arborxxxx网通流量分析和安全监测系统建议方案

arborxxxx网通流量分析和安全监测系统建议方案内容摘要：

路由信息 为利用 BGP 路由信息中的属性对流量进行深层次的分析，流量分析系统需要掌握 XXXX 网通 互联网的 BGP 路由情况。 根据本方案设计，收集器分别与被监测路由器通过 MD5 认证建立 iBGP 连接，从被监测路由器学习 BGP 路由信息。 流量分析系统能够利用 BGP 路由信息中的 AS PATH， Origin AS， Next Hop，Community 等属性对流量进行深层次的分析。 Arbor 流量分析系统还可以 监控每台设备 BGP 的稳定情况并对 BGP 表振荡情况进行报警，还能够提供对 BGP 路由表的查询。 获取路由器的 SNMP信息 Arbor 流量分析系统可以通过 SNMP 的方式获取路由器上系统感兴趣的信息，包括设备描述、 IOS 版本、端口索引、端口描述、端口流量情况、 CPU/Memory利用率等。 这些信息包括了系统进行分析说必须的信息（如端口索引），还可以对路由器的运行情况进行监控并可以把 Netflow数据与端口实际流量情况进行比较。 流量分析系统的硬件部署 网络的安全是一个系统的工程，其构成要素包 括：管理策略、技术策略、业务策略。 这三部分并不是孤立的，而是相互渗透、穿插，互为补充。 因此，安全系统是一个多维、多因素、多层次、多目标的系统，不是仅仅靠一、两台设备就可以做到，安全系统中应该包含多种功能的设备，如防火墙、 IDS、流量分析、防 DOS 攻击设备等，这些设备既能完成独立的安全功能，又能够有机的结合在一起形成一个完整的安全体系，这样才能有效的保障整个 XXXX 网通 互联网安全稳定地运行，满足运营商在安全上的最终需求。 Peakflow系统采用分布集中式结构 ，一台控制器可以同时关联并管理多台收集器，可根据 网 络规模和流量的增加而进行平滑的升级，只需要根据网络流量的情况增加 收 集器即可增加系统的处理能力。 系统的 控制 器能够对新增的 收 集器进行统一的管理，并可以在增加 收集器 时将原配置在其它 收集器 的路由器无缝移植到新增的收集器 中以减少原有 收集器 的负载，原有的数据和结果并不会丢失。 流量分析系统的网络连接 Arbor Peakflow设备能够提供多个 FE/GE的互联端口，鉴于 网通 在流量分析方面和网络安全方面的需求以及现有机房实际条件，我们建议目前将 Peakflow SP 收集器部署在节点骨干数据机房，通过 1 个 10M/100M/1000M 端口直接连接 骨干交换机 ，实现与采集设备的高速可靠连接； Peakflow SP 控制器部署在 网通 网管中心。 流量分析系统在网管系统中的定位 随着网络的发展和业务的需要，目前国内电信运营商的网管系统正逐渐从面向面向网元的各专业网管系统和网管模块向多专业的综合网管平台方向发展。 综合网管平台更加强调面向业务、面向用户以及系统数据的综合和统一。 一个综合的 IP 网网管系统的主要功能应该包括资源配置管理、故障管理、性能管理、流量管理、路由管理、安全管理和对业务、客户管理等。 结合 TMN 和 TOM 功能模型， IP 网管系统功能分为网元层、网络层、业务层、事务处理层和客户层，还包括系统自身的管理。 从图中可以看到， Netflow流量分析系统位于网管系统的网元层，直接从网元设备采集数据，并将分析结果提供各上层模块使用。 流量分析系统与网管系统其它功能模块的配合主要包括：  与网管系统数据库的配合 将流量分析系统的分析结果数据存储到网管系统的数据库中，从而实现网管系统原始数据的统一，将同一对象（如大客户 /端口等）的 Netflow分析结果与其它结果存储在一起。 同时还可以充分利用网管系统磁盘阵列 的容量、可靠性以及大容量数据库软件的效率。  与网管系统报表模块的配合 网管系统的报表模块一般采用专门的报表工具，功能比较强大，并有强大的报表定制和分发功能。 由于流量分析系统的结果已经全部存储到网管系统的统一数据库，报表模块不需要直接从流量分析系统采集原始数据，而可以直接从网管系统的数据库中读取数据，并将 Netflow分析结果与其它模块的结果统一展现。 （如可以将一个用户 /端口的基本情况、 SNMP 采集的流量情况、 Netflow分析结果等综合到一张报表中）  与故障告警模块的配合 网管系统的故障告警模块可以通过 SNMP 的方式对流量分析系统的运行状况进行监控；流量分析系统在检测的网络 /链路 /系统等故障告警的时候可以通过 Trap的方式通知网管系统的故障告警模块  与认证模块的配合 Arbor 流量分析系统支持 Radius 和 Tacacs＋，能够与网管系统配合实现统一的网络管理员身份认证和权限管理。 方案优势及特点 Arbor Peakflow网络流量分析解决方案是一个面向大型 IP 宽带网络、基于实用的信息采集和传输的解决方案。 通过 Netflow快速交换的流量分析技术，并结合SNMP、 BGP 协议，对网络进行实时业务流量和 流向分析，根据预先定义的策略对流量数据作聚集，通过各种数据指标、性能报表、流量图示和性能趋势图，为用户提供准确可靠网络的容量规划、趋势分析以及数据的优先级方面的信息。 它具有以下特点及优势： 适用于大型运营商 IP 网络 Arbor 公司的 Peakflow系列产品采用了分布式的体系结构，具有良好的扩展性，能够支持对大型电信运营商网络的流量分析和安全监控。 Arbor Peakflow的产品可以灵活的配置成分析服务器（ Controller）和采集机（ Collector）两种工作模式。 分析服务器可以网络中的全 部采集机进行管理，负责对各个收集器进行统一的配置并将采集机采集的数据进行汇总并进行全网的关联性分析，并将结果统一展现和存储。 Arbor Peakflow的流量分析和安全监控功能侧重于整个网络，而不是仅仅局限于单台或几台设备，因而也更适合于电信运营商的网络的部署。 采用 Collector 对多台路由设备进行实时分析，通过核心 Controller 对 Collector进行管理和对 Collector 分析到的数据进行汇总关联。 当网络扩容时，随着网络中路由气台数的增加通过增加 Collector 方式即可实现扩展，保护用户的 投资。 在应用网络中存在规模超过 150 台 GSR的实际应用案例。 目前 Arbor Peakflow系列产品在国外的大型运营商的网络中已经得到了广泛的应用，其中包括 ATamp。 T、 Quest、 NTT等著名运营商。 目前在 Quest 的 IP 骨干网中，共部署了 44 台 Arbor 的产品（ 22 台 Peakflow Traffic 和 22 台 Peakflow Dos），对其网络的流量进行全面的流量分析和安全监控。 与其他商业和免费流量统计软件相比， Peakflow SP 在可靠性和扩展性方面提供显著的改善。 Peakflow SP 不仅仅是一 套用户应用软件。 从固化的操作系统到基于高速内部核心的数据流收集子系统， Peakflow SP 是为符合可靠和大量数据处理能力的要求而设计。 这套系统也包含对与运营商工作流程软件集成的支持，包括如思科 /Juniper 相类似的 CLI， Radius/TACACS， SNMP Traps，等等。 Arbor 公司提供的方案为整体实时监控全部网络设备的全部实时流量的解决方案，而并非间断性监控网络不同部分的流量分析方案，同时方案本身由于采用了分布式处理的解决方案，可真正实现高扩展性和高性能。 良好的可扩展性 使用 Netflow 收集数据比在线（ Inline）解决方案或采用镜像端口收集数据具有更佳的扩展性。 单个收集器就能从网络中多个路由器收集数据而且没有对网络增加任何故障点。 Arbor Peakflow的产品可以根据用户的网络规模和流量的增加而进行平滑的升级，只需要根据网络流量的情况增加收集器即可增加系统的处理能力。 系统的分析服务器能够对新增的收集器进行统一的管理，并可以在增加收集器时将原配置在其它收集器的路由器无缝移植到新增的收集器中以减少原有收集器的负载，原有的数据和结果并不会丢失。 高性能处理 能力 Arbor 公司专利的软硬件结合方式，同时能够实时通过分析路由和 Netflow采集到的数据以及 SNMP 信息分析大型网络的流量，一个 collector 可以时实性分析多达 50,000 flow/秒。 在实际的网络中存在一个 collector 同时实时性的分析管理多台高端网络设备，每个设备可拥有多个高带宽链路（ OC192/STM64）。 单台 Arbor Peakflow设备在配置大量监控条件，并学习 Inter 全部国际路由的情况下，能够处理 50,000session/s（ 150 万 session/分钟）的 Netflow原始数据。 