网络流量分析解决方案

1、Arbor Peakflow流量分析解决方案XXXX公司二零零五年X月目录目录I第一章前言31.1 工程背景31.2 网络现状31.3 工程建设内容31.4 工程建设的必要性3第二章系统设计原则52.1 连续性原则52.2 实用性原则52.3 可扩充性原则72.4 可靠性原则72.5 安全性原则72.6 开放性和标准化原则7第三章 ARBOR流量分析系统功能介绍93.1 基于Netflow技术的流量分析系统93.2 Arbor流量分析系统功能103.2.1 流量分析系统的监控范围103.2.2 Arbor流量分析系统的功能113.3 流量分析系统的作用123.3.1 业务决策支持123.3.2

2、 网络维护支持13第4章 ARBOR流量分析系统解决方案144.1 Arbor流量分析系统部署方案144.1.1 采集对象154.1.2 采集点的部署154.1.3 Netflow采样周期的设定154.1.4 获取路由信息154.1.5 获取路由器的SNMP信息164.1.6 流量分析系统的硬件部署164.1.7 流量分析系统的网络连接174.1.8 流量分析系统在网管系统中的定位174.2 方案优势及特点184.2.1 适用于大型运营商IP网络194.2.2 良好的可扩展性194.2.3 高性能处理能力204.2.4 出色的统计分析能力204.2.5 强大的安全功能224.2.6 完善的系统

3、功能254.2.7 长远的发展27第五章 ARBOR PEAKFLOW产品介绍285.1 产品概述285.2 Arbor Peakflow系统平台285.2.1 Arbor Peakflow SP305.2.2 Arbor Peakflow DoS32第一章 前言1.1 工程背景1.2网络现状1.3 工程建设内容本工程建设内容为：建设一套流量分析系统对XX电信公司骨干网内的全部流量进行分析。流量分析系统主要由一台数据流量收集器和一台数据流量控制器组成。收集器负责收集数据流信息，鉴定异常的网络流量，并且把结果传送给数据流量控制器，从而建立动态正常流量模型。控制器从收集器会聚数据和存档统计资料，并

4、且建立整体网络范围内的宏观网络模型，因此能够从单个优势的地位点监控整个网络多个路由器和接口的数据流量和拓扑的变化，提供网络全部部分完整和实时的情况汇报。1.4 工程建设的必要性本工程建设的必要性主要体现在以下几个方面：(1) 通过本工程的建设，可以实现基于业务流的性能测试和资源可用性监测，分析总体业务发展趋势和客户行为，为网络瓶颈排除和性能优化提供依据；(2) 可以对网络资源的使用情况进行管理，避免因为资源使用过度或使用状况不明所导致的网络服务质量下降；(3) 可以实现性能统计和性能趋势分析，提供灵活的报表功能，提高网络运行维护水平；(4) 可以提供多样的历史资料条件查询和统计分析，便于指导全

5、网的网络规划和优化资源配置，为业务发展策略的制定提供依据。第二章 系统设计原则XX电信公司骨干互联网流量分析系统工程项目是XX电信公司集团IP骨干网建设中的一项重要部分。在流量分析系统设计中，必须要明确系统设计的原则。我公司将遵守连续性、实用性、可扩充性、可靠性、安全性、标准化、规范化的原则进行此次流量分析系统的设计和建设。具体设计原则如下：连续性原则实用性原则可扩充性原则可靠性原则安全性原则开放性和标准化原则我公司在对XX电信公司骨干互联网流量分析系统的设计和建设过程中将严格遵守上述原则。2.1 连续性原则XX电信公司骨干互联网流量分析系统在进行总体设计时，要考虑到技术的发展，具备适度的前瞻

6、性，能够满足现今和将来一段时期的需要。同时还要为未来系统的扩充与扩建留有余地和基础。既要考虑原有投资的保护，又要兼顾未来的发展和变化。2.2 实用性原则实用性的原则的目的是在保证实用要求和技术可行性的前提下，要选择易于操作和管理，应用见效快的技术和方案，以及适当档次和价格的产品。这主要指：1、“从实际出发，讲求实效”业内人士一致公认，计算机技术，尤其是计算机网络技术的发展速度往往超乎人们的想象；每年新推出的技术和产品层出不穷；人们永远希望利用新技术，新产品，不要落后，但是，成熟的新产品也可能会对应用环境提出新的要求，如果环境的改造不能同步，再新的技术和产品，也不能真正发挥起自身的优势；因此设计

7、者必须根据投资的强度以及运行条件的可能，对所建系统、以及所用技术和产品进行客观地评估。XX电信公司骨干互联网流量分析系统的设计中，首先要考虑的是实用性和易于操作性，确保使用技术成熟的网络产品和通信技术。2、“技术领先”当今社会里信息技术的发展变化迅速，各种新技术新应用层出不穷。为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用，需要将XX电信公司骨干互联网流量分析系统的技术水平定位于一个较高的层次上，从而保证系统的先进性，以适应未来数据发展的需要。3、“先进性和成熟性，成熟性优先”当前网络技术发展迅速，新的产品不断涌现并趋于成熟，在满足实用性的基础上，起点要高，应尽量选用先进的网络技

