TR网络流量分析解决方案.doc

ArborArborArbor PeakflowPeakflowPeakflow 流量分析解决方案流量分析解决方案流量分析解决方案流量分析解决方案 XXXX 公司公司 二零零五年二零零五年 X 月月 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 I 页 目录目录 目录目录 I 第一章第一章 前言前言 3 1 1 工程背景 3 1 2 网络现状 3 1 3 工程建设内容 3 1 4 工程建设的必要性 3 第二章第二章 系统设计原则系统设计原则 5 2 1 连续性原则 5 2 2 实用性原则 5 2 3 可扩充性原则 7 2 4 可靠性原则 7 2 5 安全性原则 7 2 6 开放性和标准化原则 7 第三章第三章 ARBOR 流量分析系统功能介绍流量分析系统功能介绍 9 3 1 基于 NETFLOW技术的流量分析系统 9 3 2 ARBOR流量分析系统功能 10 3 2 1 流量分析系统的监控范围 10 3 2 2 Arbor流量分析系统的功能 11 3 3 流量分析系统的作用 12 3 3 1 业务决策支持 12 3 3 2 网络维护支持 13 第第 4 章章 ARBOR 流量分析系统解决方案流量分析系统解决方案 14 4 1 ARBOR流量分析系统部署方案 14 4 1 1 采集对象 15 4 1 2 采集点的部署 15 4 1 3 Netflow采样周期的设定 15 4 1 4 获取路由信息 15 4 1 5 获取路由器的SNMP信息 16 4 1 6 流量分析系统的硬件部署 16 4 1 7 流量分析系统的网络连接 17 4 1 8 流量分析系统在网管系统中的定位 17 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 II 页 4 2 方案优势及特点 18 4 2 1 适用于大型运营商IP网络 19 4 2 2 良好的可扩展性 19 4 2 3 高性能处理能力 20 4 2 4 出色的统计分析能力 20 4 2 5 强大的安全功能 22 4 2 6 完善的系统功能 25 4 2 7 长远的发展 27 第五章第五章 ARBOR PEAKFLOW 产品介绍产品介绍 28 5 1 产品概述 28 5 2 ARBOR PEAKFLOW系统平台 28 5 2 1 Arbor Peakflow SP 30 5 2 2 Arbor Peakflow DoS 32 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 3 页 第一章第一章 前言前言 1 1 工程背景工程背景 1 2 网络现状网络现状 1 3 工程建设内容工程建设内容 本工程建设内容为 建设一套流量分析系统对 XX 电信公司骨干网内的全部流量 进行分析 流量分析系统主要由一台数据流量收集器和一台数据流量控制器组成 收集器负责收集数据流信息 鉴定异常的网络流量 并且把结果传送给数据流量 控制器 从而建立动态正常流量模型 控制器从收集器会聚数据和存档统计资料 并且建立整体网络范围内的宏观网络 模型 因此能够从单个优势的地位点监控整个网络多个路由器和接口的数据流量和拓 扑的变化 提供网络全部部分完整和实时的情况汇报 1 4 工程建设的必要性工程建设的必要性 本工程建设的必要性主要体现在以下几个方面 1 通过本工程的建设 可以实现基于业务流的性能测试和资源可用性监测 分 析总体业务发展趋势和客户行为 为网络瓶颈排除和性能优化提供依据 2 可以对网络资源的使用情况进行管理 避免因为资源使用过度或使用状况不 明所导致的网络服务质量下降 3 可以实现性能统计和性能趋势分析 提供灵活的报表功能 提高网络运行维 护水平 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 4 页 4 可以提供多样的历史资料条件查询和统计分析 便于指导全网的网络规划和 优化资源配置 为业务发展策略的制定提供依据 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 5 页 第二章第二章 系统设计原则系统设计原则 XX 电信公司骨干互联网流量分析系统工程项目是 XX 电信公司集团 IP 骨干网建 设中的一项重要部分 在流量分析系统设计中 必须要明确系统设计的原则 我公司 将遵守连续性 实用性 可扩充性 可靠性 安全性 标准化 规范化的原则进行此 次流量分析系统的设计和建设 具体设计原则如下 连续性原则 实用性原则 可扩充性原则 可靠性原则 安全性原则 开放性和标准化原则 我公司在对 XX 电信公司骨干互联网流量分析系统的设计和建设过程中将严格遵 守上述原则 2 1 连续性原则连续性原则 XX 电信公司骨干互联网流量分析系统在进行总体设计时 要考虑到技术的发展 具备适度的前瞻性 能够满足现今和将来一段时期的需要 同时还要为未来系统的扩 充与扩建留有余地和基础 既要考虑原有投资的保护 又要兼顾未来的发展和变化 2 2 实用性原则实用性原则 