網(wǎng)絡流量分析方案技術建議書

1、H3C iMC 網(wǎng)絡流量分析方案技 術方案建議書杭州華三通信技術有限公司1、 網(wǎng)絡流量分析技術的現(xiàn)狀與發(fā)展 42、 網(wǎng)絡流量分析的重要性分析 53、 XX目網(wǎng)絡流量分析系統(tǒng)需求分析 63.1. x x項目相關背景及需求信息 63.2. xx項目網(wǎng)絡拓撲結構及網(wǎng)絡流量模型 64、 H3C iMC 網(wǎng)絡流量分析(NTA) 解決方案介紹 64.1. NTA 解決方案介紹 74.2. NTA 邏輯組成 74.3. NTA 報表功能 84.3.1. 預定義報表介紹 84.3.2. 七層應用分析報表(DIG 采集方式支持) 1 14.3.3. 智能基線、自動告警 1 14.4. NTA 相關技術規(guī)范 12

2、5、 XXX項目 NTA解決方案部署 125.1. 廣域網(wǎng)流量監(jiān)控方案 135.1.1. 廣域網(wǎng)分支流量監(jiān)控方案 135.1.1.1. 適用的網(wǎng)絡環(huán)境： 135.1.1.2. 推薦使用的組件： 135.1.1.3. 應用組網(wǎng)圖： 135.1.1.4. 可實現(xiàn)的功能： 145.1.2. 廣域網(wǎng)分布式流量監(jiān)控方案 155.1.2.1. 適用的網(wǎng)絡環(huán)境： 155.1.2.2. 推薦使用的組件： 155.1.2.3. 應用組網(wǎng)圖 155.1.2.4. 可實現(xiàn)的功能： 155.2. 局域網(wǎng)流量監(jiān)控方案 165.2.1. 局域網(wǎng)Internet 出口流量監(jiān)控方案 1 65.2.1.1. 適用的網(wǎng)絡環(huán)境：

3、165.2.1.2. 推薦使用組件： 165.2.1.3. 應用組網(wǎng)圖： 165.2.1.4. 可實現(xiàn)的功能： 175.2.2. 不支持NetStream 設備組網(wǎng)方案 1 75.2.2.1. 適用的網(wǎng)絡環(huán)境： 175.2.2.2. 推薦使用的組件： 1 85.2.2.3. 應用組網(wǎng)圖 1 85.2.2.4. 可實現(xiàn)的功能： 1 8附：NTA 特色流量分析功能介紹 1 9準確的主機識別 1 9數(shù)據(jù)庫實時監(jiān)控 1 9靈活的應用自定義 19流量分析任務管理 20附：NETSTREAM 技術簡介 20網(wǎng)絡流量分析技術的現(xiàn)狀與發(fā)展隨著網(wǎng)絡的應用越來越廣泛，規(guī)模越來越大，其承載的業(yè)務越來越豐富，了解網(wǎng)絡

4、承載的業(yè) 務，掌握網(wǎng)絡流量特征，以便使網(wǎng)絡帶寬配置最優(yōu)化，是當前網(wǎng)絡面臨的一大挑戰(zhàn)；另一方面， 網(wǎng)絡蠕蟲病毒、DoS/DDoS攻擊等在網(wǎng)絡中越來越流行，對網(wǎng)絡正常業(yè)務的負面危害也越來越大， 因此檢測威脅網(wǎng)絡安全的異常行為是當前網(wǎng)絡面臨的另一大挑戰(zhàn)。絕大多數(shù)企業(yè)的IT管理部門都還沒有建設起一套能夠完全滿足上述管理需求的網(wǎng)絡及業(yè)務 流量和流向分析系統(tǒng)，大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡鏈路使用率監(jiān)視軟件，如 MRTG ,利用SNMP協(xié)議對網(wǎng)絡的重點鏈路和互聯(lián)點進行簡單的端口級流量監(jiān)視和統(tǒng)計；或采用在網(wǎng)絡中部分重點 POP點加裝RMON探針的方式，利用 RMON I/II協(xié)議對網(wǎng)絡中部分端口進

