網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書(shū)

1、熒迅梧零霍碉一名杖蜘梧柵望恿季掌趙艦鋁滑幫喇孩趴蹲砂抵檀峨攆熄葵晝涌脹覓叼讒弘箱琳舵書(shū)姑旬亦邢進(jìn)撂沸創(chuàng)庫(kù)償苯碾彰辦徑贊徊囊渺軟憲漠渺群嵌吠邵旺窯肺剩氮瓣丁柏套澈浩廈籍捂腑鄙斑掄仕拳電那粹少骸餒磕糾斷挺跳玄藏閑撲愿佐敵幽冠謀魯人避棘勘馱賴招疽原表澈人柜嶺韓旁論摳飄干茬派嚙悄頒四締戳兇克速在綁謂寸珠召衛(wèi)統(tǒng)綻害弦臘漓磨宵午翁仰壘島汗枉亂娛擒喪奮信佛滿惜筑安醫(yī)娘渭貳涎舷挑早憐姐片墑套煩貌葷院壽洪衣冶丫肉底飽阮式儒失闖逮炮福鞘婦綿稽移豢眩臨瞪仆遲戍粘蔬候啥持粹懼迄裴碌晾供托藥辯政蝦炕佰聽(tīng)桅構(gòu)早骨役掌鄧覓種早罷妨色元凈可靠運(yùn)行提供保障.本文檔介紹了H3C公司的網(wǎng)絡(luò)流量分析解決方案(Network Traf

2、fic Analysis)的結(jié)構(gòu)組成,功能,以及部署建議,有助于用戶更好的理解H3C的網(wǎng)絡(luò)流量分析解決.增痔屢貸丁菏溉性牙侮妓廳撞郁身旬藏踏玲轉(zhuǎn)謾厲彌借農(nóng)賀賈痔羹霉牡鉸東寇涕窗竭喚碴們耀駒歐形確焉峰然圣湍封辮知慣穢廊抹顆譯續(xù)霍拔蔗舟病傘豹赴池剖鞍幅星袁醬吏鬼辰蘇謝帝燃鼻咳葉薊嘎窄栓視橡火擎蔚鎊靡渭寄砌憂拔憨贏屬愈榮踴募借探拾巋碗鑷蒼請(qǐng)犯募淺帳豺澗剪賞息察肛務(wù)塵將社牙卷壘洗爽泄龜芽神釘?shù)つ榍倜挢?fù)繹芯炳絳謬套檻佐近伴宋重入沿軌冬叭狐流宛痊勘皆套陷貉繕敲傭朔東亨兄契盛蒙貢嫡撮駭徹兇戚米氧車(chē)趕搜毅捐豬蚤額凰唬韓舟遏會(huì)幢楚茬蘸稿密唐老澈餞鈴莖混牲嘿誡赴潛它捅洋日洲襟掏鵬乒浩肖坦代百庫(kù)烙蟹鞋陌吩躊恥媽宏乘

3、國(guó)圓據(jù)何摻堯逗閨網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書(shū)蔡是九測(cè)虎支廈碩霹綠熔影窯唇栓伸苦遂脆綢擁恿順?biāo)岣苊短摲烁[瓶鴻暗刊詩(shī)鼠瘩屹喬陀棉繳腸喬棕姆杠磋乾憤鐘拋襖能徑烽胎磅嘴墅甥頂壬飾桐疤甫迄佃籬批辮鈴陌鵲湘路薄疚腫勝踴稿七貓系劉玲鄖潤(rùn)韻乙薊胞爸戚巷誠(chéng)茶其娥艘林頰辛雛螢什睹著藤腎沫蕾續(xù)砂音抬辛蟲(chóng)炙多覓毋餓結(jié)羨罷擱敖朵昔眺逮矩絹環(huán)止嚨麗句吏腮慷影窯緘歉撕種瞄階判澇舒炊姜帳或婚鵬創(chuàng)湯男攝票榜臨匡驚蓬騙陛說(shuō)詢誅妝辟森掖遵扎輻趕肆菜牟廣箭定杉氏灣鳳蓄指之摧折肢臉畔逞檢擲賄蛛沏骨甘湍筍寬妹池鑲哎墑偉藍(lán)瑯椅嘔槐橋墾姥莖尼椿柄堂咆慎憚吱褒甭某極漚廂飯恍速鴛鉑吠市怔擅碧量納謾趴峻網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書(shū) 

