高校全網流量與核心業務性能分析實踐

顧純 顧建榮

摘要：隨著信息化技術的高速發展和廣泛應用，高校的信息化環境正在發生巨變，運維管理需要從一個全面的角度對網絡故障或應用問題進行快速定位和及時解決。全網流量與核心業務性能分析平臺面向業務的視角，全面監控分析每個組成的應用和運行質量，并快速定位影響業務系統運行質量的關鍵因素。文章根據上海工程技術大學實際全網流量與核心業務性能分析平臺及Web VPN的使用情況展開研究，詳細闡述了業務性能需求分析和業務可視化管理的實現方法，希望能為信息化相關人士提供一些參考。

關鍵詞：全網流量監測;業務性能分析;VPN系統

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）20-0031-03

隨著云計算、大數據、移動應用等技術的高速發展，信息化系統將會變得越來越重要。因此保障基礎網絡和業務系統的穩定、持續、高效和安全，就成為高校信息化管理運維工作最核心的問題。面對網絡的數據量、數據種類、數據速率以及數據復雜性不斷增加，這給運維工作帶來了極大挑戰。傳統的應用或網絡性能管理工具只能孤立地監控業務系統中應用、主機、網絡設備自身的性能指標，而對于用戶訪問體驗、業務整體運行情況、故障快速定位等方面缺少有效的手段進行監控。本文根據上海工程技術大學實際的全網流量WEB VPN系統的使用情況展開研究，詳細論述了業務性能分析和業務可視化管理的實現方法。

1 高校核心業務系統運維的挑戰

1.1 全網流量不可視、業務異常不能及時發現

學校數據中心擁有著眾多業務系統以及各種各樣的硬件系統。但對網絡中的流量狀況，如重要業務數據的傳輸路徑是怎樣的、哪些流量是合規的、哪些是不合規的、各類訪問規則是否生效、突發流量的源頭在哪、網絡和應用系統的性能能否支撐業務的正常運行、系統對高性能的要求是否達標這些卻不可視。

同時，在進行基礎網絡運維工作時不能在第一時間完全感知校園網絡中存在的問題。很多網絡異常問題并不是由網絡運維管理人員主動發現的，而是使用人員在使用的過程中發現網絡不通暢、業務訪問不了，再報修到信息化辦公室時，最后由網絡運維管理人員再進行問題排查、問題解決。此時，問題已經產生，并且對網絡和業務系統的運行產生了一定的影響。

1.2 缺乏業務視角的監控手段

隨著虛擬化技術不斷使用，支撐業務系統的應用程序和網絡結構也越來越復雜，管理人員急需對業務系統的整體架構有所了解，避免影響故障排查的解決進度。通過虛擬化平臺的監控和網管軟件、流量業務分析軟件等系統的功能監控，可以做到對業務系統在一定程度上的運維保障。但是監控的內容之間互相沒有關聯，數據上還是相互獨立的。如果從業務的角度進行統一角度的監控，就不會忽略排查業務系統異常時的任何細節。因此，改變“孤島式”的監控手段，是高校全面分析業務異常和定位異常根源的有效手段。

1.3 缺乏對業務故障驗證、取證和界定的方式

網絡慢慢整合了大量業務，那么這些業務運行情況怎么樣，帶寬規劃、服務器性能或虛擬機性能分配夠不夠優化，并沒有詳細的數據依據，導致很難判斷[1]。

一旦出現系統故障、安全事件，現有系統日志和安全設備也只能記錄事件發生時的狀況，缺少必要的分析數據，很難進行事件的追蹤、還原、取證和責任界定，比如到底是系統的問題還是網絡的問題。導致責任不清，更重要的是不知道后續如何改進。

2 高校全網流量與核心業務性能需求分析

高校全網流量與核心業務性能分析平臺可以由網絡回溯分析和業務性能管理兩部分組成[2]。網絡回溯分析的核心作用是實時采集、存儲并分析網絡關鍵鏈路的數據包，將其中應用質量分析和應用性能警報上報到分析中心進行關聯分析，也就是我們常說的網絡探針。業務性能管理則收集回溯系統上報的應用性能指標參數和應用性能警報信息，以面向業務的視角全面監控分析每個組成的應用和運行質量，并快速定位影響業務系統運行質量的關鍵因素。同時還提供對業務的原始通訊數據長期保存和回溯分析能力，提供有效的分析手段和依據。