5、行 網(wǎng)絡流量和上層業(yè)務流量的監(jiān)視和采集。但是上述兩種被普遍采用的網(wǎng)絡流量分析系統(tǒng)都有其顯 著的技術局限性：1)利用SNMP協(xié)議能夠對被監(jiān)視的各個網(wǎng)絡端口進出的數(shù)據(jù)包數(shù)和字節(jié)數(shù)進行采集，但不會對信息進行過濾，經(jīng)常是收集上許多無用信息。不但包括網(wǎng)絡層的客戶業(yè)務流量信息，還包括 鏈路層的數(shù)據(jù)幀包頭，Hello數(shù)據(jù)包，出錯后重新傳送的數(shù)據(jù)包等流量信息。而且 SNMP協(xié) 議還無法區(qū)分網(wǎng)絡層數(shù)據(jù)流量中各種不同類型客戶業(yè)務在總流量中的分布狀況，也無法對進 出的流量進行流向分析。2) 利用RMON協(xié)議對運營商網(wǎng)絡進行流量和流向管理可以部分彌補SNMP協(xié)議的技術局限性，如可以對業(yè)務流量進行統(tǒng)計，但同時也暴露出新

6、的技術局限性。首先，由于RMON協(xié)議需要對網(wǎng)絡上傳送的每個數(shù)據(jù)幀進行采集和分析，會消耗大量的CPU資源因而不可能由網(wǎng)絡設備本身實現(xiàn)，需要額外購買和安裝內(nèi)置式或外置式的RMON探針。市場上現(xiàn)有的 RMON探針處理能力也有限制， 還不能支持監(jiān)控端口速率超過IGbps的網(wǎng)絡端口。其次，因為RMON探針為硬件設備，價格較貴，所以不可能為每臺網(wǎng)絡設備都配備，且由于RMON探針，特別是內(nèi)置式RMON探針，探針接入網(wǎng)絡后部署變更困難，必然會造成出現(xiàn)異常事件時無法 及時對特定的網(wǎng)絡鏈路進行監(jiān)控。最后，由于 RMON探針采集到的管理數(shù)據(jù)是由分析每個 數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機制

7、，不易對數(shù)據(jù)進行高 層次的流向分析。這些因素都會阻礙利用RMON協(xié)議對大型網(wǎng)絡進行流量和流向分析的有效性。為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡流量和流向分析功能的技術局限性，企業(yè)IT管理部門迫切需要尋找一種功能豐富，成熟穩(wěn)定的新技術對現(xiàn)有管理系統(tǒng)中管理信息的采集和分析方式進行改造和升 級。新的信息采集和分析技術還需要對企業(yè)的運行網(wǎng)絡影響小，無需對網(wǎng)絡拓撲進行改變就能平 滑升級。而且新的信息采集和分析技術應該即可以對網(wǎng)絡中各個鏈路的帶寬使用率進行統(tǒng)計，也 可以對每條鏈路上傳輸不同類型業(yè)務的流量和流向進行分析和統(tǒng)計。作為IT業(yè)界的網(wǎng)絡解決方案提供商，H3c不但提供了性能卓越的網(wǎng)絡設備，還配套研發(fā)了可以滿足客戶

8、對網(wǎng)絡流量和流向分析需求的NetStream技術，NetStream技術是一種基于網(wǎng)絡流信息的統(tǒng)計與發(fā)布技術，它可以對網(wǎng)絡中的通信量和資源使用情況進行分類和統(tǒng)計，基于各種業(yè) 務和應用進行分析。網(wǎng)絡流量分析的重要性隨著網(wǎng)絡規(guī)模的日漸增長，網(wǎng)絡中承載的業(yè)務也越來越豐富。企業(yè)需要及時的了解到網(wǎng)絡中 承載的業(yè)務，及時的掌握網(wǎng)絡流量特征，以便使網(wǎng)絡帶寬配置最優(yōu)化，及時解決網(wǎng)絡性能問題。 目前企業(yè)在管理網(wǎng)絡當中普遍遭遇到了如下的問題：1）網(wǎng)絡的可視性：網(wǎng)絡利用率如何？什么樣的程序正在網(wǎng)絡中運行？主要用戶有哪些？網(wǎng) 絡中是否產(chǎn)生異常流量？有沒有長期的趨勢數(shù)據(jù)作為網(wǎng)絡帶寬規(guī)劃的參考？2）應用的可視性：當前網(wǎng)內(nèi)

9、有哪些應用？分別產(chǎn)生了多少流量？網(wǎng)絡中應用使用的模式是 什么？企業(yè)內(nèi)部重要應用執(zhí)行狀況如何？3）用戶使用網(wǎng)絡模式的可視性：哪些用戶產(chǎn)生的流量最多？哪些服務器接收的流量最多？ 哪些會話產(chǎn)生了流量？分別使用了哪些應用？X X項目網(wǎng)絡流量分析系統(tǒng)需求分析此處對XX項目背景進行簡單介紹，主要目的是分析網(wǎng)絡流量分析的需求，建議內(nèi)容包括: 注：此處請項目人員根據(jù)具體的項目信息補充說明。3.1. x x項目相關背景及需求信息3.2. x X項目網(wǎng)絡拓撲結構及網(wǎng)絡流量模型四、H3C IMC網(wǎng)絡流量分析（NTA）解決方案介紹H3C專注于IP產(chǎn)品與相關技術的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術、客戶服務、渠 道、