实用性的原则的目的是在保证实用要求和技术可行性的前提下 要选择易于操作 和管理 应用见效快的技术和方案 以及适当档次和价格的产品 这主要指 1 从实际出发 讲求实效 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 6 页 业内人士一致公认 计算机技术 尤其是计算机网络技术的发展速度往往超乎人 们的想象 每年新推出的技术和产品层出不穷 人们永远希望利用新技术 新产品 不要落后 但是 成熟的新产品也可能会对应用环境提出新的要求 如果环境的改造 不能同步 再新的技术和产品 也不能真正发挥起自身的优势 因此设计者必须根据 投资的强度以及运行条件的可能 对所建系统 以及所用技术和产品进行客观地评估 XX 电信公司骨干互联网流量分析系统的设计中 首先要考虑的是实用性和易于 操作性 确保使用技术成熟的网络产品和通信技术 2 技术领先 当今社会里信息技术的发展变化迅速 各种新技术新应用层出不穷 为了保证建 设后的系统能在今后的一段时间内能够适应新出现的应用 需要将 XX 电信公司骨干 互联网流量分析系统的技术水平定位于一个较高的层次上 从而保证系统的先进性 以适应未来数据发展的需要 3 先进性和成熟性 成熟性优先 当前网络技术发展迅速 新的产品不断涌现并趋于成熟 在满足实用性的基础上 起点要高 应尽量选用先进的网络技术及通信设施 但由于市场竞争的需要 各厂家对新产品 新技术的发布总是要远远先于其实际 成熟期的 对任何一个用户而言 选择一种不成熟的技术或产品 总是要冒一定的风 险的 尤其是对那些实用性要求高的用户来说 更是如此 因此 当先进性的要求与 成熟性要求发生矛盾时 成熟性则应是优先考虑的原则 但是 成熟性本身也是一个相对的概念 我们不能因为追求成熟 而放弃已经被 诸多应用系统证明是切实可行的先进技术和产品 我们认为 一种技术或产品 其商 品化的程度 以及随此技术或产品而不断推出的日趋完善的支持服务 是我们考察它 是否真正成熟有效的主要参考标准 4 经济性和有效保护历史投资 XX 电信公司骨干互联网流量分析系统的建设 要从经济性着眼 在完成系统目 标的基础上 力争用最少的钱办最多的事 实现成本效益的最大化 对于现在和将来 一段时间内没有必要的性能和功能不作选择 并且新的工程建设必须要能够求得一个 最佳的价格性能比 才能最大地发挥投资的效益 本原则将贯彻整个设计过程 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 7 页 2 3 可扩充性原则可扩充性原则 可扩充性主要包括两个方面的内容 一是为 XX 电信公司骨干互联网未来将扩充 新的节点和新的设备预先作好软 硬件接口 二是系统必须具有升级能力 能够适应 网络新技术和业务发展的要求 对于 XX 电信公司骨干互联网流量分析系统 保障系统体系可适应新节点和设备 的加入是十分关键的 且网络技术日新月异 采用先进的网络技术 对于今后的升级 和扩充都能带来极大的方便和投资保护 2 4 可靠性原则可靠性原则 鉴于 XX 电信公司骨干互联网规模较大 设备类型复杂 要求网络分析系统必须 具有较高的可靠性 和良好的网络分析能力 这就要求充分考虑设备和线路的冗余备 份 2 5 安全性原则安全性原则 在网络分析系统中 安全性原则应在各个方面予以高度重视 特别是网络中和其 他不可信网络进行了连接 有可能会发生这样那样的蓄意破坏事件 威胁到系统的可 靠安全运行 用户身份的假冒 应用程序的非授权使用和损害或破坏性程序引入都是 逻辑方面的威胁 在设计上采用恰当的技术手段为网络分析系统提供等手段 既要保 证网络的安全运行 又要确保网上信息的不被他人篡改和破坏 2 6 开放性和标准化原则开放性和标准化原则 方案所采用的技术和设备等 都必须符合相应的国际标准或国家标准 或者符合 相关系统内部的相应规范 便于系统的升级 扩充 以及与其它系统或厂家的设备的 互连 互通 在总体设计中 应采用开放式的体系结构 使网络分析系统易于扩展 使相对独 立的分系统易于进行组合和调整 同时 对 XX 电信公司骨干互联网流量分析系统中 选用的通信协议要符合国际标准 但是 标准化本身也具有其相对性 真正标准化的东西 往往又会失去其先进性 因此需要我们做出权衡和选择 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 8 页 上述各项原则之间并非协调一致 许多原则之间是相互矛盾的 如先进性和实用 性 成熟性之间 因此在系统设计过程中还必须保证系统的先进性 开放性 高可靠 性 实用性 成熟性的有机结合 在各种矛盾之间寻求一个对立统一的 和谐一致的 解决方案 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 9 页 第三章第三章 Arbor 流量分析系统功能介绍流量分析系统功能介绍 3 1 基于基于 Netflow 技术的流量分析系统技术的流量分析系统 目前国内的各电信运营商的宽带互联网网管系统具备了一定的流量监控功能 能 够对其网络中的路由设备的端口流量进行统一和一定的分析 