8、术及通信设施。但由于市场竞争的需要，各厂家对新产品，新技术的发布总是要远远先于其实际成熟期的；对任何一个用户而言，选择一种不成熟的技术或产品，总是要冒一定的风险的；尤其是对那些实用性要求高的用户来说，更是如此；因此，当先进性的要求与成熟性要求发生矛盾时，成熟性则应是优先考虑的原则。但是，成熟性本身也是一个相对的概念，我们不能因为追求成熟，而放弃已经被诸多应用系统证明是切实可行的先进技术和产品。我们认为，一种技术或产品，其商品化的程度，以及随此技术或产品而不断推出的日趋完善的支持服务，是我们考察它是否真正成熟有效的主要参考标准。4、“经济性和有效保护历史投资”XX电信公司骨干互联网流量分析系统的

9、建设，要从经济性着眼，在完成系统目标的基础上，力争用最少的钱办最多的事，实现成本效益的最大化。对于现在和将来一段时间内没有必要的性能和功能不作选择。并且新的工程建设必须要能够求得一个最佳的价格性能比，才能最大地发挥投资的效益。本原则将贯彻整个设计过程。2.3 可扩充性原则可扩充性主要包括两个方面的内容：一是为XX电信公司骨干互联网未来将扩充新的节点和新的设备预先作好软、硬件接口；二是系统必须具有升级能力，能够适应网络新技术和业务发展的要求。对于XX电信公司骨干互联网流量分析系统，保障系统体系可适应新节点和设备的加入是十分关键的，且网络技术日新月异，采用先进的网络技术，对于今后的升级和扩充都能带

10、来极大的方便和投资保护。2.4 可靠性原则鉴于XX电信公司骨干互联网规模较大，设备类型复杂，要求网络分析系统必须具有较高的可靠性，和良好的网络分析能力，这就要求充分考虑设备和线路的冗余备份。2.5 安全性原则在网络分析系统中，安全性原则应在各个方面予以高度重视，特别是网络中和其他不可信网络进行了连接，有可能会发生这样那样的蓄意破坏事件，威胁到系统的可靠安全运行。用户身份的假冒、应用程序的非授权使用和损害或破坏性程序引入都是逻辑方面的威胁。在设计上采用恰当的技术手段为网络分析系统提供等手段。既要保证网络的安全运行，又要确保网上信息的不被他人篡改和破坏。2.6 开放性和标准化原则方案所采用的技术和

11、设备等，都必须符合相应的国际标准或国家标准，或者符合相关系统内部的相应规范。便于系统的升级、扩充，以及与其它系统或厂家的设备的互连、互通。在总体设计中，应采用开放式的体系结构，使网络分析系统易于扩展，使相对独立的分系统易于进行组合和调整。同时，对XX电信公司骨干互联网流量分析系统中选用的通信协议要符合国际标准。但是，标准化本身也具有其相对性；真正标准化的东西，往往又会失去其先进性；因此需要我们做出权衡和选择。上述各项原则之间并非协调一致。许多原则之间是相互矛盾的，如先进性和实用性、成熟性之间。因此在系统设计过程中还必须保证系统的先进性、开放性、高可靠性、实用性、成熟性的有机结合，在各种矛盾之间

12、寻求一个对立统一的、和谐一致的解决方案。第三章 Arbor流量分析系统功能介绍3.1 基于Netflow技术的流量分析系统目前国内的各电信运营商的宽带互联网网管系统具备了一定的流量监控功能，能够对其网络中的路由设备的端口流量进行统一和一定的分析。但是目前的功能主要是基于网管系统对路由设备SNMP 定时轮询采集端口的数据，主要是在网元层用来监控网络流量和设备的性能的系统。基于SNMP的流量监控的缺点是功能较单一，分析功能不强，其收集到的流量信息是端口的统计信息，不能用于复杂的分析。而且由于SNMP 采集的数据是基于端口的，无法提供端到端的准确的流量信息，因此对流向的统计手段不明确。由于不具备应有

13、的协议分析功能，所以电信运营商目前的网管系统无法对网络的异常流量进行监测和分析。同时电信运营商目前的网管系统不具备业务层面的协议分析能力，对增值业务的开拓无法提供有力的依据和方案。本方案介绍的流量分析系统是基于Cisco公司的NETFLOW技术的流量采集分析系统。目前，随着NETFLOW技术的成熟，越来越多的互联网网络设备厂家如Juniper，Foundry等也开始支持该技术或类似技术，并且IETF等国际标准化组织正在准备将该技术纳入国际标准。Netflow的比较典型的功能是对网络数据的源地址、目的地址的分析，对流量中各种应用的分析（基于协议或者端口）或者路由器上各个端口的负载等的分析。一个F

14、low由7 个因素构成：l Source IP addressl Destination IP addressl Source port numberl Destination port numberl Protocol typel Type of service (ToS)l Input interface观察上面7个要素可以发现它们可以唯一的标识路由器上的一个网络连接（Session）。通过在网络的关键路由器开启Netflow 来采集网络流量，对网络的作用主要体现在以下几个方面：l 流量分析和监控l 根据流量计费l 网络加速l 用于安全分析下表是基于SNMP轮询技术和NETFLOW采集技术

