H3CiMC網(wǎng)絡(luò)流量分析方案技術(shù)建議書

1、H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書杭州華三通信技術(shù)有限公司杭州華三通信技術(shù)有限公司第 1 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書目錄一、網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展.4二、網(wǎng)絡(luò)流量分析的重要性分析.5三、××項目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析.63.1.××項目相關(guān)背景及需求信息.63.2.××項目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)流量模型.6四、H3C iMC網(wǎng)絡(luò)流量分析 (NTA) 解決方案介紹.64.1.NTA 解決方案介紹 .74.2.NTA 邏輯組成 .74.3.NTA 報表功能

2、 .84.3.1.預(yù)定義報表介紹 .84.3.2.七層應(yīng)用分析報表（ DIG 采集方式支持） .114.3.3.智能基線、自動告警 .114.4.NTA 相關(guān)技術(shù)規(guī)范 .12五、×××項目 NTA 解決方案部署 .125.1.廣域網(wǎng)流量監(jiān)控方案 .135.1.1.廣域網(wǎng)分支流量監(jiān)控方案 ..適用的網(wǎng)絡(luò)環(huán)境： ..推薦使用的組件： ..應(yīng)用組網(wǎng)圖： ..可實現(xiàn)的功能： .145.1.2.廣域網(wǎng)分布式流量監(jiān)控方案 ..適用的網(wǎng)絡(luò)環(huán)境： ..推薦使用的組件： .1

3、.應(yīng)用組網(wǎng)圖 ..可實現(xiàn)的功能： .155.2.局域網(wǎng)流量監(jiān)控方案 .165.2.1.局域網(wǎng) Internet 出口流量監(jiān)控方案 ..適用的網(wǎng)絡(luò)環(huán)境： ..推薦使用組件： ..應(yīng)用組網(wǎng)圖： ..可實現(xiàn)的功能： .175.2.2.不支持 NetStream 設(shè)備組網(wǎng)方案 ..適用的網(wǎng)絡(luò)環(huán)境： ..推薦使用的組件： ..應(yīng)用組網(wǎng)圖 ..可實現(xiàn)的功能： .18杭州華三通信技術(shù)有限公司第 2 頁H3C iMC 網(wǎng)絡(luò)流量分析方案

4、技術(shù)方案建議書附： NTA 特色流量分析功能介紹19準(zhǔn)確的主機(jī)識別19數(shù)據(jù)庫實時監(jiān)控19靈活的應(yīng)用自定義19流量分析任務(wù)管理20附： NETSTREAM技術(shù)簡介20杭州華三通信技術(shù)有限公司第 3 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書一、 網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展隨著網(wǎng)絡(luò)的應(yīng)用越來越廣泛，規(guī)模越來越大，其承載的業(yè)務(wù)越來越豐富，了解網(wǎng)絡(luò)承載的業(yè)務(wù)，掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，是當(dāng)前網(wǎng)絡(luò)面臨的一大挑戰(zhàn)；另一方面，網(wǎng)絡(luò)蠕蟲病毒、 DoS/DDoS 攻擊等在網(wǎng)絡(luò)中越來越流行， 對網(wǎng)絡(luò)正常業(yè)務(wù)的負(fù)面危害也越來越大，因此檢測威脅網(wǎng)絡(luò)安全的異常行為是當(dāng)前網(wǎng)絡(luò)面臨的另一大挑戰(zhàn)。絕

5、大多數(shù)企業(yè)的 IT 管理部門都還沒有建設(shè)起一套能夠完全滿足上述管理需求的網(wǎng)絡(luò)及業(yè)務(wù)流量和流向分析系統(tǒng)，大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如MRTG ，利用 SNMP 協(xié)議對網(wǎng)絡(luò)的重點鏈路和互聯(lián)點進(jìn)行簡單的端口級流量監(jiān)視和統(tǒng)計；或采用在網(wǎng)絡(luò)中部分重點 POP 點加裝 RMON 探針的方式，利用RMON I/II協(xié)議對網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。但是上述兩種被普遍采用的網(wǎng)絡(luò)流量分析系統(tǒng)都有其顯著的技術(shù)局限性：1)利用 SNMP 協(xié)議能夠?qū)Ρ槐O(jiān)視的各個網(wǎng)絡(luò)端口進(jìn)出的數(shù)據(jù)包數(shù)和字節(jié)數(shù)進(jìn)行采集，但不會對信息進(jìn)行過濾，經(jīng)常是收集上許多無用信息。不但包括網(wǎng)