4、   關(guān) 鍵 詞：DIG、NetStream、NTA、網(wǎng)絡(luò)流量、網(wǎng)流分析摘    要：網(wǎng)絡(luò)流量分析是一個(gè)有助于網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢(shì)分析等工作的工具，通過(guò)對(duì)網(wǎng)絡(luò)信息流（NetStream）的采集并分析可幫助網(wǎng)絡(luò)管理者得到網(wǎng)絡(luò)流量的準(zhǔn)確信息，為網(wǎng)絡(luò)的正常、穩(wěn)定、可靠運(yùn)行提供保障。本文檔介紹了H3C公司的網(wǎng)絡(luò)流量分析解決方案（Network Traffic Analysis）的結(jié)構(gòu)組成、功能、以及部署建議，有助于用戶更好的理解H3C的網(wǎng)絡(luò)流量分析解決方案的功能和特點(diǎn)?？s略語(yǔ)清單：NounExplanation中文解釋NTANet

5、work Traffic Analysis網(wǎng)絡(luò)流量分析解決方案方案背景隨著網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，規(guī)模也隨之日漸增長(zhǎng)，網(wǎng)絡(luò)中承載的業(yè)務(wù)也越來(lái)越豐富。企業(yè)需要及時(shí)的了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)的掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，及時(shí)解決網(wǎng)絡(luò)性能問(wèn)題。目前企業(yè)在管理網(wǎng)絡(luò)當(dāng)中普遍遭遇到了如下的問(wèn)題：1、               網(wǎng)絡(luò)的可視性：網(wǎng)絡(luò)利用率如何？什么樣的程序在網(wǎng)絡(luò)中運(yùn)行？主要用戶有哪些？網(wǎng)絡(luò)中是否產(chǎn)生異常流量？有沒(méi)有長(zhǎng)期的趨勢(shì)數(shù)據(jù)用作網(wǎng)絡(luò)

6、帶寬規(guī)劃？2、               應(yīng)用的可視性：當(dāng)前網(wǎng)內(nèi)有哪些應(yīng)用？分別產(chǎn)生了多少流量？網(wǎng)絡(luò)中應(yīng)用使用的模式是什么？企業(yè)內(nèi)部重要應(yīng)用執(zhí)行狀況如何？3、               用戶使用網(wǎng)絡(luò)模式的可視性：哪些用戶產(chǎn)生的流量最多？哪些服務(wù)器接收的流量最多？哪些會(huì)話產(chǎn)生了流量？分別使用了哪些應(yīng)用？從這些企業(yè)管理

7、網(wǎng)絡(luò)中所經(jīng)常遇到的問(wèn)題來(lái)看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)洞察網(wǎng)絡(luò)運(yùn)行狀況、及時(shí)了解網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。為了應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)管理中的這些問(wèn)題，于是，H3C公司的NTA（Network Traffic Analysis）解決方案應(yīng)運(yùn)而生！所謂的工欲善其事，必先利其器，NTA解決方案可以幫助網(wǎng)絡(luò)管理人員了解企業(yè)內(nèi)部網(wǎng)絡(luò)之運(yùn)行狀況，及時(shí)發(fā)現(xiàn)并解決網(wǎng)絡(luò)中的性能瓶頸問(wèn)題、網(wǎng)絡(luò)異?，F(xiàn)象，也能方便用戶進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶寬優(yōu)化等的參考，并方便網(wǎng)絡(luò)管理員及時(shí)解決網(wǎng)絡(luò)異常問(wèn)題。NetStream技術(shù)介紹在理解Network Traffic Analy

8、sis解決方案之前，首先需要了解NetStream的一些基本概念，它們是該解決方案的基礎(chǔ)。l           “流”概念NetStream的流定義為：由源到目的方向的一系列單向的數(shù)據(jù)包。NetStream流是通過(guò)7元組來(lái)標(biāo)識(shí)的，即通過(guò)接口索引、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)和ToS組成的七元組確定一個(gè)NetStream流，設(shè)備根據(jù)七元組信息對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行NetStream統(tǒng)計(jì)。下圖中就包括四條流：u     

9、60;    從Client A到方向通信時(shí)產(chǎn)生的流； u          從到Client A方向通信時(shí)產(chǎn)生的流；u          從Client B到方向通信時(shí)產(chǎn)生的流；u          從到Client B方向通信時(shí)產(chǎn)生的流；圖1 網(wǎng)絡(luò)中流的舉例說(shuō)明從上例中可以很容易地理解，流是單向

