網(wǎng)絡(luò)流量分析方案技術(shù)建議書

1、H3C iMC 網(wǎng)絡(luò)流量分析方案技 術(shù)方案建議書杭州華三通信技術(shù)有限公司1、 網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展 42、 網(wǎng)絡(luò)流量分析的重要性分析 53、 XX目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析 63.1. x x項(xiàng)目相關(guān)背景及需求信息 63.2. xx項(xiàng)目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)流量模型 64、 H3C iMC 網(wǎng)絡(luò)流量分析(NTA) 解決方案介紹 64.1. NTA 解決方案介紹 74.2. NTA 邏輯組成 74.3. NTA 報(bào)表功能 84.3.1. 預(yù)定義報(bào)表介紹 84.3.2. 七層應(yīng)用分析報(bào)表(DIG 采集方式支持) 1 14.3.3. 智能基線、自動告警 1 14.4. NTA 相關(guān)技術(shù)規(guī)范 12

2、5、 XXX項(xiàng)目 NTA解決方案部署 125.1. 廣域網(wǎng)流量監(jiān)控方案 135.1.1. 廣域網(wǎng)分支流量監(jiān)控方案 135.1.1.1. 適用的網(wǎng)絡(luò)環(huán)境： 135.1.1.2. 推薦使用的組件： 135.1.1.3. 應(yīng)用組網(wǎng)圖： 135.1.1.4. 可實(shí)現(xiàn)的功能： 145.1.2. 廣域網(wǎng)分布式流量監(jiān)控方案 155.1.2.1. 適用的網(wǎng)絡(luò)環(huán)境： 155.1.2.2. 推薦使用的組件： 155.1.2.3. 應(yīng)用組網(wǎng)圖 155.1.2.4. 可實(shí)現(xiàn)的功能： 155.2. 局域網(wǎng)流量監(jiān)控方案 165.2.1. 局域網(wǎng)Internet 出口流量監(jiān)控方案 1 65.2.1.1. 適用的網(wǎng)絡(luò)環(huán)境：

3、165.2.1.2. 推薦使用組件： 165.2.1.3. 應(yīng)用組網(wǎng)圖： 165.2.1.4. 可實(shí)現(xiàn)的功能： 175.2.2. 不支持NetStream 設(shè)備組網(wǎng)方案 1 75.2.2.1. 適用的網(wǎng)絡(luò)環(huán)境： 175.2.2.2. 推薦使用的組件： 1 85.2.2.3. 應(yīng)用組網(wǎng)圖 1 85.2.2.4. 可實(shí)現(xiàn)的功能： 1 8附：NTA 特色流量分析功能介紹 1 9準(zhǔn)確的主機(jī)識別 1 9數(shù)據(jù)庫實(shí)時監(jiān)控 1 9靈活的應(yīng)用自定義 19流量分析任務(wù)管理 20附：NETSTREAM 技術(shù)簡介 20網(wǎng)絡(luò)流量分析技術(shù)的現(xiàn)狀與發(fā)展隨著網(wǎng)絡(luò)的應(yīng)用越來越廣泛，規(guī)模越來越大，其承載的業(yè)務(wù)越來越豐富，了解網(wǎng)絡(luò)

4、承載的業(yè) 務(wù)，掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，是當(dāng)前網(wǎng)絡(luò)面臨的一大挑戰(zhàn)；另一方面， 網(wǎng)絡(luò)蠕蟲病毒、DoS/DDoS攻擊等在網(wǎng)絡(luò)中越來越流行，對網(wǎng)絡(luò)正常業(yè)務(wù)的負(fù)面危害也越來越大， 因此檢測威脅網(wǎng)絡(luò)安全的異常行為是當(dāng)前網(wǎng)絡(luò)面臨的另一大挑戰(zhàn)。絕大多數(shù)企業(yè)的IT管理部門都還沒有建設(shè)起一套能夠完全滿足上述管理需求的網(wǎng)絡(luò)及業(yè)務(wù) 流量和流向分析系統(tǒng)，大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如 MRTG ,利用SNMP協(xié)議對網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡單的端口級流量監(jiān)視和統(tǒng)計(jì)；或采用在網(wǎng)絡(luò)中部分重點(diǎn) POP點(diǎn)加裝RMON探針的方式，利用 RMON I/II協(xié)議對網(wǎng)絡(luò)中部分端口進(jìn)