系統將部署在核心交換機和匯聚交換機上，將相應的網絡流量做端口鏡像后傳給網絡回溯及流量分析系統探針[3]。業務性能管理平臺部署在網絡管理區，與探針進行實時通信。通過圖1可以看到核心交換機到防火墻的上行接口流量大約300M，峰值流量為1.33Gbps。

基于這種網絡探針的流量采集方法能夠監聽并采集通過核心的所有通信，并通過統計分析得到流量信息，同時增加幾個匯聚交換機的采集點可以獲得相應網段的流量數據。進一步增強故障分析能力，幫助快速定位故障點。我們將選取有代表性的業務，進行詳細的業務性能分析與可視化展示。

3 Web VPN系統的性能分析

2022年3月，學校的教職工開始居家辦公和遠程教學。為了保障學校各業務的安全開展，上海工程技術大學開啟了VPN遠程辦公模式[4]，模式的改變也給校外的管理運維人員帶來極大的挑戰：

1） 隨著遠程辦公人數的突發式增長，對VPN設備并發連接數和VPN加解密吞吐量的要求有了極大的提高。為了確保辦公效率不受訪問質量的影響，運維人員需要實時關注用戶VPN訪問的各項網絡指標，一旦發現異常及時處置。

2） VPN的全面開放可能會引發一些安全問題，比如：教職工使用自有終端傳輸數據過程中攜帶病毒或木馬;非法訪問導致數據泄露等。運維人員需要能夠及時發現來自VPN內部的安全攻擊或一些異常的數據傳輸，如果安全事件一旦發生也可及時回溯及取證。

3） VPN遠程辦公很可能成為一種常態化的辦公方式，通過一些宏觀指標的可視化分析（總帶寬、使用人數等） ，對高校未來網絡規劃提供決策依據。

3.1 VPN系統梳理

上海工程技術大學Web VPN系統采用旁路部署方式，放置于數據中心內網DMZ區，校園網出口防火墻上對外開放443端口，讓系統可接收并響應外網訪問請求，同時與校園內網服務資源IP通信。用戶首先通過外網地址443端口訪問Web VPN系統，然后輸入統一身份認證賬號密碼完成CAS認證，認證通過后可以直接在頁面跳轉訪問各個核心業務系統[5]。

3.2 流量與業務性能分析的實現方法

學校流量統計如圖1所示，學校每天VPN系統的訪問人數約為6000人次;訪問峰值并發為9：00—10：00之間，峰值下行比特率為128Mbps;峰值并發訪問人數為71人。

在VPN系統訪問峰值時間段內用戶訪問三次握手的平均時間基本上不超過20ms、丟包率不超過1%，說明用戶訪問體驗良好。

根據上海工程技術大學實際情況，對Web VPN和各個業務節點的網絡訪問性能設置閾值，一旦超過閾值則觸發告警信息，通過郵件等方式提醒運維人員及時關注并處理。

WEB VPN監控節點包括VPN系統本身、CAS系統，用戶通過VPN訪問部分核心業務系統，監控指標和閾值[6]設定如表1所示。

2022年5月17日早上8：10分收到Web VPN系統的監控告警信息，提示移動校務平臺訪問應用超時和新建會話數過高[7]。通過全流量回溯定位告警時間段展開分析，如圖2所示，發現服務器在8：00—8：20會話量突發性增長，且應用響應時間最高達到150ms。同時間段校務平臺三次握手平均時間平穩，最高比特率為200Mbps都在正常范圍內，基本排除網絡問題導致訪問卡慢。

如圖3所示，繼續分析發現當天上午8：00—8：16校務管理平臺服務器的443和80業務端口會話總數分別高達74292和10230，短時間內創建了大量會話。初步懷疑本次故障是由于客戶端大量新建會話導致。

進一步解包分析可以看出流量中存在大量重傳數據包現象[8]：服務器端向客戶端發了RST包，說明會話已經關閉，但是客戶端一直重傳，每個TCP會話都會重傳十幾次，從而引起通訊無響應的告警信息。經分析為大量客戶端新建會話數突增，達到校務管理平臺服務器支持最大會話量后，客戶端仍一直嘗試重傳，導致用戶訪問業務卡慢。