15、的比较：SNMP轮询NETFLOW采集采集端口流量统计是否采集端到端流量否是采集业务层流量否是采集完整用户业务流量否是消耗网络设备资源较小较多（但对高端设备性能影响不大）适用电路各种速率GE、POS2.5Gbit/s、POS 10Gbit/s及以下适用范围网络各个层次网络汇聚层和核心层采集数据全面程度较少较全面通过基于NETFLOW技术的流量分析系统对网络流量的长期监控，有助于网管人员了解网络的流量模型，所形成的基准数据，可供网管人员正确分析网络使用状况，并可及时发布异常警讯，在故障事件爆发或扩大前实施防范措施，进而提升整体网络的质量及效能。通过对网络内流量的实时分析，有助于及时发现网络中异常

16、流量（DDos，蠕虫病毒等）的来源和目的，以及流量的特性，为故障及时得到处理提供依据。通过流量分析，可以为多出口的流量负载均衡、重要链路的带宽设置、路由选择和设定QoS等网络优化措施提供数据依据。3.2 Arbor流量分析系统功能3.2.1 流量分析系统的监控范围流量分析系统的监控范围包括：1.能够分析XX电信公司各城域网之间的流量情况。2.能够对XX电信公司骨干互联网的国际业务情况进行分析。3.能够对XX电信公司骨干互联网与国内其它运营商之间的业务情况进行分析。4.对XX电信公司骨干互联网每台路由器设备的出入流量分析。5.对XX电信公司骨干互联网每个BGP PEER的出入流量分析，当一个BG

17、P PEER通过多条电路连接到网络中的一个或者多个节点时，流量分析系统应能够将各条电路的流量进行统一的分析和汇总。6.对XX电信公司骨干互联网中大客户的出入流量分析。能够根据用户的地址范围、互联端口、AS号、Community等灵活的设定用户范围，并能够反映用户的业务使用情况、访问热点地区、Transit流量以及用户内部的TOP N Talker等。7.对满足定制条件的出入流量分析。流量分析系统应能够根据（源/目的）IP地址段/自治域号/Community/接入端口/协议端口号/BGP属性等定制流量分析内容，并完成针对性的流量分析。3.2.2 Arbor流量分析系统的功能流量分析系统的功能包括

18、：1.能够支持接收Netflow V1、V5、V7、V8、V9格式的流量数据，能够接收sFlow、cFlow和Netstream格式的流量数据，并对接收到的Netflow/sFlow/cFlow/Netstream格式的流量数据进行统一的统计分析。2.能够实时的对网络的全部流量进行分析，显示实时分析结果并将分析结果进行存储。3.能够对进XX电信公司骨干互联网的流量按照网络层协议类型（如TCP/UDP/ICMP等）进行分类和统计分析。4.能够对进入XX电信公司骨干互联网的流量按照TCP和UDP的业务类型（如HTTP/BT/FTP/EMAIL/OICQ/媒体点播等）进行分类和统计分析。5.能够对进

19、入XX电信公司骨干互联网的流量按照PEER进行分类和统计分析。6.能按照流量的原始AS号对从不同PEER进入XX电信公司骨干互联网的流量进行分类和统计分析。7.通过BGP通告的AS PATH、Community、Prefix等属性对进入XX电信公司骨干互联网的流量进行分析；8.能够对进入XX电信公司骨干互联网的流量按照IP包长度进行分类和统计分析。9.能够对进入XX电信公司骨干互联网的流量按照业务类型（TOS）进行分类和统计分析，10.能够对进入XX电信公司骨干互联网内的MPLS流量进行分析。11.能够对系统运行状态、端口流量、网络BGP状态、路由器运行情况进行监控，并根据设置的阀值告警。告警

20、可以通过告警窗口进行显示，并可以通过Trap方式发送给网管系统的告警服务器，还可以通过Email发送给网络管理人员。12.能够对系统CPU、Memory、硬盘等使用情况进行实时监控和记录，能够对系统的Netflow处理量进行实时监控和记录。13.系统能够完成以上功能的实时监控，并能在系统中将结果保存12个月；14.系统支持历史结果的查询，查询可以年/月/周/日为单位，并可以查询任意时间段（如任意一天）的历史结果。15.流量分析系统提供天/月/周/年的分析结果图表，并能够以HTML等格式对结果进行存储，并能够提供二次开发的接口。16.流量分析系统支持分级分权管理功能，支持用户根据需要进行自定义的

21、授权，开放相应的权限和功能。3.3 流量分析系统的作用流量分析系统能够为对XX电信公司骨干互联网提供业务决策和网络维护上的帮助，主要表现在：3.3.1 业务决策支持l.了解网络中的真实的业务使用情况，传统的手段只能知道网络的实时流量情况，却无法了解网络中实时的业务使用情况。通过对网络中业务情况的分析，了解用户的使用习惯和访问热点，以便于更好的为用户提供服务。2.竞争对手业务分析。通过对对XX电信公司骨干互联网与其它运营商之间流量的分析，掌握用户对竞争对手的访问热点，以及竞争对手对网内业务的访问热点，从而为业务发展和业务分析提供依据。3.了解大客户的流量情况，掌握大客户的业务使用情况和热点访问地