6、絡(luò)層的客戶業(yè)務(wù)流量信息，還包括鏈路層的數(shù)據(jù)幀包頭， Hello 數(shù)據(jù)包，出錯后重新傳送的數(shù)據(jù)包等流量信息。而且SNMP 協(xié)議還無法區(qū)分網(wǎng)絡(luò)層數(shù)據(jù)流量中各種不同類型客戶業(yè)務(wù)在總流量中的分布狀況，也無法對進(jìn)出的流量進(jìn)行流向分析。2)利用 RMON 協(xié)議對運營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)SNMP 協(xié)議的技術(shù)局限性，如可以對業(yè)務(wù)流量進(jìn)行統(tǒng)計，但同時也暴露出新的技術(shù)局限性。首先，由于RMON 協(xié)議需要對網(wǎng)絡(luò)上傳送的每個數(shù)據(jù)幀進(jìn)行采集和分析，會消耗大量的CPU 資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實現(xiàn)，需要額外購買和安裝內(nèi)置式或外置式的RMON 探針。市場上現(xiàn)有的RMON探針處理能力也有限制， 還不能支持

7、監(jiān)控端口速率超過1Gbps 的網(wǎng)絡(luò)端口。其次，因為 RMON探針為硬件設(shè)備，價格較貴，所以不可能為每臺網(wǎng)絡(luò)設(shè)備都配備，且由于RMON 探針，特別是內(nèi)置式 RMON 探針，探針接入網(wǎng)絡(luò)后部署變更困難，必然會造成出現(xiàn)異常事件時無法及時對特定的網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)控。最后，由于RMON 探針采集到的管理數(shù)據(jù)是由分析每個數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī)制，不易對數(shù)據(jù)進(jìn)行高層次的流向分析。這些因素都會阻礙利用RMON 協(xié)議對大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有效性。為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，企業(yè) IT 管理部門迫切需要尋找一種功能豐富，成熟穩(wěn)定的新技術(shù)對現(xiàn)有

8、管理系統(tǒng)中管理信息的采集和分析方式進(jìn)行改造和升級。新的信息采集和分析技術(shù)還需要對企業(yè)的運行網(wǎng)絡(luò)影響小，無需對網(wǎng)絡(luò)拓?fù)溥M(jìn)行改變就能平滑升級。而且新的信息采集和分析技術(shù)應(yīng)該即可以對網(wǎng)絡(luò)中各個鏈路的帶寬使用率進(jìn)行統(tǒng)計，也可以對每條鏈路上傳輸不同類型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計。作為 IT 業(yè)界的網(wǎng)絡(luò)解決方案提供商，H3C 不但提供了性能卓越的網(wǎng)絡(luò)設(shè)備，還配套研發(fā)了可以滿足客戶對網(wǎng)絡(luò)流量和流向分析需求的NetStream技術(shù)，NetStream技術(shù)是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計與發(fā)布技術(shù)，它可以對網(wǎng)絡(luò)中的通信量和資源使用情況進(jìn)行分類和統(tǒng)計，基于各種業(yè)務(wù)和應(yīng)用進(jìn)行分析。杭州華三通信技術(shù)有限公司第 4 頁H

9、3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書二、 網(wǎng)絡(luò)流量分析的重要性隨著網(wǎng)絡(luò)規(guī)模的日漸增長，網(wǎng)絡(luò)中承載的業(yè)務(wù)也越來越豐富。企業(yè)需要及時的了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時的掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，及時解決網(wǎng)絡(luò)性能問題。目前企業(yè)在管理網(wǎng)絡(luò)當(dāng)中普遍遭遇到了如下的問題：1) 網(wǎng)絡(luò)的可視性：網(wǎng)絡(luò)利用率如何？什么樣的程序正在網(wǎng)絡(luò)中運行？主要用戶有哪些？網(wǎng)絡(luò)中是否產(chǎn)生異常流量？有沒有長期的趨勢數(shù)據(jù)作為網(wǎng)絡(luò)帶寬規(guī)劃的參考？2) 應(yīng)用的可視性：當(dāng)前網(wǎng)內(nèi)有哪些應(yīng)用？分別產(chǎn)生了多少流量？網(wǎng)絡(luò)中應(yīng)用使用的模式是什么？企業(yè)內(nèi)部重要應(yīng)用執(zhí)行狀況如何？3) 用戶使用網(wǎng)絡(luò)模式的可視性：哪些用戶產(chǎn)生的流量最多