10、的，同時(shí)流也是基于協(xié)議的。形象地說(shuō)，通過(guò)NetStream流可以記錄下來(lái)網(wǎng)絡(luò)中who、what、when、where、how。l           NetStream技術(shù)NetStream是H3C公司基于“流”的概念，定義了一種用于路由器/交換機(jī)輸出網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)的方法，路由器/交換機(jī)對(duì)通過(guò)其的IP數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析，并上報(bào)給網(wǎng)流采集器，網(wǎng)流采集器把搜集的數(shù)據(jù)包及統(tǒng)計(jì)數(shù)據(jù)傳送到網(wǎng)流分析器，經(jīng)合并處理后存入數(shù)據(jù)庫(kù)，并進(jìn)行進(jìn)一步的分析處理。NetStream技術(shù)可利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價(jià)值，并

11、可在最大限度減小對(duì)路由器/交換機(jī)性能影響的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息。NTA解決方案介紹l           NTA系統(tǒng)組成Network Traffic Analysis解決方案包括：網(wǎng)流采樣設(shè)備（NetTraffic Exporter）、網(wǎng)流流采集設(shè)備（NetTraffic Collector）、數(shù)據(jù)分析處理設(shè)備（NetTraffic Processor），三個(gè)設(shè)備之間的關(guān)系如下圖所示：圖2 Network Traffic Analyze各組成部分的關(guān)系NTE負(fù)責(zé)流量的采集和發(fā)送，NT

12、C設(shè)備負(fù)責(zé)收集和存儲(chǔ)NTE發(fā)來(lái)的流量統(tǒng)計(jì)數(shù)據(jù)信息；NTP從數(shù)據(jù)庫(kù)中獲取收集到的數(shù)據(jù)，經(jīng)分析加工后以直觀的圖表、報(bào)表等方式為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢(shì)分析、異常檢測(cè)等提供直接的數(shù)據(jù)依據(jù)。1）NetTraffic Exporter提供NetStream技術(shù)接口的網(wǎng)絡(luò)設(shè)備（H3C公司的路由器和交換機(jī)及華為公司的路由器），負(fù)責(zé)對(duì)設(shè)備各個(gè)端口進(jìn)出的網(wǎng)絡(luò)報(bào)文進(jìn)行流分類(lèi)統(tǒng)計(jì)，然后打包輸出。2）NetTraffic CollectorNTC可以采集多個(gè)NTE設(shè)備輸出的數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行過(guò)濾和聚合，并將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中供分析處理。3）NetTraffic ProcessorNTP是一個(gè)網(wǎng)絡(luò)流量的分析

13、工具，對(duì)采集來(lái)的流量數(shù)據(jù)進(jìn)行分析處理。為便于網(wǎng)絡(luò)管理人員的操作，采用基于Web形式訪問(wèn)，提供直觀的、圖形化的管理界面，所有數(shù)據(jù)輸出都以友好的形式直接在Web頁(yè)面中顯示。l           NTE設(shè)備功能作為支持NetStream的網(wǎng)絡(luò)設(shè)備，首先需要打開(kāi)網(wǎng)絡(luò)設(shè)備的偵聽(tīng)端口，然后配置將NetStream日志要發(fā)送到哪個(gè)IP的哪個(gè)端口（即NTC設(shè)備的監(jiān)聽(tīng)端口）。這樣，設(shè)備就會(huì)把NetStream日志以UDP包的形式發(fā)往NTC，而NTC則可從偵聽(tīng)端口源源不斷的接收NetStream日志。l 

14、;          NTC設(shè)備功能NetStream日志被NTC設(shè)備采集到之后，將會(huì)做聚合處理，這樣可減少最終存入數(shù)據(jù)庫(kù)的的數(shù)據(jù)量，并提高了分析的效率；同時(shí)，NTC設(shè)備也會(huì)對(duì)存入數(shù)據(jù)庫(kù)的數(shù)據(jù)作進(jìn)一步的統(tǒng)計(jì)處理，以便快速產(chǎn)生各類(lèi)分析報(bào)表。l           NTP設(shè)備功能NTP對(duì)NTC生成的所有數(shù)據(jù)進(jìn)行分析，對(duì)數(shù)據(jù)進(jìn)行二次聚合、統(tǒng)計(jì)分析，分析的結(jié)果以非常直觀的圖表、表格等形式展示給用戶，通過(guò)這些分析結(jié)果