22、区等情况，并可以将流量分析的结果作为增值服务提供给大客户。4.发现潜在的用户。通过对网络流量分析，可以发现潜在用户群，为业务人员发展业务提供帮助。3.3.2 网络维护支持l.为网络的日常维护提供帮助。网管人员需要定期的对网络进行分析并制作大量的网络运行情况报告和各种报表。流量分析系统能够大幅度的减少网管人员的工作量，并能够提供大量的分析结果和报表。2.通过对国际/国内流量、网内/网间流量的分析，了解网络的具体使用情况和增长趋势，为网络调整和扩容提供依据。3.在网络故障时给网管人员提供排除故障的手段。当网络中发现大量的垃圾流量或安全攻击时，网管人员可以通过网络分析系统对流量的实时监控发现垃圾流量

23、和攻击的类型和来源，从而为网管人员处理故障提供辅助手段。第4章 Arbor流量分析系统解决方案4.1 Arbor流量分析系统部署方案Peakflow解决方案包括Peakflow DoS系统和Peakflow SP系统两部分，可以被部署在服务提供商的基础架构内的不同的位置。如下图所示，不同的部署方案可以得到不同的好处：4.1.1 采集对象 采集点的部署 Netflow采样周期的设定由于流量分析系统接收由路由设备按照一定的采样比采集的Netflow原数据并对网络的流量进行计算和分析，因此路由设备的采样比率在很大程度上决定了分析结果的准确性。如果路由器配置的采样比过高（如1000：1或更高），流量分

24、析的误差将加大，尤其对小数据流或混杂在大流量中的部分关键的小数据流的分析，更容易产生比较大的误差。在Cisco 路由器上开启Netflow 会消耗一些设备资源，特别是需要占用一些CPU 和Memory等重要资源。目前XX电信公司骨干互联网上部署的接口板卡类型主要包括Engine 2、Engine 3、Engine 4和Engine 6，其中Engine 3、Engine 6对NETFLOW的处理能力强大，打开NETFLOW后性能影响很小，而Engine 2和Engine 4对NETFLOW的处理能力稍差，过高的NETFLOW采样比率会对路由器的性能带来一定的影响。根据Cisco和Juniper

25、设备的配置原理，每台设备只能够配置一个全局的采样比率，并可以选择打开Netflow功能的端口（在Juniper路由器上还可以选择在入/出方向打开Netflow功能）。因此在路由设备的NETFLOW采样比率设置时，应根据设备上需要打开Netflow功能的板卡的主要类型并结合设备上开通的电路的流量情况重要程度，灵活的设置路由设备的NETFLOW采样比率，包括100：1，500：1，1000：1和3000：1等。4.1.4 获取路由信息为利用BGP路由信息中的属性对流量进行深层次的分析，流量分析系统需要掌握XX电信公司骨干互联网的BGP路由情况。根据本方案设计，收集器分别与被监测路由器通过MD5认证

26、建立iBGP 连接，从被监测路由器学习BGP路由信息。流量分析系统能够利用BGP路由信息中的AS PATH，Origin AS，Next Hop，Community等属性对流量进行深层次的分析。Arbor流量分析系统还可以监控每台设备BGP的稳定情况并对BGP表振荡情况进行报警，还能够提供对BGP路由表的查询。4.1.5 获取路由器的SNMP信息Arbor流量分析系统可以通过SNMP的方式获取路由器上系统感兴趣的信息，包括设备描述、IOS版本、端口索引、端口描述、端口流量情况、CPU/Memory利用率等。这些信息包括了系统进行分析说必须的信息（如端口索引），还可以对路由器的运行情况进行监控并

27、可以把Netflow数据与端口实际流量情况进行比较。4.1.6 流量分析系统的硬件部署网络的安全是一个系统的工程，其构成要素包括：管理策略、技术策略、业务策略。这三部分并不是孤立的，而是相互渗透、穿插，互为补充。因此，安全系统是一个多维、多因素、多层次、多目标的系统，不是仅仅靠一、两台设备就可以做到，安全系统中应该包含多种功能的设备，如防火墙、IDS、流量分析、防DOS攻击设备等，这些设备既能完成独立的安全功能，又能够有机的结合在一起形成一个完整的安全体系，这样才能有效的保障整个XX电信公司骨干互联网安全稳定地运行，满足运营商在安全上的最终需求。根据目前XX电信公司骨干互联网的现状以及需求，我

28、们建议部署一套Peakflow SP系统（共两台设备，一台作为收集器，一台作为控制器），实现对XX电信公司骨干互联网的流量监控及分析；一台Peakflow DoS设备，实现XX电信公司骨干互联网对异常流量的监测以及对DDOS攻击的防范。收集器（collector）负责对被监测节点的路由器设备发送的NETFLOW/CFLOWD等数据信息进行采集和预处理；控制器（Controller）负责对各个收集器采集到的数据进行统一的汇总、处理和全网关联性分析，将分析结果统一展现和存储，满足运营商角度对全网流量状况的整体把握。今后可根据网络设备增加的情况和业务发展情况逐渐增加流量收集器的数量以提高系统的处理能

