网络流量分析解决方案

1、网络流量分析解决方案1 方案简介NTA网络流量分析系统为客户提供了一种可靠的、便利的网络流量分析解决方案。客户可以使用支持 NetStream 技术的路由器和交换机提供网络流量信 息， 也可以使用DIG探针采集器对网络流量信息进行采集。并且可根据需求，灵活启动不同层面（接入层、汇聚层、核心层）的网络设备进行流量信息采集， 不 需要 改动现有的网络结构。NTA网络流量分析系统可以为企业网、校园网、园区网等各种网络提供网络流量信息统计和分析功能，能够让客户及时了解各种网络应用占用的网络带 宽， 各种业务消耗的网络资源和网络应用中TopN流量的来源，可以帮助网络管理员及时发现网络瓶颈，防范网络病毒的

2、攻击，并提供丰富的网络流量分析报表 。 帮 助客户在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确 的 决策 2 方案特点多角度的网络流量分析NTA网络流量分析系统可以统计设备接口、接口组、 IP地址组、多链路接口的 （准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速 率 的比例。NTA网络流量分析系统可以从多个角度对网络流量进行分析，并生成报表，包括基于接口的总体流量趋势分析报表、应用流量分析报表、节点（包括源、 目 的IP）流量报表、会话流量报表等几大类报表。总体流量趋势分析总体流量趋势报表可反映被监控对象（如一个接口、接口组、 IP 地 址组）的入、出流量随时间

3、变化的趋势。图形化的统计一览表提供了指定时间段内总流量、采样点速率最大值、 采样点速率最小值和平均速率的信息。对于设备接口，还可提供带宽 资源利用率的统计。支持按主机统计流量Top5,显示给定时间段内的流量使用在前 5位 的主机流量统计情况，以及每个主机使用的前 5 位的应用流量统计。同时还支持流量明细报表，可提供各采样时间点上的流量和平均速率上-fra 11 144*In帽CH MW BE 00 QB >9 B-a gECQ V> *如 L CO1 四轉| « fCHP PJt*M4l1 TCPiftoc :i LEpw* 弋色*K眉*4心:M '_泌叭”曇11

4、聲应用流量分析应用流量分析报表反映被考察对象（如一个接口）的流入（或流出）方向上 ， 带宽被各种网络应用占用的比例随时间变化的趋势，包含报表统计时间内该应用的总流量、平均流速和占所有应用总流量的百分比等。同时还支持对该应用的流量信息进一步的数据挖掘，分析使用该应用流量的最大来源和目的地址TopN列表。来源目的会话流量分析来源 目的 会话流量分析报表反映被考察对象（如一个接口）的流入（或流 出） 方向上，在指定时间范围内总流量最大的网络节点（源、目的）、以及网络 节 点间会话的排名。同时还支持对节点、会话流量进行进一步的数据挖掘，分析节点流量中使用 最 多的应用和与该节点通讯最多的节点、分析会话

5、流量中双方节点使用应用的 排 名信息。 未知应用流量分析未知应用流量分析对系统中没有定义的TCP UDP应用进行了深入的分析，提供按照端口号、源IP和目的IP分组的未知应用流量信息，并可查看到某一个端 口、源IP和目的IP的详细通信信息，提供按源、目的分类的流量TopN情况。可以按协议和端口将统计到的未知应用定义为已知应用七层应用流量分析端口不固定的应用，女口 P2P BT eDonkey等应通过报文应用层数据的特征进行 识别。基于七层应用的识别和分类，NTA可针对百兆链路提供对常见P2P BT eDonkey等应用的网络占用带宽趋势图和流量趋势图及应用的详细信 息列表等报表，实现对此类应用流

6、量的监控。系统已经将大部分常见的端口不固定的应用设定为系统预定义的应用，如：BT、DC eDonkey Gnutella、Kazaa MSN QQ AIM等。用户可根据需要, 定义其它的应用识别。七层应用识别只对DIG日志有效，对其他类型的日志无效。主机识别系统提供了根据IP地址获取对应的主机名称/域名和MAC地址的功能，并可与 用 户接入管理进行联动，获取特定时间段内使用该 IP地址的用户上网明细信息。流量审计通过流量原始日志对特定节点、协议、端口、时间范围内的流量趋势、来源、目的和会话进行审计，给出对应的通信明细（包括流量、包数、包长等），并可根据来源IP、目的IP、端口等进行分类统计，以

7、便跟踪解决网络流量异常问 题。结合拓扑、设备管理直观展示网络流量在拓扑中增加网流分析功能的菜单入口，对设备、接口等对象直观的展示其 相 关流量的分析报表；设备管理页面中也能融合管理网络流量。网络应用自定义支持网络应用的自定义。通常情况下，网络应用由一组（或多组）固定的网络协议和通讯端口的组合进行标识，如http应用对应TCP协议和80端口。网络流量分析系统预设近三百种常用应用定义，管理员可以直接使用。根据网络的实际使用情况，管理员也可以自定义关心的应用来进行数据的统计分析。例如将FTP应用定义为TCP/21和UDP/21, NTA网络流量分析系统就会依据协议类型 和端口号信息统计符合 FTP应

8、用定义的流量信息，帮助管理员获取更为实用的网络流量统计结果。操作员管理操作员（网络管理员）的权限管理包括操作员的增加、删除、修改、查询以及密码控制策略设定等功能。NTA网络流量分析系统可以为每一个管理员分配不 同的管理权限，实现多个管理员共同管理网络，并且每个管理员所管范围和职责都可以明确的划分，使管理方式更加清晰、科学。系统参数配置系统参数包括操作员最大闲置时长、报表TopN取值、报表自动刷新间隔时长、网络日志保存时长、磁盘使用阈值、磁盘循环是否使用等，合理的参数设置 可 以在不同的应用场景发挥系统的最大能力。设备信息和接口分组管理在 Netstream 日志数据采集方式下，管理员可以通过设

9、备信息管理定义系统 中 开启流量分析的设备和接口，并将多个接口设定为一个接口组。 NTA网络流量 分析系统可以依据接口组的定义，对接口组所对应的流量信息进行统一分析 ， 帮助管理员获取不同层次的流量统计报表。日志接收管理日志服务配置和下发功能将配置好的日志采集策略下发给接收器和处理器，其目的是为了保证系统能够根据实际需要完成日志数据信息的采集工作。同时 还 可以对接收器和处理器的当前状态进行检测，包括 CPU利用率、内存利用率、 已用磁盘空间和空闲磁盘空间等信息，帮助管理员监控系统的运行状态。3组网应用Netstream组网方式主要面向金融、政府、教育等中大型行业用户，为管理员提供流量分析、网

10、络优化、异常监控的手段：出口位置设备是支持 NetStream的设备，进行NetStream分析，并输出NetStream 日志。NTA服务器接收Netstream日志并进行流量分析，可以区 分4层流量信息。提供区域流量分类统计、应用流量统计分析、流量和应用分析（TOP N跟踪、分布）等丰富的报表。般只在网络出口进行流量统计图1 Netstream组网方式DIG探针式组网方式探针式采集器能够与任何支持端口镜像功能的交换机或集线器配合，采集网络中的报文信息，并为IT部门提供清晰的网络流量分析和信息安全跟踪。该组网 方式最大的优点在于不依赖于具体厂商的设备，从而可以更有效的保护用户的已有投资。DIG探针组件，是NTA产品为不支持Netstream等格式日志的交换机或路由器 准备的一种普遍适用的网流信息米集方式，是探针式米集器从交换机的镜像端口或TAP分流器中采集流量信息发送给网络流量分析系统。DIG探针组件按组网需求配置，可以配合