10、？哪些服務(wù)器接收的流量最多？哪些會話產(chǎn)生了流量？分別使用了哪些應(yīng)用？杭州華三通信技術(shù)有限公司第 5 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書三、 ××項目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析此處對××項目背景進(jìn)行簡單介紹，主要目的是分析網(wǎng)絡(luò)流量分析的需求，建議內(nèi)容包括：注：此處請項目人員根據(jù)具體的項目信息補(bǔ)充說明。3.1.××項目相關(guān)背景及需求信息3.2.××項目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)流量模型四、 H3C IMC 網(wǎng)絡(luò)流量分析 (NTA) 解決方案介紹H3C 專注于 IP 產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技

11、術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系，為您提供客戶化、特性豐富、性價比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商，H3C 提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案： H3C 智能管理中心（H3C Intelligent Management Center，以下簡稱H3C iMC ）。H3C 智能管理中心解決方案架構(gòu)如下圖所示：H3C iMC 解決方案架構(gòu)杭州華三通信技術(shù)有限公司第 6 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書由上圖可以看出 H3C iMC 管理系統(tǒng)由智能管理平臺以及各個業(yè)務(wù)組件組成，管理平臺提供網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管

12、理、資源和拓?fù)涔芾淼龋鴺I(yè)務(wù)組件提供了相應(yīng)的業(yè)務(wù)管理功能；各個業(yè)務(wù)組件相對獨立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具有很強(qiáng)的可擴(kuò)展性和靈活性。4.1.NTA 解決方案介紹iMC 網(wǎng)絡(luò)流量分析(Network Traffic Analyzer, NTA)解決方案可以幫助網(wǎng)絡(luò)管理人員了解企業(yè)內(nèi)部網(wǎng)絡(luò)之運行狀況，及時發(fā)現(xiàn)并解決網(wǎng)絡(luò)中的性能瓶頸問題、網(wǎng)絡(luò)異?，F(xiàn)象，也能方便用戶進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶寬優(yōu)化等的參考，并方便網(wǎng)絡(luò)管理員及時解決網(wǎng)絡(luò)異常問題。4.2.NTA 邏輯組成iMC NTA 解決方案包括：網(wǎng)絡(luò)設(shè)備、 DIG 日志采集器（可選）、 iMC NTA 網(wǎng)絡(luò)流量分析組件，三部

13、分之間的關(guān)系如下圖所示：1）網(wǎng)絡(luò)設(shè)備提供 NetStream 技術(shù) sFlow 技術(shù)接口的網(wǎng)絡(luò)設(shè)備， 負(fù)責(zé)對設(shè)備各個端口進(jìn)出的網(wǎng)絡(luò)報文進(jìn)行流分類統(tǒng)計，然后生成日志并發(fā)送到流量分析服務(wù)器。杭州華三通信技術(shù)有限公司第 7 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書2） DIG日志采集器適用于配合不支持NetStream技術(shù) sFlow志采集器過濾和統(tǒng)計DIG 日志報文，形成DIG備端口的數(shù)據(jù)報文進(jìn)行采集：技術(shù)的網(wǎng)絡(luò)設(shè)備進(jìn)行流量分析的組網(wǎng)環(huán)境， DIG 日志輸出。 DIG 采集器有以下兩種方式對網(wǎng)絡(luò)設(shè)日1、 從鏡像端口采集對于支持端口鏡像功能的交換機(jī)、路由器設(shè)備， 可以將鏡像端口直接同DIG

