Wildpackets_Telecom_Proposal_Template

1、XXX电信公司网络监控与分析系统技术建议书20目录1Wildpackets公司背景12项目需求分析43方案设计53.1系统整体组成53.2Omnipliance（PeekDNX）部署53.3方案功能64Omni3技术概要104.1OmniPeek控制中心114.2Omnipliance专用设备124.3分布式PeekDNX（软件）134.4系统特点145产品规格与安装需求165.1OmniPeek支持的网络类型：165.2OmniPeek支持的网络适配器165.3支持的操作系统与浏览器176培训191 Wildpackets公司背景自 1990 起,，Wildpackets就已经成功推出故障分

2、析方案 (Fault analysis solutions)，为全球各大型企业提供了既可靠又具稳定性的网络系统。由桌面计算机到数据中心 (Data Center)，从无线局域网 (Wireless LAN) 到千兆骨干网络（Gigabit backbones），无论是企业的内部网络或者是分布式网络的互连，Wildpackets 都能够为企业快速发现和处理影响网络的问题。全球超过5000名的客户正在使用 Wildpackets 的产品，协助他们解决网络系统的问题，从而提高网络系统的性能，这些客户涵盖了财富1000强公司中的80。公司核心产品：OMNI3，电信分布式网络监控与专家分析系统Ether

3、Peek NX，LAN网络专家分析系统AiroPeek NX，无线网络专家分析系统公司目标：在当今世界，电信运营商对网络服务依赖程度变得越来越高，Wildpackets公司一直在为保障网络服务的可用性以及提高网络的使用效率而努力。通过对于电信行业的专业知识与经验、对不同网络的全面支持以及完善客户服务支持，Wildpackets的解决方案能够帮助电信运营商实时监控复杂的IP网络，进行故障诊断与排除，同时提高网络的安全性。公司客户：全球超过5000名的客户正在使用 Wildpackets 的产品，协助他们解决网络系统的问题，从而提高网络系统的性能，这些客户涵盖了财富1000强公司中的80。以下的列

4、表仅仅是每天使用Wildpackets进行工作的最终用户的一小部分：3Com阿尔卡特苹果计算机思科系统公司电子数据系统公司爱立信福特汽车公司通用汽车公司哈佛大学 IBM 洛克希德马丁朗讯微软公司西门子公司诺基亚公司Unisys中国移动中国电信上海交通大学天津大学中国联通农业发展银行上海期货交易所广东网通上海申银万国建行上海数据中心北电公司摩托罗拉Yahoo!施乐Wildpackets的解决方案在业界得到了一致的好评，同时获得了非常多的赞誉，这也很好的证明了其产品技术上的领先地位。WildPackets 于2004年7月获得IDG颁发的“Network Troubleshooting/Analy

5、sis Product of the Year” （网络故障诊断与分析）的最高奖项. 2004年的奖项意味着占有最高的市场地位和市场份额，以及获得了最好的用户评价。无数用户对Omni等产品报以高度的赞誉。Network Computing 2003 Well-Connected 奖项2003年3月31日，网络计算杂志是网络行业的权威，她把2003年最佳网络产品的赞誉授予了WildPackets产品，网络计算杂志同时强调，WildPackets是他们一直推荐的产品，在针对用户的网络嗅探、分析、异常处理方面具有无比的优势。 Network Computing 编辑推荐奖项Peter Morriss

6、ey 和 Dilip Advani编辑推荐奖来自业界专家的评选，以Peter和Dilip两位资深行业专家为首的评选团队一致评选出最佳的提供方案为WildPacketsNetwork Magazine 2003 Product of the Year 奖项2003年4月23日，网络杂志在2003年的选择确立了在网络分析、嗅探、监控领域最佳的年度产品为WildPackets。Network Computing Well-Connected 奖项 2002年5月8日 Network Magazines Product of the Year Award2002年最佳年度产品- Steve Stein

