H3C网络流量分析解决方案.docx

1、H3C网络流量分析解决方案方案背景随着网络的应用越来越广泛， 规模也随之日渐增长， 网络中承载的业务也越来越丰富。 企业 需要及时的了解到网络中承载的业务， 及时的掌握网络流量特征， 以便使网络带宽配置最优 化，及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题：1、 网络的可视性： 网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规 划？2、 应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？3、 用户使用网络模式的可视性： 哪些用户产生的流量最多？

2、哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？从这些企业管理网络中所经常遇到的问题来看， 需要有一种解决方案能让网络管理人员及时 了解到详细的网络使用情形， 使网络管理人员及时洞察网络运行状况、 及时了解网内应用的 执行情况。为了应对企业网络管理中的这些问题，于是， H3C公司的 NTA( Network Traffic Analysis )解决方案应运而生！所谓的工欲善其事，必先利其器， NTA解决方案可以帮助网络管理人员了解企业内部网络之 运行状况， 及时发现并解决网络中的性能瓶颈问题、 网络异常现象， 也能方便用户进行网络 优化、网络设备投资、网络带宽优化等的参考，并

3、方便网络管理员及时解决网络异常问题。NetStream 技术介绍解决方案之前，首先需要了解 NetStream 的一些基本概在理解 Network Traffic Analysis 念，它们是该解决方案的基础。流”概念NetStream 的流定义为：由源到目的方向的一系列单向的数据包。NetStream 流是通过 7 元组来标识的，即通过接口索引、源 IP 地址、目的 IP 地址、源端口 号、目的端口号、 协议号和 ToS 组成的七元组确定一个 NetStream 流，设备根据七元组信息 对过往的数据包进行 NetStream 统计。图中就包括四条流：从 Client A 到 WWW Serv

4、er方向通信时产生的流；从 Client B 到 FTP Server 方向通信时产生的流； 从 FTP Server 到 Client B 方向通信时产生的流；图 1 网络中流的举例说明从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。形象地说，通过 NetStream 流可以记录下来网络中 who、what 、 when、 where、 how。NetStream 技术NetStream 是 H3C公司基于“流”的概念，定义了一种用于路由器 / 交换机输出网络流量的统计数据的方法， 路由器/交换机对通过其的 IP 数据包进行统计和分析， 并上报给网流采集 器，网流采集器把搜集的数

5、据包及统计数据传送到网流分析器，经合并处理后存入数据库， 并进行进一步的分析处理。 NetStream 技术可利用网络中数据流创造价值，并可在最大限度 减小对路由器 / 交换机性能影响的前提下提供详细的数据流统计信息。NTA解决方案介绍NTA系统组成NetworkTraffic Analysis 解决方案包括：网流采样设备( NetTraffic Exporter )、网流 流采集设备( NetTrafficCollector )、数据分析处理设备( NetTraffic Processor )，三 个设备之间的关系如下图所示：图 2 Network Traffic Analyze 各组成部分

6、的关系NTE负责流量的采集和发送， NTC设备负责收集和存储 NTE发来的流量统计数据信息； NTP 从数据库中获取收集到的数据， 经分析加工后以直观的图表、 报表等方式为网络规划、 网络 优化、网络监控、流量趋势分析、异常检测等提供直接的数据依据。1)NetTraffic Exporter提供 NetStream 技术接口的网络设备（ H3C公司的路由器和交换机及华为公司的路由器）， 负责对设备各个端口进出的网络报文进行流分类统计，然后打包输出。2)NetTraffic CollectorNTC可以采集多个 NTE设备输出的数据，对数据进行过滤和聚合，并将数据存储在数据库中 供分析处理。3)

7、NetTraffic ProcessorNTP是一个网络流量的分析工具，对采集来的流量数据进行分析处理。为便于网络管理人员 的操作，采用基于 Web形式访问，提供直观的、图形化的管理界面，所有数据输出都以友好 的形式直接在 Web页面中显示。NTE设备功能作为支持 NetStream 的网络设备， 首先需要打开网络设备的侦听端口， 然后配置将 NetStream 日志要发送到哪个 IP 的哪个端口 （即 NTC设备的监听端口） 。这样， 设备就会把 NetStreamNetStream 日志。日志以 UDP包的形式发往 NTC，而 NTC则可从侦听端口源源不断的接收NTC设备功能NetStre