5、行 網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。但是上述兩種被普遍采用的網(wǎng)絡(luò)流量分析系統(tǒng)都有其顯 著的技術(shù)局限性：1)利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個網(wǎng)絡(luò)端口進(jìn)出的數(shù)據(jù)包數(shù)和字節(jié)數(shù)進(jìn)行采集，但不會對信息進(jìn)行過濾，經(jīng)常是收集上許多無用信息。不但包括網(wǎng)絡(luò)層的客戶業(yè)務(wù)流量信息，還包括 鏈路層的數(shù)據(jù)幀包頭，Hello數(shù)據(jù)包，出錯后重新傳送的數(shù)據(jù)包等流量信息。而且 SNMP協(xié) 議還無法區(qū)分網(wǎng)絡(luò)層數(shù)據(jù)流量中各種不同類型客戶業(yè)務(wù)在總流量中的分布狀況，也無法對進(jìn) 出的流量進(jìn)行流向分析。2) 利用RMON協(xié)議對運(yùn)營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)SNMP協(xié)議的技術(shù)局限性，如可以對業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，但同時也暴露出新

6、的技術(shù)局限性。首先，由于RMON協(xié)議需要對網(wǎng)絡(luò)上傳送的每個數(shù)據(jù)幀進(jìn)行采集和分析，會消耗大量的CPU資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)，需要額外購買和安裝內(nèi)置式或外置式的RMON探針。市場上現(xiàn)有的 RMON探針處理能力也有限制， 還不能支持監(jiān)控端口速率超過IGbps的網(wǎng)絡(luò)端口。其次，因?yàn)镽MON探針為硬件設(shè)備，價(jià)格較貴，所以不可能為每臺網(wǎng)絡(luò)設(shè)備都配備，且由于RMON探針，特別是內(nèi)置式RMON探針，探針接入網(wǎng)絡(luò)后部署變更困難，必然會造成出現(xiàn)異常事件時無法 及時對特定的網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)控。最后，由于 RMON探針采集到的管理數(shù)據(jù)是由分析每個 數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī)制

7、，不易對數(shù)據(jù)進(jìn)行高 層次的流向分析。這些因素都會阻礙利用RMON協(xié)議對大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有效性。為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，企業(yè)IT管理部門迫切需要尋找一種功能豐富，成熟穩(wěn)定的新技術(shù)對現(xiàn)有管理系統(tǒng)中管理信息的采集和分析方式進(jìn)行改造和升 級。新的信息采集和分析技術(shù)還需要對企業(yè)的運(yùn)行網(wǎng)絡(luò)影響小，無需對網(wǎng)絡(luò)拓?fù)溥M(jìn)行改變就能平 滑升級。而且新的信息采集和分析技術(shù)應(yīng)該即可以對網(wǎng)絡(luò)中各個鏈路的帶寬使用率進(jìn)行統(tǒng)計(jì)，也 可以對每條鏈路上傳輸不同類型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。作為IT業(yè)界的網(wǎng)絡(luò)解決方案提供商，H3c不但提供了性能卓越的網(wǎng)絡(luò)設(shè)備，還配套研發(fā)了可以滿足客戶

8、對網(wǎng)絡(luò)流量和流向分析需求的NetStream技術(shù)，NetStream技術(shù)是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計(jì)與發(fā)布技術(shù)，它可以對網(wǎng)絡(luò)中的通信量和資源使用情況進(jìn)行分類和統(tǒng)計(jì)，基于各種業(yè) 務(wù)和應(yīng)用進(jìn)行分析。網(wǎng)絡(luò)流量分析的重要性隨著網(wǎng)絡(luò)規(guī)模的日漸增長，網(wǎng)絡(luò)中承載的業(yè)務(wù)也越來越豐富。企業(yè)需要及時的了解到網(wǎng)絡(luò)中 承載的業(yè)務(wù)，及時的掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，及時解決網(wǎng)絡(luò)性能問題。 目前企業(yè)在管理網(wǎng)絡(luò)當(dāng)中普遍遭遇到了如下的問題：1）網(wǎng)絡(luò)的可視性：網(wǎng)絡(luò)利用率如何？什么樣的程序正在網(wǎng)絡(luò)中運(yùn)行？主要用戶有哪些？網(wǎng) 絡(luò)中是否產(chǎn)生異常流量？有沒有長期的趨勢數(shù)據(jù)作為網(wǎng)絡(luò)帶寬規(guī)劃的參考？2）應(yīng)用的可視性：當(dāng)前網(wǎng)內(nèi)

9、有哪些應(yīng)用？分別產(chǎn)生了多少流量？網(wǎng)絡(luò)中應(yīng)用使用的模式是 什么？企業(yè)內(nèi)部重要應(yīng)用執(zhí)行狀況如何？3）用戶使用網(wǎng)絡(luò)模式的可視性：哪些用戶產(chǎn)生的流量最多？哪些服務(wù)器接收的流量最多？ 哪些會話產(chǎn)生了流量？分別使用了哪些應(yīng)用？X X項(xiàng)目網(wǎng)絡(luò)流量分析系統(tǒng)需求分析此處對XX項(xiàng)目背景進(jìn)行簡單介紹，主要目的是分析網(wǎng)絡(luò)流量分析的需求，建議內(nèi)容包括: 注：此處請項(xiàng)目人員根據(jù)具體的項(xiàng)目信息補(bǔ)充說明。3.1. x x項(xiàng)目相關(guān)背景及需求信息3.2. x X項(xiàng)目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)流量模型四、H3C IMC網(wǎng)絡(luò)流量分析（NTA）解決方案介紹H3C專注于IP產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠 道、