7、ke, Editor-in-Chief, Network Magazine Best of Show AwardJune 7, 2001 2 项目需求分析现今，对于电信运营商来说，IP网络现已成为对外提供各种业务的关键平台，是必不可少的一部分。不管是IP城域网等承载网络，还是计费、帐务、客服等关键业务子系统的网络平台，都是电信运营商这个IT架构的核心组成部分之一。如何保障IP网络健康、高效率的运行，是电信运营商非常需求解决的问题。随着电信运营商网络建设规模日益增大、用户数突破式的增长、业务日趋复杂，如何使网络高效率、低故障地运行使网管人员面临日益增加的压力：如何有效地保障IP网络健康、高效率的

8、运行，使其能够针对各种业务的拓展和变化提供支持；如何精确的获得网络业务数据，为进一步的业务增加或容量规划提供决策支持；如何有效的获得对网络及其在网络上运行的应用系统的可视性，简化网络的复杂性，提高对网络的反应性、可用性、和所提供服务的预测能力，从而最大限度地减少网络性能降低和网络中断。Wildpackets Omni3，领先的分布式网络监控与分析解决方案，为电信运营商带来了：实时网络流量监控与分析；快速有效的网络故障诊断与排除；更高的网络安全水平；帮助电信运营商充分利用现有的资源，包括网络设备与链路带宽，提高网络的使用效率，对病毒、黑客攻击等网络异常流量实现快速有效的预警机制，灵活而强大的报表

9、大大减少了网络管理人员的工作压力。3 方案设计3.1 系统整体组成我们建议在网管中心，配置一台服务器安装OmniPeek控制中心，作为流量监控分析系统的中心平台。在需要监控的链路分别部署Omnipliance（或者安装PeekDNX软件），配置相应的硬件接口卡。如果用户网络已经部署有rmon探针，比如netscout、DSS Sniffer等标准探针，可以通过wildpackets提供的rmongrabber软件与之整合，实现无缝结合。用户网络拓扑图：3.2 Omnipliance（PeekDNX）部署在交换机上上配置SPAN(交换机端口镜像)，针对需要监控的链路，把它作为SPAN的源端口，选

10、择一个其他端口作为SPAN的目的端口，然后把Omnipliance（或者式安装有PeekDNX软件的服务器）连接到该SPAN端口。SPAN方式部署比较灵活，我们无需移动任何硬件设备，只需要在交换机配置修改SPAN源端口，可以实现监控不同的链路。示意图如下，单台omnipliance根据配置的不同，可以支持监控分析不同数量的链路。另外一种方式，就是使用专用TAP以旁路插入方式把Omnipliance接入到监控链路中去。这种方式的好处是对网络设备来讲是透明的，无须进行任何配置，而且也不受网络交换机的影响。因为在SPAN模式情况下，SPAN的优先级是非常底，在有些情况这些数据包会被丢弃，而且SPAN

11、会过滤掉物理层的一些错误信息。“旁路插入” 方式在插入 TAP 时，需要安排线路中断时间，但以后撤走探针时如果不拆卸TAP，就不用安排中断。另外，TAP是无源配件，因此并不会对所监控的网络，造成瓶颈或单点故障。TAP与链路的连接如下图：TAP的工作原理，跟道路上的摄像机一样。道路上的摄像机会把车辆的资料 (例如车牌号、驾驶者是男还是女、有几个乘客、车的型号和颜色等等) ，拍摄下来，并由监控中心负责储存，车辆在被拍摄时是不需要减速或停下来。TAP在网络上，会把网络流量的资料 (例如发包的原地址和目标地址、协议、应用类型、包大小、误码有否存在、响应时间等等) ，“拍摄” 到omnipliance的

12、监控网卡，进行即时分析，并由OmniPeek控制中心负责储存、汇总、综合等等。同样地，“拍摄” 时数据包不用减速或停留。3.3 方案功能实时网络流量监控分析Omni3系统可以实现对网络流量的实时监控，告诉管理员获得哪些主机（ip地址、mac地址等）在使用网络，是在与哪些其他主机通信，使用的什么协议，每个会话的流量有多少，响应时间怎么样，等等。下图是Omni3系统的PeerMap图，从中我们可以看到网络通信的详细情况。病毒、蠕虫、扫描攻击等异常网络流量的早期预警日常的监控分析既可以对通常需要的利用率、协议分布情况进行解析和图表，又可以针对一些网络病毒攻击的征兆，例如发现较大规模的网络扫描、主机端