8、am 日志被 NTC设备采集到之后，将会做聚合处理，这样可减少最终存入数据库的的 数据量，并提高了分析的效率；同时， NTC设备也会对存入数据库的数据作进一步的统计处 理，以便快速产生各类分析报表。NTP设备功能NTP对 NTC生成的所有数据进行分析， 对数据进行二次聚 合、统计分析， 分析的结果以非常直观的图表、 表格等形式展示给用户， 通过这些分析结果， 用户可以监控网络使用状况、 应用使用状况、 用户网络访问行为， 并可监控到流量异常状况 以便用户进一步做分析。报表功能用户可根据统计分析的需求， 自定义报表生成规则， 由报 表引擎生成报表， 并将统计分析的结果以饼图、 曲线图、 统计信息

9、表格等直观的形态展示出 来。当前实现的报表功能列表和简要说明如下：功能类别功能项目功能说明配置功能设备接口自动识别 对指定的设备（设备 IP 地址、团体字），自动发现其各 种接口设备物理端口的流量统计 对指定的设备的物理端口流量通过 SNMP方式进行统计接口组设置 对自动发现的接口按组进行分类，并按组进行统计设置应用聚合策略设置统计实时性系统参数设置设置 TopN的 N值大小，数据保存时间，以及磁盘使用方 面的信息应用管理设置 修改预先定义好的网络应用的端口号和协议号， 以及新增 未知网络应用的端口号和协议号分析功能设备接口流量统计显示设备各个接口的流量值和接口的带宽占用率基于接口的流量分布指

10、定设备、 接口和时间段， 显示其流量在这段时间的趋势 图基于接口的应用分布 指定设备、接口和时间段，显示其各种应用 （ TopN）流量 在一段时间的趋势图和比例基于接口的源 IP TopN 指定设备、接口和时间段，显示其流量排名靠前的 TopN 源 IP 地址以及流量值和占用流量的比例基于接口的目的 IP TopN 指定设备、接口和时间段，显示其流量排名靠前的 TopN 目的 IP 地址以及流量值和占用流量的比例基于接口的会话 TopN 指定设备、接口和时间段，显示其流量排名靠前的 TopN 源和目的 IP 会话以及流量值和占用流量的比例基于接口的应用相关 TopN 源 IP 和目的 IP 列

11、表 指定设备、 接口， 在应用流量趋势图中， 查看指定应用的 TopN 源 IP 地址和 TopN目的 IP 地址基于接口的 TopN 源 IP 相关的应用 TopN列表和会话 TopN 目的 IP 列表指定设备、接口，在源 IP TopN 列表中，查看指定源 IP 地址的应用 TopN 排名和会话 TopN的目的 IP 地址基于接口的 TopN 目的 IP 相关的应用 TopN 列表和会话 TopN 源 IP 列表指定设备、接口，在目的 IP TopN列表中，查看指定目的 IP 地址的应用 TopN排名和会话 TopN 的源 IP 地址基于接口的 TopN 会话相关的应用明细 指定设备、接口

12、，在会话 TopN 列表中，查看其会话的应 用明细列表流量值和所占比例支持周期报表提供网流周期性 （每小时、 每日、每周、每月） 状态的综合 报表，提供直观的网流状态展示。支持即时报表提供网流当前状态 （最近一小时） 的综合报表， 提供准实 时的网络流量展示。报表展示1、流量统计报表 - 给出一段时间内入出流量的趋势图，以及按入出流量统计总流量、最大 速率、最小速率、平均速率，并给出流量明细信息：图 3 流量统计报表2、应用统计报表 - 给出一段时间内流入、流出的各种应用以及趋势图。图 4 应用统计报表3、应用明细报表 - 给出应用统计报表中某个应用的明细信息，包含该应用的趋势、使用该 应用源

