H3CiMC網(wǎng)絡(luò)流量分析方案技術(shù)建議書

1、H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 1 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書術(shù)方案建議書杭州華三通信技術(shù)有限公司杭州華三通信技術(shù)有限公司H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 2 頁目目 錄錄一、網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展.4二、網(wǎng)絡(luò)流量分析的重要性分析.5三、項目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析.63.1.項目相關(guān)背景及需求信息 .63.2.項目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)流量模型.6四、H3C iMC 網(wǎng)絡(luò)流量分析(NTA)解決方案介紹.64.1.NTA 解決方案介紹 .74.

2、2.NTA 邏輯組成.74.3.NTA 報表功能.84.3.1.預(yù)定義報表介紹.84.3.2.七層應(yīng)用分析報表（DIG 采集方式支持）.114.3.3.智能基線、自動告警 .114.4.NTA 相關(guān)技術(shù)規(guī)范 .12五、項目 NTA 解決方案部署.125.1.廣域網(wǎng)流量監(jiān)控方案.135.1.1.廣域網(wǎng)分支流量監(jiān)控方案 .. 適用的網(wǎng)絡(luò)環(huán)境： .. 推薦使用的組件： .. 應(yīng)用組網(wǎng)圖：.. 可實(shí)現(xiàn)的功能：.145.1.2.廣域網(wǎng)分布式流量監(jiān)控方案.. 適用的網(wǎng)絡(luò)環(huán)境： .. 推薦使用的組件：

3、 .. 應(yīng)用組網(wǎng)圖.. 可實(shí)現(xiàn)的功能：.155.2.局域網(wǎng)流量監(jiān)控方案.165.2.1.局域網(wǎng) Internet 出口流量監(jiān)控方案 .. 適用的網(wǎng)絡(luò)環(huán)境： .. 推薦使用組件：.. 應(yīng)用組網(wǎng)圖：.. 可實(shí)現(xiàn)的功能：.165.2.2.不支持 NetStream 設(shè)備組網(wǎng)方案 .. 適用的網(wǎng)絡(luò)環(huán)境： .. 推薦使用的組件： .. 應(yīng)用組網(wǎng)圖.. 可實(shí)現(xiàn)的功能：.18H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通

4、信技術(shù)有限公司 http:/第 3 頁附：NTA 特色流量分析功能介紹.18準(zhǔn)確的主機(jī)識別.18數(shù)據(jù)庫實(shí)時監(jiān)控.19靈活的應(yīng)用自定義 .19流量分析任務(wù)管理 .19附：NETSTREAM 技術(shù)簡介.19H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 4 頁一、一、網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展隨著網(wǎng)絡(luò)的應(yīng)用越來越廣泛，規(guī)模越來越大，其承載的業(yè)務(wù)越來越豐富，了解網(wǎng)絡(luò)承載的業(yè)務(wù)，掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，是當(dāng)前網(wǎng)絡(luò)面臨的一大挑戰(zhàn)；另一方面，網(wǎng)絡(luò)蠕蟲病毒、DoS/DDoS 攻擊等在網(wǎng)絡(luò)中越來越流行，對網(wǎng)絡(luò)正常業(yè)務(wù)的負(fù)

5、面危害也越來越大，因此檢測威脅網(wǎng)絡(luò)安全的異常行為是當(dāng)前網(wǎng)絡(luò)面臨的另一大挑戰(zhàn)。 絕大多數(shù)企業(yè)的 IT 管理部門都還沒有建設(shè)起一套能夠完全滿足上述管理需求的網(wǎng)絡(luò)及業(yè)務(wù)流量和流向分析系統(tǒng)，大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如MRTG，利用 SNMP 協(xié)議對網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡單的端口級流量監(jiān)視和統(tǒng)計；或采用在網(wǎng)絡(luò)中部分重點(diǎn) POP 點(diǎn)加裝 RMON 探針的方式，利用 RMON I/II 協(xié)議對網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。但是上述兩種被普遍采用的網(wǎng)絡(luò)流量分析系統(tǒng)都有其顯著的技術(shù)局限性：1)利用 SNMP 協(xié)議能夠?qū)Ρ槐O(jiān)視的各個網(wǎng)絡(luò)端口進(jìn)出的數(shù)

