地铁科来网络回溯分析解决方案建议书.docx
《地铁科来网络回溯分析解决方案建议书.docx》由会员分享,可在线阅读,更多相关《地铁科来网络回溯分析解决方案建议书.docx(9页珍藏版)》请在冰豆网上搜索。
地铁科来网络回溯分析解决方案建议书
1.目前网络运维难点2
2.网络回溯分析实现运维目标2
3.网络回溯分析应用价值4
3.1.安全分析功能4
1.1.故障诊断5
1.2.网络预警5
1.3.决策依据5
1.4.责任界定6
1.5.业务梳理6
1.6.应用监控6
1.7.数字取证6
4.解决方案7
4.1.方案介绍7
4.2.网络回溯系统部署方案7
4.2.1.全网部署示意图(实现全网监控)8
4.2.2.车站部署示意图10
4.2.3.中心部署示意图11
1.目前网络运维难点
随着IT的高速发展,网络结构日新月异,云环境已经成为逐渐替换传统网络,成为网络中重要的一部分,但同样也带来了新的运维挑战、云环境的复杂性及未知性、传统网络网元的多样性(路由器、防火墙、WAF、负载均衡、IPS等等),给网络提供高效的传输和管理途径外,也带来了更多的运维难度;据统计,网络故障中75%是间歇性故障,在管理员响应后故障现象已经不再了,而这个故障隐患却一直潜伏着,同时据统计,目前网络故障定位平均时间为2天以上,而故障解决只需要2小时,而这里面还不包含无法定位而不了了之的故障,因此,快速定位故障是一项极为重要的事情。
众所周知,不论是传统物理网络还是云虚拟环境,只要存在网络活动、一定会产生网络行为,而网络行为的基本元素就是数据包,因此网络抓包是网络运维管理的终极手段,无论是网络故障、应用系统故障、安全威胁都能够通过抓包分析得到最终定位,而科来则将数据包“可视化”做到了极致效果,使运维的终极手段能够直接运用到网络管理中。
网络回溯分析系统是一款集网络七层协议分析技术、高性能数据存储和智能数据挖据技术、分布式数据处理技术的高性能硬件平台,实现全天候7*24小时不间断抓包监控,能够为用户提供其他网络和安全产品所不可替代的价值。
2.网络回溯分析实现运维目标
⏹主动性网络管理,减少网络瘫痪和性能下降的时间
减少网络故障,缩短网络系统宕机时间,避免无法估量的经济损失;
⏹减少解决网络故障的时间
通过使用全流量分析系统监控可以更快捷、更有效的诊断网络故障,大幅度减少解决网络故障的时间。
⏹减少或延迟资金投入,降低网络运营费用
通过全流量回溯分析系统的解决方案所提供的“全流量”“可回溯”“可预警”,可以准确了解网络专线带宽的利用率、现在和将来的总体使用情况,专线流量占用是正常流量还是异常流量,避免不必要的扩容情况。
对于网络、业务系统之间也存在同一的情况、清晰了解网络流量的组成、业务系统的访问情况,对未来业务高速发展所带来的网络负载提供科学的事实依据;从而节省了大笔费用;
⏹优化网络流量,合理利用网络资源,提高关键业务的生产力
全流量回溯解决方案可以实时监控网络应用的性能,提供关于网络应用的各种统计报告。
根据这些报告,通过消除不必要的网络流量,减轻高峰时段网络流量(将时限要求不高的应用转至非高峰时段运行)等措施提高关键业务应用的运行效率;
⏹增强网络安全
威胁预知:
通过科来监控网络行为,能够精准发现及定位未知安全威胁的异常源,而全流量监控存储,能够进一步对异常流量进行分析,进一步确定,从而及时联动其他安全设备进行阻断,将威胁止步于萌芽阶段。
威胁定位:
一旦威胁已经进入到网络内部,科来能够快速区分感染、未感染主机,从而有针对性的进行处理,同时在最受感染设备处理完毕后,能够持续进行监控,从而判断是否完全清除威胁。
回溯取证:
全流量存储实现对历史分析,精准识别安全攻击(已知安全威胁、未知安全威胁)或蠕虫病毒威胁等异常活动,阻塞安全漏洞,并提供行攻击过程、攻击行为方式的证据。
⏹减轻管理员的工作负担
