it计算机]tr网络流量分析解决方案

it计算机]tr网络流量分析解决方案内容摘要：

支持用户根据需要进行自定义的授权，开放相应的权限和功能。 流量分析系统的作用 流量分析系统能够为 对 XX 电信公司 骨干互联网 提供业务决策和网络维护上的帮助，主要表现在： 业务决策支持 l. 了解网络中的真实的业务使用情况，传统的手段只能知道网络的实时流量情况，却无法了解网络中实时的业务使用 情况。 通过对网络中业务情况的分析，了解用户的使用习惯和访问热点，以便于更好的为用户提供服务。 网络详细设计 上海 春燕通信设备有限公司 第 13 页 2. 竞争对手业务分析。 通过对 对 XX 电信公司 骨干互联网 与其它运营商之间流量的分析，掌握用户对竞争对手的访问热点，以及竞争对手对网内业务的访问热点，从而为业务发展和业务分析提供依据。 3. 了解大客户的流量情况，掌握大客户的业务使用情况和热点访问地区等情况，并可以将流量分析的结果作为增值服务提供给大客户。 4. 发现潜在的用户。 通过对网络流量分析，可以发现潜在用户群，为业务人员发展业务提供帮助。 网络维护 支持 l. 为网络的日常维护提供帮助。 网管人员需要定期的对网络进行分析并制作大量的网络运行情况报告和各种报表。 流量分析系统能够大幅度的减少网管人员的工作量，并能够提供大量的分析结果和报表。 2. 通过对国际 /国内流量、网内 /网间流量的分析，了解网络的具体使用情况和增长趋势，为网络调整和扩容提供依据。 3. 在网络故障时给网管人员提供排除故障的手段。 当网络中发现大量的垃圾流量或安全攻击时，网管人员可以通过网络分析系统对流量的实时监控发现垃圾流量和攻击的类型和来源，从而为网管人员处理故障提供辅助手段。 网络详细设计 上海 春燕通信设备有限公司 第 14 页 第 4 章 Arbor 流量分析系统解决方案 Arbor 流量分析系统部署方案 Peakflow 解决方案包括 Peakflow DoS 系统和 Peakflow SP 系统两部分，可以被部署在服务提供商的基础架构内的不同的位置。 如下图所示，不同的部署方案可以得到不同的好处： Peer Inf rast ruct ureDD oSRout er at ta cksBG P ses sio n at ta cksP ol icy v io lat io nIn st abi lit yP eer an aly sis/ trans it r edu ct io nCo re I nfra stru ctur eRout er at ta cksW or m sT r af fi c en gi nee r in gEdge Inf rast ruct ureDD oSW or m sDN S at ta cksM ar ket to m ar ket a nal y sis 网络详细设计 上海 春燕通信设备有限公司 第 15 页 采集对象 采集点的部署 Netflow采样周期的设定 由于流量分析系统接收由路由设备按照一定的采样比采集的 Netflow 原数据并对网络的流量进行计算和分析，因此路由设备的采样比率在很大程度上决定了分析结果的准确性。 如果路由器配置的采样比过高（如 1000： 1 或更高），流量分析的误差将加大，尤其对小数据流或混杂在大流量中的部分关键的小数据流的分析，更容易产生比较大的误差。 在 Cisco 路由器上开启 Netflow 会消耗一些设备资源，特别是需要占用一些 CPU 和 Memory 等重要资源。 目前 XX 电信公司 骨干互联网 上部署的接口板卡类型主要包括Engine Engine Engine 4＋和 Engine 6，其中 Engine Engine 6 对 NETFLOW 的处理能力强大，打开 NETFLOW后性能影响很小，而 Engine 2 和 Engine 4＋对 NETFLOW的处理能力稍差，过高的 NETFLOW 采样比率会对路由器的性能带来一定的影响。 根据 Cisco 和 Juniper 设备的配置原理，每台设备只能够配置一个全局的采样比率，并可以选择打开 Netflow 功能的端口（在 Juniper 路由器上还可以选择在入 /出方向打开Netflow 功能）。 