14、日志探針組件的采集網(wǎng)卡相連，實現(xiàn)數(shù)據(jù)采集。此類采集方式，需要設(shè)置設(shè)備鏡像端口，保證鏡像端口和采集網(wǎng)卡的類型、帶寬匹配。2、 分流器采集在設(shè)備不支持鏡像端口的情況下， 為了不影響設(shè)備性能， 比較專業(yè)的采集方案是采用分流器，從設(shè)備端口接收網(wǎng)絡(luò)數(shù)據(jù)報文。此方案通常應(yīng)用于光纖鏈路。3、 iMC NTA 網(wǎng)絡(luò)流量分析組件iMC NTA網(wǎng)絡(luò)流量分析組件是本方案的核心，其根據(jù)不同應(yīng)用對采集來的流量數(shù)據(jù)進(jìn)行詳細(xì)的分析處理。采用將分布式數(shù)據(jù)先集中再分析的方法，實現(xiàn)了精細(xì)統(tǒng)計粒度的同時高效的分析樣本。為便于網(wǎng)絡(luò)管理人員的操作，采用基于 Web 的直觀的、圖形化的管理界面。4.3.NTA 報表功能預(yù)定義報表介紹使用

15、 iMC NTA 可以簡化對企業(yè)網(wǎng)絡(luò)中帶寬使用的監(jiān)控。用戶借助 NetStream 數(shù)據(jù)了解誰、何時占用了多少帶寬，使用多長時間，網(wǎng)絡(luò)流量來自何地、流向何處。 iMC NTA 這些數(shù)據(jù)進(jìn)行多角度的統(tǒng)計和分析，并生成各種直觀的流量、帶寬報表。以便用戶快速診斷網(wǎng)絡(luò)問題并解決帶寬瓶頸，同時作為用戶進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶寬優(yōu)化等的參考。iMC NTA 提供了一系列預(yù)置的流量、帶寬報表，所有報表均可以靈活定制過濾條件（包括應(yīng)用類別、源 IP 、目的 IP 等），在預(yù)定義報表中按照定制的過濾條件顯示特定應(yīng)用的流量趨勢或特定節(jié)點的流量明細(xì)信息。通過預(yù)置報表可以簡單有效地分析網(wǎng)絡(luò)流量。可以了解造成

16、帶寬瓶頸的某個特定主機(jī)、應(yīng)用或會話的詳細(xì)信息。這將便于快速了解當(dāng)前哪些鏈路堵塞，并分析其原因。另外，不同時間段的使用趨勢有助于用戶在帶寬投資或加強(qiáng)安全策略方面做出重要的決定，促進(jìn)有效地使用帶寬。杭州華三通信技術(shù)有限公司第 8 頁H3C iMC網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書總體流量趨勢報表此類報表用于查看特定時間段內(nèi)每個啟用NetStream的接口指定時間段內(nèi)的出、入流量、最大、最小和平均速率、流量時間變化趨勢及對應(yīng)的流量明細(xì)信息。利用這些流量統(tǒng)計數(shù)據(jù)，任何時間段內(nèi)通過特定接口的流量信息可以一覽無余，短期（如當(dāng)天）內(nèi)的流量數(shù)據(jù)可作為發(fā)現(xiàn)異常流量的參考，長期（如一季度）流量趨勢數(shù)據(jù)可以為您網(wǎng)絡(luò)優(yōu)化

17、或升級規(guī)劃提供依據(jù)。應(yīng)用帶寬占用趨勢報表此類報表用于查看特定時間內(nèi)啟用 NetStream 接口的流入、流出方向上，各網(wǎng)絡(luò)應(yīng)用占用帶寬的比例的變化趨勢及應(yīng)用統(tǒng)計概況。并進(jìn)一步分析使用該應(yīng)用進(jìn)行通訊的流量最大的來源和目的地址列表。對系統(tǒng)不能識別的應(yīng)用，以四層協(xié)議端口號的方式顯示流量趨勢信息，分別提供以端口、源 IP 、目的 IP 為分組依據(jù)的未知應(yīng)用流量分布圖，分別基于未知應(yīng)用的端口、源 IP、目的 IP 的流量趨勢變化圖和未知應(yīng)用流量詳細(xì)信息列表，并提供把分布圖中顯示的未知應(yīng)用定義為已知應(yīng)用的快捷功能。利用報表統(tǒng)計數(shù)據(jù)可以了解哪些應(yīng)用占用最大帶寬。進(jìn)一步分析使用這些應(yīng)用的源和目的。只需簡單點擊