10、認證培訓體系，為您提供客戶化、特性豐富、性價比高的網(wǎng)絡產(chǎn)品與解決方案。作為業(yè)界領 先的網(wǎng)絡設備與解決方案供應商，H3C提供包括網(wǎng)絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3c 智能管理中心（H3C Intelligent Management Center ,以下簡稱 H3C iMC ）。H3C智能管理中心解決方案架構如下圖所示:«血«篝溫 切般期件 平臺框架EAD安全密A北等IMC基硼鈴舞IMC擊索管坪 1MC用入管理平臺近奈坡一屐海防何.尊硝南建紀例5NMPTTRADIUS漫音/饞摘文件展統(tǒng)外部費口公判期忤后需裝置組件化H3C iMC解決方案架構由上圖可以看出

11、H3c iMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務組件組成，管理平臺提供 網(wǎng)絡管理的一些基礎功能，比如故障管理、性能管理、資源和拓撲管理等，而業(yè)務組件提供了相 應的業(yè)務管理功能；各個業(yè)務組件相對獨立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具 有很強的可擴展性和靈活性。4.1. NTA解決方案介紹iMC網(wǎng)絡流量分析（Network Traffic Analyzer, NTA） 解決方案可以幫助網(wǎng)絡管理人員了解企 業(yè)內(nèi)部網(wǎng)絡之運行狀況，及時發(fā)現(xiàn)并解決網(wǎng)絡中的性能瓶頸問題、網(wǎng)絡異常現(xiàn)象，也能方便用戶 進行網(wǎng)絡優(yōu)化、網(wǎng)絡設備投資、網(wǎng)絡帶寬優(yōu)化等的參考，并方便網(wǎng)絡管理員及時解決網(wǎng)絡異常問 題。4.2.

12、 NTA邏輯組成iMC NTA解決方案包括：網(wǎng)絡設備、DIG日志采集器（可選）、iMC NTA網(wǎng)絡流量分析組件，三部分之間的關系如下圖所示：iMC NTA流量分析組件邏輯組成H3C配合H3C蝴路由器.交換機及新有支持浦口饋倩網(wǎng)喀役務克特WtVreon 訐多和日 志搭式流應用”節(jié)點，會話四大類鍛 十種蒞制報表自動生成iMCMA1網(wǎng)密流量分析組件）網(wǎng)絡設備分析網(wǎng)綣報看推用稈帚一：；'場什常出壬五十佶息，解析網(wǎng)喧講國收隼G計& .利丈據(jù)庫，市的主-幅.產(chǎn)生流量推壬靈活的赤髭日百宙計P2P應用流域監(jiān)控茸分析基于MAC,主機名的載據(jù)庫使用交間實8寸監(jiān)控聯(lián)動UAMf便上網(wǎng)明螭查海甌絡規(guī)劃.

13、M播優(yōu)化.帶葷E肝 寡的警考1）網(wǎng)絡設備提供NetStream 技術sFlow技術接口的網(wǎng)絡設備，負責對設備各個端口進出的網(wǎng)絡報文進行 流分類統(tǒng)計，然后生成日志并發(fā)送到流量分析服務器。2） DIG 日志采集器適用于配合不支持NetStream 技術 sFlow 技術的網(wǎng)絡設備進行流量分析的組網(wǎng)環(huán)境，DIG 日志采集器過濾和統(tǒng)計DIG 日志報文，形成DIG 日志輸出。DIG 采集器有以下兩種方式對網(wǎng)絡設備端口的數(shù)據(jù)報文進行采集：1、 從鏡像端口采集對于支持端口鏡像功能的交換機、路由器設備，可以將鏡像端口直接同DIG 日志探針組件的采集網(wǎng)卡相連，實現(xiàn)數(shù)據(jù)采集。此類采集方式，需要設置設備鏡像端口，保

