netscout技术白皮书

netscout技术白皮书内容摘要：

时的网络监控，帮助用户了解网络带宽的使用情况，业务应用的行为规律，业务应用的响应时间，及时发现网络故障隐患，保证业务应用的正常。 支持的网络拓朴  高级数据源： nGenius探针 支持下列网络拓朴： 千兆网络 快速以太网络 ATM网络，包含 IMA POS网络 广域网络： T1/E T3/E3（ 帧中继、 PPP、 HDLC）  中级数据源： NetFlow 和 sFlow  基本数据源： MIBII, MiniRMON, Frame Relay MIB, 和 Cisco网络设备的 CPU和 memory状态。  CDM应用接口：用户自定义应用、采用多端口范围的复杂应用、 URL、Citrix的应用。  nGenius 探针的通用响应时间 (URT)功能支持主动和被动的应用响应时间测量。 Netscout 公司北京办事处 第 页 10 系统架构 Netscout 解决方案主要由 nGenius PM 服务器、 nGenius 探针、 NFD 转换器和Infinistream 设备 组成。 如下图： 从上图可看出， Netscout 解决方案可收集网络中的多种数据源，包括  Netscout 探针  网络设备的 flow、 sFlow 数据  网络设备的 RMON 信息  网络设备的 MIB 信息 多种数据汇总到 nGenius PM 服务器，实现对网络最全面、最有效的性能管理。 探针 NetScout 硬件探针是一种被动网络检测设备，不会对网络的性能产生影响，不会被黑客攻击，能 7*24 小时不间断地安全工作。 它可以通过分光器或镜像端口的形式，从网络中线速捕获通过某条线路的流量。 NetScout 探针 采用 Netscout 公司 开 发的 Realtime OS 专用操作系统，支持各种通信技术，如： ATM、 POS、 10/100/1000M 以太网、帧中继、 E1 等。 这种专门的硬件设计保证了探针的线速抓包和处理性能，实际使用中，用户可以根据所 Netscout 公司北京办事处 第 页 11 使用的网络技术选配不同的探针。 PM 管理服务器 NetScout 的 PM 是系统的核心组成部分，收集探针采集到的信息，并进行汇总、分析。 PM 的主要功能如下： o 提供简体中文版本 o 用于流量的监控和分析 o 内置数据库 o 同时实现实时性监控与自动化历史数据分析 • o 支持平台包括： Windows、 Unix 以及 Linux o 提供高精度 的 1 分钟历史数据 PM 的报表系统可生成日报、周报和月报，并可通过邮件系统自动地发送给用户。 用户可以即时得到网络中的流服务器情况。 NetScout的 PM系统提供 CDE 数据库开发工具包，用户可利用此开发工具，从 PM 的数据库中取出有关的数据，进行二次开发。 从而生成符合特定需求的报表系统。 nFD 数据转换器： 探针上所配置的 nFD 数据转换器，可将探针监听到流量（ LAN、 WAN、 ATM、 POS等）转换成 LAN GE 格式，与 nGenius Flow Recorder 数据流记录器相配合，可实现对网络流量 的全面记录；也可与第三方产品相集成可实现 IDS、仿真模拟、计费、行为分析、数据包解码分析等功能。 Infinistream nGenius Infinistream 设备可提供从 到 15TB 等不同的存储容量，同时提供10/100/1000 电口或 SFP 千兆接口等不同监测接口。 nGenius Infinistream 设备可将网络上的数据源完整地记录下来，并实现事后回放、事后分析等功能。 Netscout 公司北京办事处 第 页 12 3 实现的主要功能 NetScout nGenius 企业级网络性能管理系统集成了网络流量分析、协议解码、专家系统、管理、 长期流量分析报告等功能，同时能通过标准的 SNMP、RMON2，与其它的网络管理系统相集成，共同构成整体网络管理系统。 NetScout nGenius 网络管理系统包含两个组成部分：数据源及管理软件。 nGenius 系统的数据结构采用标准化的 RMON 格式和 SNMP MIB2 格式，具有很高的互通性，可以接受不同网络设备，如交换机、路由器﹑防火墙、负载均衡器等的 SNMP MIB2 及内置型 RMON MIB 网管数据信息，除此也可收集 Cisco 的NetFlow、华为的 Netstream 和 Foundry 的 sFlow 等 FLOW 数据信息﹐同时也包括了专用的硬件探针设备。 