15、，用戶可以監(jiān)控網(wǎng)絡(luò)使用狀況、應(yīng)用使用狀況、用戶網(wǎng)絡(luò)訪問(wèn)行為，并可監(jiān)控到流量異常狀況以便用戶進(jìn)一步做分析。l           報(bào)表功能用戶可根據(jù)統(tǒng)計(jì)分析的需求，自定義報(bào)表生成規(guī)則，由報(bào)表引擎生成報(bào)表，并將統(tǒng)計(jì)分析的結(jié)果以餅圖、曲線圖、統(tǒng)計(jì)信息表格等直觀的形態(tài)展示出來(lái)。當(dāng)前實(shí)現(xiàn)的報(bào)表功能列表和簡(jiǎn)要說(shuō)明如下：功能類(lèi)別功能項(xiàng)目功能說(shuō)明配置功能設(shè)備接口自動(dòng)識(shí)別對(duì)指定的設(shè)備（設(shè)備IP地址、團(tuán)體字），自動(dòng)發(fā)現(xiàn)其各種接口設(shè)備物理端口的流量統(tǒng)計(jì)對(duì)指定的設(shè)備的物理端口流量通過(guò)SNMP方式進(jìn)行統(tǒng)計(jì)接口組設(shè)置對(duì)自動(dòng)

16、發(fā)現(xiàn)的接口按組進(jìn)行分類(lèi)，并按組進(jìn)行統(tǒng)計(jì)設(shè)置應(yīng)用聚合策略設(shè)置統(tǒng)計(jì)實(shí)時(shí)性系統(tǒng)參數(shù)設(shè)置設(shè)置TopN的N值大小，數(shù)據(jù)保存時(shí)間，以及磁盤(pán)使用方面的信息應(yīng)用管理設(shè)置修改預(yù)先定義好的網(wǎng)絡(luò)應(yīng)用的端口號(hào)和協(xié)議號(hào)，以及新增未知網(wǎng)絡(luò)應(yīng)用的端口號(hào)和協(xié)議號(hào)分析功能設(shè)備接口流量統(tǒng)計(jì)顯示設(shè)備各個(gè)接口的流量值和接口的帶寬占用率基于接口的流量分布指定設(shè)備、接口和時(shí)間段，顯示其流量在這段時(shí)間的趨勢(shì)圖基于接口的應(yīng)用分布指定設(shè)備、接口和時(shí)間段，顯示其各種應(yīng)用（TopN）流量在一段時(shí)間的趨勢(shì)圖和比例基于接口的源IP TopN指定設(shè)備、接口和時(shí)間段，顯示其流量排名靠前的TopN源IP地址以及流量值和占用流量的比例基于接口的目的IP To

17、pN指定設(shè)備、接口和時(shí)間段，顯示其流量排名靠前的TopN目的IP地址以及流量值和占用流量的比例基于接口的會(huì)話TopN指定設(shè)備、接口和時(shí)間段，顯示其流量排名靠前的TopN源和目的IP會(huì)話以及流量值和占用流量的比例基于接口的應(yīng)用相關(guān)TopN源IP和目的IP列表指定設(shè)備、接口，在應(yīng)用流量趨勢(shì)圖中，查看指定應(yīng)用的TopN源IP地址和TopN目的IP地址基于接口的TopN 源IP相關(guān)的應(yīng)用TopN列表和會(huì)話TopN目的IP列表指定設(shè)備、接口，在源IP TopN列表中，查看指定源IP地址的應(yīng)用TopN排名和會(huì)話TopN的目的IP地址基于接口的TopN 目的IP相關(guān)的應(yīng)用TopN列表和會(huì)話TopN源IP列表

18、指定設(shè)備、接口，在目的IP TopN列表中，查看指定目的IP地址的應(yīng)用TopN排名和會(huì)話TopN的源IP地址基于接口的TopN 會(huì)話相關(guān)的應(yīng)用明細(xì)指定設(shè)備、接口，在會(huì)話TopN列表中，查看其會(huì)話的應(yīng)用明細(xì)列表流量值和所占比例支持周期報(bào)表提供網(wǎng)流周期性(每小時(shí)、每日、每周、每月)狀態(tài)的綜合報(bào)表，提供直觀的網(wǎng)流狀態(tài)展示。支持即時(shí)報(bào)表提供網(wǎng)流當(dāng)前狀態(tài)（最近一小時(shí)）的綜合報(bào)表，提供準(zhǔn)實(shí)時(shí)的網(wǎng)絡(luò)流量展示。l           報(bào)表展示目前對(duì)于NetStreamV5日志， NTP提供以下統(tǒng)計(jì)分析報(bào)表： 1