但是目前的功能主要是 基于网管系统对路由设备 SNMP 定时轮询采集端口的数据 主要是在网元层用来监控 网络流量和设备的性能的系统 基于 SNMP 的流量监控的缺点是功能较单一 分析功能不强 其收集到的流量信 息是端口的统计信息 不能用于复杂的分析 而且由于 SNMP 采集的数据是基于端口 的 无法提供端到端的准确的流量信息 因此对流向的统计手段不明确 由于不具备 应有的协议分析功能 所以电信运营商目前的网管系统无法对网络的异常流量进行监 测和分析 同时电信运营商目前的网管系统不具备业务层面的协议分析能力 对增值 业务的开拓无法提供有力的依据和方案 本方案介绍的流量分析系统是基于 Cisco 公司的 NETFLOW 技术的流量采集分析 系统 目前 随着 NETFLOW 技术的成熟 越来越多的互联网网络设备厂家如 Juniper Foundry 等也开始支持该技术或类似技术 并且 IETF 等国际标准化组织正在 准备将该技术纳入国际标准 Netflow 的比较典型的功能是对网络数据的源地址 目的地址的分析 对流量中 各种应用的分析 基于协议或者端口 或者路由器上各个端口的负载等的分析 一个 Flow 由 7 个因素构成 Source IP address Destination IP address Source port number Destination port number Protocol type Type of service ToS Input interface 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 10 页 观察上面 7 个要素可以发现它们可以唯一的标识路由器上的一个网络连接 Session 通过在网络的关键路由器开启 Netflow 来采集网络流量 对网络的作用主 要体现在以下几个方面 流量分析和监控 根据流量计费 网络加速 用于安全分析 下表是基于 SNMP 轮询技术和 NETFLOW 采集技术的比较 SNMP 轮询NETFLOW 采集 采集端口流量统计是否 采集端到端流量否是 采集业务层流量否是 采集完整用户业务流量否是 消耗网络设备资源较小较多 但对高端设备性 能影响不大 适用电路各种速率GE POS 2 5Gbit s POS 10Gbit s 及以下 适用范围网络各个层次网络汇聚层和核心层 采集数据全面程度较少较全面 通过基于 NETFLOW 技术的流量分析系统对网络流量的长期监控 有助于网管人 员了解网络的流量模型 所形成的基准数据 可供网管人员正确分析网络使用状况 并可及时发布异常警讯 在故障事件爆发或扩大前实施防范措施 进而提升整体网络 的质量及效能 通过对网络内流量的实时分析 有助于及时发现网络中异常流量 DDos 蠕虫病毒等 的来源和目的 以及流量的特性 为故障及时得到处理提供依 据 通过流量分析 可以为多出口的流量负载均衡 重要链路的带宽设置 路由选择 和设定 QoS 等网络优化措施提供数据依据 3 2 Arbor 流量分析系统功能流量分析系统功能 3 2 1 流量分析系统的监控范围流量分析系统的监控范围 流量分析系统的监控范围包括 1 能够分析 XX 电信公司各城域网之间的流量情况 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 11 页 2 能够对 XX 电信公司骨干互联网的国际业务情况进行分析 3 能够对 XX 电信公司骨干互联网与国内其它运营商之间的业务情况进行分 析 4 对 XX 电信公司骨干互联网每台路由器设备的出入流量分析 5 对 XX 电信公司骨干互联网每个 BGP PEER 的出入流量分析 当一个 BGP PEER 通过多条电路连接到网络中的一个或者多个节点时 流量分析系统应能够将各条 电路的流量进行统一的分析和汇总 6 对 XX 电信公司骨干互联网中大客户的出入流量分析 能够根据用户的地 址范围 互联端口 AS 号 Community 等灵活的设定用户范围 并能够反映用户的业 务使用情况 访问热点地区 Transit 流量以及用户内部的 TOP N Talker 等 7 对满足定制条件的出入流量分析 流量分析系统应能够根据 源 目的 IP 地址段 自治域号 Community 接入端口 协议端口号 BGP 属性等定制流量分析内容 并 完成针对性的流量分析 3 2 2 Arbor 流量分析系统的功能流量分析系统的功能 流量分析系统的功能包括 1 能够支持接收 Netflow V1 V5 V7 V8 V9 格式的流量数据 能够接收 sFlow cFlow 和 Netstream 格式的流量数据 并对接收到的 Netflow sFlow cFlow Netstream 格式的流量数据进行统一的统计分析 2 能够实时的对网络的全部流量进行分析 显示实时分析结果并将分析结果 进行存储 3 能够对进 XX 电信公司骨干互联网的流量按照网络层协议类型 如 TCP UDP ICMP 等 进行分类和统计分析 4 能够对进入 XX 电信公司骨干互联网的流量按照 TCP 和 UDP 