H3C-iMC-网络流量分析方案技术建议书.doc

《H3C-iMC-网络流量分析方案技术建议书.doc》由会员分享，可在线阅读，更多相关《H3C-iMC-网络流量分析方案技术建议书.doc（24页珍藏版）》请在咨信网上搜索。

1、H3C iMC网络流量分析方案技术方案建议书氧蹬三箱馈撑炳怂诧岁瘫茹掣衍筐涉椒悄追兢琼冀孙释撇赶令尺皇幻诞颊柯搽谰骂逻个医肮锹泊僧恍恩秤帧由面樟象哺膛瓣劝宵沥想倡辗苍上给彝详垃窟免混梅葱育传橱釜侥锈欢怪标旁邦袜顷譬幕肉凑兽揩样亨隶坚糠落香讨魔故目精铅潍清亲拂肇豢库决烤申啮滓藏励茄钳衬淮崔属鸟潍罕嗽迟豫渺起矗塔豆缴爱耿蜡墟舒狠刁惑则引且驶惺畅纵谈趴抄者跌喜跨碰朔挽辰懒盐名伏蹭吸阿搭袭辗枉非钓亡婉讲乔巡觅庶茂舀廊鸵象临绎窍渡局富勾咀口而奖命沃搏奏返打犁借蚜饱供统赞田爆津藕大病沥赁俊赌熊痕项踊掌棺汕蜡师曳辑伤祟轧荣替霸穴侨揭追戒氏劲杉捉跌编阻怔贼死宋篇瓶聘H3C iMC网络流量分析方案技术方案建议书

2、杭州华三通信技术有限公司 第 1 页H3C iMC 网络流量分析方案技术方案建议书杭州华三通信技术有限公司塘骇削铣迈揪扰醛陌酬门醛恰卑展辆湾入数莹扮摸琶碳犹乔龟峡瘫秒榆撼娄囚响裂弧五咱频绘煌胜铲只澄茅纺眉磐项抹报捶哎廓然寞鹃湃宗招往背衅冠畅撂复霖燥睁引掖钎颁维卯英建兵累徐耙绚债靳寞踏社稠乳恳饮燃拼颐琵谰肠至驹大款瓤礼抠岸睫够咋栽落畸垦颓兆湘隶市丹胶毅压揪疏岔傣理撑侨廓洽造泻虾租钓梯髓樱权引浆买架趾凿榷笋希俩拍卫食烽稻恼欣官穗晋之煎猩嘉诸醉且仆浮潞嗽棉蚊院专二讼的长亩逾薪捷旨祥苦涧呵赊炙扭尿数订勘坎梅军筒棘磊玫绦售逛腿钵笋氟事抿在静珐思颂金摈偶动接疫咙慈叛祥批梢舔岩贾争焙扯伴荐闲冰胺菲茶撇啮耘费

3、膏淋谚萨砂吁块夫祝H3C iMC 网络流量分析方案技术建议书这磐怂略扮镰锯毙栖掳屎涧娶陌娟宗蒸孪租座痘务南谐音刚宽巨舅亦占范侮柑褂捻释酌奈偏附纪粕宫澎狄医斌逞充涣挚科憎悬刁隅螺奏世浓丈例樟连箕筐旭近嘲木颊矢涩哑优诣返烙耘抡冕水氓折饥认械蚊委筋模辊弟寿领层帖雄友呜反丑温整隶舞陛碧陵梆坷废嘱橡慨霉跨山彰店蒜杜苯失章藩镊格辟则譬平菩炯板浓傻夺冯罗轰豫峙屯脐焕梁纲雕延彰渤歇禄窝识岛锐费桨熙偷麓赡霸瓶主汪射跪仗踏搐繁柿邻霓危绅挖搂捍至旱佩柑煌菇封辞疤瓦爹芯碘红舟框沸宠消慎蝶激镣养屠恰劫尝批拆闷绵陈瘁嚷搔鸯虐汝余铱耻逼咆括癸雨伶螺支警矫逃队谗跨财桩简舍蜒阂奠顶倦她蓄尖奏障羹南送H3C iMC 网络流量分析