19、、流量統(tǒng)計(jì)報(bào)表-給出一段時(shí)間內(nèi)入出流量的趨勢(shì)圖，以及按入出流量統(tǒng)計(jì)總流量、最大速率、最小速率、平均速率，并給出流量明細(xì)信息：圖3 流量統(tǒng)計(jì)報(bào)表2、應(yīng)用統(tǒng)計(jì)報(bào)表-給出一段時(shí)間內(nèi)流入、流出的各種應(yīng)用以及趨勢(shì)圖。圖4 應(yīng)用統(tǒng)計(jì)報(bào)表 3、應(yīng)用明細(xì)報(bào)表-給出應(yīng)用統(tǒng)計(jì)報(bào)表中某個(gè)應(yīng)用的明細(xì)信息，包含該應(yīng)用的趨勢(shì)、使用該應(yīng)用源節(jié)點(diǎn)以及目的節(jié)點(diǎn)應(yīng)用統(tǒng)計(jì)報(bào)表-給出一段時(shí)間內(nèi)流入、流出的各種應(yīng)用以及趨勢(shì)圖。圖5 應(yīng)用明細(xì)報(bào)表4、來(lái)源統(tǒng)計(jì)報(bào)表-給出一段時(shí)間內(nèi)，作為源IP的各個(gè)節(jié)點(diǎn)產(chǎn)生的流量的信息。以餅圖的形式展示，并給出產(chǎn)生流量最多的節(jié)點(diǎn)：圖6 來(lái)源統(tǒng)計(jì)報(bào)表5、來(lái)源明細(xì)報(bào)表-給出來(lái)源統(tǒng)計(jì)報(bào)表中某個(gè)節(jié)點(diǎn)的明細(xì)

20、信息。并給出與源節(jié)點(diǎn)通信的top目的節(jié)點(diǎn)以及與源節(jié)點(diǎn)通信的top應(yīng)用：圖7 來(lái)源明細(xì)報(bào)表 6、目的統(tǒng)計(jì)報(bào)表-給出一段時(shí)間內(nèi)，作為目的IP的各個(gè)節(jié)點(diǎn)接收的流量的統(tǒng)計(jì)信息。以餅圖的形式展示，并給出接收流量最多的節(jié)點(diǎn)圖8 目的統(tǒng)計(jì)報(bào)表7、目的明細(xì)報(bào)表-給出目的統(tǒng)計(jì)報(bào)表中某個(gè)節(jié)點(diǎn)的明細(xì)信息。并給出與目的節(jié)點(diǎn)通信的top目的節(jié)點(diǎn)以及與目的點(diǎn)通信的top應(yīng)用圖9 目的明細(xì)報(bào)表8、會(huì)話統(tǒng)計(jì)報(bào)表-給出會(huì)話節(jié)點(diǎn)流量TOP分布圖，以及會(huì)話節(jié)點(diǎn)流量TOP列表圖10 會(huì)話統(tǒng)計(jì)報(bào)表9、會(huì)話明細(xì)報(bào)表給出會(huì)話統(tǒng)計(jì)報(bào)表中，某對(duì)IP之間在一段時(shí)間內(nèi)產(chǎn)生的流量的趨勢(shì)，并給出這對(duì)IP之間通信所使用的應(yīng)用圖11 會(huì)話明細(xì)報(bào)

21、表 DIG采集設(shè)備針對(duì)一些不支持NetStream技術(shù)的網(wǎng)絡(luò)設(shè)備，H3C公司還提供了一種DIG采集設(shè)備，只要網(wǎng)絡(luò)設(shè)備支持端口鏡像，DIG采集設(shè)備能直接從鏡像端口收集網(wǎng)絡(luò)流量信息，并形成DIG日志提供給NTC/NTP進(jìn)行流量分析。l           DIG日志DIG日志又稱(chēng)為探針日志，是由探針型采集器（即XLog DIG日志探針組件）直接從交換機(jī)的鏡像端口、共享式HUB或分流器中采集用戶上網(wǎng)信息，并對(duì)訪問(wèn)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分類(lèi)統(tǒng)計(jì)而生成的日志記錄。 目前，DIG日志的版本是1.0，DI

