網(wǎng)絡流量分析解決方案

1、網(wǎng)絡流量分析網(wǎng)絡流量分析楊林海v網(wǎng)絡流量分析是一個有助于網(wǎng)絡管理者進行網(wǎng)絡流量分析是一個有助于網(wǎng)絡管理者進行網(wǎng)絡規(guī)劃、網(wǎng)絡優(yōu)化、網(wǎng)絡監(jiān)控、流量趨勢網(wǎng)絡規(guī)劃、網(wǎng)絡優(yōu)化、網(wǎng)絡監(jiān)控、流量趨勢分析等工作的工具，通過對網(wǎng)絡信息流分析等工作的工具，通過對網(wǎng)絡信息流（NetStream）的采集并分析可幫助網(wǎng)絡管）的采集并分析可幫助網(wǎng)絡管理者得到網(wǎng)絡流量的準確信息，為網(wǎng)絡的正理者得到網(wǎng)絡流量的準確信息，為網(wǎng)絡的正常、穩(wěn)定、可靠運行提供保障。常、穩(wěn)定、可靠運行提供保障。流量分析方案背景流量分析方案背景v網(wǎng)絡的可視性網(wǎng)絡的可視性v網(wǎng)絡利用率如何？v什么樣的程序在網(wǎng)絡中運行？v主要用戶有哪些？v網(wǎng)絡中是否產(chǎn)生異常流

2、量？v有沒有長期的趨勢數(shù)據(jù)用作網(wǎng)絡帶寬規(guī)劃？v當前網(wǎng)內(nèi)有哪些應用？v分別產(chǎn)生了多少流量？v網(wǎng)絡中應用使用的模式是什么？v企業(yè)內(nèi)部重要應用執(zhí)行狀況如何？v用戶使用網(wǎng)絡模式的可視性：v哪些用戶產(chǎn)生的流量最多？v哪些服務器接收的流量最多？v哪些會話產(chǎn)生了流量？v分別使用了哪些應用？Net Stream技術介紹技術介紹 “流”概念Net Stream的流定義為：由源到目的方向的一系列單向的數(shù)據(jù)包。vNet Stream流是通過7元組來標識的，即通過接口索引、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議號和ToS組成的七元組確定一個Net Stream流，設備根據(jù)七元組信息對過往的數(shù)據(jù)包進行Ne

3、t Stream統(tǒng)計。分析下圖中四條流：上圖包括的四種數(shù)據(jù)流v 從Client A到WWW Server方向通信時產(chǎn)生的流； v 從WWW Server到Client A方向通信時產(chǎn)生的流；v 從Client B到FTP Server方向通信時產(chǎn)生的流；v 從FTP Server到Client B方向通信時產(chǎn)生的流；v從上例中可以很容易地理解，流是單向的，同時流也是基于協(xié)議的。v形象地說，通過NetStream流可以記錄下來網(wǎng)絡中who、what、when、where、how。Net Stream技術 路由器路由器/交換機交換機統(tǒng)計數(shù)據(jù)統(tǒng)計數(shù)據(jù)路由器路由器/交換機交換機對對IP包統(tǒng)計分析包統(tǒng)計

4、分析網(wǎng)流采集器網(wǎng)流采集器網(wǎng)流分析器網(wǎng)流分析器數(shù)據(jù)庫數(shù)據(jù)庫進一步分析處理進一步分析處理vNet Stream技術可利用網(wǎng)絡中數(shù)據(jù)流創(chuàng)造價值，并可在最大限度減小對路由器/交換機性能影響的前提下提供詳細的數(shù)據(jù)流統(tǒng)計信息。NTA解決方案解決方案 vNetwork Traffic Analysis解決方案包括：v網(wǎng)流采樣設備（NTE）（Net Traffic Exporter）：采集和發(fā)送 v網(wǎng)流流采集設備NTC（Net Traffic Collector）：流量統(tǒng)計 v數(shù)據(jù)分析處理設備NTP（Net Traffic Processor）：直觀的圖表、報表 Net Traffic Exporter：網(wǎng)流