6、據(jù)包數(shù)和字節(jié)數(shù)進(jìn)行采集，但不會對信息進(jìn)行過濾，經(jīng)常是收集上許多無用信息。不但包括網(wǎng)絡(luò)層的客戶業(yè)務(wù)流量信息，還包括鏈路層的數(shù)據(jù)幀包頭，Hello 數(shù)據(jù)包，出錯后重新傳送的數(shù)據(jù)包等流量信息。而且 SNMP協(xié)議還無法區(qū)分網(wǎng)絡(luò)層數(shù)據(jù)流量中各種不同類型客戶業(yè)務(wù)在總流量中的分布狀況，也無法對進(jìn)出的流量進(jìn)行流向分析。 2)利用 RMON 協(xié)議對運(yùn)營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ) SNMP 協(xié)議的技術(shù)局限性，如可以對業(yè)務(wù)流量進(jìn)行統(tǒng)計，但同時也暴露出新的技術(shù)局限性。首先，由于 RMON 協(xié)議需要對網(wǎng)絡(luò)上傳送的每個數(shù)據(jù)幀進(jìn)行采集和分析，會消耗大量的 CPU 資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)，需要額外購買和安

7、裝內(nèi)置式或外置式的 RMON 探針。市場上現(xiàn)有的 RMON探針處理能力也有限制，還不能支持監(jiān)控端口速率超過 1Gbps 的網(wǎng)絡(luò)端口。其次，因?yàn)镽MON 探針為硬件設(shè)備，價格較貴，所以不可能為每臺網(wǎng)絡(luò)設(shè)備都配備，且由于 RMON 探針，特別是內(nèi)置式 RMON 探針，探針接入網(wǎng)絡(luò)后部署變更困難，必然會造成出現(xiàn)異常事件時無法及時對特定的網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)控。最后，由于 RMON 探針采集到的管理數(shù)據(jù)是由分析每個數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī)制，不易對數(shù)據(jù)進(jìn)行高層次的流向分析。這些因素都會阻礙利用 RMON 協(xié)議對大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有效性。 為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)

8、流量和流向分析功能的技術(shù)局限性，企業(yè) IT 管理部門迫切需要尋找一種功能豐富，成熟穩(wěn)定的新技術(shù)對現(xiàn)有管理系統(tǒng)中管理信息的采集和分析方式進(jìn)行改造和升級。新的信息采集和分析技術(shù)還需要對企業(yè)的運(yùn)行網(wǎng)絡(luò)影響小，無需對網(wǎng)絡(luò)拓?fù)溥M(jìn)行改變就能平滑升級。而且新的信息采集和分析技術(shù)應(yīng)該即可以對網(wǎng)絡(luò)中各個鏈路的帶寬使用率進(jìn)行統(tǒng)計，也可以對每條鏈路上傳輸不同類型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計。作為 IT 業(yè)界的網(wǎng)絡(luò)解決方案提供商，H3C 不但提供了性能卓越的網(wǎng)絡(luò)設(shè)備，還配套研發(fā)了可以滿足客戶對網(wǎng)絡(luò)流量和流向分析需求的 NetStream 技術(shù)，NetStream 技術(shù)是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計與發(fā)布技術(shù)，它可以對網(wǎng)

9、絡(luò)中的通信量和資源使用情況進(jìn)行分類和統(tǒng)計，基于各種業(yè)務(wù)和應(yīng)用進(jìn)行分析。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 5 頁二、二、網(wǎng)絡(luò)流量分析的重要性網(wǎng)絡(luò)流量分析的重要性隨著網(wǎng)絡(luò)規(guī)模的日漸增長，網(wǎng)絡(luò)中承載的業(yè)務(wù)也越來越豐富。企業(yè)需要及時的了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時的掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，及時解決網(wǎng)絡(luò)性能問題。目前企業(yè)在管理網(wǎng)絡(luò)當(dāng)中普遍遭遇到了如下的問題：1)網(wǎng)絡(luò)的可視性：網(wǎng)絡(luò)利用率如何？什么樣的程序正在網(wǎng)絡(luò)中運(yùn)行？主要用戶有哪些？網(wǎng)絡(luò)中是否產(chǎn)生異常流量？有沒有長期的趨勢數(shù)據(jù)作為網(wǎng)絡(luò)帶寬規(guī)劃的參考？2)應(yīng)用的可視性：當(dāng)前網(wǎng)內(nèi)有哪些

