精品資料（2021-2022年收藏）流量透明化IPFIX流量分析解決方案技術(shù)白皮書

1、流量透明化-IPFIX流量分析解決方案技術(shù)白皮書流量透明化-IPFIX流量分析解決方案技術(shù)白皮書福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司版權(quán)所有 侵權(quán)必究目錄1方案背景11.1問題的提出11.2問題的歸納11.3問題的解決21.3.1網(wǎng)管方式21.3.2數(shù)據(jù)包監(jiān)聽方式21.3.3基于流（Flow）技術(shù)的方式21.3.4解決方法的評(píng)估32IPFIX技術(shù)介紹42.1IPFIX技術(shù)概述42.2IPFIX技術(shù)價(jià)值63網(wǎng)絡(luò)透明化解決方案73.1解決方案組成73.2Exporter設(shè)備功能83.3Collector設(shè)備功能83.4Analyzer設(shè)備功能83.5Analyzer設(shè)備報(bào)表93.6業(yè)務(wù)功能展示103.6.1網(wǎng)

2、絡(luò)用戶分區(qū)管理103.6.2應(yīng)用流量分析113.6.3流量目標(biāo)地址統(tǒng)計(jì)133.6.4帶寬使用實(shí)時(shí)統(tǒng)計(jì)143.6.5網(wǎng)內(nèi)流量趨勢(shì)163.6.6高效便捷的流量管理174網(wǎng)絡(luò)透明化解決方案組網(wǎng)模式及應(yīng)用184.1網(wǎng)絡(luò)透明化解決方案組網(wǎng)模式184.2網(wǎng)絡(luò)透明化解決方案應(yīng)用195結(jié)束語(yǔ)211 方案背景1.1 問題的提出“無法被量化的將無法改進(jìn)”。管理和優(yōu)化網(wǎng)絡(luò)首先要進(jìn)行測(cè)量。隨著 IT、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和企業(yè)信息化程度的不斷提高，各種網(wǎng)絡(luò)應(yīng)用越來越豐富，各種應(yīng)用時(shí)時(shí)刻刻都在爭(zhēng)奪有限的網(wǎng)絡(luò)帶寬，從而導(dǎo)致網(wǎng)絡(luò)管理的難度不斷增大。因此，如何保證網(wǎng)絡(luò)的可用性和關(guān)鍵業(yè)務(wù)的暢通運(yùn)行，對(duì)用戶業(yè)務(wù)發(fā)展將起到至關(guān)重要的

3、作用。隨著網(wǎng)絡(luò)的規(guī)模越來越大，IT服務(wù)的完善，網(wǎng)絡(luò)管理者也會(huì)提出一下問題：1. 當(dāng)前的上網(wǎng)流量占用多大帶寬？這些帶寬主要誰在占用？這些占用是允許的嗎？在 WWW 訪問之外，是不是有大量的 FTP 等下載？是允許的嗎？2. DMZ 區(qū)的服務(wù)器有多少是內(nèi)網(wǎng)用戶在訪問，有多少是外網(wǎng)用戶在訪問？如果是內(nèi)網(wǎng)用戶訪問多（比如 DNS），是不是考慮將其遷移到服務(wù)器區(qū)？外網(wǎng)用戶的訪問有時(shí)間規(guī)律嗎？ 3. 外聯(lián)的服務(wù)器是提供特定用戶訪問嗎？哪個(gè)訪問流量最大？最大流量占用的用戶是合法的嗎？服務(wù)器是不是該擴(kuò)容了？有非法用戶訪問這些服務(wù)器嗎？ 4. 這些關(guān)鍵的業(yè)務(wù)服務(wù)器的帶寬夠用嗎？是不是考慮一臺(tái)服務(wù)器提供多個(gè)業(yè)務(wù)服