10、認(rèn)證培訓(xùn)體系，為您提供客戶化、特性豐富、性價(jià)比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng) 先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商，H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3c 智能管理中心（H3C Intelligent Management Center ,以下簡稱 H3C iMC ）。H3C智能管理中心解決方案架構(gòu)如下圖所示:«血«篝溫 切般期件 平臺框架EAD安全密A北等IMC基硼鈴舞IMC擊索管坪 1MC用入管理平臺近奈坡一屐海防何.尊硝南建紀(jì)例5NMPTTRADIUS漫音/饞摘文件展統(tǒng)外部費(fèi)口公判期忤后需裝置組件化H3C iMC解決方案架構(gòu)由上圖可以看出

11、H3c iMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務(wù)組件組成，管理平臺提供 網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管理、資源和拓?fù)涔芾淼?，而業(yè)務(wù)組件提供了相 應(yīng)的業(yè)務(wù)管理功能；各個業(yè)務(wù)組件相對獨(dú)立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具 有很強(qiáng)的可擴(kuò)展性和靈活性。4.1. NTA解決方案介紹iMC網(wǎng)絡(luò)流量分析（Network Traffic Analyzer, NTA） 解決方案可以幫助網(wǎng)絡(luò)管理人員了解企 業(yè)內(nèi)部網(wǎng)絡(luò)之運(yùn)行狀況，及時發(fā)現(xiàn)并解決網(wǎng)絡(luò)中的性能瓶頸問題、網(wǎng)絡(luò)異?，F(xiàn)象，也能方便用戶 進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶寬優(yōu)化等的參考，并方便網(wǎng)絡(luò)管理員及時解決網(wǎng)絡(luò)異常問 題。4.2.

12、 NTA邏輯組成iMC NTA解決方案包括：網(wǎng)絡(luò)設(shè)備、DIG日志采集器（可選）、iMC NTA網(wǎng)絡(luò)流量分析組件，三部分之間的關(guān)系如下圖所示：iMC NTA流量分析組件邏輯組成H3C配合H3C蝴路由器.交換機(jī)及新有支持浦口饋倩網(wǎng)喀役務(wù)克特WtVreon 訐多和日 志搭式流應(yīng)用”節(jié)點(diǎn)，會話四大類鍛 十種蒞制報(bào)表自動生成iMCMA1網(wǎng)密流量分析組件）網(wǎng)絡(luò)設(shè)備分析網(wǎng)綣報(bào)看推用稈帚一：；'場什常出壬五十佶息，解析網(wǎng)喧講國收隼G計(jì)& .利丈據(jù)庫，市的主-幅.產(chǎn)生流量推壬靈活的赤髭日百宙計(jì)P2P應(yīng)用流域監(jiān)控茸分析基于MAC,主機(jī)名的載據(jù)庫使用交間實(shí)8寸監(jiān)控聯(lián)動UAMf便上網(wǎng)明螭查海甌絡(luò)規(guī)劃.

13、M播優(yōu)化.帶葷E肝 寡的警考1）網(wǎng)絡(luò)設(shè)備提供NetStream 技術(shù)sFlow技術(shù)接口的網(wǎng)絡(luò)設(shè)備，負(fù)責(zé)對設(shè)備各個端口進(jìn)出的網(wǎng)絡(luò)報(bào)文進(jìn)行 流分類統(tǒng)計(jì)，然后生成日志并發(fā)送到流量分析服務(wù)器。2） DIG 日志采集器適用于配合不支持NetStream 技術(shù) sFlow 技術(shù)的網(wǎng)絡(luò)設(shè)備進(jìn)行流量分析的組網(wǎng)環(huán)境，DIG 日志采集器過濾和統(tǒng)計(jì)DIG 日志報(bào)文，形成DIG 日志輸出。DIG 采集器有以下兩種方式對網(wǎng)絡(luò)設(shè)備端口的數(shù)據(jù)報(bào)文進(jìn)行采集：1、 從鏡像端口采集對于支持端口鏡像功能的交換機(jī)、路由器設(shè)備，可以將鏡像端口直接同DIG 日志探針組件的采集網(wǎng)卡相連，實(shí)現(xiàn)數(shù)據(jù)采集。此類采集方式，需要設(shè)置設(shè)備鏡像端口，保