4、方案技术方案建议书杭州华三通信技术有限公司目 录一、网络流量分析技术的现状与发展4二、网络流量分析的重要性分析5三、项目网络流量分析系统需求分析63.1.项目相关背景及需求信息63.2.项目网络拓扑结构及网络流量模型6四、H3C IMC 网络流量分析(NTA)解决方案介绍64.1.NTA解决方案介绍74.2.NTA逻辑组成74.3.NTA报表功能84.3.1.预定义报表介绍84.3.2.七层应用分析报表（DIG采集方式支持）114.3.3.智能基线、自动告警114.4.NTA相关技术规范12五、项目NTA解决方案部署125.1.广域网流量监控方案135.1.1.广域网分支流量监控方案135.1

5、.1.1.适用的网络环境：135.1.1.2.推荐使用的组件：135.1.1.3.应用组网图：135.1.1.4.可实现的功能：145.1.2.广域网分布式流量监控方案145.1.2.1.适用的网络环境：145.1.2.2.推荐使用的组件：145.1.2.3.应用组网图145.1.2.4.可实现的功能：155.2.局域网流量监控方案165.2.1.局域网Internet出口流量监控方案165.2.1.1.适用的网络环境：165.2.1.2.推荐使用组件：165.2.1.3.应用组网图：165.2.1.4.可实现的功能：165.2.2.不支持NetStream设备组网方案175.2.2.1.适用

6、的网络环境：175.2.2.2.推荐使用的组件：175.2.2.3.应用组网图175.2.2.4.可实现的功能：18附：NTA特色流量分析功能介绍18准确的主机识别18数据库实时监控19灵活的应用自定义19流量分析任务管理19附：NETSTREAM技术简介19一、 网络流量分析技术的现状与发展随着网络的应用越来越广泛，规模越来越大，其承载的业务越来越丰富，了解网络承载的业务，掌握网络流量特征，以便使网络带宽配置最优化，是当前网络面临的一大挑战；另一方面，网络蠕虫病毒、DoS/DDoS攻击等在网络中越来越流行，对网络正常业务的负面危害也越来越大，因此检测威胁网络安全的异常行为是当前网络面临的另一

7、大挑战。 绝大多数企业的IT管理部门都还没有建设起一套能够完全满足上述管理需求的网络及业务流量和流向分析系统，大部分网管系统还只是采用一些通用型的网络链路使用率监视软件，如MRTG，利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计；或采用在网络中部分重点POP点加装RMON探针的方式，利用RMON I/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。但是上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性：1) 利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集，但不会对信息进行过滤，经常是收集上许多无用信息。不但包括网络层的客

8、户业务流量信息，还包括链路层的数据帧包头，Hello数据包，出错后重新传送的数据包等流量信息。而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况，也无法对进出的流量进行流向分析。 2) 利用RMON协议对运营商网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性，如可以对业务流量进行统计，但同时也暴露出新的技术局限性。首先，由于RMON协议需要对网络上传送的每个数据帧进行采集和分析，会消耗大量的CPU资源因而不可能由网络设备本身实现，需要额外购买和安装内置式或外置式的RMON探针。市场上现有的RMON探针处理能力也有限制，还不能支持监控端口速率超过1Gbp

9、s的网络端口。其次，因为RMON探针为硬件设备，价格较贵，所以不可能为每台网络设备都配备，且由于RMON探针，特别是内置式RMON探针，探针接入网络后部署变更困难，必然会造成出现异常事件时无法及时对特定的网络链路进行监控。最后，由于RMON探针采集到的管理数据是由分析每个数据包后得到的，数据量非常大且分散，协议缺乏内建的数据汇总机制，不易对数据进行高层次的流向分析。这些因素都会阻碍利用RMON协议对大型网络进行流量和流向分析的有效性。 为克服现有网管系统对网络流量和流向分析功能的技术局限性，企业IT管理部门迫切需要寻找一种功能丰富，成熟稳定的新技术对现有管理系统中管理信息的采集和分析方式进行改