通過與業務部門的進一步溝通最終確認本次業務系統卡頓現象與2022年5月17日早上學生預約校車有關，當大量學生同時訪問移動校務平臺時，單節點的前端服務器性能不足。后續我們根據峰值時的并發訪問量，重新規劃了校務平臺的前端架構，增加了2個節點的前端服務器，通過nginx反向代理實現負載均衡。

通過網絡回溯，遵循一定的規則還可以有效地發現網絡中的部分安全隱患：

1） 查看單位時間段內整體流量的單播與廣播主播比。一般情況單播流量占比大于90%。

2） 查看單位時間段內整體流量的TCP參數統計情況。在理想情況下TCP同步包與TCP同步確認包應為1：1。如果比例差距過大則需要把異常比例源找出。

3） 平均包長：正常使用應用的平均包長為500～700字節，如果有長時間過小或者過大的現象則需要對相應應用進行細致觀察。

4） 未知TCP應用和未知UDP應用：大于1024端口并且RFC沒有定義的端口號。一般情況下網內的P2P流量和用戶自定義應用會統計到這類應用中。

通過監控可以發現Web VPN流量中存在大量沒有負荷的數據包，這些數據包的產生由于Web VPN的對外訪問地址被一些的境外IP地址掃描，一天高達3萬次。下挖數據包分析，可以看到境外IP在試探Web VPN開放了哪些端口，這些IP地址發送了一個SYN包后便無下一步動作，僅僅是單純的端口掃描。我們通過添加IP黑名單的方式對其進行攔截。

3.3 業務系統性能可視化管理

文章通過對Web VPN流量進行實時采集，針對全校師生的訪問情況制作了大屏展示[9]，投放于機房監控室，如圖4所示，進行業務可視化管理。具體分三個維度展示：

1） Web VPN的實時訪問網絡質量：包括兩個部分，實際訪問流量和用戶訪問響應時間。

2） Web VPN的實時使用情況：包括實時會話數和當天累計訪問人數[10]。

3） 用戶訪問行為：包括用戶實時訪問的業務類型和用戶實時流量的Top Ten。

通過對這三個維度實時數據的展示（也可以按照日、月、年等跨度出報表） ，可以直觀地了解該業務系統的具體使用情況，幫助人們更好地對業務系統及遠程訪問網絡進行改進及合理規劃。

4 總結

通過全網流量與核心業務及自動化性能分析能力，智能發現校園網及數據中心內部關鍵業務系統的網絡、主機、應用性能下降，快速分析影響性能的原因并對問題發生點進行深度分析，從而有效防止業務整體性能水平降低，使運維人員更加高效地應對網絡運維需求。

參考文獻：

[1] 安航，李啟東，王超超.高校校園網絡流量分析及流控策略[J].網絡安全技術與應用，2017（6）：108-109.

[2] 覃青.科來 做網絡價值的“遠見者”[J].產城，2019（7）：40-41.

[3] 牛麗君，郭宇明，朱曉梅.網絡管理中流量采集技術的應用[J].計算機與信息技術，2006（11）： 53-55.

[4] 黃超，王勇.VPN技術在校園網絡安全體系中的應用研究[J].網絡安全技術與應用，2016（8）： 77， 79.

[5] 刁喆，孫鼎，袁藝.基于WebVPN系統的數字資源獲取安全機制研究[J].信息安全研究，2021，7（8）：783-788.

[6] 王曉妮，趙衛.大數據時代高校OA系統安全問題及防御策略研究[J].信息技術與信息化，2018（6）：129-131.

[7] 譚彬，梁業裕，李偉淵.基于流量的攻擊溯源分析和防護方法研究[J].電信工程技術與標準化，2019，32（12）：57-64.

[8] 朱京毅，羅漢斌.基于動態行為與網絡流量分析技術的威脅檢測研究[J].電信工程技術與標準化，2020，33（12）：25-29.

[9] 王振輝.數據可視化技術在高校學生管理中的應用研究[J].電腦知識與技術，2021，17（34）：32-33.

[10] 賴清楠，郭強，錢杰.基于流量的高校VPN用戶訪問行為分析[J].中國教育網絡，2018（11）：64-67.

【通聯編輯：代影】