14、證鏡像端口和采集網(wǎng)卡的類型、帶寬匹配。2、 分流器采集在設(shè)備不支持鏡像端口的情況下，為了不影響設(shè)備性能，比較專業(yè)的采集方案是采用分流器，從設(shè)備端口接收網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。此方案通常應(yīng)用于光纖鏈路。3、 iMC NTA 網(wǎng)絡(luò)流量分析組件iMC NTA 網(wǎng)絡(luò)流量分析組件是本方案的核心，其根據(jù)不同應(yīng)用對采集來的流量數(shù)據(jù)進(jìn)行詳細(xì)的分析處理。采用將分布式數(shù)據(jù)先集中再分析的方法，實(shí)現(xiàn)了精細(xì)統(tǒng)計(jì)粒度的同時高效的分析樣本。為便于網(wǎng)絡(luò)管理人員的操作，采用基于Web 的直觀的、圖形化的管理界面。4.3. NTA 報(bào)表功能4.3.1. 預(yù)定義報(bào)表介紹使用 iMC NTA 可以簡化對企業(yè)網(wǎng)絡(luò)中帶寬使用的監(jiān)控。用戶借助Net

15、Stream 數(shù)據(jù)了解誰、何時占用了多少帶寬，使用多長時間，網(wǎng)絡(luò)流量來自何地、流向何處。iMC NTA 這些數(shù)據(jù)進(jìn)行多角度的統(tǒng)計(jì)和分析，并生成各種直觀的流量、帶寬報(bào)表。以便用戶快速診斷網(wǎng)絡(luò)問題并解決帶寬瓶頸，同時作為用戶進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)設(shè)備投資、網(wǎng)絡(luò)帶寬優(yōu)化等的參考。iMC NTA 提供了一系列預(yù)置的流量、帶寬報(bào)表，所有報(bào)表均可以靈活定制過濾條件（包括應(yīng)用類別、源IP、目的IP等），在預(yù)定義報(bào)表中按照定制的過濾條件顯示特定應(yīng)用的流量趨勢或 特定節(jié)點(diǎn)的流量明細(xì)信息。通過預(yù)置報(bào)表可以簡單有效地分析網(wǎng)絡(luò)流量。可以了解造成帶寬瓶頸的某個特定主機(jī)、應(yīng)用或會話的詳細(xì)信息。這將便于快速了解當(dāng)前哪些鏈路堵塞

16、，并分析其原因。另外，不同時間段的使用趨勢有助于用戶在帶寬投資或加強(qiáng)安全策略方面做出重要的決定，促進(jìn)有效地使用帶寬?？傮w流量趨勢報(bào)表此類報(bào)表用于查看特定時間段內(nèi)每個啟用NetStream的接口指定時間段內(nèi)的出、入流量、最大、最小和平均速率、 流量時間變化趨勢及對應(yīng)的流量明細(xì)信息。利用這些流量統(tǒng)計(jì)數(shù)據(jù)，任何時間段內(nèi)通過特定接口的 流量信息可以一覽無余，短期（如當(dāng)天）內(nèi)的流量數(shù)據(jù)可 作為發(fā)現(xiàn)異常流量的參考，長期（如一季度）流量趨勢數(shù) 據(jù)可以為您網(wǎng)絡(luò)優(yōu)化或升級規(guī)劃提供依據(jù)。應(yīng)用帶寬占用趨勢報(bào)表此類報(bào)表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，各網(wǎng)絡(luò)應(yīng)用占用帶寬的比例的變化趨勢

17、及應(yīng)用統(tǒng)計(jì)概況。并進(jìn)一步分析使用該應(yīng)用進(jìn)行通訊的流 量最大的來源和目的地址列表。對系統(tǒng)不能識別的應(yīng)用，以四層協(xié)議+端口號的方式顯 示流量趨勢信息，分別提供以端口、源IP、目的IP為分組依據(jù)的未知應(yīng)用流量分布圖，分別基于未知應(yīng)用的端口、 源IP、目的IP的流量趨勢變化圖和未知應(yīng)用流量詳細(xì)信息 列表，并提供把分布圖中顯示的未知應(yīng)用定義為已知應(yīng)用 的快捷功能。利用報(bào)表統(tǒng)計(jì)數(shù)據(jù)可以了解哪些應(yīng)用占用最大帶寬。進(jìn) 一步分析使用這些應(yīng)用的源和目的。只需簡單點(diǎn)擊，這些 詳細(xì)信息即可呈現(xiàn)-誰在使用帶寬、使用何種協(xié)議，幫助 用戶實(shí)時監(jiān)控網(wǎng)絡(luò)帶寬的使用，為網(wǎng)絡(luò)帶寬優(yōu)化、解決網(wǎng) 絡(luò)異常問題提供依據(jù)。流重取Wj下點(diǎn)報(bào)表

