能引起该数值上升或下降时，我们通过检查得到的分析数值才有意义，才能通过该数值了解我们的身体状态。

网络流量分析在网络管理中具有重要的意义，网络流量分析给技术人员提供的有效技术数据对了解网络、发现问题、确认原因都有重要意义，而这些能够在网管工作的整个进程中提供有效的帮助。

本书将主要通过原理介绍以及实际案例分析来介绍网络流量分析技术在网络管理中的实际应用。