NetScout nGenius 网络管理系统通过充分利用高、中、低级的不同层次的多种数据源，可以获取丰富数据的组合，然后进行统计、分析以及生成报表，从而让网络管理员可以了解线路及网络的详细运行状态，为网络管理所有七个层面提供可视性。 同时 nGenius 硬件探针也可以侦测到各种网络异常现象，例如流量的 Netscout 公司北京办事处 第 页 13 突变，并主动向网络平台发出告警。 链路监控 能够对线路状态信息进行实时的检测和统计，包括： 网络流量统计： 如当前和平均网络利用率、总 的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。 网络传输协议统计： 如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。 误码率统计： 如错误的 CRC 校验数、发生的碰撞数、错误帧数等。 站统计：如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。 最多可统计 1024 个站。 帧长统计： 如某一帧长的帧所占百分比，某一帧长的帧数等。 告警： 当某些指标超过规定的门限时， NetScout 可以自动显示或采用有声形式的告警，并及时记录故障发生的时间和位置。 如上图：数据链路层吞吐量历史分布曲线，可以按照每小时、每日、每周、每月之流量显示，或是使用者自定时间段显示，图中并同时显示基线，可以同时与利率历史数据比较，快速找出异常状况，并排除和解决故障。 Netscout 公司北京办事处 第 页 14 如上图：数据链路层误码历史分布曲线。 从曲线中可以看到在流量出现异常时，出现的误码也特别多。 网络监控分析 对网络层的监控，除了可使用网络探针进行监听外， nGenius 还能够从网络设备的 SNMP MIB 交换机的 SNMP RMON MIB 获取网络运行数据，收集 flow和 sFlow 报文并实时显示和进行历史 分析。 采用探针可对网络流量实现 OSI 7 层流量监控分析，可显示全双工接口的收、发和全部的流量信息。 提供对主机、协议、会话对等分析内容，并提供关联、智能排序、转换功能。 例如从协议分布中查看某个应用协议的主机、会话对等。 直观的用户界面 可以同时查看多个端口 /链路的带宽占用、协议占用、网络通讯对的分布情况： Netscout 公司北京办事处 第 页 15 应用监控 NetScout 可自动检测分析网络中应用，可同时监控多达 1024 种应用。 可根据多种方式识别出网络中的应用协议，包括 TCP/UDP端口或范围、服务器 IP地址 、网站地址 (URL)、基于数据 流量特征位等。 例如可根据数据流量特征位检测P2P(BT,Ddonkey,Shareaza 等 )、 L2TP 应用协议。 支持多种应用组的监控，用户可将相似的应用协议加入到一个应用组中（例如将 、 协议加入到 Web 应用组）统一监控分析。 对应用协议可显示全双工信息 (收、发或总量 ) 异常流量检测 nGenius PM性能管理系统可对网络中的异常流量进行检测： 基准线检测： 具有网络流量的基准线功能，可生成平均值、最大流量、 90%等网络流量基准，并可将网络流量及基准在同一视图中展现，用户可以及时发现网络中 的异常。 协议端口匹配： 可快速发现采用特定协议的网络异常流量，如病毒。 Netscout 公司北京办事处 第 页 16 网络层通信对分析 ：分析网络层的通信对，检测出网络中异常流量。 例如，某个 IP地址与多个 IP地址进行网络会话，数据包为单向。 过滤模板 ：采用异常流量模板（过滤器）进行数据捕获分析，检测网络中异常流量。 可自动识别和检测 P2P流量。 应用响应时间监控 响应时间测量的目的是提供最终用户体验的指标，在最终用户对网络不满意或生产力下降之前，主动地识别网络性能问题。 响应时间的测量方法主要有二大类：被动测量（ passive measures）和 主动测试（ active tests）。 NetScout是 ART应用响应时间测量标准的制定者， ART定义了在网络层面被动测量应用响应的方法，现 NetScout采用集成了被动测量和主动测试二种功能的 URT应用响应时间监控技术。 采用 URT技术可以：  同时反映应用程序的响应与网络效率的关系  数据具体到每种应用、每个服务器与用户  同时具备实时与历史数据  能区分网络传输时间与服务器响应时间 。