18、包括“流量最高的來源節(jié)點(diǎn)報(bào)表”和“流量最高的 目的節(jié)點(diǎn)報(bào)表”。此類報(bào)表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，總流量TopN的網(wǎng)絡(luò)節(jié)點(diǎn)及流量 統(tǒng)計(jì)信息。進(jìn)一步可分析特定節(jié)點(diǎn)的流量，如使用最多 的應(yīng)用和與之通信最多的節(jié)點(diǎn)。利用此類報(bào)表數(shù)據(jù)，可掌握哪些主機(jī)消耗了大量帶 寬，并可以深入分析使用了哪些應(yīng)用、訪問了哪些目標(biāo)。流量最高的會話報(bào)表此類報(bào)表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，總流量TopN的網(wǎng)絡(luò)節(jié)點(diǎn)間會話 及流量統(tǒng)計(jì)信息。進(jìn)一步可分析該會話的流量，如會話 的流量趨勢和雙方節(jié)點(diǎn)使用最多的應(yīng)用。此類報(bào)表數(shù)據(jù)，展示了耗盡大量帶寬的特定主機(jī)， 并可以

19、此為依據(jù)深入分析通信的主機(jī)之間使用了哪些應(yīng) 用。支持周期報(bào)表提供網(wǎng)絡(luò)流量周期性提供直觀的網(wǎng)流狀態(tài)展示。（每小時、每日、每周、每月）狀態(tài)的綜合報(bào)表,流量最高的節(jié)點(diǎn)和會話報(bào)表將幫助管理員洞察網(wǎng) 絡(luò)鏈路的用戶使用狀況，制定相應(yīng)的策略，使帶寬得到 最合理最充分的使用。支持即時報(bào)表提供網(wǎng)絡(luò)流量當(dāng)前狀態(tài) （最近一小時）的綜合報(bào)表，提供準(zhǔn)實(shí)時的網(wǎng)絡(luò)流量展不。4.3.2. 七層應(yīng)用分析報(bào)表（DIG采集方式支持）iMC NTA 支持按照特征碼識別 BT、Kazaa、DC 通訊、eDonkey、Gnutella、QQ 文字、MSN 文字通訊、迅雷、AIM等十余種目前流行的 P2P和即時通信應(yīng)用，對識別的七層應(yīng)用提

20、供應(yīng)用帶 寬占用趨勢等預(yù)定義報(bào)表，具體可參見報(bào)表功能介紹部分，同時用戶可以根據(jù)特征碼自行定義關(guān) 心的七層應(yīng)用。曲用修餐占舞圖w4.3.3. 智能基線、自動告警基線的建立對于網(wǎng)絡(luò)流量分析，尤其是異常流量的檢測具有重要意義。基線描述了正常情況下鏈路的流量分布和變化規(guī)律?；€功能可以通過對一個指定時間周期內(nèi)各項(xiàng)流量指標(biāo)的定義（如總體網(wǎng)絡(luò)流量水平、流量波動、流量跳變等），建立流量異常監(jiān)測的基礎(chǔ)模型，并可在運(yùn)行中不斷自我修正，完成與實(shí)際運(yùn)行特征的吻合，從而提高對異常流量報(bào)警的準(zhǔn)確性，幫助用戶及時發(fā)現(xiàn) 系統(tǒng)異常。NTA采用了獨(dú)創(chuàng)的壞值剔除技術(shù)和高精度的基線構(gòu)造算法，以周為單位整理歷史流量信息， 智能化自動

21、生成流量基線，準(zhǔn)確反映網(wǎng)絡(luò)總體流量基準(zhǔn)，動態(tài)衡量網(wǎng)絡(luò)總體流量水平。同時以每 天為更新周期，在午夜 00： 00重新自動計(jì)算生成新的基線模型，保證基線能夠更加準(zhǔn)確的貼近 網(wǎng)絡(luò)實(shí)際運(yùn)行狀況?；€的建立便于用戶及時發(fā)現(xiàn)網(wǎng)絡(luò)異常流量，NTA基于基線實(shí)時檢測流量突變狀態(tài)，并采用零均值化、二階自回歸模型 AR（2）等高準(zhǔn)確性的數(shù)學(xué)模型，在無序的流量運(yùn)行狀態(tài)中準(zhǔn)確分辨網(wǎng) 絡(luò)異常流量，流量發(fā)生異常偏離時自動告警。同時 NTA依才iMC平臺支持豐富的告警方式，通 過聲光、短信、郵件等多種方式通知管理員，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量。這樣帶來的好處是用戶可以根據(jù)基線來判斷網(wǎng)絡(luò)是否正常。如：網(wǎng)絡(luò)中有突發(fā)的Flood攻擊