29、力和范围。这样既满足了用户当前的需求，又为用户节省了投资。Peakflow系统采用分布集中式结构，一台控制器可以同时关联并管理多台收集器，可根据网络规模和流量的增加而进行平滑的升级，只需要根据网络流量的情况增加收集器即可增加系统的处理能力。系统的控制器能够对新增的收集器进行统一的管理，并可以在增加收集器时将原配置在其它收集器的路由器无缝移植到新增的收集器中以减少原有收集器的负载，原有的数据和结果并不会丢失。4.1.7 流量分析系统的网络连接Arbor Peakflow设备能够提供多个FE/GE的互联端口，鉴于XX电信公司在流量分析方面和网络安全方面的需求以及现有机房实际条件，我们建议目前将Pe

30、akflow SP收集器部署在南宁节点骨干数据机房，通过1个10M/100M/1000M端口直接连接骨干交换机Catalyst 6509，实现与采集设备的高速可靠连接；Peakflow SP控制器部署在XX电信公司网管中心，通过1个10M/100M/1000M端口连接至网管中心局域网交换机。4.1.8 流量分析系统在网管系统中的定位随着网络的发展和业务的需要，目前国内电信运营商的网管系统正逐渐从面向面向网元的各专业网管系统和网管模块向多专业的综合网管平台方向发展。综合网管平台更加强调面向业务、面向用户以及系统数据的综合和统一。一个综合的IP网网管系统的主要功能应该包括资源配置管理、故障管理、性

31、能管理、流量管理、路由管理、安全管理和对业务、客户管理等。结合TMN和TOM功能模型，IP网管系统功能分为网元层、网络层、业务层、事务处理层和客户层，还包括系统自身的管理。从图中可以看到，Netflow流量分析系统位于网管系统的网元层，直接从网元设备采集数据，并将分析结果提供各上层模块使用。流量分析系统与网管系统其它功能模块的配合主要包括：l 与网管系统数据库的配合将流量分析系统的分析结果数据存储到网管系统的数据库中，从而实现网管系统原始数据的统一，将同一对象（如大客户/端口等）的Netflow分析结果与其它结果存储在一起。同时还可以充分利用网管系统磁盘阵列的容量、可靠性以及大容量数据库软件的

32、效率。l 与网管系统报表模块的配合网管系统的报表模块一般采用专门的报表工具，功能比较强大，并有强大的报表定制和分发功能。由于流量分析系统的结果已经全部存储到网管系统的统一数据库，报表模块不需要直接从流量分析系统采集原始数据，而可以直接从网管系统的数据库中读取数据，并将Netflow分析结果与其它模块的结果统一展现。（如可以将一个用户/端口的基本情况、SNMP采集的流量情况、Netflow分析结果等综合到一张报表中）l 与故障告警模块的配合网管系统的故障告警模块可以通过SNMP的方式对流量分析系统的运行状况进行监控；流量分析系统在检测的网络/链路/系统等故障告警的时候可以通过Trap的方式通知网

33、管系统的故障告警模块l 与认证模块的配合Arbor流量分析系统支持Radius和Tacacs，能够与网管系统配合实现统一的网络管理员身份认证和权限管理。4.2 方案优势及特点Arbor Peakflow网络流量分析解决方案是一个面向大型IP宽带网络、基于实用的信息采集和传输的解决方案。通过Netflow快速交换的流量分析技术，并结合SNMP、BGP协议，对网络进行实时业务流量和流向分析，根据预先定义的策略对流量数据作聚集，通过各种数据指标、性能报表、流量图示和性能趋势图，为用户提供准确可靠网络的容量规划、趋势分析以及数据的优先级方面的信息。它具有以下特点及优势：4.2.1 适用于大型运营商IP

34、网络Arbor公司的Peakflow系列产品采用了分布式的体系结构，具有良好的扩展性，能够支持对大型电信运营商网络的流量分析和安全监控。Arbor Peakflow的产品可以灵活的配置成分析服务器（Controller）和采集机（Collector）两种工作模式。分析服务器可以网络中的全部采集机进行管理，负责对各个收集器进行统一的配置并将采集机采集的数据进行汇总并进行全网的关联性分析，并将结果统一展现和存储。Arbor Peakflow的流量分析和安全监控功能侧重于整个网络，而不是仅仅局限于单台或几台设备，因而也更适合于电信运营商的网络的部署。采用Collector对多台路由设备进行实时分析，

35、通过核心Controller对Collector进行管理和对Collector分析到的数据进行汇总关联。当网络扩容时，随着网络中路由气台数的增加通过增加Collector方式即可实现扩展，保护用户的投资。在应用网络中存在规模超过150台GSR的实际应用案例。目前Arbor Peakflow系列产品在国外的大型运营商的网络中已经得到了广泛的应用，其中包括AT&T、Quest、NTT等著名运营商。目前在Quest的IP骨干网中，共部署了44台Arbor的产品（22台Peakflow Traffic和22台Peakflow Dos），对其网络的流量进行全面的流量分析和安全监控。与其他商业和免费流量统

36、计软件相比，Peakflow SP在可靠性和扩展性方面提供显著的改善。 Peakflow SP不仅仅是一套用户应用软件。从固化的操作系统到基于高速内部核心的数据流收集子系统，Peakflow SP是为符合可靠和大量数据处理能力的要求而设计。这套系统也包含对与运营商工作流程软件集成的支持，包括如思科/Juniper相类似的CLI，Radius/TACACS，SNMP Traps，等等。Arbor公司提供的方案为整体实时监控全部网络设备的全部实时流量的解决方案，而并非间断性监控网络不同部分的流量分析方案，同时方案本身由于采用了分布式处理的解决方案，可真正实现高扩展性和高性能。4.2.2 良好的可扩