18、，這些詳細(xì)信息即可呈現(xiàn)誰在使用帶寬、使用何種協(xié)議，幫助用戶實時監(jiān)控網(wǎng)絡(luò)帶寬的使用，為網(wǎng)絡(luò)帶寬優(yōu)化、解決網(wǎng)絡(luò)異常問題提供依據(jù)。杭州華三通信技術(shù)有限公司第 9 頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書流量最高節(jié)點報表包括“流量最高的來源節(jié)點報表”和“流量最高的目的節(jié)點報表”。此類報表用于查看特定時間內(nèi)啟用NetStream 接口的流入、 流出方向上， 總流量 TopN 的網(wǎng)絡(luò)節(jié)點及流量統(tǒng)計信息。進(jìn)一步可分析特定節(jié)點的流量，如使用最多的應(yīng)用和與之通信最多的節(jié)點。利用此類報表數(shù)據(jù)，可掌握哪些主機(jī)消耗了大量帶寬，并可以深入分析使用了哪些應(yīng)用、訪問了哪些目標(biāo)。流量最高的會話報表此類報表用于查看特定

19、時間內(nèi)啟用NetStream 接口的流入、 流出方向上， 總流量 TopN 的網(wǎng)絡(luò)節(jié)點間會話及流量統(tǒng)計信息。進(jìn)一步可分析該會話的流量，如會話的流量趨勢和雙方節(jié)點使用最多的應(yīng)用。此類報表數(shù)據(jù)，展示了耗盡大量帶寬的特定主機(jī)，并可以此為依據(jù)深入分析通信的主機(jī)之間使用了哪些應(yīng)用。流量最高的節(jié)點和會話報表將幫助管理員洞察網(wǎng)絡(luò)鏈路的用戶使用狀況，制定相應(yīng)的策略，使帶寬得到最合理最充分的使用。支持周期報表提供網(wǎng)絡(luò)流量周期性(每小時、 每日、每周、每月 ) 狀態(tài)的綜合報表，支持即時報表提供網(wǎng)絡(luò)流量當(dāng)前狀態(tài)（最近一小時）的綜合報表， 提供準(zhǔn)實時的網(wǎng)絡(luò)流量展示。杭州華三通信技術(shù)有限公司第 10頁H3C iMC 網(wǎng)

20、絡(luò)流量分析方案技術(shù)方案建議書七層應(yīng)用分析報表（ DIG 采集方式支持）iMC NTA 支持按照特征碼識別 BT 、Kazaa 、DC 通訊、 eDonkey 、Gnutella 、QQ 文字、 MSN 文字通訊、 迅雷、 AIM 等十余種目前流行的 P2P 和即時通信應(yīng)用， 對識別的七層應(yīng)用提供應(yīng)用帶寬占用趨勢等預(yù)定義報表，具體可參見報表功能介紹部分，同時用戶可以根據(jù)特征碼自行定義關(guān)心的七層應(yīng)用。智能基線、自動告警基線的建立對于網(wǎng)絡(luò)流量分析，尤其是異常流量的檢測具有重要意義?；€描述了正常情況下鏈路的流量分布和變化規(guī)律?；€功能可以通過對一個指定時間周期內(nèi)各項流量指標(biāo)的定義(如總體網(wǎng)絡(luò)流量水平

21、、流量波動、流量跳變等 )，建立流量異常監(jiān)測的基礎(chǔ)模型，并可在運行中不斷自我修正，完成與實際運行特征的吻合，從而提高對異常流量報警的準(zhǔn)確性，幫助用戶及時發(fā)現(xiàn)系統(tǒng)異常。NTA 采用了獨創(chuàng)的壞值剔除技術(shù)和高精度的基線構(gòu)造算法，以周為單位整理歷史流量信息，智能化自動生成流量基線，準(zhǔn)確反映網(wǎng)絡(luò)總體流量基準(zhǔn)，動態(tài)衡量網(wǎng)絡(luò)總體流量水平。同時以每天為更新周期，在午夜00： 00 重新自動計算生成新的基線模型，保證基線能夠更加準(zhǔn)確的貼近網(wǎng)絡(luò)實際運行狀況?；€的建立便于用戶及時發(fā)現(xiàn)網(wǎng)絡(luò)異常流量，NTA 基于基線實時檢測流量突變狀態(tài)，并采用零均值化、二階自回歸模型AR(2) 等高準(zhǔn)確性的數(shù)學(xué)模型，在無序的流量運行