13、口扫描、大量的ARP无响应以及突发的电子邮件流量等各类病毒征兆，与诊治非典时用体温38度作为第一层判断方式类似，通过这一早期预警方法，可以对网络中新的异常现象和病毒攻击征兆进行第一时间的预警分析。Omni3系统中包含了最新的蠕虫、病毒、扫描攻击流量特征模板，这些模板包括且不仅限于冲击波、振荡波、NetSky、Sobig、LovSan、尼姆达、红色代码、WebDAV攻击等各类病毒特征。这些模板还在不断更新，可以保障我们获得最新的病毒流量分析的支持。同时这些模板还可以通过用户自行定义或修改，以便满足最灵活的部署和分析需要。全局实时故障诊断Omni3流量监控与分析系统实现了电信运营商大规模分布式IP

14、网络的故障诊断，实时支持为分布式网络提供专家分析、详细的节点信息、协议、网络统计摘要及数据包解码处理。这种方式适用于不同的IP网络，不管是IP城域网，还是计费、帐务、客服网络，使用灵活而且安全。Omni3 改变了传统网络故障排除的方式，无须运维工程师拿走笔记本电脑跑到各个地方分析排除故障。通过OmniPeek中心控制台，网络工程师可以简单有效地进行故障诊断，不管是本地网络，还是分布式网络的其他节点。Omni3系统内置提供了91种10/100M以太网络中网络7层上的各类故障诊断的在线专家系统与专业分析插件，除了在线专家系统外的专业分析插件还包括能够自动分析网络蠕虫攻击的Internet Atta

15、ck自动解析功能与HTTP、FTP等各类应用层自动专业分析功能。上图显示了OmniPeek实时在线的专家系统能够自动诊断出网络故障并且提示可能存在的原因。灵活多样的告警方法在Omni3系统中还可以灵活定义异常流量/网络病毒等通讯的触发形式，不依赖工作人员坐在计算机前24小时监控，OmniPeek提供了灵活的警告方式。OmniPeek除了提供常见的Email、短消息之类的报警方式以外，还可以通过SNMP trap汇总到网管和安全平台，也可以通过syslog进行整体的事件记录。甚至在OmniPeek中可以紧急调用第三方应用程序，诸如通知网络防病毒系统进行紧急升级或通知防火墙进行加强策略防护等等。灵

16、活多样的报表功能Omni3默认提供将近二十种不同的图表、报告形式，也可以灵活的定制自己需要的报表内容。管理员在Omni3系统的GUI软件界面上，均可以将获得的信息进行直接快速的导出成分析报告。而且用户还可以自定义报表和分析结果输出方式，协助我们作进一步完善的报告分析。4 Omni3技术概要Omni3网络监控与分析系统，主要有两个部分组成：OmniPeek控制中心以及分布式PeekDNX。OmniPeek控制中心是在WildPackets屡获殊荣的EtherPeek NX上基础上，扩展了对于分布式网络监控的实现。也就是说，OmniPeek控制中心不仅可以实现本地分析，而且结合分布式PeekDNX

17、实现远程集中监控分析。分布式PeekDNX可以被部署到IP网络的任何地方，可以以软件的方式安装到服务器上，也可以使用Wildpackets公司提供的专用硬件平台Omnipliance直接部署到网络中区。4.1 OmniPeek控制中心OmniPeek将WildPackets的EtherPeek NX产品的本地分析能力扩展到远程网段。OmniPeek拥有EtherPeek NX所有受欢迎的特点功能，包括：n 基于信息包流的专家分析系统和应用分析n 交互式节点图n 完整的七层协议解码n 应用响应时间（ART）分析n 安全功能n 监控与报表n RMON分布式分析OmniPeek同样有能力连接到远程运