的业务类型 如 HTTP BT FTP EMAIL OICQ 媒体点播等 进行分类和统计分析 5 能够对进入 XX 电信公司骨干互联网的流量按照 PEER 进行分类和统计分 析 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 12 页 6 能按照流量的原始 AS 号对从不同 PEER 进入 XX 电信公司骨干互联网的流 量进行分类和统计分析 7 通过 BGP 通告的 AS PATH Community Prefix 等属性对进入 XX 电信公 司骨干互联网的流量进行分析 8 能够对进入 XX 电信公司骨干互联网的流量按照 IP 包长度进行分类和统计 分析 9 能够对进入 XX 电信公司骨干互联网的流量按照业务类型 TOS 进行分 类和统计分析 10 能够对进入 XX 电信公司骨干互联网内的 MPLS 流量进行分析 11 能够对系统运行状态 端口流量 网络 BGP 状态 路由器运行情况进行监 控 并根据设置的阀值告警 告警可以通过告警窗口进行显示 并可以通过 Trap 方式 发送给网管系统的告警服务器 还可以通过 Email 发送给网络管理人员 12 能够对系统 CPU Memory 硬盘等使用情况进行实时监控和记录 能够对 系统的 Netflow 处理量进行实时监控和记录 13 系统能够完成以上功能的实时监控 并能在系统中将结果保存 12 个月 14 系统支持历史结果的查询 查询可以年 月 周 日为单位 并可以查询任意 时间段 如任意一天 的历史结果 15 流量分析系统提供天 月 周 年的分析结果图表 并能够以 HTML 等格式对 结果进行存储 并能够提供二次开发的接口 16 流量分析系统支持分级分权管理功能 支持用户根据需要进行自定义的授 权 开放相应的权限和功能 3 3 流量分析系统的作用流量分析系统的作用 流量分析系统能够为对 XX 电信公司骨干互联网提供业务决策和网络维护上的帮 助 主要表现在 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 13 页 3 3 1 业务决策支持业务决策支持 l 了解网络中的真实的业务使用情况 传统的手段只能知道网络的实时流量 情况 却无法了解网络中实时的业务使用情况 通过对网络中业务情况的分析 了解 用户的使用习惯和访问热点 以便于更好的为用户提供服务 2 竞争对手业务分析 通过对对 XX 电信公司骨干互联网与其它运营商之间 流量的分析 掌握用户对竞争对手的访问热点 以及竞争对手对网内业务的访问热点 从而为业务发展和业务分析提供依据 3 了解大客户的流量情况 掌握大客户的业务使用情况和热点访问地区等情 况 并可以将流量分析的结果作为增值服务提供给大客户 4 发现潜在的用户 通过对网络流量分析 可以发现潜在用户群 为业务人 员发展业务提供帮助 3 3 2 网络维护支持网络维护支持 l 为网络的日常维护提供帮助 网管人员需要定期的对网络进行分析并制作 大量的网络运行情况报告和各种报表 流量分析系统能够大幅度的减少网管人员的工 作量 并能够提供大量的分析结果和报表 2 通过对国际 国内流量 网内 网间流量的分析 了解网络的具体使用情况和 增长趋势 为网络调整和扩容提供依据 3 在网络故障时给网管人员提供排除故障的手段 当网络中发现大量的垃圾 流量或安全攻击时 网管人员可以通过网络分析系统对流量的实时监控发现垃圾流量 和攻击的类型和来源 从而为网管人员处理故障提供辅助手段 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 14 页 第第 4 章章 Arbor 流量分析系统解决方案流量分析系统解决方案 4 1 Arbor 流量分析系统部署方案流量分析系统部署方案 Peakflow 解决方案包括 Peakflow DoS 系统和 Peakflow SP 系统两部分 可以被部 署在服务提供商的基础架构内的不同的位置 如下图所示 不同的部署方案可以得到 不同的好处 Peer Infrastructure DDoS Router attacks BGP session attacks Policy violation Instability Peer analysis transit reduction Peer Infrastructure DDoS Router attacks BGP session attacks Policy violation Instability Peer analysis transit reduction Core Infrastructure Router attacks Worms Traffic engineering Edge Infrastructure DDoS Worms DNS attacks Market to market analysis Edge Infrastructure DDoS Worms DNS attacks Market to market analysis 