22、狀態(tài)中準(zhǔn)確分辨網(wǎng)絡(luò)異常流量，流量發(fā)生異常偏離時自動告警。同時NTA 依托 iMC 平臺支持豐富的告警方式，通過聲光、短信、郵件等多種方式通知管理員，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量。杭州華三通信技術(shù)有限公司第 11頁H3C iMC網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書這樣帶來的好處是用戶可以根據(jù)基線來判斷網(wǎng)絡(luò)是否正常。如：網(wǎng)絡(luò)中有突發(fā)的時，網(wǎng)絡(luò)可能并不會立即癱瘓，但是網(wǎng)絡(luò)流量一定會發(fā)生異常，與正常情況下對應(yīng)時刻基線差別會很大，這時通過基線及時檢測異常流量，可以及時發(fā)現(xiàn)問題。Flood攻擊4.4.NTA 相關(guān)技術(shù)規(guī)范NTA 通過接收網(wǎng)絡(luò)設(shè)備的流量日志，處理分析形成流量分析報表，并以Web 方式展現(xiàn)給用戶。網(wǎng)絡(luò)設(shè)

23、備流量日志需遵循的技術(shù)規(guī)范如下：1.NetSteam技術(shù)： NetStream是 H3C公司基于“流”的概念，定義的一種用于路由器/交換機(jī)輸出網(wǎng)絡(luò)流量的統(tǒng)計數(shù)據(jù)方法，它可以回答有關(guān)IP 流量的如下問題：誰在什么時間、在什么地方、使用何種協(xié)議、訪問誰、具體的流量是多少等問題。2. sFlow 技術(shù)： sFlow 是由 InMon 、HP 和 Foundry Networks 聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)， 可以適應(yīng)超大網(wǎng)絡(luò)流量 （如大于 10Gbps ）環(huán)境下的流量分析，讓用戶詳細(xì)、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。如果網(wǎng)絡(luò)設(shè)備不支持上述技術(shù)，則可通過端口鏡像

24、的方式，配合現(xiàn)流量采集和分析功能。H3CDIG 日志采集軟件實五、 ×××項目 NTA 解決方案部署請根據(jù)用戶網(wǎng)絡(luò)結(jié)構(gòu)選擇相應(yīng)方案杭州華三通信技術(shù)有限公司第 12頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書5.1.廣域網(wǎng)流量監(jiān)控方案廣域網(wǎng)分支流量監(jiān)控方案適用的網(wǎng)絡(luò)環(huán)境：針對一些有眾多分支機(jī)構(gòu)的大企業(yè)，或者是全國性質(zhì)的政府部門，往往都是一個總部，多個區(qū)域網(wǎng)絡(luò)，通過租用運營商的E1 、 155M POS線路相連，構(gòu)建了一個龐大的廣域網(wǎng)結(jié)構(gòu)。在這樣的網(wǎng)絡(luò)結(jié)構(gòu)中，由于連接總部和區(qū)域網(wǎng)絡(luò)的運營商的E1 線路，因此費用是比較昂貴的；同時這些E1 線路的帶寬也不像局域網(wǎng)已經(jīng)

25、升級到千兆或萬兆，還是只有2M 的基礎(chǔ)，最多也就是多個 E1 捆綁，達(dá)到幾十 MB 而已。因此作為總部的網(wǎng)絡(luò)管理部門，特別希望能了解當(dāng)前在廣域網(wǎng)中的應(yīng)用流量使用情況，及時調(diào)整各種業(yè)務(wù)的帶寬占用情況，以保障關(guān)鍵業(yè)務(wù)的正常運行。推薦使用的組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA ）。應(yīng)用組網(wǎng)圖：通過在總部的廣域網(wǎng)路由器上增加NetStream單板，并啟動對連接分支節(jié)點端口的NetStream統(tǒng)計功能，并在總部部署一套iMC NTA來分析和監(jiān)視廣域網(wǎng)中的應(yīng)用流量。杭州華三通信技術(shù)有限公司第13頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書可實現(xiàn)的功能：通過對總部廣域網(wǎng)路由器的流

