前言
 
當今企業(yè)的IT運行環(huán)境正面臨著一系列的重大變化，隨著云計算時代的到來，企業(yè)的IT主管們都將注意力放到了服務器虛擬化、數(shù)據(jù)中心整合和基于Web的應用這些新技術(shù)的運用上。同時這些新興的IT技術(shù)也在不斷改變著企業(yè)的IT環(huán)境。 
 
一個企業(yè)數(shù)據(jù)中心的核心交換機的流量上可能包含了成百上千個應用，而且每種應用所采用的協(xié)議格式也不盡相同。對于數(shù)目龐大，交互復雜的應用，IT運維實際上無法做到對每一個應用都進行具體關(guān)注。通常IT的做法是從網(wǎng)絡流量的視角去監(jiān)控所有應用的整體性能，或者是重點關(guān)注某些關(guān)鍵應用服務器的流量，這種基于流量的分析在絕大部分情況下是無法反應出應用的運行狀況。例如，防火墻的上的連接數(shù)到達上限，新建連接將被重置，造成客戶端有時連接不上的故障。如果從流量的角度去看這個問題，應用的流量不會出現(xiàn)明顯的增加，所以問題無法得到及時發(fā)現(xiàn)和定位。 
 
網(wǎng)絡智能分析系統(tǒng)將端到端業(yè)務和應用在交付相關(guān)性方面的可見性與網(wǎng)絡行為分析相結(jié)合，來解決這一網(wǎng)絡管理方面的挑戰(zhàn)。網(wǎng)絡智能分析系統(tǒng)可以分析應用每一跳路徑上TCP層的行為或者是某個核心節(jié)點上的所有基于TCP的應用的行為，并且在出現(xiàn)故障的時候及時發(fā)現(xiàn)問題和定位問題，從而為IT的運維保障提供手段。 


部署示意 
 
網(wǎng)絡智能分析系統(tǒng)使用”網(wǎng)絡探針”來對網(wǎng)絡中的真實生產(chǎn)數(shù)據(jù)進行分析，從交換機的鏡像端口或通過數(shù)據(jù)分流/分光設(shè)備獲取原始流量。對復雜網(wǎng)路系統(tǒng)的監(jiān)測，有時需要在業(yè)務路徑上的多個重要節(jié)點進行監(jiān)測分析，因此可能引入TAP，將各節(jié)點的數(shù)據(jù)進行合并后，統(tǒng)一送到網(wǎng)絡探針進行分析。 通常的情況下，智能網(wǎng)絡分析系統(tǒng)的部署方式可概括如下圖: 
 
其中網(wǎng)絡探針負責對原始流量進行分析，客戶可通過WEB客戶端和報表服務器查看數(shù)據(jù)。 
 

 
核心功能 
 

 
實時監(jiān)控 
 
實時監(jiān)控關(guān)鍵業(yè)務群的網(wǎng)絡性能指標，一旦業(yè)務出現(xiàn)告警，出現(xiàn)告警的那個時間段會立即顯示為紅色，用戶可以點擊告警發(fā)生的時間點，進行深入分析。
 

 

 
根據(jù)用戶的網(wǎng)絡情況自定義網(wǎng)絡拓撲圖。例如，下圖是一個企業(yè)網(wǎng)銀應用的邏輯拓撲結(jié)構(gòu)，通過對多個交換機（一般是大核心和區(qū)域核心）的鏡像流量分析，可以實現(xiàn)內(nèi)部網(wǎng)絡端到端的實時監(jiān)控。

用戶定義完拓撲以后，可以在界面上看到該拓撲的實時網(wǎng)絡性能指標。
 
故障排查 
 
我們遵循從KPI到單個會話，再到原始數(shù)據(jù)包的“三步走”故障排查思路，化繁為簡，快速定位問題。 
 
KPI 
我們將主要的參考KPI分為網(wǎng)絡負載，性能和可用性三大類。
 
負載量分析：通過流量曲線圖，客戶端數(shù)量曲線圖，并發(fā)量曲線圖和包總數(shù)曲線圖來刻畫該分析點的網(wǎng)絡負載情況。特別地，客戶端數(shù)量和并發(fā)量KPI對于分析防火墻相關(guān)問題非常有意義。


性能分析：TCP的重傳數(shù)量和TCP零窗口數(shù)量是表征網(wǎng)絡性能的最具代表性的KPI。超時重傳是TCP協(xié)議保證數(shù)據(jù)可靠性的另一個重要機制，其原理是在發(fā)送某一個數(shù)據(jù)以后就開啟一個計時器，在一定時間內(nèi)如果沒有得到發(fā)送的數(shù)據(jù)報的ACK報文就重新發(fā)送數(shù)據(jù)，直到發(fā)送成功為止。通常情況下，重傳的嚴重情況反映了網(wǎng)絡的擁塞狀況。如果網(wǎng)絡中有大量的重傳，會導致應用響應慢甚至超時。 