37、展性使用Netflow 收集数据比在线（In-line）解决方案或采用镜像端口收集数据具有更佳的扩展性。 单个收集器就能从网络中多个路由器收集数据而且没有对网络增加任何故障点。Arbor Peakflow的产品可以根据用户的网络规模和流量的增加而进行平滑的升级，只需要根据网络流量的情况增加收集器即可增加系统的处理能力。系统的分析服务器能够对新增的收集器进行统一的管理，并可以在增加收集器时将原配置在其它收集器的路由器无缝移植到新增的收集器中以减少原有收集器的负载，原有的数据和结果并不会丢失。4.2.3 高性能处理能力Arbor公司专利的软硬件结合方式，同时能够实时通过分析路由和Netflow采集

38、到的数据以及SNMP信息分析大型网络的流量，一个collector可以时实性分析多达50,000 flow/秒。在实际的网络中存在一个collector同时实时性的分析管理多台高端网络设备，每个设备可拥有多个高带宽链路（OC-192/STM64）。单台Arbor Peakflow设备在配置大量监控条件，并学习Internet全部国际路由的情况下，能够处理50,000session/s（150万session/分钟）的Netflow原始数据。在Internet上，如果Netflow采样比定为500：1，每10Gb/s的流量平均每秒产生(1010241024)/(50038418)6990sess

39、ion/s的Netflow原始数据。因此一台Arbor Peakflow设备就能够完成71.5G左右的流量的分析。4.2.4 出色的统计分析能力 全网关联性分析通过核心Controller对网络中流量情况进行汇总，实现全网关联的关联性流量分析，满足运营商角度对全网流量状况的整体把握。如：实现多出口整体的关联性分析，提供整体的出口状况的整体性分析，针对某个热点地区和用户的全网关联流量分析等，有助于从整个网络的角度来把握全局的流量特征。Arbor的Peakflow 解决方案完全通过分析BGP路由来分析互连流量的AS属性，这样做可以避免采用NetflowV8造成当流量大的情况下造成分析

40、AS特征流量不准的情况，同时也可以避免开启NetflowV8对路由器造成的额外负担。同时通过接收路由还可以为用户分析网络中路由的稳定状况和防止针对BGP路由的Hijack攻击。 多种属性的相互关联性分析可真正实现从AS、IP地址、应用、指定用户、指定路由器、指定设备端口、用户指定属性的感兴趣点等以上各个用户兴趣点在全网内的相互关联性分析。真正实现用户所必需的POP to POP，网络到不同Peer、Peer to Peer、Interface to Peer、用户应用分析、网络内部top talker、不同应用和不同人群的热点地区等需求，真正能够帮助用户解决网络中实际问题。4.2

41、.4.3 针对互连路径和流量的详细分析通过Peer Evaluation功能分析到各个peer的流量情况，是否存在transit。 Arbor最新的软件系统可以根据BGP路由的信息和流量进行关联自动实现基于BGP topology的流量分布图，了解互连应用、为改善互连状况，提供transit流量分析，了解最终流量的AS path，可为运营商节约互联花费、选择更优的互连提供有力依据。 增强BGP功能分析Netflow的原始数据中只提供IP包的原始AS号，并没有对其经过的所有AS进行记录。Arbor Peakflow通过与路由器建立IBGP的PEER学习网络的BGP信息，从而掌握了每

42、个IP地址段的AS PATH等信息。系统能够充分利用网络BGP信息对网络与每个PEER和每个AS之间的流量进行深入的分析。 精确的统计分析Peakflow Traffic 提供整个ISP 骨干网络流量更准确的描述。与那些单点解决方案或其他基于数据流收集的产品不一样，Peakflow Traffic 连续跟踪并且关联骨干路由器上的网络流量，而且使用非常详细的拓扑模型。这些模型很好的为Peakflow 提供统计能力，超越以往只测量接口或者个别路由器的技术水平。Peakflow 从多个接口、路由器、用户自定模板和对等汇集流量统计资料。Peakflow 系统有独特的能力分辨进入，出外和骨

43、干流量。Peakflow Traffic 自动学习并且区分面向对等、骨干和面向用户的接口。这接口层面的知识允许Peakflow 克服以往错误地识别进入流量和重复计算穿过骨干路由器数据流的问题。基于接口层次流量模型，Peakflow Traffic 将准确测量进入和外出的流量，即使在严重BGP 路由不对称的情况下。 热点应用分析通过定义分析对外部的流量应用分析，能够准确定位网络内部用户对外网的兴趣点，找到最多应用的热点内容。可根据这一点将其内容拿入到内部，减少在Peer上的花费，同时提高内部网络的服务质量。 高度智能化管理员将需要管理的网络设备的基本信息输入到系统后，