13、节点以及目的节点应用统计报表 - 给出一段时间内流入、流出的各种应用以及趋势 图。图 5 应用明细报表以饼图的形4、来源统计报表 - 给出一段时间内， 作为源 IP 的各个节点产生的流量的信息。 式展示，并给出产生流量最多的节点：图 6 来源统计报表top5、来源明细报表 - 给出来源统计报表中某个节点的明细信息。并给出与源节点通信的 目的节点以及与源节点通信的 top 应用：图 7 来源明细报表6、目的统计报表 - 给出一段时间内， 作为目的 IP 的各个节点接收的流量的统计信息。 以饼 图的形式展示，并给出接收流量最多的节点图 8 目的统计报表top7、目的明细报表 - 给出目的统计报表中

14、某个节点的明细信息。 并给出与目的节点通信的 目的节点以及与目的点通信的 top 应用TOP列表图 9 目的明细报表8、会话统计报表 - 给出会话节点流量 TOP分布图，以及会话节点流量图 10 会话统计报表9、会话明细报表给出会话统计报表中，某对 IP 之间在一段时间内产生的流量的趋势，并给出这对 IP 之间通信所使用的应用图 11 会话明细报表DIG 采集设备针对一些不支持 NetStream 技术的网络设备， H3C公司还提供了一种 DIG 采集设备，只要网 络设备支持端口镜像， DIG 采集设备能直接从镜像端口收集网络流量信息，并形成 DIG 日志提供给 NTC/NTP进行流量分析。D

15、IG日志DIG 日志又称为探针日志，是由探针型采集器（即 XLog DIG 日志探针组件）直接从交换机的镜像端口、 共享式 HUB或分流器中采集用户上网信息， 并对访问网络的数据包进行分类统 计而生成的日志记录。目前， DIG日志的版本是 1.0 ，DIG1.0 日志记录包含以下内容：开始时间结束时间源 IP 地址目的 IP 地址源端口号目的端口号协议类型（目前区分 TCP、 UDP和 ICMP三种协议）输入包个数输出包个数输入字节数输出字节数DIG 采集设备DIG 日志采集器所需要做的工作是把流经设备端口的数据报文中， 按照 DIG 日志的数据格式对数据报文进行过滤和统计，最终形成 DIG

16、日志输出。 DIG 采集器有以下几种方式对网络设备端口的数据报文进行采集：对于支持镜像端口的交换机、 路由器设备， 可以将镜像端口直接同 DIG 日志探针组件的采集 网卡相连， 实现数据采集。此类采集方式，需要设置设备镜像端口，保证镜像端口和采集网 卡的类型匹配、带宽匹配。2、 分流器采集在设备不支持镜像端口的情况下， 为了不影响设备性能， 比较专业的采集方案是采用分流器， 从设备端口接收网络数据报文。此方案通常应用于光纤链路，价格高昂。3、 共享式 HUB采集对于不支持端口镜像的设备，且需要监控的端口带宽小于 100M的情况下，可以使用共享式HUB实现对端口数据的采集。但这种方式很容易引起网

17、络单点故障，不推荐使用。DIG日志探针组件对采集到的原始网络报文进行实时处理，需要对报文进行过滤处理，也就 是说根据过滤规则， 要过滤掉一些不希望继续处理的报文； 然后可进行聚合处理， 即按照预 置聚合条件将多条报文聚合成一条， 这样就减少了后续处理以及归档的日志数据量。 聚合之 后， DIG日志探针组件将会形成 DIG日志，并将 DIG日志发送给 NTC/NTP进行处理。NTA解决方案的典型组网利用 NetStream 日志， NTA提供了一种网络监测、分析的方式，直接从支持 NetStream 功能的路由器和交换机中收集流量信息，可以灵活启动不同层面（接入层、汇聚层、核心层）的 网络设备进

18、行 NetStream 流量日志收集，并将收集的内容以 NetStream 格式的日志输出给 NTC/NTP设备进行分析。用户使用 NTA的分析功能，可以做网络使用状况监控、用户行为追 踪、异常流量检测等，并且基于功能丰富的报表，用户可以做网络规划方面的决策。NetStream 日志可以开启在路由器中、汇聚层 / 核心层交换机中。图 12 NTA 解决方案典型组网NTA的应用场景NetStream 技术定义了一种路由器 / 交换机向管理系统输出流量数据的方法，通过采集和分 析流量数据， 并将流量数据与管理控制台中的其他网络和应用性能指标建立关系， 对网络运 行状态进行管理。 NetStream