4、務(wù)或者多臺(tái)服務(wù)器提供一個(gè)業(yè)務(wù)服務(wù)？除了生產(chǎn)業(yè)務(wù)外， 這些服務(wù)器是不是還提供其它無關(guān)的業(yè)務(wù)， 導(dǎo)致影響性能？誰訪問這些服務(wù)器更多一些？這些服務(wù)器在哪個(gè)時(shí)間段最繁忙？ 5. 部門用戶用于工作（訪問業(yè)務(wù)服務(wù)器）的流量有多大？用于上網(wǎng)的流量有多大？誰更多地使用互聯(lián)網(wǎng)？是必要的嗎？誰占用的網(wǎng)絡(luò)帶寬最大？這些占用是必要的嗎？哪個(gè)用戶在非法掃描網(wǎng)絡(luò)？是否有用戶提供非法的下載（WWW/FTP）服務(wù)？ 1.2 問題的歸納這些問題都是流量分析問題。歸結(jié)起來，所有的流量問題大致包含： 1. 這些寶貴的網(wǎng)絡(luò)帶寬誰在占用？一定時(shí)間內(nèi)，誰占用最多？ 2. 這些流量到底包含哪些內(nèi)容？是數(shù)據(jù)庫(kù)通訊，還是 ping，還是網(wǎng)頁(yè)訪

5、問HTTP，還是 FTP 下載？ 3. 這些流量是生產(chǎn)業(yè)務(wù)產(chǎn)生的流量嗎？是必要的嗎？ 4. 這些流量中是否包含病毒流量？或者禁止使用的流量 （比如 ftp 下載） ？ 如果把這些問題進(jìn)一步分析，會(huì)發(fā)現(xiàn)，這其實(shí)涉及到兩個(gè)問題： 1. 流量的分布問題；是指全網(wǎng)中，哪些點(diǎn)流量大，哪些點(diǎn)流量小？2. 流量的構(gòu)成問題；對(duì)于特定的點(diǎn)，流量的組成是什么？由誰發(fā)起的？目的地在哪里？1.3 問題的解決要解決這些流量問題，不是一件容易的事情，常規(guī)的方法有幾種： 1.3.1 網(wǎng)管方式 網(wǎng)管方式通過啟動(dòng) SNMP，來獲取流量信息。但是，SNMP 只能獲取流量的字節(jié)數(shù)，無法獲取字節(jié)的構(gòu)成，更無法獲取流量的發(fā)起方。 該方

6、法可以解決流量的分布問題，無法解決流量的構(gòu)成問題。 該方式主要用于設(shè)備的管理，而不適用于精細(xì)的流量分析。 1.3.2 數(shù)據(jù)包監(jiān)聽方式 該方法是將關(guān)注的流量串聯(lián)到或者鏡像到分析儀器（包括軟件分析，比如sniffer），通過分析儀器來獲取流量的構(gòu)成和細(xì)節(jié)。該方法可以做到流量的精細(xì)化分析，做到 27 層的流量分析，但是，缺點(diǎn)也很明顯，只有在部署分析儀器的地方進(jìn)行流量分析， 如果做到全網(wǎng)多節(jié)點(diǎn)流量監(jiān)控， 必須部署多個(gè)分析儀器，導(dǎo)致部署成本急劇上升。 該方式可以很好解決流量的構(gòu)成問題，但幾乎無法解決流量的分布問題。 該方式適用于對(duì)少量關(guān)鍵點(diǎn)的監(jiān)控，常用于專業(yè)工程師的故障診斷，不適合大規(guī)模日常使用。 1.

7、3.3 基于流（Flow）技術(shù)的方式 該方式是讓網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)流量的同時(shí)，生成特定的流量信息，然后將流量信息發(fā)送到特定的分析模塊，進(jìn)而實(shí)現(xiàn)對(duì)流量的分析。 該方式的優(yōu)勢(shì)是明顯的，理想情況下，如果讓網(wǎng)絡(luò)中的每臺(tái)網(wǎng)絡(luò)設(shè)備均發(fā)出流量信息，那么就可以輕松解決流量的分布問題，同時(shí)解決流量的構(gòu)成問題。缺點(diǎn)是各廠商提供的流分析技術(shù)都是私有技術(shù)無法通用。也正是基于此，國(guó)際化流量監(jiān)控標(biāo)準(zhǔn)技術(shù)IPFIX（IP Information flow Export）應(yīng)運(yùn)而生。1.3.4 解決方法的評(píng)估網(wǎng)管方式無法進(jìn)行流量構(gòu)成分析，不再討論。 對(duì)于數(shù)據(jù)包監(jiān)聽方式和流（Flow）技術(shù)的方式：由于分析儀器的昂貴，監(jiān)聽方式不適