44、系统将对设备进行自动查询，并生成所有端口、设备和PEER的流量分析结果，并进而计算出全网的流量分析结果。同时系统还能自动记录网络BGP路由的振荡情况。 强大的客户流量分析功能大客户是运营商业务发展的重点，因此运营商对大客户的流量也非常的关心。Arbor Peakflow能够对运营商的用户的流量进行详细的分析。运营商可以根据端口、地址、AS等条件定义用户，并对用户的全部流量进行关联分析。通过分析大型用户的业务特点，提供运营商最需要的重要用户的应用特点和最多应用IP的分析。分析到这些有用的数据将会有助于对内部大业务的分析，通过掌握大用户的信息，有助于提高业务质量。Arbor Netw

45、orks目前已经开发了Management Portal模块（目前正在北美的商用网络上进行测试，并计划在明年一季度正式商用），用来给运营商的大客户提供增值自服务功能。运营商的大客户可以对自己的流量进行监控，并自己配置监控条件对其关心的内容进行分析。4.2.5 强大的安全功能 异常流量检测Peakflow SP的核心包括一种尖端的拓扑和流量模型引擎。Peakflow系统持续学习和对网络流量和拓扑的正常情况建立模型。 例如，与一个接口相关的正常对等和IP子网范围是什么？用来到达这些前缀块通常的AS路径是什么？ 网络服务器流量突然下降40%的根本原因 是因为5,000个BGP 前缀的丢

46、失吗？ Peakflow SP提供重要的异常检测和事件获取能力，包括对于流量变化的告警（每个对等、每个用户、每个路由器、等等）。BGP 拓扑方面的异常的变化、BGP 不稳定等等。与Peakflow DoS系统相配合，能提供业界领先的拒绝服务攻击检测和防卫。 简化、自动、科学的分析方法和依赖已知攻击特征数据库来确定有安全问题的方法不一样，Peakflow DoS利用与正常的网络模式的差异作为确定潜在问题的方法。DoS 平台使用从运营商网络里的路由器收集的Netflow数据来建立一个关于网络流量的动态基线。这个基线不仅仅包括进/出那些网络的吞吐量，还有某些主机或者CIDR段之间的流量

47、、某些IP 协议的使用、端口号码的使用、IP报头内那些TCP Flag存在。系统保存成千上万种不同网络模板并且使用它们与实际的流量采样作比较。系统检测任何偏离这些正常网络模型的流量并把这些偏差标志为异常。Peakflow DoS然后汇集从被监控路由器所收集的数据以提供所有异常的总结，而且提供对受影响网络部件的追踪资料。其他竞争产品如IDS、防火墙依赖已知的特征数据库来识别网络攻击。这种方法对于新型和/或变种的攻击是完全无效的。Peakflow DoS寻找与正常网络行为比较有偏差的地方，因此任何类型的攻击，无论是已知的还是新生的，都因为它对网络流量的影响而被检测到。 真正实现的攻击

48、病毒的源追踪通过异常流量的观察分析病毒源和攻击源，这里分析的源不但包括病毒的源地址和目的地址、上层端口、协议类型等特点，同时包括进入整体网络的物理源头，方便实现控制。如果只找到源地址而无法知道病毒从哪里近来的话，现在大多数病毒都是通过地址欺骗来伪造的源地址，将无法实现病毒源头的有效监控。 自动发现伪造地址攻击同样，我们自动发现私有IP、Dark IP地址欺骗事件并追踪到物理的设备源头，在这种情况下如果只发现源地址而不发现物理进入网络的物理源头，是不可能有效控制的，Arbor的产品将会定位物理的源头，提供有效的控制。 真正的DDOS攻击分析Peakflow SP解决方

49、案通过分析明显的攻击行为（TCP Syn、IP null、TCP null、 Fragement、TCP RST等明显的攻击行为）， 这些行为是明显针对网络中的服务器的攻击事件，通过简单的流量分析将无法分析出来，流量虽小，一旦针对某个重要服务器，如内部提供内容的IDC或email服务器，这些攻击将是致命的。一旦出现这种攻击，普通的流量分析由于流量太小根本无法监控，而通过Arbor的安全分析手段将能够在出现伤害之前马上定位攻击的源头并提出控制建议，避免造成伤害这个方案同简单通过流量分析方式发现攻击病毒的方案 存在很大的本质不同。独创的Fingerprint技术根据病毒的特征码定义，

50、实现全网的病毒扫描，找到病毒源，如SQL Worm源，避免病毒占用宝贵的互连链路资源Arbor产品的优势在于当网络出现病毒的可能时候就马上通过病毒爆发事前的扫描等异常流量和特征行为扫描定位病毒并找到源头进行控制但是普通的流量分析产品只有当病毒流量达到一定程度的情况下才能够发现病毒，而这个时候病毒已经扩散出去了，并且如果无法定位到物理的端口的话，无法对已经爆发的病毒实现精确和全网关联的控制。Arbor公司在美国部署了一套FingerPrint（安全攻击指纹特征）数据库服务器。全球所有的用户都可以下载最新的FingerPrint数据库，并可以上载用户自己发现的安全攻击的FingerPrint。通过