22、時，網(wǎng)絡(luò)可能并不會立即癱瘓，但是網(wǎng)絡(luò)流量一定會發(fā)生異常，與正常情況下對應(yīng)時刻基線差別 會很大，這時通過基線及時檢測異常流量，可以及時發(fā)現(xiàn)問題。4.4. NTA相關(guān)技術(shù)規(guī)范NTA通過接收網(wǎng)絡(luò)設(shè)備的流量日志，處理分析形成流量分析報(bào)表，并以 Web方式展現(xiàn)給用 戶。網(wǎng)絡(luò)設(shè)備流量日志需遵循的技術(shù)規(guī)范如下：1. NetSteam 技術(shù)：NetStream 是H3c公司基于“流”的概念，定義的一種用于路由器/交換機(jī)輸出網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)方法，它可以回答有關(guān)IP流量的如下問題：誰在什么時間、在什么地方、使用何種協(xié)議、訪問誰、具體的流量是多少等問題。2. sFlow技術(shù)：sFlow是由InMon、HP和Fou

23、ndry Networks聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技 術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可以適應(yīng)超大網(wǎng)絡(luò)流量（如大于10Gbps ）環(huán)境下的流量分析，讓用戶詳細(xì)、實(shí)時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。如果網(wǎng)絡(luò)設(shè)備不支持上述技術(shù)，則可通過端口鏡像的方式，配合 H3C DIG日志采集軟件實(shí) 現(xiàn)流量采集和分析功能。五、x x X項(xiàng)目NTA解決方案部署請根據(jù)用戶網(wǎng)絡(luò)結(jié)構(gòu)選擇相應(yīng)方案5.1. 廣域網(wǎng)流量監(jiān)控方案5.1.1. 廣域網(wǎng)分支流量監(jiān)控方案5.1.1.1. 適用的網(wǎng)絡(luò)環(huán)境：針對一些有眾多分支機(jī)構(gòu)的大企業(yè)，或者是全國性質(zhì)的政府部門，往往都是一個總部，多個區(qū)域網(wǎng)絡(luò)，通過租用運(yùn)營商的E1 、 155M

24、 POS 線路相連，構(gòu)建了一個龐大的廣域網(wǎng)結(jié)構(gòu)。在這樣的網(wǎng)絡(luò)結(jié)構(gòu)中，由于連接總部和區(qū)域網(wǎng)絡(luò)的運(yùn)營商的E1 線路，因此費(fèi)用是比較昂貴的；同時這些E1 線路的帶寬也不像局域網(wǎng)已經(jīng)升級到千兆或萬兆，還是只有2M 的基礎(chǔ)，最多也就是多個E1 捆綁，達(dá)到幾十MB 而已。因此作為總部的網(wǎng)絡(luò)管理部門，特別希望能了解當(dāng)前在廣域網(wǎng)中的應(yīng)用流量使用情況，及時調(diào)整各種業(yè)務(wù)的帶寬占用情況，以保障關(guān)鍵業(yè)務(wù)的正常運(yùn)行。5.1.1.2. 推薦使用的組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA）。5.1.1.3. 應(yīng)用組網(wǎng)圖：通過在總部的廣域網(wǎng)路由器上增加NetStream 單板，并啟動對連接分支節(jié)點(diǎn)端口的N

25、etStream 統(tǒng)計(jì)功能，并在總部部署一套iMC NTA 來分析和監(jiān)視廣域網(wǎng)中的應(yīng)用流量。5.1.1.4. 可實(shí)現(xiàn)的功能：通過對總部廣域網(wǎng)路由器的流量監(jiān)控，可實(shí)現(xiàn)所有分支網(wǎng)絡(luò)之間通信流量、分支和總部之間 通信流量的整體監(jiān)控。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說，WAN帶寬通常是有限的，如果WAN鏈路上的流量增大，通常企業(yè)的做 法就是進(jìn)行投資以升級 WAN鏈路，但是如果企業(yè)能掌握 WAN流量的特征，制定相應(yīng)的策略（比 如QoS和針對源或目的IP地址作流限制），就能使 WAN帶寬得到最合理最充分的使用，避免 進(jìn)行不必要的升級投資。iMC NTA通過流量、應(yīng)用、會話、節(jié)點(diǎn)等幾大類預(yù)定義報(bào)表，提供準(zhǔn)實(shí)