8、用于大規(guī)模部署，而且分析到 7 層應(yīng)用后，容易使用戶隱私受到侵犯；而流（Flow）技術(shù)的分析方式功能均衡而強(qiáng)大，對(duì)流量的分析只到業(yè)務(wù)字節(jié)，不涉及應(yīng)用級(jí)，無隱私顧慮。如果以監(jiān)控 20 個(gè)物理端口為例進(jìn)行投資估算，監(jiān)聽方式在幾十萬甚至上百萬人民幣數(shù)量級(jí)，基于流（Flow）技術(shù)的流量分析方式成本大大降低。因此，流（Flow）技術(shù)方式更適合網(wǎng)絡(luò)流量分析。 2 IPFIX技術(shù)介紹2.1 IPFIX技術(shù)概述基于流的技術(shù)被越來越廣泛地用于刻畫網(wǎng)絡(luò)傳輸流，它在設(shè)置QoS策略、部署應(yīng)用和進(jìn)行容量規(guī)劃上都有著巨大的價(jià)值。但是，網(wǎng)絡(luò)管理員卻缺少一種輸出傳輸流的標(biāo)準(zhǔn)格式。IPFIX全稱為IP Flow Informa

9、tion Export，即IP數(shù)據(jù)流信息輸出，它是由IETF公布的用于網(wǎng)絡(luò)中的流信息測(cè)量的標(biāo)準(zhǔn)協(xié)議。該協(xié)議主要在于：l 統(tǒng)一IP數(shù)據(jù)流的統(tǒng)計(jì)、輸出標(biāo)準(zhǔn)，這使得網(wǎng)絡(luò)管理員很容易地提取和查看存儲(chǔ)在這些網(wǎng)絡(luò)設(shè)備中的重要流量統(tǒng)計(jì)信息。l 輸出格式具有較強(qiáng)的可擴(kuò)展性，因此如果流量監(jiān)控的要求發(fā)生改變，網(wǎng)絡(luò)管理員也可通過修改相應(yīng)配置來實(shí)現(xiàn)，不必升級(jí)網(wǎng)絡(luò)設(shè)備軟件或管理工具。IPFIX定義的格式以Cisco Netflow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ)，可使IP流量信息從一個(gè)輸出器（Exporter）傳送到收集器（Collector）。因?yàn)镮PFIX是一種針對(duì)數(shù)據(jù)流特征分析、基于模板的格式輸出的協(xié)議，

10、因此具有很強(qiáng)的可擴(kuò)展性，對(duì)于不同的需求都可以定義不同的數(shù)據(jù)格式。為了較完整的輸出數(shù)據(jù)，IPFIX缺省使用網(wǎng)絡(luò)設(shè)備的七個(gè)關(guān)鍵域來表示每股網(wǎng)絡(luò)流量：l 源 IP 地址l 目的 IP 地址l TCP/UDP 源端口l TCP/UDP 目的端口l 三層協(xié)議類型l 服務(wù)類型（Type-of-service）字節(jié)l 輸入邏輯接口如果不同的 IP 報(bào)文中所有的七個(gè)關(guān)鍵域都匹配，那么這些 IP 報(bào)文都將被視為屬于同一股流量。通過記錄網(wǎng)絡(luò)中這些流量的特征，如流量持續(xù)時(shí)間、流量中報(bào)文平均長(zhǎng)度等， 我們可以了解到當(dāng)前網(wǎng)絡(luò)的應(yīng)用情況，并根據(jù)這些信息對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化，安全檢測(cè)，流量計(jì)費(fèi)。IPFIX記錄除了缺省的記錄流信息