滑動窗口協(xié)議：是TCP使用的一種流量控制方法。該協(xié)議允許發(fā)送方在停止并等待確認前可以連續(xù)發(fā)送多個分組。由于發(fā)送方不必每發(fā)一個分組就停下來等待確認，因此該協(xié)議可以加速數(shù)據(jù)的傳輸。一旦TCP的通告窗口下降到0（即：零窗口事件出現(xiàn)），則表示客戶端或者是服務器無法進一步接收數(shù)據(jù)，需要等待一段時間后繼續(xù)接收。這意味著網(wǎng)絡的傳輸效率的下降。 

可用性分析：通過TCP SYN包數(shù)量（區(qū)分客戶端SYN和服務器SYN）、TCP FIN包數(shù)量、TCP Rest包數(shù)和TCP建立連接成功/失敗次數(shù)來刻畫該分析點的網(wǎng)絡可用性情況。尤其是TCP建立連接的成功和失敗比率，可以非常有效直觀的反應網(wǎng)絡是否存在問題。一旦發(fā)現(xiàn)失敗比率很高，可以通過系統(tǒng)特有的建連分析功能，快速定位到出問題的服務器或者是客戶端。 

詳單 
當在KPI的圖表中發(fā)現(xiàn)指標異常，就可以進一步深入鉆取，找到出問題的會話。在會話詳單中，我們保留了客戶端IP、客戶端端口、服務器 IP 和服務器端口，以及針對這個特定會話的所有KPI指標，從而能將問題進一步縮小范圍到一個或少量幾個會話。 

原始數(shù)據(jù)包 
 
通過詳單分析我們已經(jīng)可以定位出問題的客戶端、服務器以及問題發(fā)生的具體時間點。一般通過多段的KPI對比就可以定位問題出在哪個設(shè)備上。要進一步揭示問題的根本原因，或者再深入分析問題的本質(zhì)，那么對原始數(shù)據(jù)包進行提取并進行解碼分析。 系統(tǒng)提供了豐富易用的過濾器，可供用戶快速提出故障證據(jù)：原始數(shù)據(jù)包。 
 
智能預警 
 
網(wǎng)絡性能分析系統(tǒng)可以針對主要的KPI進行告警設(shè)置，一旦超過閾值或者基線就會產(chǎn)生告警，同時實時監(jiān)控的拓撲圖中該指標的顏色也會變紅，以提醒用戶注意。告警可以通過郵件、SNMP Trap 或者是Syslog形式發(fā)送給管理員。 
 
傳統(tǒng)的基于閾值的告警并不能準確地反映網(wǎng)絡中的異常，特別當網(wǎng)絡環(huán)境發(fā)生變化時（并非惡化），閾值告警通常會產(chǎn)生大量的誤報，造成管理成本的上升。針對這一問題， 此系統(tǒng)采用了獨特的智能基線告警算法，可以更加準確地對應用和網(wǎng)絡異常進行預警。 
 
系統(tǒng)的基線計算采用周期性基線算法和非周期性基線算法: 

周期性基線對比的是同一業(yè)務時間過去四周的表現(xiàn)，適用于KPI隨著業(yè)務時間不同而不同的情況，例如：交易量，流量等。

非周期性基線是所有歷史數(shù)據(jù)的平均，適用于KPI穩(wěn)定的情況，例如：響應時間，重傳率等。 
 
技術(shù)指標
 
推薦運行環(huán)境：
 
網(wǎng)絡智能分析系統(tǒng)的推薦運行環(huán)境如下：

• CPU：2 顆 Inter Quad Core 2.4GHz或以上
• 內(nèi)存：32GB或以上 
• 存儲：本地RAID-5磁盤陣列
• 瀏覽器：Internet Explorer 11及以上
• 操作系統(tǒng)：CentOS 7.0 

支持的網(wǎng)絡適配器有：

• 1000M 以太網(wǎng)適配器
• 10GE高速網(wǎng)卡 

時間精度 

• 數(shù)據(jù)包捕獲精度：1 微秒（普通網(wǎng)卡）；1 納秒（專用網(wǎng)卡）；
• KPI指標精度：1分鐘（提供毫秒級別的高精度流量曲線）；
• 詳單時間精度：1分鐘。
• 1000M 以太網(wǎng)適配器
• 10GE高速網(wǎng)卡 
•