通过对网络全流量的监控,一旦网络出现故障,不在需要各个部门同时排查,只需要通过科来监控系统即可定位网络问题、应用问题、数据库问题、问题节点,便可落实到相关的管理人员进行排查;
⏹有效的保证最大化服务正常运行时间
通过各种告警参数的组合,使管理员在有任何网络和服务障出现的同时,通过告警信息即可直接定位问题点并且进行有效的处理。
3.网络回溯分析应用价值
网络回溯分析,用于网络性能监测、应用服务流量分析、链路监控及异常流量分析;
使用旁路部署的方式部署在网络中、不影响现有网络部署架构,不对目前网络造成任何影响,能够通过流量的捕捉和分析,体现出网络的健康情况、服务器健康情况、应用服务情况;
体现从客户端至访问业务的整个业务流从宏观到细微的服务情况,了解每一个访问请求到各个网络节点、服务器、数据库的整个访问关系、并体现该请求在各个节点的健康指标情况。
3.1.安全分析功能
通过数据包级的网络行为分析,进行深度网络通讯检测,快速发现网络攻击、蠕虫、木马等危害网络安全的异常行为。
威胁预知:
通过科来监控网络行为,能够精准发现及定位未知安全威胁的异常源,而全流量监控存储,能够进一步对异常流量进行分析,进一步确定,从而及时联动其他安全设备进行阻断,将威胁止步于萌芽阶段。
威胁定位:
一旦威胁已经进入到网络内部,科来能够快速区分感染、未感染主机,从而有针对性的进行处理,同时在最受感染设备处理完毕后,能够持续进行监控,从而判断是否完全清除威胁。
回溯取证:
全流量存储实现对历史分析,精准识别安全攻击(已知安全威胁、未知安全威胁)或蠕虫病毒威胁等异常活动,阻塞安全漏洞,并提供行攻击过程、攻击行为方式的证据。
结合传统安全:
为传统安全设备(防火墙、IPS、WAF、防病毒)提供分析取证功能,能够分析对比安全设备前后流量,及时发现未阻挡的安全威胁,同时对于安全设备上的日志进行流量分析,各个安全设备日志信息,可于安全科来系统上进行验证,从而不断优化策略、,少误报,结合所有安全产品实现最优防护。
1.1.故障诊断
快速检索、智能分析故障发生时的通讯数据,能够准确定位故障点并深入分析故障根源。
无论是网络传输介质故障(运营商传输、网线、光纤)还是网络设备故障、安全设备故障(策略问题、设备特性、设备BUG),主机故障,应用故障,都能快速精准的定位,而全流量回溯则能够对故障事件的起始过程进行还原。
1.2.网络预警
通过实时智能的网络通讯分析,及时发现各类异常并预警,避免潜在的网络问题演变为紧急事件造成不必要的损失
根据对网络、系统的长期监控,了解系统运行的正常行为,一旦出现异常,能够快速进行预警、同时还原数据包进行确认,快速将故障、安全事件遏止在萌发阶段,避免进一步演变成大规模故障或紧急事件。
1.3.决策依据
提供网络行为规律及运行趋势分析数据,针对性能优化、新业务部署、带宽规划、安全策略等决策提供科学的依据。
在传统的运维中,对于业务所需要的资源分配,无法提供全面科学的数据进行支撑,往往通过粗略的统计信息结合经验判断进行资源分配,而科来回溯分析系统,能够真实的展示各个业务系统、网络运行的精细数据,而科来对于资源分配的理念是:
细管理、先清理、再分配、后扩容;实现精细化的科学决策,而支撑决策的是网络中的真实数据。
1.4.责任界定
准确分析导致业务应用异常的根本原因,为界定责任部分和责任人提供依据,提高各运维部门间的协同效率。
科来回溯分析系统,能够精准定位故障发生位置(如网络传输介质、网络转发设备、网络安全设备、应用主机系统、应用软件本身);从而快速落实到相关处理责任人,减少责任界定的沟通成本。
1.5.业务梳理
对网络通讯按业务类型进行归类和分析,帮助网络管理人员有效地掌握业务通讯状态,提供管理策略依据。
科来能够实现对业务系统关联梳理,最终形成可视化应用逻辑图,从而将各个系统的关联关系,同时了解各个系统之间交监控互情况。
1.6.应用监控
对网络通讯按业务类型进行归类和分析,帮助网络管理人员有效地掌握业务通讯状态,提供管理策略依据。