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 15 页 4 1 1 采集对象采集对象 4 1 2 采集点的部署采集点的部署 4 1 3 Netflow 采样周期的设定采样周期的设定 由于流量分析系统接收由路由设备按照一定的采样比采集的 Netflow 原数据并对 网络的流量进行计算和分析 因此路由设备的采样比率在很大程度上决定了分析结果 的准确性 如果路由器配置的采样比过高 如 1000 1 或更高 流量分析的误差将加 大 尤其对小数据流或混杂在大流量中的部分关键的小数据流的分析 更容易产生比 较大的误差 在 Cisco 路由器上开启 Netflow 会消耗一些设备资源 特别是需要占用一些 CPU 和 Memory 等重要资源 目前 XX 电信公司骨干互联网上部署的接口板卡类型主要包 括 Engine 2 Engine 3 Engine 4 和 Engine 6 其中 Engine 3 Engine 6 对 NETFLOW 的处理能力强大 打开 NETFLOW 后性能影响很小 而 Engine 2 和 Engine 4 对 NETFLOW 的处理能力稍差 过高的 NETFLOW 采样比率会对路由器的性能带来一定 的影响 根据 Cisco 和 Juniper 设备的配置原理 每台设备只能够配置一个全局的采样比率 并可以选择打开 Netflow 功能的端口 在 Juniper 路由器上还可以选择在入 出方向打开 Netflow 功能 因此在路由设备的 NETFLOW 采样比率设置时 应根据设备上需要打 开 Netflow 功能的板卡的主要类型并结合设备上开通的电路的流量情况重要程度 灵活 的设置路由设备的 NETFLOW 采样比率 包括 100 1 500 1 1000 1 和 3000 1 等 4 1 4 获取路由信息获取路由信息 为利用 BGP 路由信息中的属性对流量进行深层次的分析 流量分析系统需要掌 握 XX 电信公司骨干互联网的 BGP 路由情况 根据本方案设计 收集器分别与被监测 路由器通过 MD5 认证建立 iBGP 连接 从被监测路由器学习 BGP 路由信息 流量分 析系统能够利用 BGP 路由信息中的 AS PATH Origin AS Next Hop Community 等 属性对流量进行深层次的分析 Arbor 流量分析系统还可以监控每台设备 BGP 的稳定情况并对 BGP 表振荡情况 进行报警 还能够提供对 BGP 路由表的查询 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 16 页 4 1 5 获取路由器的获取路由器的 SNMP 信息信息 Arbor 流量分析系统可以通过 SNMP 的方式获取路由器上系统感兴趣的信息 包 括设备描述 IOS 版本 端口索引 端口描述 端口流量情况 CPU Memory 利用率等 这些信息包括了系统进行分析说必须的信息 如端口索引 还可以对路由器的运行情 况进行监控并可以把 Netflow 数据与端口实际流量情况进行比较 4 1 6 流量分析系统的硬件部署流量分析系统的硬件部署 网络的安全是一个系统的工程 其构成要素包括 管理策略 技术策略 业务策 略 这三部分并不是孤立的 而是相互渗透 穿插 互为补充 因此 安全系统是一 个多维 多因素 多层次 多目标的系统 不是仅仅靠一 两台设备就可以做到 安 全系统中应该包含多种功能的设备 如防火墙 IDS 流量分析 防 DOS 攻击设备等 这些设备既能完成独立的安全功能 又能够有机的结合在一起形成一个完整的安全体 系 这样才能有效的保障整个 XX 电信公司骨干互联网安全稳定地运行 满足运营商 在安全上的最终需求 根据目前 XX 电信公司骨干互联网的现状以及需求 我们建议部署一套 Peakflow SP 系统 共两台设备 一台作为收集器 一台作为控制器 实现对 XX 电信公司骨 干互联网的流量监控及分析 一台 Peakflow DoS 设备 实现 XX 电信公司骨干互联网 对异常流量的监测以及对 DDOS 攻击的防范 收集器 collector 负责对被监测节点的 路由器设备发送的 NETFLOW CFLOWD 等数据信息进行采集和预处理 控制器 Controller 负责对各个收集器采集到的数据进行统一的汇总 处理和全网关联性分 析 将分析结果统一展现和存储 满足运营商角度对全网流量状况的整体把握 今后 可根据网络设备增加的情况和业务发展情况逐渐增加流量收集器的数量以提高系统的 处理能力和范围 这样既满足了用户当前的需求 又为用户节省了投资 Peakflow 系统采用分布集中式结构 一台控制器可以同时关联并管理多台收集器 可根据网络规模和流量的增加而进行平滑的升级 只需要根据网络流量的情况增加收 集器即可增加系统的处理能力 系统的控制器能够对新增的收集器进行统一的管理 并可以在增加收集器时将原配置在其它收集器的路由器无缝移植到新增的收集器中以 减少原有收集器的负载 原有的数据和结果并不会丢失 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 