10、應(yīng)用？分別產(chǎn)生了多少流量？網(wǎng)絡(luò)中應(yīng)用使用的模式是什么？企業(yè)內(nèi)部重要應(yīng)用執(zhí)行狀況如何？3)用戶使用網(wǎng)絡(luò)模式的可視性：哪些用戶產(chǎn)生的流量最多？哪些服務(wù)器接收的流量最多？哪些會話產(chǎn)生了流量？分別使用了哪些應(yīng)用？H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 6 頁三、三、項目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析項目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析此處對項目背景進(jìn)行簡單介紹，主要目的是分析網(wǎng)絡(luò)流量分析的需求，建議內(nèi)容包括：注：此處請項目人員根據(jù)具體的項目信息補(bǔ)充說明。3.1. 項目相關(guān)背景及需求信息項目相關(guān)背景及需求信息3.2. 項目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)流量模型項目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)

11、流量模型四、四、H3C IMC 網(wǎng)絡(luò)流量分析網(wǎng)絡(luò)流量分析(NTA)解決方案介紹解決方案介紹H3C 專注于 IP 產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系，為您提供客戶化、特性豐富、性價比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商，H3C 提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C 智能管理中心（H3C Intelligent Management Center，以下簡稱 H3C iMC）。H3C 智能管理中心解決方案架構(gòu)如下圖所示：H3C iMC 解決方案架構(gòu)H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華

12、三通信技術(shù)有限公司 http:/第 7 頁由上圖可以看出 H3C iMC 管理系統(tǒng)由智能管理平臺以及各個業(yè)務(wù)組件組成，管理平臺提供網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管理、資源和拓?fù)涔芾淼?，而業(yè)務(wù)組件提供了相應(yīng)的業(yè)務(wù)管理功能；各個業(yè)務(wù)組件相對獨(dú)立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具有很強(qiáng)的可擴(kuò)展性和靈活性。4.1. NTA 解決方案介紹解決方案介紹iMC 網(wǎng)絡(luò)流量分析(Network Traffic Analyzer, NTA)解決方案可以幫助網(wǎng)絡(luò)管理人員了解企業(yè)內(nèi)部網(wǎng)絡(luò)之運(yùn)行狀況，及時發(fā)現(xiàn)并解決網(wǎng)絡(luò)中的性能瓶頸問題、網(wǎng)絡(luò)異?，F(xiàn)象，也能方便用戶進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶

13、寬優(yōu)化等的參考，并方便網(wǎng)絡(luò)管理員及時解決網(wǎng)絡(luò)異常問題。4.2. NTA 邏輯組成邏輯組成iMC NTA 解決方案包括：網(wǎng)絡(luò)設(shè)備、DIG 日志采集器（可選）、iMC NTA 網(wǎng)絡(luò)流量分析組件，三部分之間的關(guān)系如下圖所示：1）網(wǎng)絡(luò)設(shè)備提供 NetStream 技術(shù)sFlow 技術(shù)接口的網(wǎng)絡(luò)設(shè)備，負(fù)責(zé)對設(shè)備各個端口進(jìn)出的網(wǎng)絡(luò)報文進(jìn)行流分類統(tǒng)計，然后生成日志并發(fā)送到流量分析服務(wù)器。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 8 頁2）DIG 日志采集器適用于配合不支持 NetStream 技術(shù)sFlow 技術(shù)的網(wǎng)絡(luò)設(shè)備進(jìn)行流量分析的組網(wǎng)環(huán)境，DIG日志采集器

14、過濾和統(tǒng)計 DIG 日志報文，形成 DIG 日志輸出。DIG 采集器有以下兩種方式對網(wǎng)絡(luò)設(shè)備端口的數(shù)據(jù)報文進(jìn)行采集：1、從鏡像端口采集對于支持端口鏡像功能的交換機(jī)、路由器設(shè)備，可以將鏡像端口直接同 DIG 日志探針組件的采集網(wǎng)卡相連，實(shí)現(xiàn)數(shù)據(jù)采集。此類采集方式，需要設(shè)置設(shè)備鏡像端口，保證鏡像端口和采集網(wǎng)卡的類型、帶寬匹配。2、分流器采集在設(shè)備不支持鏡像端口的情況下，為了不影響設(shè)備性能，比較專業(yè)的采集方案是采用分流器，從設(shè)備端口接收網(wǎng)絡(luò)數(shù)據(jù)報文。此方案通常應(yīng)用于光纖鏈路。3、iMC NTA網(wǎng)絡(luò)流量分析組件iMC NTA 網(wǎng)絡(luò)流量分析組件是本方案的核心，其根據(jù)不同應(yīng)用對采集來的流量數(shù)據(jù)進(jìn)行詳細(xì)的分