26、時的流量監(jiān)控和詳盡 流量分析結(jié)果。幫助網(wǎng)絡(luò)管理員洞察WAN鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶寬快速的作出快速響應(yīng)。網(wǎng)絡(luò)優(yōu)化同時通過iMC NTA可使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早 發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最 優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題。5.1.2. 廣域網(wǎng)分布式流量監(jiān)控方案5.1.2.1. 適用的網(wǎng)絡(luò)環(huán)境：有眾多分支機(jī)構(gòu)的大企業(yè)，或者是全國性質(zhì)的政府部門，即一個總部，多個區(qū)域網(wǎng)絡(luò)，通過 租用運(yùn)營商的E1、155M POS線路相連，構(gòu)建一

27、個龐大的廣域網(wǎng)結(jié)構(gòu)。5.1.2.2. 推薦使用的組件：H3C iMC智能管理平臺、網(wǎng)絡(luò)流量分析組件（ NTA）。5.1.2.3. 應(yīng)用組網(wǎng)圖各分支機(jī)構(gòu)部署一套iMC NTA,實(shí)現(xiàn)分布式流量接收和分析處理，總部部署一套 iMC NTA 作為流量分析中心，實(shí)現(xiàn)統(tǒng)一的Web流量分析。通過多臺網(wǎng)流服務(wù)器分布式安裝建立大型園區(qū)網(wǎng)的區(qū)域化、層次化的流量分析管理系統(tǒng)，分散了大規(guī)模網(wǎng)絡(luò)的流量分析壓力。5.1.2.4. 可實(shí)現(xiàn)的功能:本方案實(shí)現(xiàn)了大型網(wǎng)絡(luò)層次化、結(jié)構(gòu)化的分級流量監(jiān)控分析解決方案:分布式流量檢測針對一個總部多個分支、跨廣域網(wǎng)的大型園區(qū)網(wǎng)，提供了分布式流量檢測能力：通過核心出口部署流量檢測點(diǎn)，實(shí)現(xiàn)對

28、企業(yè)各分支之間、分支到總部應(yīng)用流量的統(tǒng)計(jì)分析；通過在各分支部署流量檢測點(diǎn)實(shí)現(xiàn)各分支網(wǎng)絡(luò)內(nèi)部應(yīng)用流量的監(jiān)控。并以統(tǒng)一的Web 界面展示全網(wǎng)總部和分支所有流量，實(shí)現(xiàn)層次化的分級流量監(jiān)控解決方案。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說，WAN 帶寬通常是有限的，如果 WAN 鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級WAN 鏈路， 但是如果企業(yè)能掌握WAN 流量的特征，制定相應(yīng)的策略（比如 QoS 和針對源或目的IP 地址作流限制），就能使WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級投資。iMC NTA 通過流量、應(yīng)用、會話、節(jié)點(diǎn)等幾大類預(yù)定義報(bào)表，提供準(zhǔn)實(shí)時的流量監(jiān)控和詳盡流量分析

29、結(jié)果。幫助網(wǎng)絡(luò)管理員洞察WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶寬快速的作出快速響應(yīng)。網(wǎng)絡(luò)優(yōu)化同時通過iMC NTA 可使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題5.2. 局域網(wǎng)流量監(jiān)控方案5.2.1. 局域網(wǎng) Internet 出口流量監(jiān)控方案5.2.1.1. 適用的網(wǎng)絡(luò)環(huán)境：對于大多數(shù)的局域網(wǎng)絡(luò)，都會連接到Internet 網(wǎng)絡(luò)中，通過對Internet 出口流量的監(jiān)控，不僅能分析各種應(yīng)用

30、占用出口帶寬的情況，還能監(jiān)視一些非工作需要的Internet 訪問，例如Web訪問、聊天等，提高工作效率。5.2.1.2. 推薦使用組件：H3C iMC 智能管理平臺、網(wǎng)絡(luò)流量分析組件（NTA）。5.2.1.3. 應(yīng)用組網(wǎng)圖：在廣域網(wǎng)出口的路由器或者交換機(jī)上通過增加NetStream 單板， 并啟動對連接Internet 端口（通常是E1 、百兆）的NetStream 統(tǒng)計(jì)功能，并在網(wǎng)絡(luò)中一套iMC NTA 實(shí)現(xiàn)對廣域網(wǎng)出口的應(yīng)用的流量和個人IP 地址的流量進(jìn)行分析和監(jiān)視。I5.2.1.4. 可實(shí)現(xiàn)的功能:網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇”所在，并迅速解決問題

31、。利用NTA解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長 或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò) 運(yùn)轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正 常的運(yùn)行。網(wǎng)絡(luò)規(guī)劃參考利用NetStream 流日志以及NTA長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報(bào)表，有助于網(wǎng)絡(luò)管 理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口 或使用更高帶寬的接口）。5.2.2. 不支持NetStream 設(shè)備組網(wǎng)方案5.2.2.1. 適用的網(wǎng)絡(luò)環(huán)境：對于大多數(shù)的局域網(wǎng)絡(luò)