17 页 4 1 7 流量分析系统的网络连接流量分析系统的网络连接 Arbor Peakflow 设备能够提供多个 FE GE 的互联端口 鉴于 XX 电信公司在流量 分析方面和网络安全方面的需求以及现有机房实际条件 我们建议目前将 Peakflow SP 收集器部署在南宁节点骨干数据机房 通过 1 个 10M 100M 1000M 端口直接连接骨干 交换机 Catalyst 6509 实现与采集设备的高速可靠连接 Peakflow SP 控制器部署在 XX 电信公司网管中心 通过 1 个 10M 100M 1000M 端口连接至网管中心局域网交换 机 4 1 8 流量分析系统在网管系统中的定位流量分析系统在网管系统中的定位 随着网络的发展和业务的需要 目前国内电信运营商的网管系统正逐渐从面向面 向网元的各专业网管系统和网管模块向多专业的综合网管平台方向发展 综合网管平 台更加强调面向业务 面向用户以及系统数据的综合和统一 一个综合的 IP 网网管系统的主要功能应该包括资源配置管理 故障管理 性能 管理 流量管理 路由管理 安全管理和对业务 客户管理等 结合 TMN 和 TOM 功能模型 IP 网管系统功能分为网元层 网络层 业务层 事务处理层和客户层 还包括系统自身的管理 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 18 页 从图中可以看到 Netflow 流量分析系统位于网管系统的网元层 直接从网元设 备采集数据 并将分析结果提供各上层模块使用 流量分析系统与网管系统其它功能模块的配合主要包括 与网管系统数据库的配合 将流量分析系统的分析结果数据存储到网管系统的数据库中 从而实现网管系统 原始数据的统一 将同一对象 如大客户 端口等 的 Netflow 分析结果与其它结果存 储在一起 同时还可以充分利用网管系统磁盘阵列的容量 可靠性以及大容量数据库 软件的效率 与网管系统报表模块的配合 网管系统的报表模块一般采用专门的报表工具 功能比较强大 并有强大的报表 定制和分发功能 由于流量分析系统的结果已经全部存储到网管系统的统一数据库 报表模块不需要直接从流量分析系统采集原始数据 而可以直接从网管系统的数据库 中读取数据 并将 Netflow 分析结果与其它模块的结果统一展现 如可以将一个用户 端口的基本情况 SNMP 采集的流量情况 Netflow 分析结果等综合到一张报表中 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 19 页 与故障告警模块的配合 网管系统的故障告警模块可以通过 SNMP 的方式对流量分析系统的运行状况进行 监控 流量分析系统在检测的网络 链路 系统等故障告警的时候可以通过 Trap 的方式 通知网管系统的故障告警模块 与认证模块的配合 Arbor 流量分析系统支持 Radius 和 Tacacs 能够与网管系统配合实现统一的网 络管理员身份认证和权限管理 4 2 方案优势及特点方案优势及特点 Arbor Peakflow 网络流量分析解决方案是一个面向大型 IP 宽带网络 基于实用的 信息采集和传输的解决方案 通过 Netflow 快速交换的流量分析技术 并结合 SNMP BGP 协议 对网络进行实时业务流量和流向分析 根据预先定义的策略对流 量数据作聚集 通过各种数据指标 性能报表 流量图示和性能趋势图 为用户提供 准确可靠网络的容量规划 趋势分析以及数据的优先级方面的信息 它具有以下特点 及优势 4 2 1 适用于大型运营商适用于大型运营商 IP 网络网络 Arbor 公司的 Peakflow 系列产品采用了分布式的体系结构 具有良好的扩展性 能够支持对大型电信运营商网络的流量分析和安全监控 Arbor Peakflow 的产品可以灵 活的配置成分析服务器 Controller 和采集机 Collector 两种工作模式 分析服务 器可以网络中的全部采集机进行管理 负责对各个收集器进行统一的配置并将采集机 采集的数据进行汇总并进行全网的关联性分析 并将结果统一展现和存储 Arbor Peakflow 的流量分析和安全监控功能侧重于整个网络 而不是仅仅局限于单台或几台 设备 因而也更适合于电信运营商的网络的部署 采用 Collector 对多台路由设备进行实时分析 通过核心 Controller 对 Collector 进 行管理和对 Collector 分析到的数据进行汇总关联 当网络扩容时 随着网络中路由气 台数的增加通过增加 Collector 方式即可实现扩展 保护用户的投资 在应用网络中存 在规模超过 150 台 GSR 的实际应用案例 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 20 页 目前 Arbor Peakflow 系列产品在国外的大型运营商的网络中已经得到了广泛的应 用 其中包括 AT 这样一 来 就可以把这个模型跟实时收集的数据进行比较以检测流量规则的改变 这种异常现 象检测方法提供一种非常可靠的途径来检测和追踪源于恶意攻击 