14、證鏡像端口和采集網(wǎng)卡的類型、帶寬匹配。2、 分流器采集在設備不支持鏡像端口的情況下，為了不影響設備性能，比較專業(yè)的采集方案是采用分流器，從設備端口接收網(wǎng)絡數(shù)據(jù)報文。此方案通常應用于光纖鏈路。3、 iMC NTA 網(wǎng)絡流量分析組件iMC NTA 網(wǎng)絡流量分析組件是本方案的核心，其根據(jù)不同應用對采集來的流量數(shù)據(jù)進行詳細的分析處理。采用將分布式數(shù)據(jù)先集中再分析的方法，實現(xiàn)了精細統(tǒng)計粒度的同時高效的分析樣本。為便于網(wǎng)絡管理人員的操作，采用基于Web 的直觀的、圖形化的管理界面。4.3. NTA 報表功能4.3.1. 預定義報表介紹使用 iMC NTA 可以簡化對企業(yè)網(wǎng)絡中帶寬使用的監(jiān)控。用戶借助Net

15、Stream 數(shù)據(jù)了解誰、何時占用了多少帶寬，使用多長時間，網(wǎng)絡流量來自何地、流向何處。iMC NTA 這些數(shù)據(jù)進行多角度的統(tǒng)計和分析，并生成各種直觀的流量、帶寬報表。以便用戶快速診斷網(wǎng)絡問題并解決帶寬瓶頸，同時作為用戶進行網(wǎng)絡優(yōu)化、網(wǎng)絡設備投資、網(wǎng)絡帶寬優(yōu)化等的參考。iMC NTA 提供了一系列預置的流量、帶寬報表，所有報表均可以靈活定制過濾條件（包括應用類別、源IP、目的IP等），在預定義報表中按照定制的過濾條件顯示特定應用的流量趨勢或 特定節(jié)點的流量明細信息。通過預置報表可以簡單有效地分析網(wǎng)絡流量?？梢粤私庠斐蓭捚款i的某個特定主機、應用或會話的詳細信息。這將便于快速了解當前哪些鏈路堵塞

16、，并分析其原因。另外，不同時間段的使用趨勢有助于用戶在帶寬投資或加強安全策略方面做出重要的決定，促進有效地使用帶寬?？傮w流量趨勢報表此類報表用于查看特定時間段內(nèi)每個啟用NetStream的接口指定時間段內(nèi)的出、入流量、最大、最小和平均速率、 流量時間變化趨勢及對應的流量明細信息。利用這些流量統(tǒng)計數(shù)據(jù)，任何時間段內(nèi)通過特定接口的 流量信息可以一覽無余，短期（如當天）內(nèi)的流量數(shù)據(jù)可 作為發(fā)現(xiàn)異常流量的參考，長期（如一季度）流量趨勢數(shù) 據(jù)可以為您網(wǎng)絡優(yōu)化或升級規(guī)劃提供依據(jù)。應用帶寬占用趨勢報表此類報表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，各網(wǎng)絡應用占用帶寬的比例的變化趨勢

17、及應用統(tǒng)計概況。并進一步分析使用該應用進行通訊的流 量最大的來源和目的地址列表。對系統(tǒng)不能識別的應用，以四層協(xié)議+端口號的方式顯 示流量趨勢信息，分別提供以端口、源IP、目的IP為分組依據(jù)的未知應用流量分布圖，分別基于未知應用的端口、 源IP、目的IP的流量趨勢變化圖和未知應用流量詳細信息 列表，并提供把分布圖中顯示的未知應用定義為已知應用 的快捷功能。利用報表統(tǒng)計數(shù)據(jù)可以了解哪些應用占用最大帶寬。進 一步分析使用這些應用的源和目的。只需簡單點擊，這些 詳細信息即可呈現(xiàn)-誰在使用帶寬、使用何種協(xié)議，幫助 用戶實時監(jiān)控網(wǎng)絡帶寬的使用，為網(wǎng)絡帶寬優(yōu)化、解決網(wǎng) 絡異常問題提供依據(jù)。流重取Wj下點報表

18、包括“流量最高的來源節(jié)點報表”和“流量最高的 目的節(jié)點報表”。此類報表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，總流量TopN的網(wǎng)絡節(jié)點及流量 統(tǒng)計信息。進一步可分析特定節(jié)點的流量，如使用最多 的應用和與之通信最多的節(jié)點。利用此類報表數(shù)據(jù)，可掌握哪些主機消耗了大量帶 寬，并可以深入分析使用了哪些應用、訪問了哪些目標。流量最高的會話報表此類報表用于查看特定時間內(nèi)啟用NetStream接口的流入、流出方向上，總流量TopN的網(wǎng)絡節(jié)點間會話 及流量統(tǒng)計信息。進一步可分析該會話的流量，如會話 的流量趨勢和雙方節(jié)點使用最多的應用。此類報表數(shù)據(jù)，展示了耗盡大量帶寬的特定主機， 并可以