11、，可以基于模板的格式隨意選擇。銳捷交換機(jī)IPFIX記錄的流信息非常豐富，基本流輸出如下信息（可隨意調(diào)整選擇）：l 流開始時(shí)間l 流結(jié)束時(shí)間l 流的字節(jié)數(shù)l 流的報(bào)文數(shù)l 源IP地址l 目的IP地址l 源端口號(hào)l 目的端口號(hào)l 入接口l 出接口l 協(xié)議類型l IP TOSl TCP Flagsl 下一跳IP地址l 下一跳BGP地址l 源BGP AS Numberl 目的BGP AS Numberl 最小報(bào)文長(zhǎng)度l 最大報(bào)文長(zhǎng)度l 報(bào)文最小TTLl 報(bào)文最大TTL銳捷交換機(jī)IPFIX流信息有如下特點(diǎn)：l 除了基本的流統(tǒng)計(jì)信息外，還記錄TCP Flags、最小報(bào)文長(zhǎng)度、最大報(bào)文長(zhǎng)度、最小TTL、最大

12、TTL，通過這些信息可以對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全進(jìn)行分析。l 除了基本的流統(tǒng)計(jì)信息外，還記錄下一跳IP地址、下一跳BGP地址、源BGP AS Number目的BGP AS Number、出接口，通過這些信息可以對(duì)網(wǎng)絡(luò)故障和網(wǎng)絡(luò)規(guī)劃進(jìn)行分析。l 流的標(biāo)識(shí)（關(guān)鍵字）不只上述規(guī)定的7元素，還包括下一跳IP地址、下一跳BGP地址、源BGP AS Number目的BGP AS Number、出接口，當(dāng)流的7元素沒有改變時(shí)，而是網(wǎng)絡(luò)拓?fù)涓淖儠r(shí)（比如下一跳地址改變），那么也會(huì)作為一個(gè)新的流，這些信息有助于分析網(wǎng)絡(luò)環(huán)境的改變、或者網(wǎng)絡(luò)拓?fù)涠秳?dòng)等問題。2.2 IPFIX技術(shù)價(jià)值1. IPFIX統(tǒng)一了流量監(jiān)控標(biāo)準(zhǔn)，通

13、過使用單一的、一致的模型，簡(jiǎn)化了流輸出架構(gòu)。隨著IPFIX標(biāo)準(zhǔn)更廣泛地為網(wǎng)絡(luò)設(shè)備廠商采用，網(wǎng)絡(luò)管理員不用再為支持多個(gè)流報(bào)告應(yīng)用而操心，每個(gè)應(yīng)用都有自己的流輸出格式。IPFIX讓他們可以使用一個(gè)符合這項(xiàng)標(biāo)準(zhǔn)的流報(bào)告應(yīng)用程序。此外，IPFIX的可擴(kuò)展性使得網(wǎng)絡(luò)管理員不必在傳輸流監(jiān)測(cè)或報(bào)告需求發(fā)生變化時(shí)修改或升級(jí)設(shè)備配置。2. IPFIX標(biāo)準(zhǔn)關(guān)注網(wǎng)絡(luò)升級(jí)時(shí)的流輸出可擴(kuò)展性。隨著MPLS、IPv6和多播路由等網(wǎng)絡(luò)技術(shù)的日益普及，管理員也需要更好地了解它們對(duì)網(wǎng)絡(luò)環(huán)境的影響，這種可擴(kuò)展性就變得越來越重要。為了確保這種可擴(kuò)展性的輕松實(shí)現(xiàn)，IPFIX兼容設(shè)備將輸出模板，這些模板詳細(xì)說明那些為輸出而配置的流“特