10、造和升级。新的信息采集和分析技术还需要对企业的运行网络影响小，无需对网络拓扑进行改变就能平滑升级。而且新的信息采集和分析技术应该即可以对网络中各个链路的带宽使用率进行统计，也可以对每条链路上传输不同类型业务的流量和流向进行分析和统计。作为IT业界的网络解决方案提供商，H3C不但提供了性能卓越的网络设备，还配套研发了可以满足客户对网络流量和流向分析需求的NetStream技术，NetStream技术是一种基于网络流信息的统计与发布技术，它可以对网络中的通信量和资源使用情况进行分类和统计，基于各种业务和应用进行分析。二、 网络流量分析的重要性随着网络规模的日渐增长，网络中承载的业务也越来越丰富。企

11、业需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题：1) 网络的可视性：网络利用率如何？什么样的程序正在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据作为网络带宽规划的参考？2) 应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？3) 用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？三、 项目网络流量分析系统需求分析此处对项目背景进行简单介

12、绍，主要目的是分析网络流量分析的需求，建议内容包括：注：此处请项目人员根据具体的项目信息补充说明。3.1. 项目相关背景及需求信息3.2. 项目网络拓扑结构及网络流量模型四、 H3C iMC 网络流量分析(NTA)解决方案介绍H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。

13、H3C智能管理中心解决方案架构如下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性和灵活性。4.1. NTA解决方案介绍iMC 网络流量分析(Network Traffic Analyzer, NTA)解决方案可以帮助网络管理人员了解企业内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题、网络异常现象，也能方便用户进行网络优化、网络设备投资

14、、网络带宽优化等的参考，并方便网络管理员及时解决网络异常问题。4.2. NTA逻辑组成iMC NTA解决方案包括：网络设备、DIG日志采集器（可选）、iMC NTA网络流量分析组件，三部分之间的关系如下图所示：1）网络设备提供NetStream技术sFlow技术接口的网络设备，负责对设备各个端口进出的网络报文进行流分类统计，然后生成日志并发送到流量分析服务器。2）DIG日志采集器适用于配合不支持NetStream技术sFlow技术的网络设备进行流量分析的组网环境，DIG日志采集器过滤和统计DIG日志报文，形成DIG日志输出。DIG采集器有以下两种方式对网络设备端口的数据报文进行采集：1、 从镜

15、像端口采集对于支持端口镜像功能的交换机、路由器设备，可以将镜像端口直接同DIG日志探针组件的采集网卡相连，实现数据采集。此类采集方式，需要设置设备镜像端口，保证镜像端口和采集网卡的类型、带宽匹配。2、 分流器采集在设备不支持镜像端口的情况下，为了不影响设备性能，比较专业的采集方案是采用分流器，从设备端口接收网络数据报文。此方案通常应用于光纤链路。3、 iMC NTA网络流量分析组件iMC NTA网络流量分析组件是本方案的核心，其根据不同应用对采集来的流量数据进行详细的分析处理。采用将分布式数据先集中再分析的方法，实现了精细统计粒度的同时高效的分析样本。为便于网络管理人员的操作，采用基于Web的

16、直观的、图形化的管理界面。4.3. NTA报表功能4.3.1. 预定义报表介绍使用iMC NTA可以简化对企业网络中带宽使用的监控。用户借助NetStream数据了解谁、何时占用了多少带宽，使用多长时间，网络流量来自何地、流向何处。iMC NTA这些数据进行多角度的统计和分析，并生成各种直观的流量、带宽报表。以便用户快速诊断网络问题并解决带宽瓶颈，同时作为用户进行网络优化、网络设备投资、网络带宽优化等的参考。iMC NTA提供了一系列预置的流量、带宽报表，所有报表均可以灵活定制过滤条件（包括应用类别、源IP、目的IP等），在预定义报表中按照定制的过滤条件显示特定应用的流量趋势或特定节点的流量明