51、下载FingerPrint数据库，运营商可以充分借鉴其它运营商的经验，并提高网络的防攻击能力。对大客户和焦点地区的安全监控功能能够实现对指定的大客户和网络中运营商较为关心的焦点地区（如IDC等）的安全监控和分析，提供数据报告，保证重要用户的安全，提高用户对网络质量的满意度。真正的网络安全设备基于自身独特的流量模型以及分析策略，能够发现小流量但是致命的安全攻击。由于结合和BGP路由功能，能够对假冒地址的攻击行为进行记录，能够准确的判断攻击的来源，为网络管理人员提供可靠的依据及数据。自动生成防攻击控制策略Arbor Peakflow系统发现网络攻击后，提出

52、报警，实现源追踪（包括源地址和物理的入网源头），可以根据攻击的来源和攻击方式根据设备类型（Cisco，Juniper或Foudry）自动生成Cisco、Juniper等设备的ACL/rate-limit等防攻击建议配置文件，并提示网络管理员应将该配置部署到网络中某台设备的具体端口。网络管理员可以参考系统自动产生的配置文件来阻止该安全攻击，只需要将系统自动生成的配置Copy到系统指定的源头设备上即可，操作简便。在AT&T的网络中，Arbor Peakflow曾经在安全攻击发生10分钟后向网络管理员告警，在攻击发生15分钟后，网络管理员就根据系统提供的配置成功将安全攻击屏蔽调。4.2.6 完善的系

53、统功能 统一的系统管理界面与其它设备厂家的系统不同，Arbor Peakflow系统能够通过分析服务器（Controller）管理系统中的所有设备，而不需要逐一对所有设备进行配置。并且用户可以通过一个界面了解到系统管理的所有设备和网络的情况。因此，多台Arbor Peakflow组成的是真正面向大型的运营商网络的系统，而不是孤立的多台设备。 先进的报表能力Peakflow SP提供内置最大和最尖端的流量特征化和网络使用报表全部为实时。 与需要数周时间作额外配置或写Scripts的免费软件和其他系统不一样，Peakflow系统所提供数据立即可用，适用于关键业务和工程流

54、量决定所需要的报表。缺省地，Peakflow SP对经过大范围流和拓扑组别的流量进行分类，包括起源AS、过境AS、应用、重要的起源/ 目的地IP子网、无默认、等等。全部统计资料都能从每个接口、每个路由器、每个对等、每个配置模板、和全网范围的基础上得到。Peakflow SP提供基于从分钟到天、周、月和年的各级时间段内流量的详细图表。 这套系统还提供总体图表和允许网管人员把图表放大以详细观看流量趋势中细小的变化。系统内部能够存储52周的流量数据，并能够通过二次开发的管理与分析系统提供3年内的流量结果分析。系统能够提供指定时间的流量分析结果，提供指定时间段，指定时间周期的报告，方便进行分析。4.2

55、.6.3 系统管理和告警目前运营商的网管系统正向着界综合网管发展。为了能够将流量分析系统融合到运营商现有的网管系统中，系统提供了SNMP MIB可供运营商现有的网管系统调用。同时系统还可以根据用户的定义将不同级别的告警以Trap的方式发送到网管系统中的告警模块。系统还能够通过Email、SNMP TRAP、SYSLOG等方式直接将不同级别的告警按照系统管理员的配置发送给系统管理员、日志服务器或者直接发送给网络用户。 支持MPLS/TOS路由器打开MPLS功能后，将只能发送Netflow V9格式的数据，目前，Arbor已经先于其它厂家完成了对Netflow V9的支持，从而实现了

56、对MPLS业务的支持。系统支持对不同业务质量等级的业务按照其TOS值进行分析。 系统监控Arbor Peakflow系统能够自动监测系统所用设备的运行情况，以及系统监控的Netflow Session数量，并能够监控各个设备的CPU/Memory/磁盘等使用情况。系统管理员能够非常方便的了解系统运行的情况，并对系统的历史运行情况进行查询。 精确的数据查询和结果输出用户通过Arbor Peakflow系统可以以日/周/月/年方式查询历史结果，同时还可以查询一年内任意时间段的分析结果。用户可以非常方便的以EXCEL等格式下载历史结果，并通过简单的OFFICE操作得到需要

57、的图表，并可以查询得到每个具体时间段（具体到5分钟）的实际数据。 字典功能运营商的网络管理员经常需要面对大量陌生的TCP/UDP端口号和AS号，需要浪费很多时间去查询这些数字所代表的业务名称或者运营商名称。Arbor Peakflow系统本身内置字典功能并支持用户自定义字典，能够自动将这些数字翻译成实际的业务名称，如将TCP的80端口翻译成WWW，AS4134翻译成ChinaNET等。同时很多业务（如目前流量占互联网流量很大比率的BT/Edonkey等P2P业务）同时使用很多端口，Arbor Peakflow将不同的端口号定义为同一种业务，从而得到使不同端口号的同类业务的分析结果。4.2.7 长远的发展Arbor Networks与Cisco、Juniper和Foudry公司具有良好的合作伙伴关系，因为有思科为公司提供资金，Arbor网络直接涉及NetFlow 标准的发展， Arbor也是Juniper高级合作伙伴 （得到这种身份唯一的公司），Cisco和Juniper都拥有Arbor Networks的股份。因此Arbor Networks能够比其它厂家更早地得到这些厂家的技术细节资料和研发的支持，以保障能够最早对这些厂家的新的流量分析功能进行支持。目前，Arbor已经先于其它厂家完成了对Netflow V