19、此為依據(jù)深入分析通信的主機之間使用了哪些應 用。支持周期報表提供網(wǎng)絡流量周期性提供直觀的網(wǎng)流狀態(tài)展示。（每小時、每日、每周、每月）狀態(tài)的綜合報表,流量最高的節(jié)點和會話報表將幫助管理員洞察網(wǎng) 絡鏈路的用戶使用狀況，制定相應的策略，使帶寬得到 最合理最充分的使用。支持即時報表提供網(wǎng)絡流量當前狀態(tài) （最近一小時）的綜合報表，提供準實時的網(wǎng)絡流量展不。4.3.2. 七層應用分析報表（DIG采集方式支持）iMC NTA 支持按照特征碼識別 BT、Kazaa、DC 通訊、eDonkey、Gnutella、QQ 文字、MSN 文字通訊、迅雷、AIM等十余種目前流行的 P2P和即時通信應用，對識別的七層應用提

20、供應用帶 寬占用趨勢等預定義報表，具體可參見報表功能介紹部分，同時用戶可以根據(jù)特征碼自行定義關 心的七層應用。曲用修餐占舞圖w4.3.3. 智能基線、自動告警基線的建立對于網(wǎng)絡流量分析，尤其是異常流量的檢測具有重要意義?；€描述了正常情況下鏈路的流量分布和變化規(guī)律?；€功能可以通過對一個指定時間周期內(nèi)各項流量指標的定義（如總體網(wǎng)絡流量水平、流量波動、流量跳變等），建立流量異常監(jiān)測的基礎模型，并可在運行中不斷自我修正，完成與實際運行特征的吻合，從而提高對異常流量報警的準確性，幫助用戶及時發(fā)現(xiàn) 系統(tǒng)異常。NTA采用了獨創(chuàng)的壞值剔除技術和高精度的基線構造算法，以周為單位整理歷史流量信息， 智能化自動

21、生成流量基線，準確反映網(wǎng)絡總體流量基準，動態(tài)衡量網(wǎng)絡總體流量水平。同時以每 天為更新周期，在午夜 00： 00重新自動計算生成新的基線模型，保證基線能夠更加準確的貼近 網(wǎng)絡實際運行狀況?；€的建立便于用戶及時發(fā)現(xiàn)網(wǎng)絡異常流量，NTA基于基線實時檢測流量突變狀態(tài)，并采用零均值化、二階自回歸模型 AR（2）等高準確性的數(shù)學模型，在無序的流量運行狀態(tài)中準確分辨網(wǎng) 絡異常流量，流量發(fā)生異常偏離時自動告警。同時 NTA依才iMC平臺支持豐富的告警方式，通 過聲光、短信、郵件等多種方式通知管理員，及時發(fā)現(xiàn)網(wǎng)絡中的異常流量。這樣帶來的好處是用戶可以根據(jù)基線來判斷網(wǎng)絡是否正常。如：網(wǎng)絡中有突發(fā)的Flood攻擊

22、時，網(wǎng)絡可能并不會立即癱瘓，但是網(wǎng)絡流量一定會發(fā)生異常，與正常情況下對應時刻基線差別 會很大，這時通過基線及時檢測異常流量，可以及時發(fā)現(xiàn)問題。4.4. NTA相關技術規(guī)范NTA通過接收網(wǎng)絡設備的流量日志，處理分析形成流量分析報表，并以 Web方式展現(xiàn)給用 戶。網(wǎng)絡設備流量日志需遵循的技術規(guī)范如下：1. NetSteam 技術：NetStream 是H3c公司基于“流”的概念，定義的一種用于路由器/交換機輸出網(wǎng)絡流量的統(tǒng)計數(shù)據(jù)方法，它可以回答有關IP流量的如下問題：誰在什么時間、在什么地方、使用何種協(xié)議、訪問誰、具體的流量是多少等問題。2. sFlow技術：sFlow是由InMon、HP和Fou