14、征”。流的采集和報(bào)告應(yīng)用程序可以被用來讀取這些模板，以了解哪些“特征”被輸出，因此網(wǎng)絡(luò)管理員不需要調(diào)整應(yīng)用程序配置。3. IPFIX RFC定義了不同的流輸出應(yīng)用，包括基于使用的統(tǒng)計(jì)、傳輸流分布、傳輸流工程、攻擊/入侵檢測(cè)和QoS監(jiān)測(cè)。例如，支持IPFIX的流報(bào)告應(yīng)用程序通過讀取服務(wù)類型字節(jié)流“特征”，可以顯示每一個(gè)等級(jí)的QoS服務(wù)會(huì)消費(fèi)多少網(wǎng)絡(luò)傳輸流。此外，流量報(bào)告應(yīng)用還可以顯示應(yīng)用和用戶如何根據(jù)服務(wù)類型策略分類。支持IPFIX攻擊/入侵檢測(cè)的應(yīng)用將能夠提供基準(zhǔn)協(xié)議（Baseline）和地址數(shù)據(jù)來確定網(wǎng)絡(luò)異?，F(xiàn)象。4. IPFIX描述對(duì)于流量輸出至關(guān)重要的眾多規(guī)則，包括時(shí)間戳、時(shí)間同步、流終

15、止、數(shù)據(jù)包分段和多播流行為。例如，傳送多播應(yīng)用流的IPFIX兼容設(shè)備應(yīng)當(dāng)輸出反映每一個(gè)進(jìn)入設(shè)備接口的流記錄。此外，這類設(shè)備應(yīng)當(dāng)輸出通過多播傳送給同一臺(tái)設(shè)備上所有輸出接口每個(gè)數(shù)據(jù)包的流記錄。同使用多播輸出行為一樣，RFC中列出的其他規(guī)則使網(wǎng)絡(luò)設(shè)備廠商可以更好地了解IPFIX標(biāo)準(zhǔn)的支持要求,以及它如何在已有的技術(shù)中實(shí)現(xiàn)集成。3 網(wǎng)絡(luò)透明化解決方案3.1 解決方案組成IPFIX是基于“流”的概念，一個(gè)流是指，來自相同的子接口，有相同的源和目的IP 地址，協(xié)議類型，相同的源和目的協(xié)議端口號(hào)，以及相同ToS的報(bào)文，通常為5 元組。IPFIX會(huì)記錄這個(gè)流的統(tǒng)計(jì)信息，包括：時(shí)間戳，報(bào)文數(shù)，總的字節(jié)數(shù)。網(wǎng)絡(luò)透

16、明化解決方案包括：流量采樣設(shè)備（Exporter）、流量采集設(shè)備（Collector）、數(shù)據(jù)分析處理設(shè)備（Analyser），三個(gè)設(shè)備之間的關(guān)系如下圖所示： 圖：解決方案的組成l Export設(shè)備對(duì)網(wǎng)絡(luò)流進(jìn)行分析處理，提取符合條件的流統(tǒng)計(jì)信息，并將統(tǒng)計(jì)信息輸出給Collector設(shè)備。l Collector設(shè)備負(fù)責(zé)解析Export的數(shù)據(jù)報(bào)文，把統(tǒng)計(jì)數(shù)據(jù)收集到數(shù)據(jù)庫(kù)中，可供Analyser進(jìn)行解析。l Analyser設(shè)備從Collector中提取統(tǒng)計(jì)數(shù)據(jù)，進(jìn)行后續(xù)處理，為各種業(yè)務(wù)提供依據(jù),以圖形界面的形式顯示出來。Exporter 提供IPFIX技術(shù)接口的網(wǎng)絡(luò)設(shè)備（銳捷網(wǎng)絡(luò)公司的路由器和交換機(jī)

17、，交換機(jī)需要配置高性能的IPFIX 流量分析模塊），負(fù)責(zé)對(duì)設(shè)備各個(gè)端口進(jìn)出的網(wǎng)絡(luò)報(bào)文進(jìn)行流分類統(tǒng)計(jì)，然后封裝成IPFIX報(bào)文輸出。 Collector Collector設(shè)備可以采集一個(gè)或多個(gè)Exporter設(shè)備輸出的數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行過濾和聚合，并將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中供分析處理。 AnalyserAnalyser是一個(gè)網(wǎng)絡(luò)流量的分析工具，對(duì)采集來的流量數(shù)據(jù)進(jìn)行分析處理。為便于網(wǎng)絡(luò)管理人員的操作，采用基于Web形式訪問，提供直觀的、圖形化的管理界面，所有數(shù)據(jù)輸出都直接在Web頁(yè)面中顯示。 3.2 Exporter設(shè)備功能Exporter作為支持IPFIX流量分析技術(shù)的網(wǎng)絡(luò)設(shè)備，首先需要打開網(wǎng)絡(luò)設(shè)