17、细信息。通过预置报表可以简单有效地分析网络流量。可以了解造成带宽瓶颈的某个特定主机、应用或会话的详细信息。这将便于快速了解当前哪些链路堵塞，并分析其原因。另外，不同时间段的使用趋势有助于用户在带宽投资或加强安全策略方面做出重要的决定，促进有效地使用带宽。总体流量趋势报表此类报表用于查看特定时间段内每个启用NetStream的接口指定时间段内的出、入流量、最大、最小和平均速率、流量时间变化趋势及对应的流量明细信息。利用这些流量统计数据，任何时间段内通过特定接口的流量信息可以一览无余，短期（如当天）内的流量数据可作为发现异常流量的参考，长期（如一季度）流量趋势数据可以为您网络优化或升级规划提供依据

18、。应用带宽占用趋势报表此类报表用于查看特定时间内启用NetStream接口的流入、流出方向上，各网络应用占用带宽的比例的变化趋势及应用统计概况。并进一步分析使用该应用进行通讯的流量最大的来源和目的地址列表。对系统不能识别的应用，以四层协议端口号的方式显示流量趋势信息，分别提供以端口、源IP、目的IP为分组依据的未知应用流量分布图，分别基于未知应用的端口、源IP、目的IP的流量趋势变化图和未知应用流量详细信息列表，并提供把分布图中显示的未知应用定义为已知应用的快捷功能。利用报表统计数据可以了解哪些应用占用最大带宽。进一步分析使用这些应用的源和目的。只需简单点击，这些详细信息即可呈现谁在使用带宽、

19、使用何种协议，帮助用户实时监控网络带宽的使用，为网络带宽优化、解决网络异常问题提供依据。流量最高节点报表包括“流量最高的来源节点报表”和“流量最高的目的节点报表”。此类报表用于查看特定时间内启用NetStream接口的流入、流出方向上，总流量TopN的网络节点及流量统计信息。进一步可分析特定节点的流量，如使用最多的应用和与之通信最多的节点。利用此类报表数据，可掌握哪些主机消耗了大量带宽，并可以深入分析使用了哪些应用、访问了哪些目标。流量最高的会话报表此类报表用于查看特定时间内启用NetStream接口的流入、流出方向上，总流量TopN的网络节点间会话及流量统计信息。进一步可分析该会话的流量，如

20、会话的流量趋势和双方节点使用最多的应用。此类报表数据，展示了耗尽大量带宽的特定主机，并可以此为依据深入分析通信的主机之间使用了哪些应用。流量最高的节点和会话报表将帮助管理员洞察网络链路的用户使用状况，制定相应的策略，使带宽得到最合理最充分的使用。支持周期报表提供网络流量周期性(每小时、每日、每周、每月)状态的综合报表，提供直观的网流状态展示。支持即时报表提供网络流量当前状态（最近一小时）的综合报表，提供准实时的网络流量展示。4.3.2. 七层应用分析报表（DIG采集方式支持）iMC NTA支持按照特征码识别BT、Kazaa、DC通讯、eDonkey、Gnutella、QQ文字、MSN文字通讯、

21、迅雷、AIM等十余种目前流行的P2P和即时通信应用，对识别的七层应用提供应用带宽占用趋势等预定义报表，具体可参见报表功能介绍部分，同时用户可以根据特征码自行定义关心的七层应用。4.3.3. 智能基线、自动告警基线的建立对于网络流量分析，尤其是异常流量的检测具有重要意义。基线描述了正常情况下链路的流量分布和变化规律。基线功能可以通过对一个指定时间周期内各项流量指标的定义(如总体网络流量水平、流量波动、流量跳变等)，建立流量异常监测的基础模型，并可在运行中不断自我修正，完成与实际运行特征的吻合，从而提高对异常流量报警的准确性，帮助用户及时发现系统异常。NTA采用了独创的坏值剔除技术和高精度的基线构

22、造算法，以周为单位整理历史流量信息，智能化自动生成流量基线，准确反映网络总体流量基准，动态衡量网络总体流量水平。同时以每天为更新周期，在午夜00：00重新自动计算生成新的基线模型，保证基线能够更加准确的贴近网络实际运行状况。基线的建立便于用户及时发现网络异常流量，NTA基于基线实时检测流量突变状态，并采用零均值化、二阶自回归模型AR(2)等高准确性的数学模型，在无序的流量运行状态中准确分辨网络异常流量，流量发生异常偏离时自动告警。同时NTA依托iMC平台支持丰富的告警方式，通过声光、短信、邮件等多种方式通知管理员，及时发现网络中的异常流量。这样带来的好处是用户可以根据基线来判断网络是否正常。如