15、析處理。采用將分布式數(shù)據(jù)先集中再分析的方法，實(shí)現(xiàn)了精細(xì)統(tǒng)計粒度的同時高效的分析樣本。為便于網(wǎng)絡(luò)管理人員的操作，采用基于 Web 的直觀的、圖形化的管理界面。4.3. NTA 報表功能報表功能4.3.1. 預(yù)定義報表介紹使用 iMC NTA 可以簡化對企業(yè)網(wǎng)絡(luò)中帶寬使用的監(jiān)控。用戶借助 NetStream 數(shù)據(jù)了解誰、何時占用了多少帶寬，使用多長時間，網(wǎng)絡(luò)流量來自何地、流向何處。iMC NTA 這些數(shù)據(jù)進(jìn)行多角度的統(tǒng)計和分析，并生成各種直觀的流量、帶寬報表。以便用戶快速診斷網(wǎng)絡(luò)問題并解決帶寬瓶頸，同時作為用戶進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶寬優(yōu)化等的參考。iMC NTA 提供了一系列預(yù)置的流量

16、、帶寬報表，所有報表均可以靈活定制過濾條件（包括應(yīng)用類別、源 IP、目的 IP 等），在預(yù)定義報表中按照定制的過濾條件顯示特定應(yīng)用的流量趨勢或特定節(jié)點(diǎn)的流量明細(xì)信息。通過預(yù)置報表可以簡單有效地分析網(wǎng)絡(luò)流量?？梢粤私庠斐蓭捚款i的某個特定主機(jī)、應(yīng)用或會話的詳細(xì)信息。這將便于快速了解當(dāng)前哪些鏈路堵塞，并分析其原因。另外，不同時間段的使用趨勢有助于用戶在帶寬投資或加強(qiáng)安全策略方面做出重要的決定，促進(jìn)有效地使用帶寬。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 9 頁總體流量趨勢報表總體流量趨勢報表此類報表用于查看特定時間段內(nèi)每個啟用NetStream的接口指

17、定時間段內(nèi)的出、入流量、最大、最小和平均速率、流量時間變化趨勢及對應(yīng)的流量明細(xì)信息。利用這些流量統(tǒng)計數(shù)據(jù)，任何時間段內(nèi)通過特定接口的流量信息可以一覽無余，短期（如當(dāng)天）內(nèi)的流量數(shù)據(jù)可作為發(fā)現(xiàn)異常流量的參考，長期（如一季度）流量趨勢數(shù)據(jù)可以為您網(wǎng)絡(luò)優(yōu)化或升級規(guī)劃提供依據(jù)。應(yīng)用帶寬占用趨勢報表應(yīng)用帶寬占用趨勢報表此類報表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，各網(wǎng)絡(luò)應(yīng)用占用帶寬的比例的變化趨勢及應(yīng)用統(tǒng)計概況。并進(jìn)一步分析使用該應(yīng)用進(jìn)行通訊的流量最大的來源和目的地址列表。對系統(tǒng)不能識別的應(yīng)用，以四層協(xié)議端口號的方式顯示流量趨勢信息，分別提供以端口、源IP、目的IP為分組依據(jù)的

18、未知應(yīng)用流量分布圖，分別基于未知應(yīng)用的端口、源IP、目的IP的流量趨勢變化圖和未知應(yīng)用流量詳細(xì)信息列表，并提供把分布圖中顯示的未知應(yīng)用定義為已知應(yīng)用的快捷功能。利用報表統(tǒng)計數(shù)據(jù)可以了解哪些應(yīng)用占用最大帶寬。進(jìn)一步分析使用這些應(yīng)用的源和目的。只需簡單點(diǎn)擊，這些詳細(xì)信息即可呈現(xiàn)誰在使用帶寬、使用何種協(xié)議，幫助用戶實(shí)時監(jiān)控網(wǎng)絡(luò)帶寬的使用，為網(wǎng)絡(luò)帶寬優(yōu)化、解決網(wǎng)絡(luò)異常問題提供依據(jù)。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 10 頁流量最高節(jié)點(diǎn)報表流量最高節(jié)點(diǎn)報表包括“流量最高的來源節(jié)點(diǎn)報表”和“流量最高的目的節(jié)點(diǎn)報表”。此類報表用于查看特定時間內(nèi)啟用Net