23、ndry Networks聯(lián)合開發(fā)的一種網(wǎng)絡監(jiān)測技 術，它采用數(shù)據(jù)流隨機采樣技術，可以適應超大網(wǎng)絡流量（如大于10Gbps ）環(huán)境下的流量分析，讓用戶詳細、實時地分析網(wǎng)絡傳輸流的性能、趨勢和存在的問題。如果網(wǎng)絡設備不支持上述技術，則可通過端口鏡像的方式，配合 H3C DIG日志采集軟件實 現(xiàn)流量采集和分析功能。五、x x X項目NTA解決方案部署請根據(jù)用戶網(wǎng)絡結構選擇相應方案5.1. 廣域網(wǎng)流量監(jiān)控方案5.1.1. 廣域網(wǎng)分支流量監(jiān)控方案5.1.1.1. 適用的網(wǎng)絡環(huán)境：針對一些有眾多分支機構的大企業(yè)，或者是全國性質的政府部門，往往都是一個總部，多個區(qū)域網(wǎng)絡，通過租用運營商的E1 、 155M

24、 POS 線路相連，構建了一個龐大的廣域網(wǎng)結構。在這樣的網(wǎng)絡結構中，由于連接總部和區(qū)域網(wǎng)絡的運營商的E1 線路，因此費用是比較昂貴的；同時這些E1 線路的帶寬也不像局域網(wǎng)已經(jīng)升級到千兆或萬兆，還是只有2M 的基礎，最多也就是多個E1 捆綁，達到幾十MB 而已。因此作為總部的網(wǎng)絡管理部門，特別希望能了解當前在廣域網(wǎng)中的應用流量使用情況，及時調整各種業(yè)務的帶寬占用情況，以保障關鍵業(yè)務的正常運行。5.1.1.2. 推薦使用的組件：H3C iMC 智能管理平臺、網(wǎng)絡流量分析組件（NTA）。5.1.1.3. 應用組網(wǎng)圖：通過在總部的廣域網(wǎng)路由器上增加NetStream 單板，并啟動對連接分支節(jié)點端口的N

25、etStream 統(tǒng)計功能，并在總部部署一套iMC NTA 來分析和監(jiān)視廣域網(wǎng)中的應用流量。5.1.1.4. 可實現(xiàn)的功能：通過對總部廣域網(wǎng)路由器的流量監(jiān)控，可實現(xiàn)所有分支網(wǎng)絡之間通信流量、分支和總部之間 通信流量的整體監(jiān)控。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說，WAN帶寬通常是有限的，如果WAN鏈路上的流量增大，通常企業(yè)的做 法就是進行投資以升級 WAN鏈路，但是如果企業(yè)能掌握 WAN流量的特征，制定相應的策略（比 如QoS和針對源或目的IP地址作流限制），就能使 WAN帶寬得到最合理最充分的使用，避免 進行不必要的升級投資。iMC NTA通過流量、應用、會話、節(jié)點等幾大類預定義報表，提供準實

26、時的流量監(jiān)控和詳盡 流量分析結果。幫助網(wǎng)絡管理員洞察WAN鏈路的流量特征、承載的應用、用戶使用狀況，從而針對是否應投資升級帶寬快速的作出快速響應。網(wǎng)絡優(yōu)化同時通過iMC NTA可使網(wǎng)絡管理員及時掌握網(wǎng)絡負載狀況，網(wǎng)內(nèi)應用資源使用情況，盡早 發(fā)現(xiàn)網(wǎng)絡結構的不合理，或是網(wǎng)絡性能瓶頸，盡快作出網(wǎng)絡優(yōu)化方面的決斷，使網(wǎng)絡帶寬分配最 優(yōu)化，為用戶提供高品質的網(wǎng)絡服務，并且避免了網(wǎng)絡帶寬和服務器瓶頸問題。5.1.2. 廣域網(wǎng)分布式流量監(jiān)控方案5.1.2.1. 適用的網(wǎng)絡環(huán)境：有眾多分支機構的大企業(yè)，或者是全國性質的政府部門，即一個總部，多個區(qū)域網(wǎng)絡，通過 租用運營商的E1、155M POS線路相連，構建一

27、個龐大的廣域網(wǎng)結構。5.1.2.2. 推薦使用的組件：H3C iMC智能管理平臺、網(wǎng)絡流量分析組件（ NTA）。5.1.2.3. 應用組網(wǎng)圖各分支機構部署一套iMC NTA,實現(xiàn)分布式流量接收和分析處理，總部部署一套 iMC NTA 作為流量分析中心，實現(xiàn)統(tǒng)一的Web流量分析。通過多臺網(wǎng)流服務器分布式安裝建立大型園區(qū)網(wǎng)的區(qū)域化、層次化的流量分析管理系統(tǒng)，分散了大規(guī)模網(wǎng)絡的流量分析壓力。5.1.2.4. 可實現(xiàn)的功能:本方案實現(xiàn)了大型網(wǎng)絡層次化、結構化的分級流量監(jiān)控分析解決方案:分布式流量檢測針對一個總部多個分支、跨廣域網(wǎng)的大型園區(qū)網(wǎng)，提供了分布式流量檢測能力：通過核心出口部署流量檢測點，實現(xiàn)對