网络配置而造成的合 法流量变化 以及新服务的启动等原因所导致的网络变化 通过把这种独特的方法用 于检测网络的异常现象 Peakflow DoS 提供一种理想的解决方案供运营商 大学和大 型企业了解网络中的安全威胁 并且在关键服务或者基础设施受破坏前实施保护的策略 Peakflow SP 是建立于 Peakflow DoS 的基础上 采用大多数最初为 DoS 开发相同 的流量收集和集中方法 Peakflow SP 被设计作为一个先进的网络报表工具 能够提供 给用户有关整个网络或者具体的路由器 接口 对等 Peer 和资源组高颗粒度流量 和路由信息报表 这些报表使包括对等评选 网络容量计划 路由安全 网络应用的 监控 和协议使用等许多较大的网络功能的实施变得容易 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 30 页 5 2 Arbor Peakflow 系统平台系统平台 Arbor 解决方案是基于 Peakflow 平台 一个整体网络范围内数据收集 分析和异 常现象检测的系统结构 这个平台能够从网络的边缘到核心建立正常网络行为的模型 然后把这个基线与实时流量进行比较以进行异常现象的检测 而这种功能也是非常独特 的 该平台不仅为 Arbor 的 Peakflow SP 和 DoS 解决方案提供一个基础 还能作为一 个网络模型 图形化和安全保护的通用平台 图 Peakflow 系统平台 测量 Peakflow 对穿越整个网络的流量数据和路由数据进行定时采样 并且汇集和关联 这些数据以建立一个分布式 但却包含全网的分析角度 利用现有路由器收集信息的 协议如思科的 NetFlow 和 Juniper 的 cFlowd Peakflow 能够对高速的网络链路 高达 OC 192 STM 64 进行测量 并不会成为网络的瓶颈或故障点 因此 在无需进行大型 的网络升级或重新规划的情况下 网络管理人员就能够得到整体网络范围的流量信息 和拓扑信息的模型 图形化 使用它的测量引擎 Peakflow 建立高颗粒度 动态的图表 根据 AS 号 路由 器 接口和协议来显示实时和历史的流量和路由信息 由于 Peakflow 灵活的图形化能 力和基于 XML 的 schema 用户能够建立各种各样的图表和报表 包括从详细的统计 分析到管理报表 这样可以使整个机构的沟通变得容易 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 31 页 安全保护 Peakflow 平台的异常现象检测引擎不仅能够对误用或异常协议发出告警而且能够 发觉很多细微的用法或带宽上的异常 因此 网络管理人员可以有效知道现有的安全 威胁 如 ICMP Flood Syn Flood 等 以及全新 从未发现过的威胁 即使攻击是未 知的 它将造成异常的网络行为 Peakflow 也具有检测和发现的能力 在检测网络威 胁以外 Peakflow 平台能帮助网络故障的检修 对流量和路由信息的变化进行关联 准确指出故障根源并且通知相关人员补救的方法 5 2 1 Arbor Peakflow SP Peakflow SP 的网络范围内的异常检测结构可以被用作为用户流量的详细分析 尤其 Peakflow SP 功能强大的分析引擎可以提供四方面的功能 包括数据测量和报告 对等评估 流量工程 资源会计统计 在数据测量和报告方面 Peakflow SP 能够实现以下主要功能 监视和跟踪网络流量 所有被监视的路由器及关联接口的网络拓扑变化 同 时能精确报告进入 流出 穿越 Transit 及骨干的网络流量 提供对每一个网络 每一个上游 upstream 提供商 对等 peer 每一个路 由器 以及每一个端口提供实时 最大的 和平均的流量数据 使用户能看 到网络容量的利用率及发现网络通信的 热点 用图形来表示每一个网络 每一个上游 upstream 提供商 对等 peer 每 一个路由器 以及每一个端口提供基于时间的吞吐量 使用户能看到网络随 着时间的变化趋势和由于特殊事件引起的流量模式的变化 系统应能产生一 年内任一时间段的这些图表 监视在一个网络上与 AS 起源 Origin 和 AS 中间的穿越 Transit 有关联 的流量 以每个路由器 每个用户 每个被推断的对等 Peer 以及每个接 口为基础 提供能够基于从 BGP 和 Netflow 提供的数据生成定制化的流量 路由报告 这 些报告提供可配置时间周期的数据和基于特殊条件 提供一个自动一次或循环生成报告的机制 产品应该能够以多种格式输出数 据 包括 CSV XML 和 Excel CSV 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 32 页 提供生成定制的网络资源组 profiles 以 CIDR 块 block AS regexp sub AS 或者 BGP community 属性 并指定什么接口形成这些网络资 源的边界 收集和数据库化出入这些 profile 的流量和路由信息 对特定的对等 peer 