19、Stream接口的流入、流出方向上，總流量TopN的網(wǎng)絡(luò)節(jié)點(diǎn)及流量統(tǒng)計信息。進(jìn)一步可分析特定節(jié)點(diǎn)的流量，如使用最多的應(yīng)用和與之通信最多的節(jié)點(diǎn)。利用此類報表數(shù)據(jù)，可掌握哪些主機(jī)消耗了大量帶寬，并可以深入分析使用了哪些應(yīng)用、訪問了哪些目標(biāo)。流量最高的會話報表流量最高的會話報表此類報表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，總流量TopN的網(wǎng)絡(luò)節(jié)點(diǎn)間會話及流量統(tǒng)計信息。進(jìn)一步可分析該會話的流量，如會話的流量趨勢和雙方節(jié)點(diǎn)使用最多的應(yīng)用。此類報表數(shù)據(jù)，展示了耗盡大量帶寬的特定主機(jī)，并可以此為依據(jù)深入分析通信的主機(jī)之間使用了哪些應(yīng)用。流量最高的節(jié)點(diǎn)和會話報表將幫助管理員洞察網(wǎng)絡(luò)鏈

20、路的用戶使用狀況，制定相應(yīng)的策略，使帶寬得到最合理最充分的使用。支持周期報表提供網(wǎng)絡(luò)流量周期性(每小時、每日、每周、每月)狀態(tài)的綜合報表，提供直觀的網(wǎng)流狀態(tài)展示。支持即時報表提供網(wǎng)絡(luò)流量當(dāng)前狀態(tài)（最近一小時）的綜合報表，提供準(zhǔn)實(shí)時的網(wǎng)絡(luò)流量展示。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 11 頁4.3.2. 七層應(yīng)用分析報表（DIG 采集方式支持）iMC NTA 支持按照特征碼識別 BT、Kazaa、DC 通訊、eDonkey、Gnutella、QQ 文字、MSN 文字通訊、迅雷、AIM 等十余種目前流行的 P2P 和即時通信應(yīng)用，對識別的七層應(yīng)用

21、提供應(yīng)用帶寬占用趨勢等預(yù)定義報表，具體可參見報表功能介紹部分，同時用戶可以根據(jù)特征碼自行定義關(guān)心的七層應(yīng)用。4.3.3. 智能基線、自動告警基線的建立對于網(wǎng)絡(luò)流量分析，尤其是異常流量的檢測具有重要意義?；€描述了正常情況下鏈路的流量分布和變化規(guī)律?；€功能可以通過對一個指定時間周期內(nèi)各項流量指標(biāo)的定義(如總體網(wǎng)絡(luò)流量水平、流量波動、流量跳變等)，建立流量異常監(jiān)測的基礎(chǔ)模型，并可在運(yùn)行中不斷自我修正，完成與實(shí)際運(yùn)行特征的吻合，從而提高對異常流量報警的準(zhǔn)確性，幫助用戶及時發(fā)現(xiàn)系統(tǒng)異常。NTA 采用了獨(dú)創(chuàng)的壞值剔除技術(shù)和高精度的基線構(gòu)造算法，以周為單位整理歷史流量信息，智能化自動生成流量基線，準(zhǔn)確反

22、映網(wǎng)絡(luò)總體流量基準(zhǔn)，動態(tài)衡量網(wǎng)絡(luò)總體流量水平。同時以每天為更新周期，在午夜 00：00 重新自動計算生成新的基線模型，保證基線能夠更加準(zhǔn)確的貼近網(wǎng)絡(luò)實(shí)際運(yùn)行狀況。基線的建立便于用戶及時發(fā)現(xiàn)網(wǎng)絡(luò)異常流量，NTA 基于基線實(shí)時檢測流量突變狀態(tài)，并采用零均值化、二階自回歸模型 AR(2)等高準(zhǔn)確性的數(shù)學(xué)模型，在無序的流量運(yùn)行狀態(tài)中準(zhǔn)確分辨網(wǎng)絡(luò)異常流量，流量發(fā)生異常偏離時自動告警。同時 NTA 依托 iMC 平臺支持豐富的告警方式，通過聲光、短信、郵件等多種方式通知管理員，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 12 頁這樣帶來

23、的好處是用戶可以根據(jù)基線來判斷網(wǎng)絡(luò)是否正常。如：網(wǎng)絡(luò)中有突發(fā)的 Flood 攻擊時，網(wǎng)絡(luò)可能并不會立即癱瘓，但是網(wǎng)絡(luò)流量一定會發(fā)生異常，與正常情況下對應(yīng)時刻基線差別會很大，這時通過基線及時檢測異常流量，可以及時發(fā)現(xiàn)問題。4.4. NTA 相關(guān)技術(shù)規(guī)范相關(guān)技術(shù)規(guī)范NTA 通過接收網(wǎng)絡(luò)設(shè)備的流量日志，處理分析形成流量分析報表，并以 Web 方式展現(xiàn)給用戶。網(wǎng)絡(luò)設(shè)備流量日志需遵循的技術(shù)規(guī)范如下：1.NetSteam 技術(shù)：NetStream 是 H3C 公司基于“流”的概念，定義的一種用于路由器/交換機(jī)輸出網(wǎng)絡(luò)流量的統(tǒng)計數(shù)據(jù)方法，它可以回答有關(guān) IP 流量的如下問題：誰在什么時間、在什么地方、使用何