26、量監(jiān)控，可實現(xiàn)所有分支網(wǎng)絡(luò)之間通信流量、分支和總部之間通信流量的整體監(jiān)控。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說， WAN 帶寬通常是有限的， 如果 WAN 鏈路上的流量增大， 通常企業(yè)的做法就是進(jìn)行投資以升級 WAN 鏈路，但是如果企業(yè)能掌握 WAN 流量的特征， 制定相應(yīng)的策略 （比如 QoS 和針對源或目的 IP 地址作流限制），就能使 WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級投資。iMC NTA 通過流量、應(yīng)用、會話、節(jié)點等幾大類預(yù)定義報表，提供準(zhǔn)實時的流量監(jiān)控和詳盡流量分析結(jié)果。幫助網(wǎng)絡(luò)管理員洞察 WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶

27、寬快速的作出快速響應(yīng)。網(wǎng)絡(luò)優(yōu)化同時通過 iMC NTA 可使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題。杭州華三通信技術(shù)有限公司第 14頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書廣域網(wǎng)分布式流量監(jiān)控方案適用的網(wǎng)絡(luò)環(huán)境：有眾多分支機(jī)構(gòu)的大企業(yè)，或者是全國性質(zhì)的政府部門，即一個總部，多個區(qū)域網(wǎng)絡(luò)，通過租用運營商的 E1 、 155M POS 線路相連，構(gòu)建一個龐大的廣域網(wǎng)結(jié)構(gòu)。推薦使用的組件：H3C iMC智能管理平臺、網(wǎng)絡(luò)流

28、量分析組件（NTA ）。應(yīng)用組網(wǎng)圖各分支機(jī)構(gòu)部署一套 iMC NTA ，實現(xiàn)分布式流量接收和分析處理，總部部署一套 iMC NTA 作為流量分析中心，實現(xiàn)統(tǒng)一的 Web 流量分析。通過多臺網(wǎng)流服務(wù)器分布式安裝建立大型園區(qū)網(wǎng)的區(qū)域化、層次化的流量分析管理系統(tǒng)，分散了大規(guī)模網(wǎng)絡(luò)的流量分析壓力?？蓪崿F(xiàn)的功能：本方案實現(xiàn)了大型網(wǎng)絡(luò)層次化、結(jié)構(gòu)化的分級流量監(jiān)控分析解決方案：杭州華三通信技術(shù)有限公司第 15頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書分布式流量檢測針對一個總部多個分支、跨廣域網(wǎng)的大型園區(qū)網(wǎng)，提供了分布式流量檢測能力：通過核心出口部署流量檢測點，實現(xiàn)對企業(yè)各分支之間、分支到總部應(yīng)用流量的

29、統(tǒng)計分析；通過在各分支部署流量檢測點實現(xiàn)各分支網(wǎng)絡(luò)內(nèi)部應(yīng)用流量的監(jiān)控。并以統(tǒng)一的 Web 界面展示全網(wǎng)總部和分支所有流量，實現(xiàn)層次化的分級流量監(jiān)控解決方案。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說， WAN 帶寬通常是有限的， 如果 WAN 鏈路上的流量增大， 通常企業(yè)的做法就是進(jìn)行投資以升級 WAN 鏈路，但是如果企業(yè)能掌握 WAN 流量的特征， 制定相應(yīng)的策略 （比如 QoS 和針對源或目的 IP 地址作流限制），就能使 WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級投資。iMC NTA 通過流量、應(yīng)用、會話、節(jié)點等幾大類預(yù)定義報表，提供準(zhǔn)實時的流量監(jiān)控和詳盡流量分析結(jié)果。幫助網(wǎng)絡(luò)管理

30、員洞察 WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶寬快速的作出快速響應(yīng)。網(wǎng)絡(luò)優(yōu)化同時通過 iMC NTA 可使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題5.2.局域網(wǎng)流量監(jiān)控方案局域網(wǎng)Internet出口流量監(jiān)控方案適用的網(wǎng)絡(luò)環(huán)境：對于大多數(shù)的局域網(wǎng)絡(luò)，都會連接到 Internet 網(wǎng)絡(luò)中，通過對僅能分析各種應(yīng)用占用出口帶寬的情況，還能監(jiān)視一些非工作需要的Internet 出口流量的監(jiān)控，不Int