路由器 接口或者 profile 从最近的收集周期中提供 Netflow 的实际采样 在对等 peer 评估方面 Peakflow SP 可以实现以下主要功能 示范不同的 peer 的进入 流出速率的不同 针对出入每个网络对等 peer 的流量显示 AS 距离特性 针对网络流量显示什么是最高的穿越 Transit 流量 源和目的 AS 展示进出每个网络对等 peer 的协议和 TCP UDP 端口号的数据细目 跟踪每个网络对等 peer 的 BGP 变化 以决定全部对等 peer 的稳定性 提供必需的工具来评估 比较存在的对等关系 并决定用于对等的可行的新的 资源 在流量 路径方面 Peakflow SP 能够实现以下主要功能 提供针对每一个对等 peer 有多少流量经过用户网络的数据 反映出流经用户网络的数据中 主要的源 目的 AS 之间的流量水平 例如 多少流量是从 A1 到 A2 多少流量是从 A2 到 A1 显示针对某一个对等 peer 有多少经过网络的流量 在数据流量上哪些 是最主要的源 目的 AS 经过这些 AS 的流量是多少 显示针对某一个对等 peer 有多少经过网络的流量 下一个跳 NextHop 地址是什么 以及它们之间有多少流量 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 33 页 显示对于任何一个给定的边缘路由器 在数据流量上哪些是最主要的源 目 的 AS 流量的大小 在资源统计方面 Peakflow SP 可以实现以下主要功能 提供进 出每个跨越本地边界 local boundary 和本地 BGP 边界 local BGP boundary 的 profile 的流量值 显示针对以上流量的细目 包括 IP 协议和 TCP UDP 端口的使用情况 显示最主要路径的数据和进出每一个 profile 的源 目的 ASN 显示每一对 profiles 之间的流量值 统计出哪些对 profile 产生了最大流量并给出其流量值 提供来自于用户 profile 的网内 on net 和出网 off net 的流量值 流量报表都能实时通过 Peakflow SP 的图形化界面或命令行接口得到 Peakflow SP 也支持可配置的每天 每周和每月电子邮件报表 Peakflow SP 基于 XML 的接口 也提供与第三方 Scripts 和报表工具大规模集成的可能性 缺省地 Peakflow SP 提供当前 current 平均 average 最大及突发 max 数据信息 以及基于天 周 月和年的时间框架 用户可以从任意的时间段内 查看所需要的数据 与 SNMP 主动采集的方法不一样 Peakflow SP 持续地监测流量 该系统可保持 52 周的数据汇总和统计资料 5 2 2 Arbor Peakflow DoS Arbor Networks 通过多年在主要的国际运营商网络内部署 Peakflow DoS 发现要 处理拒绝服务攻击需要有三个步骤 检测 追踪和缓解 一般 在没有使用 Peakflow DoS 的情况下 运营商意识到有攻击的发生会是以下两种方式之一 攻击使运营商骨 干网络瘫痪 或者攻击未被留意直到运营商的用户接触运营商的运维部门发出投诉 Peakflow DoS 是一个容许运营商提供有别于其他竞争对手有价值服务的重要工具 网络详细设计 上海春燕通信设备有限公司上海春燕通信设备有限公司 第 34 页 下面是一系列 Peakflow DoS 的关键特征 连续的检测 Peakflow DoS 实时提供网络异常的连续检测 通过监控从运营商 网络的对等路由器输出的数据流 如思科的 NetFlow Peakflow DoS 提供网络安全攻 击的连续监控 允许网络管理人员在用户发出投诉之先主动地监测和管理安全事件 连续的学习 Peakflow DoS 得到来自对等路由器输出的数据流 从而可以学习 网络用户和运营商的行为 这些模型被持续地微调和细致化 适应网络用户和运营商 动态的变化 这种方案与侵扰式 Intrusive 解决方案有着明显的差别 那些解决方案 有必要在 和平时期 的需求高峰时段把用户流量转移 为了迎合这些 在线 Inline 设备而定期地转移用户流量会导致显著的用户连接不稳定 因为 BGP 路由需要时间稳 定下来 直接的检测 Peakflow DoS 能够有能力直接检测瞄准运营商用户和其计算机终 端资源的重要的基于洪流的拒绝服务 DoS 攻击 尤其 在使用 Peakflow DoS 后 运营商的网络管理人员将能主动鉴定对其用户的可用性造成威胁的重要攻击 这种能 力对运营商的网络服务提供显著的改善 最终能够为用户提供 更干净 的带宽 核心的保护 Peakflow DoS 有能力保护运营商的核心网络基础设施 避免受分 布式拒绝服务攻击和路由 BGP 利用等安全威胁 当运营商能够快速查明针对其核 心路由和交换网络基础设施的攻击并且做出反应 其网络将可以为用户的连接性和可 用性提供一条更有效的导管 追踪攻击 Peakflow DoS 有能力鉴定针对运营商用户的拒绝服务攻击进入网络 的那些