NSG9000网络数据抓取与应用平台白皮书资料.docx
《NSG9000网络数据抓取与应用平台白皮书资料.docx》由会员分享,可在线阅读,更多相关《NSG9000网络数据抓取与应用平台白皮书资料.docx(16页珍藏版)》请在冰豆网上搜索。
NSG9000网络数据抓取与应用平台白皮书资料
NetorayNSG-9000
网络数据抓取与应用分析平台白皮书
莱克斯科技(北京)有限公司
北京市海淀区上地三街九号嘉华大厦A1104/1105电话:
(010)62970100
邮编:
100085
免责声明
本文档为莱克斯科技(北京)有限公司(以下简称“莱克斯”)针对NetorayNSG系列网络数据抓取与应用分析平台所制作的产品白皮书,仅供客户和合作伙伴进行参考和交流使用。
莱克斯尽最大努力在本文档中提供准确的信息,但对本文档中可能存在的技术性误差或印刷性错误不承担任何责任,并保留在没有任何通知或提示的情况下对本文档的内容进行修改的权利。
版权说明
©版权所有2012-2018,莱克斯科技(北京)有限公司
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属莱克斯科技(北京)有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经莱克斯科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断,并将其用于商业用途。
本文档中所介绍的产品和服务都具有书面的使用许可和有限质保。
本文档中的任何内容都不应当被视作对使用许可和有限质保的变更和补充,也不会创造出新的许可和质量保证。
联系我们
地址:
北京市海淀区上地三街九号嘉华大厦A1104室
电话:
(8610)--62970100
传真:
(8610)--62979452
服务热线:
400-6885-567
邮政编码:
100085
Email:
sales@
1.需求背景
随着3G、4G网络的到来以及千兆网络向桌面的普及,核心网络向40G甚至100G的演进也更加迅速,电信运营商也面临着大量变革。
无论是固网运营商还是移动运营商,网络IP化已经是公认的演进方向。
在IP化的趋势下,如何更加有效的识别和管理这些IP数据,是运营商必须面临的问题;对于固网运营商来说,需要考虑如何能够让这些数据带来增值,实现智能化的管道运营,以增加自己的收益,扭转因用户数减少带来的收入下降问题,而不是只做一个“管道”运营商;对于移动运营商来说,随着3G和4G业务的不断发展,也迫切需要对IP数据进行识别,在此基础上为客户提供更多个性化的业务,从而实现业务的精细化运营。
NetorayNSG-9000(NetworkServiceGateway)系列网络数据抓取与应用分析平台就是莱克斯为运营商实现网络和流量的可视化、管道的增值、业务的精细化运营而推出的产品,主要提供网络流量流向分析和管理、VoIP,业务监控、P2P业务监控、共享接入监控、非法路由监测、垃圾邮件监控、DDoS攻击监控、APT木马攻击监控,僵尸网络防控、智能流量镜像、URL过滤、页面审计、无线热点分析监控、用户兴趣行为分析及基于其上的智能WEB推送和广告推送等功能。
NetorayNSG-9000采用成熟的电信级硬件aTCA平台,支持40GPOS/10GPOS/40GE/10GE/2.5GPOS/GE等接口,单机最大提供120Gbps处理能力,性能和接口的灵活性领先于业界的DPI产品;本平台采用多项检测技术,由硬件实现业务报文的高性能分析和处理,并提供智能的、灵活的业务控制手段;NSG-9000支持分布式部署和集中管理,也可以根据业务灵活扩展处理板和交换板。
通过基于B/S的管理界面,管理员可以快速熟悉系统的操作管理。
2.主要功能
流量分析与管理应用以及业务流量分析、IP流量分析、流量趋势分析,为决策提供依据行为审计基于应用行为的审计,用户、记录源/目的IP、源/目的端口、应用名称、开始时间、结束时间、URL名称等信息
SSL加密数据解析
采用man-in-mid代理技术来实现SSL加密链路数据的解析
应用数据分流在行为审计的前提下对支持协议进行数据分流,从指定接口转发。
如:
用户想详细分析网络中Skype数据,NSG-9000可在审计Skype行为后将Skype相关数据从指定接口转发出去,由专门的设备进行审计业务板管理业务处理板中选用1块作为管理板,监测其他业务处理板的运行状态并存储数据等功能,并兼作备份计算板,当常规计算板中有1块出现故障时,可将故障计算板上的数据切换至管理板,形成N+1备份机制。