在Inter 上，如果 Netflow采样比定为 500： 1，每 10Gb/s 的流量平均每秒产生 (101024 1024)/(500 384 1 8)＝ 6990session/s 的 Netflow原始数据。 因此一台 Arbor Peakflow设备就能够完成。 出色的统计分析能力 全网关联性分析 通过核心 Controller 对网络中流量情况进行汇总，实现全网关联的关联性流量分析，满足运营商角度对全网流量状况的整体把握。 如：实现多出口整体的关联性分析，提供整体的出口状况的整体性分析，针对某个热点地区和用户的全网关联流量分析等，有助于从整个网络的角度来把握全局的流量特征。 Arbor 的 Peakflow 解决方案完全通过分析 BGP 路由来分析互连流量的 AS 属性，这样做可以避免采用 NetflowV8 造成当流量大的情况下造成分析 AS 特征流量不准的情况，同时也可以避免开启 NetflowV8 对路由器造成的额外负担。 同时通过接收路由还可以为用户分析网络中路由的稳定状况和防止针对 BGP 路由的 Hijack 攻击。 多种属性的相互关联性分析 可真正实现从 AS、 IP 地址、应用、指定用户、指定路由器、指定设备端口、用户指定属性的感兴趣点等以上各个用户兴趣点在全网内的相互关联性分析。 真正实现用户所必需的 POP to POP，网络到不同 Peer、 Peer to Peer、 Interface to Peer、用户应用分析、网络内部 top talker、不同应用和不同人群的热点地区等需求，真 正能够帮助用户解决网络中实际问题。 针对互连路径和流量的详细分析 通过 Peer Evaluation功能分析到各个 peer 的流量情况，是否存在 transit。 Arbor 最新的软件系统可以根据 BGP 路由的信息和流量进行关联自动实现基于 BGP topology的流量分布图，了解互连应用、为改善互连状况，提供 transit 流量分析，了解最终流量的 AS path，可为运营商节约互联花费、选择更优的互连提供有力依据。 增强 BGP 功能分析 Netflow的原始数据中只提供 IP 包的原始 AS 号，并没有对其经过的所有 AS进行记录。 Arbor Peakflow通过与路由器建立 IBGP 的 PEER学习网络的 BGP 信息，从而掌握了每个 IP 地址段的 AS PATH等信息。 系统能够充分利用网络 BGP 信息对网络与每个 PEER和每个 AS 之间的流量进行深入的分析。 精确的统计分析 Peakflow CP 提供整个 ISP 骨干网络流量更准确的描述。 与那些单点解决方案或其他基于数据流收集的产品不一样， Peakflow 连续跟踪并且关联骨干路由器上的网络流量，而且使用非常详细的拓扑模型。 这些模型很好的 为 Peakflow 提供统计能力，超越以往只测量接口或者个别路由器的技术水平。 Peakflow 从多个接口、路由器、用户自定模板和对等汇集流量统计资料。 Peakflow 系统有独特的能力分辨进入，出外和骨干流量。 Peakflow 自动学习并且区分面向对等、骨干和面向用户的接口。 这接口层面的知识允许 Peakflow 克服以往错误地识别进入流量和重复计算穿过骨干路由器数据流的问题。 基于接口层次流量模型， Peakflow 将准确测量进入和外出的流量，即使在严重 BGP 路由不对称的情况下。 热点应用分析 通过定义分析对外部的流量应用分析，能够准确定位网络内部用户对外网的兴趣点，找到最多应用的热点内容。 可根据这一点将其内容拿入到内部，减少在 Peer上的花费，同时提高内部网络的服务质量。 高度智能化 管理员将需要管理的网络设备的基本信息输入到系统后，系统将对设备进行自动查询，并生成所有端口、设备和 PEER的流量分析结果，并进而计算出全网的流量分析结果。 同时系统还能自动记录网络 BGP 路由的振荡情况。 强大的客户流量分析功能 大客户是运营商业务发展的重点，因此运营商对 大客户的流量也非常的关心。 Arbor Peakflow能够对运营商的用户的流量进行详细的分析。 运营商可以根据端口、地址、 AS 等条件定义用户，并对用户的全部流量进行关联分析。 通过分析大型用户的业务特点，提供运营商最需要的重要用户的应用特点和最多应用 IP 的分析。 分析到这些有用的数据将会有助于对内部大业务的分析，通过掌握大用户的信息，有助于提高业务质量。