24、種協(xié)議、訪問誰、具體的流量是多少等問題。2.sFlow 技術(shù)：sFlow 是由 InMon、HP 和 Foundry Networks 聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可以適應(yīng)超大網(wǎng)絡(luò)流量（如大于 10Gbps）環(huán)境下的流量分析，讓用戶詳細(xì)、實(shí)時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。如果網(wǎng)絡(luò)設(shè)備不支持上述技術(shù)，則可通過端口鏡像的方式，配合 H3C DIG 日志采集軟件實(shí)現(xiàn)流量采集和分析功能。五、五、項目項目 NTA 解決方案部署解決方案部署請根據(jù)用戶網(wǎng)絡(luò)結(jié)構(gòu)選擇相應(yīng)方案H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 13 頁5.

25、1. 廣域網(wǎng)流量監(jiān)控方案廣域網(wǎng)流量監(jiān)控方案5.1.1. 廣域網(wǎng)分支流量監(jiān)控方案廣域網(wǎng)分支流量監(jiān)控方案. 適用的網(wǎng)絡(luò)環(huán)境：適用的網(wǎng)絡(luò)環(huán)境：針對一些有眾多分支機(jī)構(gòu)的大企業(yè)，或者是全國性質(zhì)的政府部門，往往都是一個總部，多個區(qū)域網(wǎng)絡(luò)，通過租用運(yùn)營商的 E1、155M POS 線路相連，構(gòu)建了一個龐大的廣域網(wǎng)結(jié)構(gòu)。在這樣的網(wǎng)絡(luò)結(jié)構(gòu)中，由于連接總部和區(qū)域網(wǎng)絡(luò)的運(yùn)營商的 E1 線路，因此費(fèi)用是比較昂貴的；同時這些 E1 線路的帶寬也不像局域網(wǎng)已經(jīng)升級到千兆或萬兆，還是只有 2M 的基礎(chǔ)，最多也就是多個 E1 捆綁，達(dá)到幾十 MB 而已。因此作為總部的網(wǎng)絡(luò)管理部門，特別希望能了解當(dāng)前在廣域網(wǎng)中的

26、應(yīng)用流量使用情況，及時調(diào)整各種業(yè)務(wù)的帶寬占用情況，以保障關(guān)鍵業(yè)務(wù)的正常運(yùn)行。. 推薦使用的組件：推薦使用的組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA）。 . 應(yīng)用組網(wǎng)圖：應(yīng)用組網(wǎng)圖：通過在總部的廣域網(wǎng)路由器上增加 NetStream 單板，并啟動對連接分支節(jié)點(diǎn)端口的NetStream 統(tǒng)計功能，并在總部部署一套 iMC NTA 來分析和監(jiān)視廣域網(wǎng)中的應(yīng)用流量。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 14 頁. 可實(shí)現(xiàn)的功能：可實(shí)現(xiàn)的功能：通過對總部廣域網(wǎng)路由器的流量監(jiān)控，可實(shí)現(xiàn)所有分支網(wǎng)

27、絡(luò)之間通信流量、分支和總部之間通信流量的整體監(jiān)控。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說，WAN 帶寬通常是有限的，如果 WAN 鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級 WAN 鏈路，但是如果企業(yè)能掌握 WAN 流量的特征，制定相應(yīng)的策略（比如 QoS 和針對源或目的 IP 地址作流限制），就能使 WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級投資。iMC NTA 通過流量、應(yīng)用、會話、節(jié)點(diǎn)等幾大類預(yù)定義報表，提供準(zhǔn)實(shí)時的流量監(jiān)控和詳盡流量分析結(jié)果。幫助網(wǎng)絡(luò)管理員洞察 WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶寬快速的作出快速響應(yīng)。網(wǎng)絡(luò)優(yōu)化同時