18、備的偵聽端口，然后配置將IPFIX日志要發(fā)送到哪個(gè)IP的哪個(gè)端口（即Collerctor設(shè)備的監(jiān)聽端口）,也就是配置輸出目的IP地址和目的端口。同時(shí)也要配置輸出IPFIX報(bào)文的源地址和輸出模板相關(guān)參數(shù)這樣，設(shè)備就會(huì)把IPFIX日志以UDP包的形式發(fā)往Collerctor設(shè)備，而Collerctor設(shè)備NTC則可從偵聽端口源源不斷的接收IPFIX日志。3.3 Collector設(shè)備功能IPFIX日志被Collector設(shè)備采集到之后，將會(huì)做聚合處理；流聚合模式，就是通過其定義的特定關(guān)鍵字段，對(duì)主模式的流進(jìn)行重新的聚合產(chǎn)生新的流。系統(tǒng)為這些聚合模式保留一定的緩存，類似于主緩存，這里稱作流聚合緩存。

19、當(dāng)一個(gè)流記錄從主緩存出來后，它包含的流信息將用于對(duì)每個(gè)使能的流聚合緩存中相應(yīng)的流聚合記錄進(jìn)行更新。這樣可減少最終存入數(shù)據(jù)庫(kù)的的數(shù)據(jù)量，并提高了分析的效率。同時(shí)，Collector設(shè)備也會(huì)對(duì)存入數(shù)據(jù)庫(kù)的數(shù)據(jù)作進(jìn)一步的統(tǒng)計(jì)處理，以便快速產(chǎn)生各類分析報(bào)表。例如由于主模式流記錄可能很多，所以銳捷網(wǎng)絡(luò)另外提供了一種快速查看的模式，即top-talkers。這是一種將流記錄按一定規(guī)則排序后，只顯示排序前若干位的記錄的模式，便于用戶在大量的數(shù)據(jù)中抓住重點(diǎn)，提供快速的分析手段。3.4 Analyzer設(shè)備功能Analyzer設(shè)備 對(duì) Collector設(shè)備生成的所有數(shù)據(jù)進(jìn)行分析，對(duì)數(shù)據(jù)進(jìn)行二次聚合、統(tǒng)計(jì)分析，

20、獲取網(wǎng)絡(luò)的深入可見性，即關(guān)于每個(gè)鏈路和基于可配置IP的部門/分部的大型主機(jī)、應(yīng)用程序、DSCP、TCP標(biāo)志和AS信息。基于IP地址的細(xì)粒度應(yīng)用程序分類和識(shí)別。分析的結(jié)果以非常直觀的圖表、表格等形式展示給用戶，通過這些分析結(jié)果，用戶可以監(jiān)控網(wǎng)絡(luò)使用狀況、應(yīng)用使用狀況、用戶網(wǎng)絡(luò)訪問行為，通過深入分析特定的應(yīng)用程序、用戶、端口或通信網(wǎng)絡(luò)，用戶可準(zhǔn)確識(shí)別峰值和爆發(fā)的資源，從而主動(dòng)監(jiān)控，做出明智的決定。3.5 Analyzer設(shè)備報(bào)表Analyzer預(yù)置了一組豐富的帶寬報(bào)表，提供全面的帶寬使用統(tǒng)計(jì)數(shù)據(jù)，幫助用戶查看造成網(wǎng)絡(luò)瓶頸的特定主機(jī)、應(yīng)用或?qū)υ捗骷?xì)。除快速識(shí)別堵塞的鏈路以外，還可以查看不同時(shí)間段的帶