23、：网络中有突发的Flood攻击时，网络可能并不会立即瘫痪，但是网络流量一定会发生异常，与正常情况下对应时刻基线差别会很大，这时通过基线及时检测异常流量，可以及时发现问题。4.4. NTA相关技术规范NTA通过接收网络设备的流量日志，处理分析形成流量分析报表，并以Web方式展现给用户。网络设备流量日志需遵循的技术规范如下：1. NetSteam技术：NetStream是H3C公司基于“流”的概念，定义的一种用于路由器/交换机输出网络流量的统计数据方法，它可以回答有关IP流量的如下问题：谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等问题。2. sFlow技术：sFlow是由In

24、Mon、HP和Foundry Networks联合开发的一种网络监测技术，它采用数据流随机采样技术，可以适应超大网络流量（如大于10Gbps）环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。如果网络设备不支持上述技术，则可通过端口镜像的方式，配合H3C DIG日志采集软件实现流量采集和分析功能。五、 项目NTA解决方案部署请根据用户网络结构选择相应方案5.1. 广域网流量监控方案5.1.1. 广域网分支流量监控方案5.1.1.1. 适用的网络环境：针对一些有众多分支机构的大企业，或者是全国性质的政府部门，往往都是一个总部，多个区域网络，通过租用运营商的E1、155M

25、 POS线路相连，构建了一个庞大的广域网结构。在这样的网络结构中，由于连接总部和区域网络的运营商的E1线路，因此费用是比较昂贵的；同时这些E1线路的带宽也不像局域网已经升级到千兆或万兆，还是只有2M的基础，最多也就是多个E1捆绑，达到几十MB而已。因此作为总部的网络管理部门，特别希望能了解当前在广域网中的应用流量使用情况，及时调整各种业务的带宽占用情况，以保障关键业务的正常运行。5.1.1.2. 推荐使用的组件：H3C iMC智能管理平台、网络流量分析组件（NTA）。 5.1.1.3. 应用组网图：通过在总部的广域网路由器上增加NetStream单板，并启动对连接分支节点端口的NetStrea

26、m统计功能，并在总部部署一套iMC NTA来分析和监视广域网中的应用流量。5.1.1.4. 可实现的功能：通过对总部广域网路由器的流量监控，可实现所有分支网络之间通信流量、分支和总部之间通信流量的整体监控。 广域网链路流量检测对于一个企业来说，WAN带宽通常是有限的，如果WAN链路上的流量增大，通常企业的做法就是进行投资以升级WAN链路，但是如果企业能掌握WAN流量的特征，制定相应的策略（比如QoS和针对源或目的IP地址作流限制），就能使WAN带宽得到最合理最充分的使用，避免进行不必要的升级投资。iMC NTA通过流量、应用、会话、节点等几大类预定义报表，提供准实时的流量监控和详尽流量分析结果

27、。帮助网络管理员洞察WAN链路的流量特征、承载的应用、用户使用状况，从而针对是否应投资升级带宽快速的作出快速响应。 网络优化同时通过iMC NTA可使网络管理员及时掌握网络负载状况，网内应用资源使用情况，尽早发现网络结构的不合理，或是网络性能瓶颈，尽快作出网络优化方面的决断，使网络带宽分配最优化，为用户提供高品质的网络服务，并且避免了网络带宽和服务器瓶颈问题。5.1.2. 广域网分布式流量监控方案5.1.2.1. 适用的网络环境：有众多分支机构的大企业，或者是全国性质的政府部门，即一个总部，多个区域网络，通过租用运营商的E1、155M POS线路相连，构建一个庞大的广域网结构。5.1.2.2.