32、，都會連接到Internet網(wǎng)絡(luò)中，通過對Internet出口流量的監(jiān)控，不僅能分析各種應(yīng)用占用出口帶寬的情況，還能監(jiān)視一些非工作需要的Internet訪問，例如BT下載、聊天等，提高工作效率。但網(wǎng)絡(luò)中的出口設(shè)備可能不支持NetStream技術(shù)，不能通過NetStream流日志實(shí)現(xiàn)對流量的監(jiān)控分析。本方案通過DIG探針型日志采集器采集網(wǎng)絡(luò)設(shè)備鏡像端口或TAP分流器的原始流量，通過過濾聚合生成DIG日志，并發(fā)送iMC NTA監(jiān)控分析網(wǎng)絡(luò)應(yīng)用流量，普遍適用于用戶需要對Internet出口帶寬進(jìn)行監(jiān)控，但出口設(shè)備不支持NetStream 技術(shù)的組網(wǎng)環(huán)境。5222推薦使用的組件：H3C iMC智能管理

33、平臺、網(wǎng)絡(luò)流量分析組件（ NTA）、DIG探針型日志采集器。5.223. 應(yīng)用組網(wǎng)圖本方案通過在網(wǎng)絡(luò)出口設(shè)備啟用端口鏡像功能或部署TAP分流器，同時部署 DIG探針型采集器實(shí)現(xiàn)對網(wǎng)絡(luò)出口的流量監(jiān)控。5.224. 可實(shí)現(xiàn)的功能：網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇”所在，并迅速解決問題。利用NTA解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長 或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò) 運(yùn)轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正 常的運(yùn)行！網(wǎng)絡(luò)規(guī)

34、劃參考利用NetStream 流日志以及NTA長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報(bào)表，有助于網(wǎng)絡(luò)管 理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口 或使用更高帶寬的接口）。附：NTA特色流量分析功能介紹準(zhǔn)確的主機(jī)識別對于系統(tǒng)預(yù)定義報(bào)表 Top列表中出現(xiàn)的任何一個 IP地址，都支持通過點(diǎn)擊其相應(yīng)的主機(jī)識別圖標(biāo)來查詢該IP對應(yīng)的MAC地址、主機(jī)名或域名信息，提高網(wǎng)絡(luò)分析結(jié)果的透明性。 在iMC UAM用戶接入組件作為 AAA服務(wù)器的組網(wǎng)環(huán)境中，還支持和 UAM系統(tǒng)聯(lián)動，查詢特定IP地址 對應(yīng)的用戶上網(wǎng)帳號、MAC地址、使用服務(wù)及上網(wǎng)時間等明細(xì)息。組網(wǎng)環(huán)境中存在

35、iM C UAM作為 AAAJK務(wù)器ItsI*戶嘰*t加櫓MH口酬而|T1'確圜壯庭Me“就泗川*蜀1I3FDS注中此*情W'WNIKlSi圜討EMC的就Ml加不修時修”MM軸C MT 秘?cái)?shù)據(jù)庫實(shí)時監(jiān)控iMC NTA支持實(shí)時監(jiān)控系統(tǒng)數(shù)據(jù)庫使用狀態(tài)，包括數(shù)據(jù)庫已用/剩余空間監(jiān)視、磁盤已用 /剩余空間監(jiān)視、磁盤使用空間設(shè)置、達(dá)到閾值后自動釋放磁盤空間等功能，幫助管理員全面實(shí)時掌 握磁盤使用狀況，及時做出相應(yīng)處理，杜絕由于磁盤空間不足而造成系統(tǒng)性能和分析準(zhǔn)確性的影 響。靈活的應(yīng)用自定義iMC NTA支持使用從NetStream獲得的端口和協(xié)議數(shù)據(jù)來定義應(yīng)用，系統(tǒng)預(yù)定義的常用應(yīng) 用有Netmeeting、Microsoft ds等近三百種。另外還可以通過結(jié)合端口和協(xié)議來添加自定義的應(yīng) 用或修改現(xiàn)有應(yīng)用。應(yīng)用定義管理功能不僅便于企業(yè)監(jiān)控常用應(yīng)用的流量，更為用戶監(jiān)控企業(yè)特 有應(yīng)用的帶寬利用情況提供了方便。流量分析任務(wù)管理通過iMC NTA中的接口分組管理功能，可將同一臺設(shè)備的多個接口或分布在不同設(shè)備的幾 個接口邏輯定義為一個接口組，對接口組整體的應(yīng)用流量進(jìn)行分析；同時支持將一個或多個IP地址段、一個或多個相關(guān)聯(lián)的接口、特定的協(xié)議（目前支持