31、ernet訪問，例如Web訪問、聊天等，提高工作效率。推薦使用組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA ）。應(yīng)用組網(wǎng)圖：在廣域網(wǎng)出口的路由器或者交換機(jī)上通過增加 NetStream （通常是 E1 、百兆）的 NetStream 統(tǒng)計功能，并在網(wǎng)絡(luò)中一套用的流量和個人 IP 地址的流量進(jìn)行分析和監(jiān)視。單板，并啟動對連接Internet 端口iMC NTA 實現(xiàn)對廣域網(wǎng)出口的應(yīng)杭州華三通信技術(shù)有限公司第 16頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書可實現(xiàn)的功能：網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇” 所在，并迅速解決問題。 利用NTA解決

32、方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正常的運行。網(wǎng)絡(luò)規(guī)劃參考利用 NetStream 流日志以及 NTA 長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。不支持 NetStream設(shè)備組網(wǎng)方案適用的網(wǎng)絡(luò)環(huán)境：對于大多數(shù)的局域網(wǎng)絡(luò)，都會連接到Internet網(wǎng)絡(luò)中，通過對Inter

33、net 出口流量的監(jiān)控，不僅能分析各種應(yīng)用占用出口帶寬的情況，還能監(jiān)視一些非工作需要的Internet訪問，例如BT 下載、聊天等，提高工作效率。 但網(wǎng)絡(luò)中的出口設(shè)備可能不支持NetStream 技術(shù)，不能通過 NetStream流日志實現(xiàn)對流量的監(jiān)控分析。杭州華三通信技術(shù)有限公司第 17頁H3C iMC網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書本方案通過DIG 探針型日志采集器采集網(wǎng)絡(luò)設(shè)備鏡像端口或TAP 分流器的原始流量，通過過濾聚合生成DIG 日志，并發(fā)送 iMC NTA 監(jiān)控分析網(wǎng)絡(luò)應(yīng)用流量，普遍適用于用戶需要對Internet出口帶寬進(jìn)行監(jiān)控，但出口設(shè)備不支持NetStream技術(shù)的組網(wǎng)環(huán)境。推

34、薦使用的組件：H3C iMC智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA ）、 DIG探針型日志采集器。應(yīng)用組網(wǎng)圖本方案通過在網(wǎng)絡(luò)出口設(shè)備啟用端口鏡像功能或部署TAP分流器，同時部署DIG探針型采集器實現(xiàn)對網(wǎng)絡(luò)出口的流量監(jiān)控?？蓪崿F(xiàn)的功能：網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇” 所在，并迅速解決問題。 利用NTA解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正常的運行！

35、網(wǎng)絡(luò)規(guī)劃參考杭州華三通信技術(shù)有限公司第 18頁H3C iMC 網(wǎng)絡(luò)流量分析方案技術(shù)方案建議書利用 NetStream 流日志以及 NTA 長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。附： NTA 特色流量分析功能介紹準(zhǔn)確的主機(jī)識別對于系統(tǒng)預(yù)定義報表Top 列表中出現(xiàn)的任何一個IP 地址，都支持通過點擊其相應(yīng)的主機(jī)識別圖標(biāo)來查詢該IP 對應(yīng)的 MAC 地址、主機(jī)名或域名信息， 提高網(wǎng)絡(luò)分析結(jié)果的透明性。在UAM 用戶接入組件作為AAA 服務(wù)器的組網(wǎng)環(huán)境中，還支持和UAM 系統(tǒng)聯(lián)動，查詢特定IPiMC地址對應(yīng)的用戶上網(wǎng)帳號、MAC地址、使用服務(wù)及上網(wǎng)時間等明細(xì)息。數(shù)據(jù)庫實時監(jiān)控iMC NTA 支持實時監(jiān)控系統(tǒng)數(shù)據(jù)庫使用狀態(tài)，包括數(shù)據(jù)庫已用/剩余空間監(jiān)視、磁盤已用/剩余空間監(jiān)視、磁盤使用空間設(shè)置、達(dá)到閾值后自動釋放磁盤空間等功能，幫助管理員全面實時掌握磁盤使用狀況，及時做出相應(yīng)處理，杜絕由于磁盤空間不足而造成系統(tǒng)性能和分析準(zhǔn)確性的影響。靈活的應(yīng)用自定義iMC NTA 支持使用從 NetStream 獲得的端口和協(xié)