18、行多种应用的引擎。运行在Omni3 引擎上的首要应用是Peek DNX(Distributed Network eXpert分布式网络专家)。为了显示远程网段信息，OmniPeek从Peek DNX收集统计数据并进行相关分析。OmniPeek控制台的界面与操作方式都与EtherPeek NX相同：非常易于使用，诸如“选择相关数据包”等内嵌功能以及可客户化的界面。OmniPeek也用来配置远程引擎，包括过滤、报告、和专家系统等设置。只有在用户需要解码、分析或者本地保存数据包内容时，数据包文件才会被传送到OmniPeek。OmniPeek能够在同一时间连接多个Peek DNX引擎，实现单一用户分析

19、和比较不同网段。此外，各个Peek DNX支持来自不同用户并发的互相独立的会话。4.2 Omnipliance专用设备Omnipliance是软硬件一体化的专用设备，提供远程网络的可视化。通过Omnipliance前面板的LCD显示屏与按钮，我们可以轻松的修改IP地址等配置信息，而无须连接显示器和键盘，配置与使用非常方便。Omnipliance出厂已经包括经过性能与安全优化的Windows2003 Server以及PeekDNX软件。Omnipliance使用内置的10/100M以太网网卡与OmniPeek控制中心的通信，实现配置、告警设置等管理工作。另外两块内置的10/100/1000M网卡

20、专门用作流量监控分析。产品标准配置规格：22.4G Intel至强处理器1G DDR ECC内存带Raid的273G高速SCSI硬盘内置三块专业网卡（1块10/100M，两块10/100/1000M）LCD显示屏与配置按钮Windows2003 ServerPeekDNX软件产品扩展：Wildpackets千兆网络分析适配器GAC使用state-of-the-art节硬件以及FPGA技术，提供高性能的千兆网络分析。GAC支持四端口半双工的千兆以太网通道或者两端口全双工链路。GAC卡可以通过TAP、Matrix交换机或者交换机端口镜像。Tap和Matrix交换机可以提供全面的被动式监控，即使在掉

21、电情况下，也不会对网络有任何影响，GAC XL1GAC XL1提供4端口的半双工或者2端口全双工连接，使用频率为133MHz的PCI-X总线结构。GAX SL1GAC SL1 PCI卡提供2端口半双工或者1端口全双工，实现硬件过滤器。Intel PRO/1000 MT Quad Port Server AdapterIntel Pro/1000 MT四端口服务器适配器4.3 分布式PeekDNX（软件）分布式PeekDNX其实包括了两个部分：引擎与PeekDNX应用。引擎在整个体系架构中好比人的肌肉，为Omni3所有应用提供必要的数据包捕获、系统服务、接口和核心处理。与EtherPeek NX

22、一样，引擎从所有网络接口上捕获数据包，而且提供了过滤、记录、通知和警报功能给运行在它上面的应用。通过Windows的认证系统，Omni3 引擎允许来自于不同用户的并发的互相独立的连接，并且为所有引擎与OmniPeek之间的通讯提供加密和压缩。假设我们称引擎为人的肌肉的话，Peek DNX就好比人的大脑。基于WildPackets屡获殊荣的NX技术，Peek DNX会分析所有的网络会话，从而可以发现代表网络与应用出现问题的行为。Peek DNX使用Omni 分布式引擎来绑定连接到网络中的适配器，并为每个适配器或者不同的连接用户执行独立的专家分析系统。所有的专家分析都是在Peek DNX侧来完成。

23、数据经过压缩加密后传回给OmniPeek，而且针对网络传输进行优化。4.4 系统特点网络最优化通过使用智能数据传输的专有技术，Omni体系确保能够通过分布在网络各处之中引擎上运行的应用来分析网络。在用户定义的刷新率时间间隔内只有分析的结果才会被传到控制台。如果用户想要分析特定的数据包，举例来说已发现问题、节点、会话的，只需要检索那些数据包而不需要停止抓包。包捕获文件能够保存在引擎或者控制台。在数据传输方面Omni非常智能，仅仅所必须的数据包才会被传递。可升级性Omni是可升级的，它被设计的有能力支持整个IT部门专家同时进行分析。OmniPeek能够在同一时间连接多个Peek DNX引擎，以便于