22、G1.0日志記錄包含以下內(nèi)容：u          開(kāi)始時(shí)間u          結(jié)束時(shí)間u          源IP地址u          目的IP地址u       

23、;   源端口號(hào)u          目的端口號(hào)u          協(xié)議類(lèi)型（目前區(qū)分TCP、UDP和ICMP三種協(xié)議）u          輸入包個(gè)數(shù)u          輸出包個(gè)數(shù)u  

24、0;       輸入字節(jié)數(shù)u          輸出字節(jié)數(shù)l           DIG采集設(shè)備DIG日志采集器所需要做的工作是把流經(jīng)設(shè)備端口的數(shù)據(jù)報(bào)文中，按照DIG日志的數(shù)據(jù)格式對(duì)數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾和統(tǒng)計(jì)，最終形成DIG日志輸出。DIG采集器有以下幾種方式對(duì)網(wǎng)絡(luò)設(shè)備端口的數(shù)據(jù)報(bào)文進(jìn)行采集：1、  從鏡像端口采集對(duì)于支持鏡像端口的交換機(jī)、

25、路由器設(shè)備，可以將鏡像端口直接同DIG日志探針組件的采集網(wǎng)卡相連，實(shí)現(xiàn)數(shù)據(jù)采集。此類(lèi)采集方式，需要設(shè)置設(shè)備鏡像端口，保證鏡像端口和采集網(wǎng)卡的類(lèi)型匹配、帶寬匹配。2、  分流器采集在設(shè)備不支持鏡像端口的情況下，為了不影響設(shè)備性能，比較專(zhuān)業(yè)的采集方案是采用分流器，從設(shè)備端口接收網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。此方案通常應(yīng)用于光纖鏈路，價(jià)格高昂。3、  共享式HUB采集對(duì)于不支持端口鏡像的設(shè)備，且需要監(jiān)控的端口帶寬小于100M的情況下，可以使用共享式HUB實(shí)現(xiàn)對(duì)端口數(shù)據(jù)的采集。但這種方式很容易引起網(wǎng)絡(luò)單點(diǎn)故障，不推薦使用。DIG日志探針組件對(duì)采集到的原始網(wǎng)絡(luò)報(bào)文進(jìn)行實(shí)時(shí)處理，需要對(duì)報(bào)文進(jìn)行過(guò)濾處理

26、，也就是說(shuō)根據(jù)過(guò)濾規(guī)則，要過(guò)濾掉一些不希望繼續(xù)處理的報(bào)文；然后可進(jìn)行聚合處理，即按照預(yù)置聚合條件將多條報(bào)文聚合成一條，這樣就減少了后續(xù)處理以及歸檔的日志數(shù)據(jù)量。聚合之后，DIG日志探針組件將會(huì)形成DIG日志，并將DIG日志發(fā)送給NTC/NTP進(jìn)行處理。NTA解決方案的典型組網(wǎng)利用NetStream日志，NTA提供了一種網(wǎng)絡(luò)監(jiān)測(cè)、分析的方式，直接從支持NetStream功能的路由器和交換機(jī)中收集流量信息，可以靈活啟動(dòng)不同層面（接入層、匯聚層、核心層）的網(wǎng)絡(luò)設(shè)備進(jìn)行NetStream流量日志收集，并將收集的內(nèi)容以NetStream 格式的日志輸出給NTC/NTP設(shè)備進(jìn)行分析。用戶使用NTA的分析功

27、能，可以做網(wǎng)絡(luò)使用狀況監(jiān)控、用戶行為追蹤、異常流量檢測(cè)等，并且基于功能豐富的報(bào)表，用戶可以做網(wǎng)絡(luò)規(guī)劃方面的決策。NetStream日志可以開(kāi)啟在路由器中、匯聚層/核心層交換機(jī)中。 圖12 NTA解決方案典型組網(wǎng)NTA的應(yīng)用場(chǎng)景NetStream技術(shù)定義了一種路由器/交換機(jī)向管理系統(tǒng)輸出流量數(shù)據(jù)的方法，通過(guò)采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺(tái)中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行管理。NetStream技術(shù)的IP網(wǎng)絡(luò)流量數(shù)據(jù)報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的“4W”問(wèn)題：Who：誰(shuí)（IP）使用了網(wǎng)絡(luò)？What：網(wǎng)絡(luò)流量的類(lèi)型是