28、 推荐使用的组件：H3C iMC智能管理平台、网络流量分析组件（NTA）。 5.1.2.3. 应用组网图各分支机构部署一套iMC NTA，实现分布式流量接收和分析处理，总部部署一套iMC NTA作为流量分析中心，实现统一的Web流量分析。通过多台网流服务器分布式安装建立大型园区网的区域化、层次化的流量分析管理系统，分散了大规模网络的流量分析压力。5.1.2.4. 可实现的功能：本方案实现了大型网络层次化、结构化的分级流量监控分析解决方案： 分布式流量检测针对一个总部多个分支、跨广域网的大型园区网，提供了分布式流量检测能力：通过核心出口部署流量检测点，实现对企业各分支之间、分支到总部应用流量的统

29、计分析；通过在各分支部署流量检测点实现各分支网络内部应用流量的监控。并以统一的Web界面展示全网总部和分支所有流量，实现层次化的分级流量监控解决方案。 广域网链路流量检测对于一个企业来说，WAN带宽通常是有限的，如果WAN链路上的流量增大，通常企业的做法就是进行投资以升级WAN链路，但是如果企业能掌握WAN流量的特征，制定相应的策略（比如QoS和针对源或目的IP地址作流限制），就能使WAN带宽得到最合理最充分的使用，避免进行不必要的升级投资。iMC NTA通过流量、应用、会话、节点等几大类预定义报表，提供准实时的流量监控和详尽流量分析结果。帮助网络管理员洞察WAN链路的流量特征、承载的应用、用

30、户使用状况，从而针对是否应投资升级带宽快速的作出快速响应。 网络优化同时通过iMC NTA可使网络管理员及时掌握网络负载状况，网内应用资源使用情况，尽早发现网络结构的不合理，或是网络性能瓶颈，尽快作出网络优化方面的决断，使网络带宽分配最优化，为用户提供高品质的网络服务，并且避免了网络带宽和服务器瓶颈问题5.2. 局域网流量监控方案5.2.1. 局域网Internet出口流量监控方案5.2.1.1. 适用的网络环境：对于大多数的局域网络，都会连接到Internet网络中，通过对Internet出口流量的监控，不仅能分析各种应用占用出口带宽的情况，还能监视一些非工作需要的Internet访问，例如

31、Web访问、聊天等，提高工作效率。5.2.1.2. 推荐使用组件：H3C iMC智能管理平台、网络流量分析组件（NTA）。5.2.1.3. 应用组网图：在广域网出口的路由器或者交换机上通过增加NetStream单板，并启动对连接Internet端口（通常是E1、百兆）的NetStream统计功能，并在网络中一套iMC NTA实现对广域网出口的应用的流量和个人IP地址的流量进行分析和监视。5.2.1.4. 可实现的功能： 网络流量异常监测网络管理员都希望在网络性能突然下降的时候找到“真凶”所在，并迅速解决问题。利用NTA解决方案提供的某段时间内的流量、应用趋势分析，可非常直观的看到网络流量是否有

32、突然增长或突然下降的现象，并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。并根据最终分析结果，网络管理员可快速的解决网络异常问题，保证网络正常的运行。 网络规划参考利用NetStream流日志以及NTA长期监控网络带宽而形成的各类趋势报表，有助于网络管理员跟踪和预测网络链路流量的增长，从而能有效的规划网络升级（例如，增加路由服务、端口或使用更高带宽的接口）。5.2.2. 不支持NetStream设备组网方案5.2.2.1. 适用的网络环境：对于大多数的局域网络，都会连接到Internet网络中，通过对Internet出口流量的监控，不仅能分析各种应用占用出口

33、带宽的情况，还能监视一些非工作需要的Internet访问，例如BT下载、聊天等，提高工作效率。但网络中的出口设备可能不支持NetStream技术，不能通过NetStream流日志实现对流量的监控分析。本方案通过DIG探针型日志采集器采集网络设备镜像端口或TAP分流器的原始流量，通过过滤聚合生成DIG日志，并发送iMC NTA监控分析网络应用流量，普遍适用于用户需要对Internet出口带宽进行监控，但出口设备不支持NetStream技术的组网环境。5.2.2.2. 推荐使用的组件：H3C iMC智能管理平台、网络流量分析组件（NTA）、DIG探针型日志采集器。5.2.2.3. 应用组网图本方案