5、采樣設備v提供Net Stream技術接口的網(wǎng)絡設備（路由器和交換機及的路由器），負責對設備各個端口進出的網(wǎng)絡報文進行流分類統(tǒng)計，然后打包輸出。v作為支持NetStream的網(wǎng)絡設備，首先需要打開網(wǎng)絡設備的偵聽端口，然后配置將NetStream日志要發(fā)送到哪個IP的哪個端口（即NTC設備的監(jiān)聽端口）。這樣，設備就會把NetStream日志以UDP包的形式發(fā)往NTC，而NTC則可從偵聽端口源源不斷的接收NetStream日志。Net Traffic Collector：網(wǎng)流采集設備vNTC可以采集多個NTE設備輸出的數(shù)據(jù)，對數(shù)據(jù)進行過濾和聚合，并將數(shù)據(jù)存儲在數(shù)據(jù)庫中供分析處理。vNetStrea

6、m日志被NTC設備采集到之后，將會做聚合處理，這樣可減少最終存入數(shù)據(jù)庫的的數(shù)據(jù)量，并提高了分析的效率；同時，NTC設備也會對存入數(shù)據(jù)庫的數(shù)據(jù)作進一步的統(tǒng)計處理，以便快速產(chǎn)生各類分析報表。Net Traffic Processor ：數(shù)據(jù)分析處理設備vNTP是一個網(wǎng)絡流量的分析工具，對采集來的流量數(shù)據(jù)進行分析處理。為便于網(wǎng)絡管理人員的操作，采用基于Web形式訪問，提供直觀的、圖形化的管理界面，所有數(shù)據(jù)輸出都以友好的形式直接在Web頁面中顯示。vNTP對NTC生成的所有數(shù)據(jù)進行分析，對數(shù)據(jù)進行二次聚合、統(tǒng)計分析，分析的結果以非常直觀的圖表、表格等形式展示給用戶，通過這些分析結果，用戶可以監(jiān)控網(wǎng)絡使

7、用狀況、應用使用狀況、用戶網(wǎng)絡訪問行為，并可監(jiān)控到流量異常狀況以便用戶進一步做分析。報表功能 v用戶可根據(jù)統(tǒng)計分析的需求，自定義報表生成規(guī)則，由報表引擎生成報表，并將統(tǒng)計分析的結果以餅圖、曲線圖、統(tǒng)計信息表格等直觀的形態(tài)展示出來。v報表展示 v流量統(tǒng)計報表-給出一段時間內(nèi)入出流量的趨勢圖，以及按入出流量統(tǒng)計總流量、最大速率、最小速率、平均速率，并給出流量明細信息：v應用統(tǒng)計報表-給出一段時間內(nèi)流入、流出的各種應用以及趨勢圖。v應用明細報表-給出應用統(tǒng)計報表中某個應用的明細信息，包含該應用的趨勢、使用該應用源節(jié)點以及目的節(jié)點應用統(tǒng)計報表-給出一段時間內(nèi)流入、流出的各種應用以及趨勢圖。 v來源統(tǒng)計

8、報表-給出一段時間內(nèi)，作為源IP的各個節(jié)點產(chǎn)生的流量的信息。以餅圖的形式展示，并給出產(chǎn)生流量最多的節(jié)點： v來源明細報表-給出來源統(tǒng)計報表中某個節(jié)點的明細信息。并給出與源節(jié)點通信的top目的節(jié)點以及與源節(jié)點通信的top應用 v目的統(tǒng)計報表-給出一段時間內(nèi)，作為目的IP的各個節(jié)點接收的流量的統(tǒng)計信息。以餅圖的形式展示，并給出接收流量最多的節(jié)點 v目的明細報表-給出目的統(tǒng)計報表中某個節(jié)點的明細信息。并給出與目的節(jié)點通信的top目的節(jié)點以及與目的點通信的top應用 v會話統(tǒng)計報表-給出會話節(jié)點流量TOP分布圖，以及會話節(jié)點流量TOP列表 v會話明細報表給出會話統(tǒng)計報表中，某對IP之間在一段時間內(nèi)產(chǎn)生