因此在路由设备的 NETFLOW 采样比率设置时，应根据设备上需要打开 Netflow 功能的板卡的主要类型并结合设备上开通的电路的流量情况重要程度，灵活的设置路由设备的 NETFLOW 采样比率，包括 100： 1， 500： 1， 1000： 1 和 3000： 1等。 获取路由信息 为利用 BGP 路由信息中的属性对流量进行深层次的分析，流量分析系统需要掌握XX 电信公司 骨干互联网 的 BGP 路由情况。 根据 本方案设计 ， 收集器 分别与 被 监测 路由器通过 MD5 认证建立 iBGP 连接，从 被监测 路由器学习 BGP 路由信息。 流量分析系统能够利用 BGP 路由信息中的 AS PATH， Origin AS， Next Hop， Community 等属性对流量进行深层次的分析。 Arbor 流量分析系统还可以监控每台设备 BGP 的稳定情况并对 BGP 表 振荡情况进行报警，还能够提供对 BGP 路由表的查询。 网络详细设计 上海 春燕通信设备有限公司 第 16 页 获取路由器的 SNMP信息 Arbor 流量分析系统可以通过 SNMP 的方式获取路由器上系统感兴趣的信息，包括设备描述、 IOS 版本、端口索引、端口描述、端口流量情况、 CPU/Memory 利用率等。 这些信息包括了系统进行分析说必须的信息（如端口索引），还可以对路由器的运行情况进行监控并可以把 Netflow 数据与端口实际流量情况进行比较。 流量分析系统的 硬件 部署 网络的安全是一个系统的工程，其构成要素包括：管理策略、技术策略、业务策略。 这三部 分并不是孤立的，而是相互渗透、穿插，互为补充。 因此，安全系统是一个多维、多因素、多层次、多目标的系统，不是仅仅靠一、两台设备就可以做到，安全系统中应该包含多种功能的设备，如防火墙、 IDS、流量分析、防 DOS 攻击设备等，这些设备既能完成独立的安全功能，又能够有机的结合在一起形成一个完整的安全体系，这样才能有效的保障整个 XX 电信公司 骨干互联网安全稳定地运行，满足运营商在安全上的最终需求。 根据目前 XX 电信公司 骨干互联网的现状以及需求，我们建议 部署 一 套 Peakflow SP 系统（共两台设备，一台作为收集器，一台 作为控制器） ，实现对 XX 电信公司 骨干互联 网的流量监控及分析 ；一 台 Peakflow DoS 设备 ，实现 XX 电信公司 骨干互联网对 异常流量的监测以及对 DDOS 攻击的防范。 收集器 （ collector） 负责对 被监测 节点的路由器设备发送的 NETFLOW/CFLOWD 等 数据 信息 进行采集和预处理； 控制器 （ Controller）负责对各个收集 器采集到的数据 进行统一的汇总、处理和 全网 关联 性 分析 ，将分析结果统一展现和存储 ，满足运营商角度对全网流量状况的整体把握。 今后可根据网络设备增加的情况和业务发展情况逐渐增加流量收集器的数量以提 高系统的处理能力和范围。 这样既满足了用户当前的需求，又为用户节省了投资。 Peakflow 系统采用分布集中式结构 ，一台控制器可以同时关联并管理多台收集器，可根据 网络规模和流量的增加而进行平滑的升级，只需要根据网络流量的情况增加 收 集器即可增加系统的处理能力。 系统的 控制 器能够对新增的 收 集器进行统一的管理，并可以在增加 收集器 时将原配置在其它 收集器 的路由器无缝移植到新增的 收集器 中以减少原有 收集器 的负载，原有的数据和结果并不会丢失。 网络详细设计 上海 春燕通信设备有限公司 第 17 页 流量分析系统的网络连接 Arbor Peakflow 设备能够提供多个 FE/GE 的互联端口，鉴于 XX 电信公司 在流量分析方面和网络安全方面的需求以及现有机房实际条件，我们建议目前将 Peakflow SP收 集 器 部署在南宁节点骨干数据机房，通过 1 个 10M/100M/1000M 端口直接连接 骨干交换机 Catalyst 6509，实现与采集设备的高速可靠连接 ； Peakflow SP 控制器部署在 XX 电信公司 网管中心，通过 1 个 10M/100M/1000M 端口连接 至 网管中心 局域网 交换机。 流量分析系统在网管系统中的定位 随着网络的发展和业务的需要，目前国内电信运营商的网管系统正逐渐从 面向面向网元的各专业网管系统和网管模块向多专业的综合网管平台方向发展。 