21、寬使用趨勢(shì)，有助于用戶在帶寬規(guī)劃和加強(qiáng)安全策略方面做出重要決定，從而有效利用帶寬。流量使用報(bào)表查看一個(gè)接口的當(dāng)前、平均和峰值流量使用情況。了解某個(gè)接口使用多少有效帶寬。歷史報(bào)表查看帶寬使用每日、每周、每月的流量報(bào)表。查看基于主機(jī)、應(yīng)用和時(shí)間的使用趨勢(shì)。流量分析查看不同時(shí)間段的應(yīng)用、主機(jī)、對(duì)話排行，并獲取詳細(xì)信息。清楚呈現(xiàn)誰使用最多的帶寬，做什么。自定義報(bào)表查看特定主機(jī)、應(yīng)用或?qū)υ挼膸捠褂们闆r。利用該報(bào)表，用戶可以關(guān)聯(lián)信息，查看誰在什么時(shí)候使用帶寬、用于什么應(yīng)用、多長(zhǎng)時(shí)間。 Subnet和基于IP范圍的報(bào)表查看通過特定subnet或IP范圍的流量報(bào)表。每個(gè)網(wǎng)絡(luò)或subnet的帶寬使用，確定通過

22、用戶組的高峰時(shí)間和典型使用趨勢(shì)。接口報(bào)表查看不同時(shí)間段每個(gè)接口的帶寬使用匯總。獲取高峰時(shí)間接口使用統(tǒng)計(jì)數(shù)據(jù)，便于解決網(wǎng)絡(luò)瓶頸。 可解析的主機(jī)地址所有流量報(bào)表，包括可解析的資源和目標(biāo)IP地址，即時(shí)查看流入或流出網(wǎng)站或主機(jī)的帶寬統(tǒng)計(jì)數(shù)據(jù)。變量顯示查看流量圖表，包括流量(Kb),流量速率(bps)，或鏈路利用百分比。報(bào)表輸出輸出并保存PDF文件的圖表和報(bào)表3.6 業(yè)務(wù)功能展示3.6.1 網(wǎng)絡(luò)用戶分區(qū)管理設(shè)備分組：能夠按區(qū)域區(qū)分流量，實(shí)現(xiàn)分區(qū)管理；IP分組：將流量源IP進(jìn)行分組，可按組織架構(gòu)進(jìn)行流量區(qū)分，以掌握各部門的流量情況。圖：IP分組管理3.6.2 應(yīng)用流量分析此類報(bào)表顯示了每個(gè)應(yīng)用的帶寬使用情

23、況，以便了解哪些應(yīng)用占用最大帶寬。還可以深入分析使用這些應(yīng)用的源和目標(biāo)。只需簡(jiǎn)單點(diǎn)擊，這些詳細(xì)信息即可呈現(xiàn)誰在使用帶寬以及為什么使用。然后就可以決定是否需要增加可用帶寬或加強(qiáng)安全策略。圖：應(yīng)用帶寬分布表通過對(duì)流量的識(shí)別，統(tǒng)計(jì)網(wǎng)內(nèi)流量的占比，知道各種業(yè)務(wù)流量的大小、變化趨勢(shì)，以規(guī)劃和優(yōu)化網(wǎng)絡(luò)。所有流量報(bào)表，包括可解析的資源和目標(biāo)IP地址，即時(shí)查看流入或流出網(wǎng)站或主機(jī)的帶寬統(tǒng)計(jì)數(shù)據(jù)。能夠?qū)崿F(xiàn)對(duì)一個(gè)具體IP應(yīng)用的深入分析，以便管理員了解IP流量異常時(shí)的流量分配，作出判斷，給出相應(yīng)的安全策略。圖：業(yè)務(wù)應(yīng)用分析圖：具體IP應(yīng)用的深入分析3.6.3 流量目標(biāo)地址統(tǒng)計(jì)通過流量流向的TOP N統(tǒng)計(jì)，能夠識(shí)別受