9、的流量的趨勢，并給出這對IP之間通信所使用的應用vDIG采集設備采集設備vDIG采集設備針對一些不支持Net Stream技術的網(wǎng)絡設備，有一種DIG采集設備，只要網(wǎng)絡設備支持端口鏡像，DIG采集設備能直接從鏡像端口收集網(wǎng)絡流量信息，并形成DIG日志提供給NTC/NTP進行流量分析。vDIG采集設備DIG日志采集器所需要做的工作是把流經(jīng)設備端口的數(shù)據(jù)報文中，按照DIG日志的數(shù)據(jù)格式對數(shù)據(jù)報文進行過濾和統(tǒng)計，最終形成DIG日志輸出。 DIG采集設備采集類型v1、 從鏡像端口采集v對于支持鏡像端口的交換機、路由器設備，可以將鏡像端口直接同DIG日志探針組件的采集網(wǎng)卡相連，實現(xiàn)數(shù)據(jù)采集。此類采集方式

10、，需要設置設備鏡像端口，保證鏡像端口和采集網(wǎng)卡的類型匹配、帶寬匹配。DIG采集設備采集類型v2、 分流器采集在設備不支持鏡像端口的情況下，為了不影響設備性能，比較專業(yè)的采集方案是采用分流器，從設備端口接收網(wǎng)絡數(shù)據(jù)報文。此方案通常應用于光纖鏈路，價格高昂。 3、 共享式HUB采集v對于不支持端口鏡像的設備，且需要監(jiān)控的端口帶寬小于100M的情況下，可以使用共享式HUB實現(xiàn)對端口數(shù)據(jù)的采集。但這種方式很容易引起網(wǎng)絡單點故障，不推薦使用。NTA解決方案的典型組網(wǎng)解決方案的典型組網(wǎng)vNetStream日志可以開啟在路由器中、匯聚層/核心層交換機中。NTA的應用場景的應用場景vNet Stream技術定

11、義了一種路由器/交換機向管理系統(tǒng)輸出流量數(shù)據(jù)的方法，通過采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺中的其他網(wǎng)絡和應用性能指標建立關系，對網(wǎng)絡運行狀態(tài)進行管理。vWho：誰（IP）使用了網(wǎng)絡？vWhat：網(wǎng)絡流量的類型是什么？vWhen：在什么時間使用網(wǎng)絡，使用了多長時間？vWhere：網(wǎng)絡流量流向何處？v利用NTA網(wǎng)流分析系統(tǒng)對這些數(shù)據(jù)進行統(tǒng)計分析，就能從中提取出網(wǎng)絡流量特征，從而為網(wǎng)絡管理員提供一張豐富而詳盡的網(wǎng)絡利用視圖。 網(wǎng)絡優(yōu)化 v通過NTA解決方案，可以使網(wǎng)絡管理員及時掌握網(wǎng)絡負載狀況，網(wǎng)內(nèi)應用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡結構的不合理，或是網(wǎng)絡性能瓶頸，盡快作出網(wǎng)絡優(yōu)化方面的決斷，使

12、網(wǎng)絡帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡服務，并且避免了網(wǎng)絡帶寬和服務器瓶頸問題。網(wǎng)絡優(yōu)化 網(wǎng)絡規(guī)劃參考 v利用NetStream流日志以及NTA長期監(jiān)控網(wǎng)絡帶寬而形成的各類趨勢報表，有助于網(wǎng)絡管理員跟蹤和預測網(wǎng)絡鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡升級（例如，增加路由服務、端口或使用更高帶寬的接口）。WAN流量監(jiān)測 v對于一個企業(yè)來說，WAN帶寬通常是有限的，如果WAN鏈路上的流量增大，通常企業(yè)的做法就是進行投資以升級WAN鏈路v但是如果企業(yè)能掌握WAN流量的特征，制定相應的策略（比如QoS和針對源或目的IP地址作流限制），就能使WAN帶寬得到最合理最充分的使用，避免進行不必要的升級投資v

13、而NTA解決方案所提供的分析結果能夠使網(wǎng)絡管理員洞察WAN鏈路的流量特征、承載的應用、用戶使用狀況，從而針對是否應投資升級帶寬快速的作出快速響應！網(wǎng)絡流量異常監(jiān)測 v網(wǎng)絡管理員都希望在網(wǎng)絡性能突然下降的時候找到“真兇”所在，并迅速解決問題。利用NTA解決方案提供的某段時間內(nèi)的流量、應用趨勢分析，可非常直觀的看到網(wǎng)絡流量是否有突然增長或突然下降的現(xiàn)象，并進一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應用以至于網(wǎng)絡運轉(zhuǎn)出現(xiàn)性能問題。 常見的流量監(jiān)制軟件vSniffer，中文可以翻譯為嗅探器，是一種基于被動偵聽原，中文可以翻譯為嗅探器，是一種基于被動偵聽原理的網(wǎng)絡分析方式。使用這種技術方式，可以