综合网管平台更加强调面向业务、面向用户以及系统数据的综合和统一。 一个综合的 IP 网网管系统的主要功能应该包括资源配置管理、故障管理、性能管理、流量管理、路由管理、安全管理和对业务、客户管理等。 结合 TMN 和 TOM 功能模型， IP 网管系统功能分为网元层、网络层、业务层、事务处理层和客户层，还包括系统自身的管理。 网络详细设计 上海 春燕通信设备有限公司 第 18 页 从图中可以看到， Netflow 流量分析系统位于网管系统的网元层，直接从网元设备采集数据，并将分析结果提供各上层模块使用。 流量分析系统与网管系统其它功能模块的配合主要包括：  与网管系统数据库的配合 将流量分析系统的分析结果数据存储到网管系统的数据库中，从而实现网管系统原始数据的统一，将同一对象（如大客户 /端口等）的 Netflow 分析结果与其它结果存储在一起。 同时还可以充分利用网管系统磁盘阵列的容量、可靠性以及大容量数据库软件的效率。  与网管系统报表模块的配合 网管系统的报表模块一般采用专门的报表工具，功能比较强大，并有强大的报表定制和分发功能。 由于流量分析系统的结果已经全部存储到网管系统的统一数据库，报表模块不需要直接从流 量分析系统采集原始数据，而可以直接从网管系统的数据库中读取数据，并将 Netflow 分析结果与其它模块的结果统一展现。 （如可以将一个用户 /端口的基本情况、 SNMP 采集的流量情况、 Netflow 分析结果等综合到一张报表中）  与故障告警模块的配合 网管系统的故障告警模块可以通过 SNMP 的方式对流量分析系统的运行状况进行监控；流量分析系统在检测的网络 /链路 /系统等故障告警的时候可以通过 Trap 的方式通知网管系统的故障告警模块  与认证模块的配合 Arbor 流量分析系统支持 Radius 和 Tacacs＋，能够与网管系统 配合实现统一的网络管理员身份认证和权限管理。 方案优势及特点 Arbor Peakflow 网络流量分析解决方案是一个面向大型 IP 宽带网络、基于实用的信息采集和传输的解决方案。 通过 Netflow 快速交换的流量分析技术，并结合 SNMP、BGP 协议，对网络进行实时业务流量和流向分析，根据预先定义的策略对流量数据作聚集，通过各种数据指标、性能报表、流量图示和性能趋势图，为用户提供准确可靠网络的容量规划、趋势分析以及数据的优先级方面的信息。 它具有以下特点及优势： 网络详细设计 上海 春燕通信设备有限公司 第 19 页 适用于大型运营商 IP网络 Arbor 公司的 Peakflow 系列产品采用了分布式的体系结构，具有良好的扩展性，能够支持对大型电信运营商网络的流量分析和安全监控。 Arbor Peakflow 的产品可以灵活的配置成分析服务器（ Controller）和采集机（ Collector）两种工作模式。 分析服务器可以网络中的全部采集机进行管理，负责对各个 收集器 进行统一的配置并将采集机采集的数据进行汇总并进行全网的关联性分析，并将结果统一展现和存储。 Arbor Peakflow的流量分析和安全监控功能侧重于整个网络，而不是仅仅局限于单台或几台设备，因而也更适合 于电信运营商的网络的部署。 采用 Collector 对多台路由设备进行实时分析，通过核心 Controller 对 Collector 进行管理和对 Collector 分析到的数据进行汇总关联。 当网络扩容时，随着网络中路由气台数的增加通过增加 Collector 方式即可实现扩展，保护用户的投资。 在应用网络中存在规模超过 150 台 GSR 的实际应用案例。 目前 Arbor Peakflow 系列产品在国外的大型运营商的网络中已经得到了广泛的应用，其中包括 ATamp。 T、 Quest、 NTT 等著名运营商。 目前在 Quest 的 IP 骨干网中，共部署了 44 台 Arbor 的产品（ 22 台 Peakflow Traffic 和 22 台 Peakflow Dos），对其网络的流量进行全面的流量分析和安全监控。 与其他商业和免费流量统计软件相比， Peakflow SP 在可靠性和扩展性方面提供显著的改善。 Peakflow SP 不仅仅是一套用户应用软件。 从固化的操作系统到基于高速内部核心的数据流收集子系统， Peakflow SP 是为符合可靠和。