28、通過 iMC NTA 可使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題。5.1.2. 廣域網(wǎng)分布式流量監(jiān)控方案廣域網(wǎng)分布式流量監(jiān)控方案. 適用的網(wǎng)絡(luò)環(huán)境：適用的網(wǎng)絡(luò)環(huán)境：有眾多分支機(jī)構(gòu)的大企業(yè)，或者是全國性質(zhì)的政府部門，即一個總部，多個區(qū)域網(wǎng)絡(luò)，通過租用運(yùn)營商的 E1、155M POS 線路相連，構(gòu)建一個龐大的廣域網(wǎng)結(jié)構(gòu)。. 推薦使用的組件：推薦使用的組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件

29、（NTA）。 . 應(yīng)用組網(wǎng)圖應(yīng)用組網(wǎng)圖各分支機(jī)構(gòu)部署一套 iMC NTA，實(shí)現(xiàn)分布式流量接收和分析處理，總部部署一套 iMC NTA作為流量分析中心，實(shí)現(xiàn)統(tǒng)一的 Web 流量分析。通過多臺網(wǎng)流服務(wù)器分布式安裝建立大型園區(qū)網(wǎng)的區(qū)域化、層次化的流量分析管理系統(tǒng)，分散了大規(guī)模網(wǎng)絡(luò)的流量分析壓力。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 15 頁. 可實(shí)現(xiàn)的功能：可實(shí)現(xiàn)的功能：本方案實(shí)現(xiàn)了大型網(wǎng)絡(luò)層次化、結(jié)構(gòu)化的分級流量監(jiān)控分析解決方案：分布式流量檢測針對一個總部多個分支、跨廣域網(wǎng)的大型園區(qū)網(wǎng)，提供了分布式流量檢測能力：通過核心

30、出口部署流量檢測點(diǎn)，實(shí)現(xiàn)對企業(yè)各分支之間、分支到總部應(yīng)用流量的統(tǒng)計分析；通過在各分支部署流量檢測點(diǎn)實(shí)現(xiàn)各分支網(wǎng)絡(luò)內(nèi)部應(yīng)用流量的監(jiān)控。并以統(tǒng)一的 Web 界面展示全網(wǎng)總部和分支所有流量，實(shí)現(xiàn)層次化的分級流量監(jiān)控解決方案。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說，WAN 帶寬通常是有限的，如果 WAN 鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級 WAN 鏈路，但是如果企業(yè)能掌握 WAN 流量的特征，制定相應(yīng)的策略（比如 QoS 和針對源或目的 IP 地址作流限制），就能使 WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級投資。iMC NTA 通過流量、應(yīng)用、會話、節(jié)點(diǎn)等幾大類預(yù)定義報表，

31、提供準(zhǔn)實(shí)時的流量監(jiān)控和詳盡流量分析結(jié)果。幫助網(wǎng)絡(luò)管理員洞察 WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶寬快速的作出快速響應(yīng)。網(wǎng)絡(luò)優(yōu)化同時通過 iMC NTA 可使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 16 頁5.2. 局域網(wǎng)流量監(jiān)控方案局域網(wǎng)流量監(jiān)控方案5.2.1. 局域網(wǎng)局域網(wǎng) Internet 出口流量

32、監(jiān)控方案出口流量監(jiān)控方案. 適用的網(wǎng)絡(luò)環(huán)境：適用的網(wǎng)絡(luò)環(huán)境：對于大多數(shù)的局域網(wǎng)絡(luò)，都會連接到 Internet 網(wǎng)絡(luò)中，通過對 Internet 出口流量的監(jiān)控，不僅能分析各種應(yīng)用占用出口帶寬的情況，還能監(jiān)視一些非工作需要的 Internet 訪問，例如 Web訪問、聊天等，提高工作效率。. 推薦使用組件：推薦使用組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA）。. 應(yīng)用組網(wǎng)圖：應(yīng)用組網(wǎng)圖：在廣域網(wǎng)出口的路由器或者交換機(jī)上通過增加 NetStream 單板，并啟動對連接 Internet 端口（通常是 E1、百兆）的 NetStream

33、統(tǒng)計功能，并在網(wǎng)絡(luò)中一套 iMC NTA 實(shí)現(xiàn)對廣域網(wǎng)出口的應(yīng)用的流量和個人 IP 地址的流量進(jìn)行分析和監(jiān)視。. 可實(shí)現(xiàn)的功能：可實(shí)現(xiàn)的功能：網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇”所在，并迅速解決問題。利用NTA 解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 17 頁于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決網(wǎng)絡(luò)異常問題，保證