14、監(jiān)視網(wǎng)絡的理的網(wǎng)絡分析方式。使用這種技術方式，可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔?。狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔ⅰ當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡監(jiān)當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡監(jiān)聽的方式來進行攻擊。將網(wǎng)絡接口設置在監(jiān)聽模式，便可聽的方式來進行攻擊。將網(wǎng)絡接口設置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術常常被技術常常被黑客們用來截獲用戶的口令，據(jù)說某個骨干網(wǎng)絡的路由器黑客們用來截獲用戶的口令，據(jù)說某個骨干網(wǎng)絡的路由器網(wǎng)段曾經(jīng)被黑客攻入，并嗅探到大量的用戶口令。但實際網(wǎng)段曾

15、經(jīng)被黑客攻入，并嗅探到大量的用戶口令。但實際上上Sniffer技術被廣泛地應用于網(wǎng)絡故障診斷、協(xié)議分析、技術被廣泛地應用于網(wǎng)絡故障診斷、協(xié)議分析、應用性能分析和網(wǎng)絡安全保障等各個領域。應用性能分析和網(wǎng)絡安全保障等各個領域。 第三只眼員工工作時間，都認真工作了？還是在玩游戲？瀏覽與工作無關的網(wǎng)站？收發(fā)私人郵件？甚至將公司的機密資料拷貝帶走？或是通過郵件或聊天工具泄密？解決之道統(tǒng)計員工工作效率對員工的所使用的程序的頻率進行統(tǒng)計，從上圖可看出9月份該員工QQ使用的頻率最高、說明聊天最多。及時報警對員工的某些操作進行及時報警，員工插入移動存儲設備或者拷貝文件帶走時、或者其他自定義的限制操作進行的時候、

16、都會向管理者報警。自動搜索員工局域網(wǎng)自動搜索員工，并將自動與員工網(wǎng)卡綁定，即使員工更改ip或者更換操作系統(tǒng)重新登陸，更或者重新安裝系統(tǒng)，都可以第一時間辨別。歷史紀錄-屏幕紀錄可對員工的所有的操作進行屏幕截圖并保存,管理者可以查看過去任意時間段員工計算機的屏幕狀況,追溯歷史操作歷史紀錄-郵件紀錄收發(fā)郵件紀錄，可以記錄收發(fā)郵件的詳細的內(nèi)容及附件等 歷史紀錄-網(wǎng)頁瀏覽網(wǎng)頁瀏覽紀錄，可記錄員工瀏覽過的網(wǎng)站歷史紀錄-Web郵件郵件記錄 (web郵件) 歷史紀錄-外發(fā)紀錄可記錄計算機外發(fā)信息的紀錄(包括web郵件)，包括正文內(nèi)容，附件等。 歷史紀錄-Ftp紀錄ftp紀錄，可監(jiān)控通過ftp上傳或者下載的紀錄 歷史紀錄-文件操作紀錄可監(jiān)控員工計算機的所有的文件或者文件夾的復制，剪切，刪除，重命名等操作可監(jiān)控員工計算機的所有的文件或者文件夾的復制，剪切，刪除，重命名等操作 歷史紀錄-聊天紀錄聊天紀錄：聊天紀錄：QQQQ聊天紀錄聊天紀錄 歷史紀錄-聊天紀錄聊天紀錄：貿(mào)易通聊天紀錄：貿(mào)易通 聊天紀錄聊天紀錄 實時監(jiān)控可對員工的當前狀況進行實時的監(jiān)控可對員工的當前狀況進行實時的監(jiān)控多畫面實時監(jiān)控多畫面實時監(jiān)控，可同時監(jiān)控多個員工的當前的計算機屏幕多畫面實時監(jiān)控，可同時監(jiān)控多個員工的當前的計算機屏幕硬件管理列