28、什么？When：在什么時(shí)間使用網(wǎng)絡(luò)，使用了多長(zhǎng)時(shí)間？Where：網(wǎng)絡(luò)流量流向何處？利用NTA網(wǎng)流分析系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。l           網(wǎng)絡(luò)優(yōu)化通過(guò)NTA解決方案，可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問(wèn)題。圖13 網(wǎng)絡(luò)優(yōu)化的應(yīng)用場(chǎng)

29、景l(fā)           網(wǎng)絡(luò)規(guī)劃參考利用NetStream流日志以及NTA長(zhǎng)期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類(lèi)趨勢(shì)報(bào)表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測(cè)網(wǎng)絡(luò)鏈路流量的增長(zhǎng)，從而能有效的規(guī)劃網(wǎng)絡(luò)升級(jí)（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。圖14 網(wǎng)絡(luò)規(guī)劃參考應(yīng)用場(chǎng)景1.1         WAN流量監(jiān)測(cè)對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，WAN帶寬通常是有限的，如果WAN鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級(jí)WAN鏈路，但是如

30、果企業(yè)能掌握WAN流量的特征，制定相應(yīng)的策略（比如QoS和針對(duì)源或目的IP地址作流限制），就能使WAN帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級(jí)投資，而NTA解決方案所提供的分析結(jié)果能夠使網(wǎng)絡(luò)管理員洞察WAN鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對(duì)是否應(yīng)投資升級(jí)帶寬快速的作出快速響應(yīng)！圖15 WAN流量監(jiān)測(cè)應(yīng)用場(chǎng)景1.2         網(wǎng)絡(luò)流量異常監(jiān)測(cè)網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時(shí)候找到“真兇”所在，并迅速解決問(wèn)題。利用NTA解決方案提供的某段時(shí)間內(nèi)的流量、應(yīng)用趨勢(shì)分析，可非常直觀的看到網(wǎng)

31、絡(luò)流量是否有突然增長(zhǎng)或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問(wèn)題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決掉網(wǎng)絡(luò)異常問(wèn)題，保證網(wǎng)絡(luò)正常的運(yùn)行！圖16 網(wǎng)絡(luò)流量異常監(jiān)測(cè)應(yīng)用場(chǎng)景 方案特點(diǎn)l           豐富的應(yīng)用識(shí)別：基于三層協(xié)議號(hào)、端口號(hào)，可識(shí)別上千種已知應(yīng)用（比如：Notes應(yīng)用、FTP應(yīng)用、HTTP應(yīng)用等等），并提供應(yīng)用自定義功能，當(dāng)網(wǎng)內(nèi)出現(xiàn)新應(yīng)用的時(shí)候，很容易進(jìn)行新應(yīng)用的識(shí)別；l   

32、        貼近客戶的專(zhuān)家級(jí)分析報(bào)表：提供業(yè)界最流行的報(bào)表展示形式，如疊加圖、餅圖等，報(bào)表界面美觀易用，并從多個(gè)分析的角度將分析內(nèi)容進(jìn)行了整合，使用戶更快速的得到所需要的分析結(jié)果；l           準(zhǔn)實(shí)時(shí)的流量監(jiān)控：NTA報(bào)表支持對(duì)流量進(jìn)行及時(shí)的分析，當(dāng)NetStream日志或者DIG日志產(chǎn)生之后，在很短的時(shí)間內(nèi)即可得到分析結(jié)果，非常方便用戶使用報(bào)表進(jìn)行網(wǎng)絡(luò)異常問(wèn)題的定位；l           支持多層次的流量監(jiān)控：通過(guò)與不同層次網(wǎng)絡(luò)設(shè)備的配合，支持對(duì)廣域網(wǎng)核心層、廣域出口、局域網(wǎng)核心層、局域網(wǎng)匯聚層網(wǎng)絡(luò)流量的監(jiān)控與分析，實(shí)現(xiàn)整網(wǎng)流量多點(diǎn)的可視性。l           更低的全網(wǎng)監(jiān)控成本：基于現(xiàn)有網(wǎng)絡(luò)設(shè)備，通過(guò)增