28、企業(yè)各分支之間、分支到總部應用流量的統(tǒng)計分析；通過在各分支部署流量檢測點實現(xiàn)各分支網(wǎng)絡內(nèi)部應用流量的監(jiān)控。并以統(tǒng)一的Web 界面展示全網(wǎng)總部和分支所有流量，實現(xiàn)層次化的分級流量監(jiān)控解決方案。廣域網(wǎng)鏈路流量檢測對于一個企業(yè)來說，WAN 帶寬通常是有限的，如果 WAN 鏈路上的流量增大，通常企業(yè)的做法就是進行投資以升級WAN 鏈路， 但是如果企業(yè)能掌握WAN 流量的特征，制定相應的策略（比如 QoS 和針對源或目的IP 地址作流限制），就能使WAN 帶寬得到最合理最充分的使用，避免進行不必要的升級投資。iMC NTA 通過流量、應用、會話、節(jié)點等幾大類預定義報表，提供準實時的流量監(jiān)控和詳盡流量分析

29、結果。幫助網(wǎng)絡管理員洞察WAN 鏈路的流量特征、承載的應用、用戶使用狀況，從而針對是否應投資升級帶寬快速的作出快速響應。網(wǎng)絡優(yōu)化同時通過iMC NTA 可使網(wǎng)絡管理員及時掌握網(wǎng)絡負載狀況，網(wǎng)內(nèi)應用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡結構的不合理，或是網(wǎng)絡性能瓶頸，盡快作出網(wǎng)絡優(yōu)化方面的決斷，使網(wǎng)絡帶寬分配最優(yōu)化，為用戶提供高品質的網(wǎng)絡服務，并且避免了網(wǎng)絡帶寬和服務器瓶頸問題5.2. 局域網(wǎng)流量監(jiān)控方案5.2.1. 局域網(wǎng) Internet 出口流量監(jiān)控方案5.2.1.1. 適用的網(wǎng)絡環(huán)境：對于大多數(shù)的局域網(wǎng)絡，都會連接到Internet 網(wǎng)絡中，通過對Internet 出口流量的監(jiān)控，不僅能分析各種應用

30、占用出口帶寬的情況，還能監(jiān)視一些非工作需要的Internet 訪問，例如Web訪問、聊天等，提高工作效率。5.2.1.2. 推薦使用組件：H3C iMC 智能管理平臺、網(wǎng)絡流量分析組件（NTA）。5.2.1.3. 應用組網(wǎng)圖：在廣域網(wǎng)出口的路由器或者交換機上通過增加NetStream 單板， 并啟動對連接Internet 端口（通常是E1 、百兆）的NetStream 統(tǒng)計功能，并在網(wǎng)絡中一套iMC NTA 實現(xiàn)對廣域網(wǎng)出口的應用的流量和個人IP 地址的流量進行分析和監(jiān)視。I5.2.1.4. 可實現(xiàn)的功能:網(wǎng)絡流量異常監(jiān)測網(wǎng)絡管理員都希望在網(wǎng)絡性能突然下降的時候找到“真兇”所在，并迅速解決問題

31、。利用NTA解決方案提供的某段時間內(nèi)的流量、應用趨勢分析，可非常直觀的看到網(wǎng)絡流量是否有突然增長 或突然下降的現(xiàn)象，并進一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應用以至于網(wǎng)絡 運轉出現(xiàn)性能問題。并根據(jù)最終分析結果，網(wǎng)絡管理員可快速的解決網(wǎng)絡異常問題，保證網(wǎng)絡正 常的運行。網(wǎng)絡規(guī)劃參考利用NetStream 流日志以及NTA長期監(jiān)控網(wǎng)絡帶寬而形成的各類趨勢報表，有助于網(wǎng)絡管 理員跟蹤和預測網(wǎng)絡鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡升級（例如，增加路由服務、端口 或使用更高帶寬的接口）。5.2.2. 不支持NetStream 設備組網(wǎng)方案5.2.2.1. 適用的網(wǎng)絡環(huán)境：對于大多數(shù)的局域網(wǎng)絡