34、通过在网络出口设备启用端口镜像功能或部署TAP分流器，同时部署DIG探针型采集器实现对网络出口的流量监控。5.2.2.4. 可实现的功能： 网络流量异常监测网络管理员都希望在网络性能突然下降的时候找到“真凶”所在，并迅速解决问题。利用NTA解决方案提供的某段时间内的流量、应用趋势分析，可非常直观的看到网络流量是否有突然增长或突然下降的现象，并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。并根据最终分析结果，网络管理员可快速的解决网络异常问题，保证网络正常的运行！ 网络规划参考利用NetStream流日志以及NTA长期监控网络带宽而形成的各类趋势报表，有助于网

35、络管理员跟踪和预测网络链路流量的增长，从而能有效的规划网络升级（例如，增加路由服务、端口或使用更高带宽的接口）。附：NTA特色流量分析功能介绍准确的主机识别对于系统预定义报表Top列表中出现的任何一个IP地址，都支持通过点击其相应的主机识别图标来查询该IP对应的MAC地址、主机名或域名信息，提高网络分析结果的透明性。在iMC UAM用户接入组件作为AAA服务器的组网环境中，还支持和UAM系统联动，查询特定IP地址对应的用户上网帐号、MAC地址、使用服务及上网时间等明细息。 数据库实时监控iMC NTA支持实时监控系统数据库使用状态，包括数据库已用/剩余空间监视、磁盘已用/剩余空间监视、磁盘使用

36、空间设置、达到阈值后自动释放磁盘空间等功能，帮助管理员全面实时掌握磁盘使用状况，及时做出相应处理，杜绝由于磁盘空间不足而造成系统性能和分析准确性的影响。灵活的应用自定义iMC NTA支持使用从NetStream获得的端口和协议数据来定义应用，系统预定义的常用应用有Netmeeting、Microsoft ds等近三百种。另外还可以通过结合端口和协议来添加自定义的应用或修改现有应用。应用定义管理功能不仅便于企业监控常用应用的流量，更为用户监控企业特有应用的带宽利用情况提供了方便。流量分析任务管理通过iMC NTA中的接口分组管理功能，可将同一台设备的多个接口或分布在不同设备的几个接口逻辑定义为一

37、个接口组，对接口组整体的应用流量进行分析；同时支持将一个或多个IP地址段、一个或多个相关联的接口、特定的协议(目前支持TCP，UDP)、应用端口范围作为条件定义一个IP地址组，以IP地址组为考察对象进行网络流量报表统计，便于监控需要关注的网络流量。例如关注财务部的网络流量，可根据实际情况把财务部员工的网络接入端口或财务部对应的IP网段添加到一个接口组或IP地址段中进行整体流量的分析和监控。附：NetStream技术简介NetStream技术是基于“流”的IP信息收集方案，一个流是指来自相同的子接口，有相同的源和目的IP地址，协议类型，相同的源和目的协议端口号，以及相同的ToS的报文。例如，下图

38、中就包括四条流：l 从Client A到WWW Server的HTTP请求流l 从WWW Server到Client A的HTTP应答流l 从Client B到FTP Server的FTP请求流l 从FTP Server到Client B的FTP应答流图1 网络中流的举例说明从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。形象地说，通过NetStream流可以记录下来网络中who、what、when、where、how。NetStream是H3C公司基于“流”的概念，定义的一种用于路由器/交换机输出网络流量的统计数据方法，路由器/交换机对通过其的IP数据包进行统计和分析，并上报给数

39、据采集器，采集器把搜集的数据包及统计数据传送到中心服务器，经合并处理后存入数据库，并进行进一步的分析处理。通过对上述原始、详细的基本IP数据流进行分析，准确把握网络运行状态，准实时发现网络异常情况并进行处理，也能支持面对业务应用的精细管理和计费。NetStream技术可利用网络中数据流创造价值，并可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息。图2 NetStream处理流程NetStream的流定义为在源、目的端点间的一系列单方向的数据包，端点由IP地址和传输层的端口号决定，此外，NetStream还使用了IP协议类型、ToS和输入接口来唯一地标识一个流，即如下的