24、歡迎的地址。同時(shí)能夠識(shí)別這些地址的協(xié)議內(nèi)容。圖：目的流入排行榜報(bào)表圖：具體一個(gè)目的IP的流入排行榜3.6.4 帶寬使用實(shí)時(shí)統(tǒng)計(jì)此類報(bào)表用來查看每個(gè)啟用IPFIX的接口當(dāng)前、平均和最高的帶寬使用情況。利用這些帶寬使用的統(tǒng)計(jì)數(shù)據(jù)，就可以立刻了解某個(gè)接口相關(guān)的主機(jī)、應(yīng)用和會(huì)話占用了多少帶寬。圖：帶寬使用實(shí)時(shí)統(tǒng)計(jì)圖：基于接口速度、接口利用率、IP組速度、IP組利用率進(jìn)行排行圖：基于接口的報(bào)表統(tǒng)計(jì)3.6.5 網(wǎng)內(nèi)流量趨勢(shì)查看帶寬使用每日、每周、每月的流量報(bào)表。查看基于主機(jī)、應(yīng)用和時(shí)間的使用趨勢(shì)。一天、一周、一月和一年內(nèi)的帶寬使用趨勢(shì)，并決定是否需要升級(jí)帶寬。從網(wǎng)絡(luò)總?cè)萘?、速度、使用率、?shù)據(jù)包四個(gè)維度去統(tǒng)

25、計(jì)和分析趨勢(shì)；根據(jù)幾個(gè)指標(biāo)的飽和度，可以考慮是否需要對(duì)網(wǎng)絡(luò)進(jìn)行擴(kuò)容；同時(shí)預(yù)測(cè)負(fù)載峰值時(shí)間，采取有效措施保證網(wǎng)絡(luò)不會(huì)過載。圖：內(nèi)網(wǎng)流量趨勢(shì)表3.6.6 高效便捷的流量管理提供基于流量閥值的報(bào)警機(jī)制，用戶可靈活的定制告警條件，預(yù)防網(wǎng)絡(luò)流量異常；提供基于WEB的訪問方式，管理員可以“隨時(shí)、隨地”的監(jiān)控自己的網(wǎng)絡(luò)。圖：流量管理配置報(bào)警表4 網(wǎng)絡(luò)透明化解決方案組網(wǎng)模式及應(yīng)用4.1 網(wǎng)絡(luò)透明化解決方案組網(wǎng)模式圖：IPFIX在網(wǎng)絡(luò)各層中的應(yīng)用利用IPFIX日志，網(wǎng)絡(luò)透明化解決方案提供了一種網(wǎng)絡(luò)監(jiān)測(cè)、分析的方式，直接從支持IPFIX功能的路由器和交換機(jī)中收集流量信息，可以靈活啟動(dòng)不同層面（接入層、匯聚層、核心

26、層）的網(wǎng)絡(luò)設(shè)備進(jìn)行IPFIX流量日志收集，并將收集的內(nèi)容以IPFIX 格式的日志輸出給Collerctor設(shè)備進(jìn)行分析。 用戶使用Analyser的分析功能， 可以做網(wǎng)絡(luò)使用狀況監(jiān)控、 用戶行為追蹤、異常流量檢測(cè)等，并且基于功能豐富的報(bào)表，用戶可以做網(wǎng)絡(luò)規(guī)劃方面的決策。4.2 網(wǎng)絡(luò)透明化解決方案應(yīng)用IPFIX技術(shù)定義了一種路由器/交換機(jī)向管理系統(tǒng)輸出流量數(shù)據(jù)的方法， 通過采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺(tái)中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行管理。IPFIX技術(shù)的IP網(wǎng)絡(luò)流量數(shù)據(jù)報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的問題l 流量的分布問題；是指全網(wǎng)中，哪些點(diǎn)流量大，哪些點(diǎn)流量小？l 流量的構(gòu)成問題；對(duì)于特定的點(diǎn)，流量的組成是什么？由誰發(fā)起的？目的地在哪里？利用網(wǎng)絡(luò)透明化網(wǎng)流分析系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。 網(wǎng)絡(luò)優(yōu)化 網(wǎng)絡(luò)透明化解決方案，可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，對(duì)核心網(wǎng)絡(luò)的重點(diǎn)鏈路進(jìn)行統(tǒng)計(jì)，各類TOP應(yīng)用百分比，使用各類應(yīng)用的網(wǎng)內(nèi)用戶、服務(wù)器的流量趨勢(shì)及統(tǒng)計(jì)值，迅速發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)前的使用狀況和不同鏈路的使用率變化趨勢(shì)，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的