24、单一用户可以同时分析和比较不同网段的信息。此外，每个Peek DNX支持来自不同用户并发的互相独立的会话。7X24运行Omni引擎和Peek DNX在Windows XP和Windows2000系统中是作为一个系统服务运行的。不但引擎被设计为7X24小时连续运行，而且多个捕捉过程同样是这样运行的。捕捉过程可以被配置为触发模式，一旦到特定时间或出现特定数据包才开始进行分析。捕捉过程能够独立于OmniPeek控制台很好的运行。用户只要连接到远程引擎，就能够看到所有可用的捕捉过程。举例来说，一个用户可以配置在7X24小时情况下运行捕捉过程，同时现基于专家分析特定事件的一系列报警。使用OmniPeek

25、，只有在问题出现被通知的后，用户才需要连接到Peek DNS，进行数据包捕获的分析。安全的体系架构网络分析工具非常强大但同时一定要防止被不正当的使用。被捕获的数据包通过网络进行传输时是很敏感的。Omni是严格遵循IT安全要求而进行设计的，Omni引擎和应用使用Windows安全特性进行访问控制。所有引擎与OmniPeek之间的通信都是经过压缩与加密的。NX专家分析系统EtherPeek NX和AiroPeek NX是第一个提供在捕捉数据包过程中同时能进行专家系统分析与数据包解码的网络分析产品。现在Omni3已经把相同的技术引入到远程网段的故障诊断。NX专家分析系统提供了针对现今网络环境进行精确

26、分析的业界领先技术。举例来说，没有其它分析产品在TCP事件探测器数量方面能够超越NX。NX专家分析系统提供了自动的网络故障识别，把不同数据包对应到不同的会话，并且以直观的树结构的方式进行显示。通过分析每一个网络设备，系统可以发现、描述除网络、客户端、服务器、路由器的不正常行为，并且实现告警。5 产品规格与安装需求5.1 OmniPeek支持的网络类型：OmniPeek能分析Ethernet、Fast Ethernet、Gigabit Ethernet、WAN和Wireless上的通讯。Ethernet和Gigabit IEEE 802.3 Ethernet 类型2 速率：10，100和1000

27、MbpsWireless Wireless 802.11 a/b/g 802.11a速率：6,9,12,18,24,36,48,54,72,96,108Mbps 802.11b速率：1,2,5.5,和11 Mbps 802.11g速率：5.5,6,9,11,12,18,22,24,33,36,48,54MbpsWAN WAN T3/E3 T3速率：44.736Mbp E3速率：34.368Mbp5.2 OmniPeek支持的网络适配器Ethernet网卡OmniPeek能运行在所有NDIS 3版本以上并且兼容以太网混杂模式的网卡上。现今几乎所有市场上的网络适配器都符合这个需求。如，我们兼容来自

28、3Com、Inter、Xircom、SMC及其它厂商的网卡。Gigabit分析网卡（GAC） 双端口Gigabit分析网卡(GAC)SL1 -支持小型可插拔(SFPs)CX、LX、SX模块 四端口Gigabit分析网卡(GAC)XL1-支持小型可插拔(SFPs)CX、LX、SX模块或固化10/100/1000RJ45接口AN分析卡(WAC) WAN分析卡(WAC)T3/E3ireless LAN网卡Atheros Wireless LAN网卡的3.0版本的驱动程序已经经过测试并且在包含OmniPeek中。基于Atheros AR5001、AR5002和AR5004芯片的适配器使用此驱动程序。在

29、AiroPeek (WildPackets 802.11无线网分析软件)可以使用的所用网卡，都应该可以在OmniPeek中使用，但这些网卡没有被测试过。需要获取更多信息或者需要下载Wireless驱动的话，请访问：/support/hardware/omnipeek/wireless5.3 支持的操作系统与浏览器indows XP Professional(SP2)Windows 2000(SP4)或Windows Server 2003和Internet Explorer 6.0(SP1)系统最低要求OmniPeek支持按操作系统基本要求配置的绝大多数机架服务器、工作站和笔记本电脑。基于需要分析流量的大小与细节，使用Omni3的要求可