19、 技术的 IP 网络流量数据报文中包含许多有价值的流量统计数 据，这些流信息充分揭示了有关网络使用的“ 4W”问题：Who：谁（ IP ）使用了网络？What：网络流量的类型是什么？When：在什么时间使用网络，使用了多长时间？Where：网络流量流向何处？利用 NTA网流分析系统对这些数据进行统计分析， 就能从中提取出网络流量特征， 从而为网 络管理员提供一张丰富而详尽的网络利用视图。网络优化通过 NTA解决方案， 可以使网络管理员及时掌握网络负载状况， 网内应用资源使用情况， 尽 早发现网络结构的不合理， 或是网络性能瓶颈， 尽快作出网络优化方面的决断， 使网络带宽 分配最优化，为用户提供

20、高品质的网络服务，并且避免了网络带宽和服务器瓶颈问题。图 13 网络优化的应用场景网络规划参考利用 NetStream 流日志以及 NTA长期监控网络带宽而形成的各类趋势报表， 有助于网络管理 员跟踪和预测网络链路流量的增长， 从而能有效的规划网络升级（例如，增加路由服务、端 口或使用更高带宽的接口）。图 14 网络规划参考应用场景1.1 WAN流量监测对于一个企业来说， WAN带宽通常是有限的，如果 WAN链路上的流量增大，通常企业的做法 就是进行投资以升级 WAN链路， 但是如果企业能掌握 WAN流量的特征， 制定相应的策略 （比 如 QoS 和针对源或目的 IP 地址作流限制），就能使

21、WAN带宽得到最合理最充分的使用，避 免进行不必要的升级投资，而 NTA解决方案所提供的分析结果能够使网络管理员洞察 WAN链路的流量特征、 承载的应用、 用户使用状况， 从而针对是否应投资升级带宽快速的作出快 速响应！图 15 WAN流量监测应用场景1.2 网络流量异常监测网络管理员都希望在网络性能突然下降的时候找到“真凶”所在，并迅速解决问题。利用 NTA解决方案提供的某段时间内的流量、应用趋势分析，可非常直观的看到网络流量是否有 突然增长或突然下降的现象， 并进一步分析出是哪些用户产生了最多的流量、 使用了哪些应 用以至于网络运转出现性能问题。 并根据最终分析结果， 网络管理员可快速的解

22、决掉网络异 常问题，保证网络正常的运行！图 16 网络流量异常监测应用场景方案特点丰富的应用识别： 基于三层协议号、端口号，可识别上千种已知应用（比如： Notes 应用、FTP应用、 HTTP应用等等），并提供应用自定义功能，当网内出现新应用的时候，很容易进 行新应用的识别；贴近客户的专家级分析报表： 提供业界最流行的报表展示形式， 如叠加图、 饼图等， 报表界 面美观易用， 并从多个分析的角度将分析内容进行了整合， 使用户更快速的得到所需要的分 析结果；准实时的流量监控： NTA报表支持对流量进行及时的分析，当 NetStream 日志或者 DIG 日志 产生之后， 在很短的时间内即可得到

23、分析结果， 非常方便用户使用报表进行网络异常问题的 定位；支持多层次的流量监控： 通过与不同层次网络设备的配合， 支持对广域网核心层、 广域出口、 局域网核心层、局域网汇聚层网络流量的监控与分析，实现整网流量多点的可视性。更低的全网监控成本： 基于现有网络设备，通过增加板卡的方式，或者开启端口镜像功能， 在不改变网络拓扑的情况下就能实现网络流量统计， 是一种低成本、 高性价比、 部署灵活的 解决方案。结束语从以上的介绍内容中不难看出， NTA解决方案可用于监控日益扩大、业务日益增多的网络的 运载状况，及时发现、解决网络异常现象；了解网络资源负载情况、应用使用的趋势状况， 以便及时的进行网络优化， 避免进行无效的带宽投资； 并提供长期趋势分析报表， 可作为网 络规划的参考。