科来能够实现对业务系统关联梳理,最终形成可视化应用逻辑图,从而将各个系统的关联关系,同时了解各个系统之间交监控互情况。
1.7.数字取证
快速准确的追踪定位到问题发生点,找到网络犯罪的证据,完成安全事件的鉴定与取证工作,并帮助建立实施更加的安全策略。
取证是安全事件发生后最重要的手段,通过全流量的监控,还原安全事件的前后过程,了解谁入侵了我、如何入侵的、做了什么。
4.解决方案
4.1.方案介绍
⏹针对地铁全网络实现全面监控,在OCC及DCC中心部署网络回溯分析系统(硬件)在车站分布式部署网络回溯分析(软件),同时在OCC中心部署科来统一管理平台,对这些分布式设备进行统一管理及流量关联。
⏹使用旁路部署方式,不影响网络架构及网络运行的情况,实现无风险部署。
⏹对关键业务进行7*24小时全天候运行监控,对地铁ISCS、PIS、CCTV、ACS、ATS以及运维管理等业务进行独立监控,并对这些系统形成访问逻辑图,了解系统运行的主机之间的调用关系以及交互健康情况。
⏹拥有强大的告警功能、科来提供130种KPI指标参数,轻松准确描述各种故障。
网络运行质量类:
科来提供与或非的告警设置方式,能够提取数据包的指标参数形成网络行为,从而精准快速的发现网络故障及隐患。
安全类告警:
可根据数据包内容特征值进行告警、通过可疑域名、邮件敏感信息进行告警以达到发现网络中安全隐患。
⏹快速的数据检索能力,在多年市场及实际用户体验中、科来对数据包的检索能力最强、能够快速的根据所需的信息在海量数据中快速检索和展现、减少响应等待的时间、加强故障排障效率;
4.2.网络回溯系统部署方案
解决方案分为两个部分:
一是部署中心区域,在OCC及DCC中心部署硬件分析前端及统一管理平台,主要对中心区域的流量进行可视化分析、业务梳理、应用及网络性能监控、故障排查等功能,实现对中心区域内全网流量的精细化管理;二是前端车站,在各车站部署一套前端探针(软件),由中心UPM管理中心统一自动汇总分析,可实现对全网数据流向、业务流访问关系、设备性能瓶颈、网络资产等自动分析,提高全网运行效率。
实现中心区域全网流量的可视化,确保可对数据中心内业务流、数据流全面分析,对各车站访问数据中心的业务流只进行概要分析。
同时对车站的部署监控,可以将各车站内部业务流、数据流全方面透视,从而实现对全网络流量可视化、网络精细化管理、业务性能自动化分析、路由优化等。
全网部署示意图(实现全网监控)
科来全流量回溯解决方案分为两部分:
RAS前端(回溯分析系统)+UPM中心(统一集中管理)
⏹统一管理系统集中监控:
UPM部署在OCC主数据中心上,对RAS前端分析系统进行统一管理以及统一分析展现,以实现回溯系统分布部署、管理统一监控的目的,把主中心监控节点、备中心监控节点及各个车站节点的流量进行汇总关联,形成直观可视化的业务流、各个链路的健康状态、各个区域的流量组成、以及是否存在安全隐患。
⏹OCC中心部署监控:
在OCC中心部署科来回溯分析系统,在各个区域的汇聚交换机上做端口镜像,将流量引到回溯分析系统中,监控区域有综合监控业务区、乘客信息业务区、安防业务区、运维区及融合云平台,实现对中心网络及业务的全面监控。
⏹DCC备中心部署监控:
同样在DCC备中心各个区域的汇聚交换机上做端口镜像,将流量引到回溯分析系统中,监控区域包含综合监控业务区、OA业务区、桌面云业务区、运维管理业务区及容灾云平台和桌面云,实现对中心网络及业务的全面监控。
⏹车站分布式部署:
通过在各车站部署一台RAS回溯分析系统,将核心交换机的流量镜像出来,实现对车站网络及业务访问健康监控,同时能够监控传输骨干网的转发质量。
车站部署示意图
部署区域:
各车站
部署设备:
RAS前端(回溯分析软件),每车站各一套,部署在各车站虚拟机中。
设备型号规格:
各车站部署方案
设备名称
设备型号
参数
RAS前端(回溯分析软件)
NG1104T(软件版)
处理能力:
1000Mbps
实现效果
升级会员 