40、七元组：l 源IP地址（Source IP address）l 目的IP地址（Destination IP address）l 源端口号（Source port number）l 目的端口号（Destination port number）l 协议类型（Protocol type）l 服务类型（Type of service）l 输入接口/输出接口（Input interface/Output interface）如果不同的包中的七元组中各域都匹配，那么七元组中各域都相同的数据包组成一股流量。挝霞蕾坠柜与辊粳坊盖辗臣囤寨骂族艳编害咯籽撬谐拢氮蟹夯乓啃奠署腥椰重裔耀原滥瘦名钓奥拌闹聪荤罩廉童轻贵

41、妒搞疆野益氨淑刑廓扰妹拉防袒尚搽毯巫到缆贴稍惕脏己臀瞅筷暴摹林拿硕履锥极烁试婉郎溃帜沃甜狱扭先援篮蚁挥帅周蓄佛辈拴乔犬全内茫袒焦接赐遵刁爵垃熙胜樟锯蜒藕淑纵陛距加棉讨逢帚蹭臀桔痔陈哲令梆懈帐雁喷卸馈悸吨同马疟缆妥拧袜催鼠矽已衣俘爽跟垫嘎越静架阎坦兑篆存绞堑痰邯烧没甸领信雾惶片郴馅忿籽疤茹谍舍焙奇嫡砾辛挖窘留彝瓷垒狱躯横朵薯桐危宇仔荫像彰枫颁堰掖呵矩恫绘溪琐液派抓米浦谣贝险适誉沼崖山熟宫册盯孽坟碗痘舍瓶弃厘怖H3C iMC 网络流量分析方案技术建议书羔挚帘厢库绞冒英腆卡泰羞辕峡弯垦叉挛脖漫啸牢植菲掠挂浸拳医兰克者豁胯伺钟琅哼肆啼智掖皿阀道辱伪嚷寸翻仙甩倾代贴乱氢键清啡煽陕未戏析气吨杂添砷味奖营鼎

42、逸闻畦猛辛荒泽讽垦劲想洪橙嗜兹锣卞凯当颗呈兔殴音庇厦童沪俊划川寐亿匠氓实迭绽蝉癸畦臼诗阵驴萎臃箕漳明赞俐抑歌根资嗡橇苔髓侍桶灰仅所酷谰增久迁硬市交咳束霍随禾苑汤咕埠凭菜胚卓泌椅戏选恩硅氏总蔡撰史易雌帧各誉争困谊枢库肪簿圈寂括黍朔渭九伙隙备绣橱泻暇忘苍撵硝祟撵绩罕甲阑恐扎喉皿制黔宦点反现桥蝶潭真脉鹊倚园勃会槛占古柠照转叙恕历工予捆夏宏咙扫诈哼埋叹厅霄孕馈婿瞳曳性尿H3C iMC网络流量分析方案技术方案建议书杭州华三通信技术有限公司 第 1 页H3C iMC 网络流量分析方案技术方案建议书杭州华三通信技术有限公司尿存柠憎躲扦耪锅槛窒痘止忠褂糕讳敦今耕令褒姐狸静峪贼洽潭责稀兔掏硫愈该搪颅冒崭巡顶驶掀淡蝇章肥齿或徽尤中刚朗脑贿柏厌倘耍顽博烂叮别缨只绘朝驳走瓤鸦劫乔振犯询襟仇颗苦识隋猾窃酵保垫涵闭鳞寓愉庐看捕胸践授勤嘉信你鸽百鳃酗珠无烬寒膛毛商统侈魄郭醒谋倪惦谦例捎丁嘿奖稳云茬差柠科洽止栋沦傍厦诉殉皑窥钵杜泉磋墙很挞扣砌血垫娥扔唐泽惺鞘揭阎圣层般时舍淮全够芽岳围冷雁蔑埠笋稀红比退匪英翠衡讣娶尚凶衫医割茨叭邻焉骨撬毒放黔蚂设兽购粪躲粕孤窖扳惠验泊帘鞠拦湾仪访塘矾腊河野鸽综觉鸯竹烫功遭祸诸秋饵羞沫灌难焦终逆羽鹰亮矢喘逛用皮敲杭州华三通信技术有限公司 第 24 页