32、，都會連接到Internet網(wǎng)絡中，通過對Internet出口流量的監(jiān)控，不僅能分析各種應用占用出口帶寬的情況，還能監(jiān)視一些非工作需要的Internet訪問，例如BT下載、聊天等，提高工作效率。但網(wǎng)絡中的出口設備可能不支持NetStream技術，不能通過NetStream流日志實現(xiàn)對流量的監(jiān)控分析。本方案通過DIG探針型日志采集器采集網(wǎng)絡設備鏡像端口或TAP分流器的原始流量，通過過濾聚合生成DIG日志，并發(fā)送iMC NTA監(jiān)控分析網(wǎng)絡應用流量，普遍適用于用戶需要對Internet出口帶寬進行監(jiān)控，但出口設備不支持NetStream 技術的組網(wǎng)環(huán)境。5222推薦使用的組件：H3C iMC智能管理

33、平臺、網(wǎng)絡流量分析組件（ NTA）、DIG探針型日志采集器。5.223. 應用組網(wǎng)圖本方案通過在網(wǎng)絡出口設備啟用端口鏡像功能或部署TAP分流器，同時部署 DIG探針型采集器實現(xiàn)對網(wǎng)絡出口的流量監(jiān)控。5.224. 可實現(xiàn)的功能：網(wǎng)絡流量異常監(jiān)測網(wǎng)絡管理員都希望在網(wǎng)絡性能突然下降的時候找到“真兇”所在，并迅速解決問題。利用NTA解決方案提供的某段時間內(nèi)的流量、應用趨勢分析，可非常直觀的看到網(wǎng)絡流量是否有突然增長 或突然下降的現(xiàn)象，并進一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應用以至于網(wǎng)絡 運轉出現(xiàn)性能問題。并根據(jù)最終分析結果，網(wǎng)絡管理員可快速的解決網(wǎng)絡異常問題，保證網(wǎng)絡正 常的運行！網(wǎng)絡規(guī)

34、劃參考利用NetStream 流日志以及NTA長期監(jiān)控網(wǎng)絡帶寬而形成的各類趨勢報表，有助于網(wǎng)絡管 理員跟蹤和預測網(wǎng)絡鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡升級（例如，增加路由服務、端口 或使用更高帶寬的接口）。附：NTA特色流量分析功能介紹準確的主機識別對于系統(tǒng)預定義報表 Top列表中出現(xiàn)的任何一個 IP地址，都支持通過點擊其相應的主機識別圖標來查詢該IP對應的MAC地址、主機名或域名信息，提高網(wǎng)絡分析結果的透明性。 在iMC UAM用戶接入組件作為 AAA服務器的組網(wǎng)環(huán)境中，還支持和 UAM系統(tǒng)聯(lián)動，查詢特定IP地址 對應的用戶上網(wǎng)帳號、MAC地址、使用服務及上網(wǎng)時間等明細息。組網(wǎng)環(huán)境中存在

35、iM C UAM作為 AAAJK務器ItsI*戶嘰*t加櫓MH口酬而|T1'確圜壯庭Me“就泗川*蜀1I3FDS注中此*情W'WNIKlSi圜討EMC的就Ml加不修時修”MM軸C MT 秘數(shù)據(jù)庫實時監(jiān)控iMC NTA支持實時監(jiān)控系統(tǒng)數(shù)據(jù)庫使用狀態(tài)，包括數(shù)據(jù)庫已用/剩余空間監(jiān)視、磁盤已用 /剩余空間監(jiān)視、磁盤使用空間設置、達到閾值后自動釋放磁盤空間等功能，幫助管理員全面實時掌 握磁盤使用狀況，及時做出相應處理，杜絕由于磁盤空間不足而造成系統(tǒng)性能和分析準確性的影 響。靈活的應用自定義iMC NTA支持使用從NetStream獲得的端口和協(xié)議數(shù)據(jù)來定義應用，系統(tǒng)預定義的常用應 用有Netmeeting、Microsoft ds等近三百種。另外還可以通過結合端口和協(xié)議來添加自定義的應 用或修改現(xiàn)有應用。應用定義管理功能不僅便于企業(yè)監(jiān)控常用應用的流量，更為用戶監(jiān)控企業(yè)特 有應用的帶寬利用情況提供了方便。流量分析任務管理通過iMC NTA中的接口分組管理功能，可將同一臺設備的多個接口或分布在不同設備的幾 個接口邏輯定義為一個接口組，對接口組整體的應用流量進行分析；同時支持將一個或多個IP地址段、一個或多個相關聯(lián)的接口、特定的協(xié)議（目前支持