3.产品优势
3.1高级电信计算架构(ATCA)
符合电信级硬件苛刻需求的ATCA硬件架构,为NSG-9000系列产品提供高可靠、高性能的硬件基础设施3.220-120Gbps应用层处理性能
灵活的刀片架构,可以满足不同用户的性能需求,设计灵活的硬件资源配置,帮助客户有效控制总体拥有成本(TCO)3.3高速数据通讯平台(USAP)
莱克斯成USAP高速数据通讯平台,将继续为NSG-9000系列产品提供稳定、高效、完善的操作系统平台
3.4高速存储审计结果在大带宽下每秒的审计记录数据庞大,超过数据库的存储极限,NSG-9000支持将记录存入文件,审计结果的存储效率提高20倍以上3.5物理扩展性强系统规模灵活,可扩展,可以满足多种网元的需求3.6强大的协议分析和知识库在线升级能力
采用DPI与DFI相结合的检测技术,深入分析各种网络应用的流量类型和流量流向趋势,全面掌握网络中的流量、协议、用户和业务分布,为合理规划网络、制定流量控制策略、深度挖掘网络商业价值提供依据。
通过启发式行为分析检测,结合数据包协议分析和特征匹配技术,对网络层到应用层的数据进行全面分析,可以准确识别P2P、VoIP、聊天、视频、游戏、股票等数20余类多达850多种的应用协议。
专业的知识库维护团队,实现DPI知识库和URL分类知识库实时在线升级;升级过程无需系统重启,不中断系统业务正常运行。
3.7业务可视化
流量可视化/应用可视化/用户可视化/网元可视化
3.8业务优化
对各种P2P、VoIP协议识别和控制/网内通过缓存系统实现用户体验提升
3.9法规遵从
不良信息过滤/用户上网URL访问记录/网内站点监控/智能流量镜像
3.10业务增值
Web信息推送/安全提醒/精准广告推送/智能流量镜像3.11安全防护
DDoS攻击防护/恶意站点监控/垃圾邮件监控等
4.典型方案
4.1主要应用场景-固网/移动业务监控方案
启用业务流量流向分析、VoIP业务监控、P2P业务监控、聊天内容、视频、游戏、股票、异常流量监控等功能,全面掌握网内用户-业务-流量的分布组成,有效进行流量管控和优化;
启用用户行为分析和Web推送功能,与广告服务提供商合作运营,智能投放广告,实现宽带网络的增值。
在IDC中心出口部署NSG,同时可以作为异常流量监控和分析中心,配合异常流量清洗中心保护IDC实现DDoS攻击防护。
4.2在移动网的应用场景中
NSG产品可以对各种制式的3G/2.5G/2G网络的ISG设备流量进行监控,可实现移动网络用户行为分析功能。
监控内容与可实现功能和固网类似。
4.3主要应用场景-智能流量镜像解决方案
支持多个镜像目标,能按需将指定用户、指定协议和指定URL的流量镜像到第三方系统(如:
Cache、内容分析系统等)
减少第三方系统的处理压力和投资,为开展新的增值业务提供技术支撑,使运营商的基于内容的商业创新成为可能4.4用户行为分析和精准广告推送系统联动
根据配置策略,提取HTTP流量,并基于httpheader中的信息进行报文镜像。
精准广告系统对用户访问流量进行深度分析,分析出用户的准确兴趣后对用户进行精准的商业广告推送,运营商可以和该系统进行广告收入的分成,从而提高ARPU值。
4.5异常流量监管
NSG作为监控及分析中心旁路部署,对流量进行从网络层到应用层的特征识别。
当识别出异常流量后,立即上报后台安全管理中心。
后台安全管理中心下发引流策略,将流量引流到控制及清洗中心,对流量进行清洗,并将正常流量发送到真正的目的地。
为运营商缓解网络异常流量,并可提供全面的安全业务增值服务。
分类
参数
NSG-9100
NSG-9300
NSG-9700
整机
规格
整机功耗
650W
1200W电源模块
每个最大3000W(A+B)
高度/尺寸(宽×深×高)
3U
432x177x386.4mm(宽x高x深)
6U高265.90x482.60×431.15mm(高x宽x深)
12U高
449.5x531.9x383.1mm(宽x高x深)
吞吐量
20G
40G
120G
(业务处理板
及接口板)槽位
3槽/整机
6槽/整机
14槽位/整机
可靠性
硬件可靠性数据
MTBF(平均无故障时间):
38.05年
MTTR(平均修复时间):
0.5小时
可用度
99.9999%
主控板
双主控
电源
DC版本:
-40VDC至-72VDC
-48VDC(典型)
单电源输入模块
负载可达650W(A或B)
AC版本:
内置650WAC至-48VDC供电模块
AC输入:
85-264VAC,47-63Hz
交流电版本:
内置交流电至-48VDC直流电源
(输入:
100-264VAC47-63Hz)
直流电版本:
双冗余-48VDC电源接入模块(输入:
-40VDC至-72VDC)
-40VDC至-72VDC
-48VDC(典型)
双冗余电源接入模块
风扇
单个可热插拔IPCM控制风扇盘模块
从右至左的横向气流(推进式冷却)
两个热插拔控制风扇模块
从右到左的横向气流,抽送设计
易于替换的空气滤网
热插拔IPMC控制风扇托盘
易于替换的空气滤网
支持
接口
子卡
1*10GBaseLAN-SFP+,1*10GBaseWAN-XFP光接口线路处理板;
支持
支持
1*OC-192c/STM-64cPOS-XFP光接口线路处理板
不支持
支持
1端口40GPOS(OC-768/STM-256)光接口板
支持
4端口2.5GPOSSFP光接口线路处理板
不支持
16端口GE光接口板(SFP)光接口板线路处理板
不支持
管理
背板
双星型拓扑Base接口
双星型拓扑Fabric接口
双总线IPMB
全网状拓扑Fabric交换接口
双星形拓扑Base接口
双总线型IPMB
双星形拓扑BASE接口
双双星形拓扑Fabric接口
用于主用/备用同步的更新通道
双总线型IPMB
机箱管理器
aCMM-2200机架管理Hub
支持多管理接口:
-命令行接口(CLI)
-两个10/100/1000BASE-T千兆以太网端口
和一系列管理入口控制台
-内置两层GbE交换,用于Base接口连接
两个可热插拔的PigeonPointSystemsShMM-500,作为
机箱管理控制器(aCMM-2100ShMC)
适用于高可用性的主动/备用模式
支持多个管理接口
·远程管理控制协议(RMCP)
·远程过程调用(RPC)
·简单网络管理协议(SNMP)
·命令行接口(CLI)
·开放式HPI功能支持
·基于Web的接口
·两个10/100BASE-T快速以太网端口和一个串行控制台
两个可热插拔的基于PPSSHMM-500的shMC
(aCMM-2100)
适用于高可用性应用的主动/备用模式
支持多个管理接口
·远程管理控制协议(RMCP)
·远程过程调用(RPC)
·简单网络管理协议(SNMP)
·命令行接口(CLI)
·两个10/100BASE-T快速以太网端口和一个串行控制台
业务特性
流量可视化支持
支持
流量镜像支持
支持
P2P监控支持
无线网络监控支持
支持
VoIP通信监控支持
支持
移动互联网应用
支持
共享接入监控支持
支持
用户行为分析支持
支持
信息推送支持
支持
广告服务接口
支持
网站访问分析支持
支持
网页访问审计支持
支持
URL过滤支持
支持
垃圾邮件监控支持
支持
僵尸网络监控支持
支持
DDoS防护支持
支持
项目/型号
名称
规格
aTCA-LYX3710
交换板
320G高带宽Fabric交换接口,适合6槽40GbE机箱,Broadcom®BCM5633424端口GbeBase交换接口,含两个10GbE端口
aTCA-LYXC600
处理板
2个Intel®Xeon®E5-2648L(8C/16T)处理器,8个DDR3-1600REG/ECC内存插槽,最高支持128GB,标配为32G;扩充:
通过后板等扩充容量,双10GBASE-KX4Fabric接口通道,GE(*2)通过背板与交换板Base交换,前面板GE(*2):
用于以太网卡管理,前面板串口(*1):
用于串口管理
具体功能分类列表
分类
分类内容
1
识别功能
业务识别准确性
业务行为识别准确性
协议识别准确性
五元组识别能力
优先级识别能力
特征字识别能力
IPv6流量识别能力
2
分析统计功能
流量流向分析统计
网站分析统计
统计级数据复用
3
控制功能
带宽限制
丢弃
4
复用功能——原始报文镜像复用
按照协议类型镜像功能
按照流量内容镜像功能
流量镜像到多个出口时的负载分担
多个指定规则的镜像
POS口镜像到以太口功能
5
复用功能——会话数据复用
会话数据复用功能
会话数据复用实时功能
会话数据复用数据格式要求
6
安全功能
DDoS攻击检测功能
文件还原功能
7
非对称流量归并功能
非对称流量对识别影响性
非对称流量归并功能
8
数据回放功能
数据回放功能
9
上网日志留存相关
原始数据留存功能
上报告警功能
10
配置接口
URL/IP封堵
用户组限速
资源特征库下发
11
物理接口
10GE物理接口
100GE物理接口
12
性能
识别率
流控策略数量
串接转发性能
并接识别性能
最大并发连接数性能
最大新建连接速率性能
13
时间同步
NTPClient功能
14
可靠性
电源冗余功能
Bypass切换
15
网管
网管基本功能