34、網(wǎng)絡(luò)正常的運(yùn)行。網(wǎng)絡(luò)規(guī)劃參考利用 NetStream 流日志以及 NTA 長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。5.2.2. 不支持不支持 NetStream 設(shè)備組網(wǎng)方案設(shè)備組網(wǎng)方案. 適用的網(wǎng)絡(luò)環(huán)境：適用的網(wǎng)絡(luò)環(huán)境：對于大多數(shù)的局域網(wǎng)絡(luò)，都會連接到 Internet 網(wǎng)絡(luò)中，通過對 Internet 出口流量的監(jiān)控，不僅能分析各種應(yīng)用占用出口帶寬的情況，還能監(jiān)視一些非工作需要的 Internet 訪問，例如 BT 下載、聊天等，提高工作效率。但網(wǎng)絡(luò)中的出口設(shè)

35、備可能不支持 NetStream 技術(shù)，不能通過NetStream 流日志實(shí)現(xiàn)對流量的監(jiān)控分析。本方案通過 DIG 探針型日志采集器采集網(wǎng)絡(luò)設(shè)備鏡像端口或 TAP 分流器的原始流量，通過過濾聚合生成 DIG 日志，并發(fā)送 iMC NTA 監(jiān)控分析網(wǎng)絡(luò)應(yīng)用流量，普遍適用于用戶需要對Internet 出口帶寬進(jìn)行監(jiān)控，但出口設(shè)備不支持 NetStream 技術(shù)的組網(wǎng)環(huán)境。. 推薦使用的組件：推薦使用的組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA）、DIG 探針型日志采集器。. 應(yīng)用組網(wǎng)圖應(yīng)用組網(wǎng)圖本方案通過在網(wǎng)絡(luò)出口設(shè)備啟用端口鏡像功能或部署 TAP 分

36、流器，同時部署 DIG 探針型采集器實(shí)現(xiàn)對網(wǎng)絡(luò)出口的流量監(jiān)控。H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 18 頁. 可實(shí)現(xiàn)的功能：可實(shí)現(xiàn)的功能：網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇”所在，并迅速解決問題。利用NTA 解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正常的運(yùn)行！網(wǎng)絡(luò)規(guī)劃參考利用 NetStre

37、am 流日志以及 NTA 長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。附：附：NTA 特色流量分析功能介紹特色流量分析功能介紹準(zhǔn)確的主機(jī)識別對于系統(tǒng)預(yù)定義報表 Top 列表中出現(xiàn)的任何一個 IP 地址，都支持通過點(diǎn)擊其相應(yīng)的主機(jī)識別圖標(biāo)來查詢該 IP 對應(yīng)的 MAC 地址、主機(jī)名或域名信息，提高網(wǎng)絡(luò)分析結(jié)果的透明性。在iMC UAM 用戶接入組件作為 AAA 服務(wù)器的組網(wǎng)環(huán)境中，還支持和 UAM 系統(tǒng)聯(lián)動，查詢特定 IP地址對應(yīng)的用戶上網(wǎng)帳號、MAC 地址、使用服務(wù)及上網(wǎng)時間等明細(xì)

38、息。 H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司 http:/第 19 頁數(shù)據(jù)庫實(shí)時監(jiān)控iMC NTA 支持實(shí)時監(jiān)控系統(tǒng)數(shù)據(jù)庫使用狀態(tài)，包括數(shù)據(jù)庫已用/剩余空間監(jiān)視、磁盤已用/剩余空間監(jiān)視、磁盤使用空間設(shè)置、達(dá)到閾值后自動釋放磁盤空間等功能，幫助管理員全面實(shí)時掌握磁盤使用狀況，及時做出相應(yīng)處理，杜絕由于磁盤空間不足而造成系統(tǒng)性能和分析準(zhǔn)確性的影響。靈活的應(yīng)用自定義iMC NTA 支持使用從 NetStream 獲得的端口和協(xié)議數(shù)據(jù)來定義應(yīng)用，系統(tǒng)預(yù)定義的常用應(yīng)用有 Netmeeting、Microsoft ds 等近三百種。另外還可以通過結(jié)合端口和協(xié)議來添加自定義的應(yīng)用或修改現(xiàn)有應(yīng)用。應(yīng)用定義管理功能不僅便于企業(yè)監(jiān)控常用應(yīng)用的流量，更為用戶監(jiān)控企業(yè)特有應(yīng)用的帶寬利用情況提供了方便。流量分析任務(wù)管理通過 iMC NTA 中的接口分組管理功能，可將同一臺設(shè)備的多個接口或分布在不同設(shè)備的幾個接口邏輯定義為一個接口組，對接口組整