中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案目录...........................................................2...........................................................5...........................................................7、技术简介-I-一、中国人保信息化背景PICCP&C（PeoplesInsuranceCompanyof2003年7111.4181949年10月20日经中国人民银行报政务院财经委员会批准成立的中国人民保险公司，是世界500强企业。中国人保广西分公司拥有遍及省的机构网点，包括12个地、市级承保、理三个中心，上千多个分支机构，拥有多样化的营销渠道，形成了强有力的销售和服务网络，足以支撑全国范围的"通保通赔"与"异地出险、就地理赔"等保险增值服务。1、上联网：通过与电信、移动和联通等大运营商合作，租用光纤专线链路连接北京总部，承载整个广西省与总部业务交互；2、省数据中心：整网采用千兆链路，主要业务有承保、理赔、OA系统、公文流转、财务管理以及人事管理等电子政务的应用；下联网：通过与电信、移动和联通等大运营商合作，租用光纤专线和12、个地市分支机构互联。主要用于地市和省之间业务系统；互联网：主要承载人保对外网络服务，包括内部用户资料下载，以及门、户网站、VPN接入等。二、中国人保广西省分公司网络现状和存在的问题2.1.中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案户数量众多，业务应用系统复杂多样，迄今为止，全网的基础建设已经完成，网复杂的网络。2.1.1.伴随着信息化技术的广泛应用，网络建设已成为衡量一个企事业单位信息化、现代化的重要标志。1000MOA系统、财务系统、邮件系统、储运管理、源数据库等。2.1.2.防火墙、IPS、VPN以及流控等网络安全设备，以期解决日益猖獗的病毒木马、以及各种各样的网络攻击行为，但是收效甚微（IDS、防火墙、流控只能对互联手段和工具以迅速解除这些安全威胁从而保证网络的可用性和性能。.1.由器、防火墙等网络设备，但是传统的这些网络设备由于工作在OSI网络模型的二、三、四层，然而在后网络时代，大量的办公应用都具备了跳跃端口、随机端口、自定义端口甚至包伪装等等功能，规避IT管理员的管理与控制。这些软web浏览必须的80此导致传统的网路设备对于7第3页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案用在能见度上显得苍白无力，IT管理员无法知道网络系统的运行状况、带宽的是心有余而力不足。2.2.2.动的数据量给网络资源尤其是内网带来不可估量的压力。随着各类应用的普及，在网络中添加业务流量分析和控制系统，该设备对于网络就好比消防系统对于业务流量分析和控制系统帮我们监控整个网络中是灭，确保关键应用的维生通道，无论未知流量如何井喷，确保关键应用在任何时候都不受影响。2.2.3.目前中国人保广西省分公司各地级市单位大部分的管理人员对其网络的带宽使用情况并不了解或无从获知，更不了解他的网络上主要有什么应用在运行，因此也无法采取相应的措施来控制和合理的使用有限的资源。宽。2.2.4.第4页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案相关的各类网络应用，包括承保、理赔、、邮件、视频会议和办公自动化等。目前中国人保广西省分公司各级单位的网络系统中缺乏有效的网络管理策OAVOIP、要程度来支配的，最终导致网络带宽被非业务应用疯狂地使用。入的资金得不到合理的回报，最终会造成直接的经济损失。2.2.5.在中国人保广西省分公司信息网络中，用户数量庞大、网络应用环境复杂，开展及用户正常网络应用的服务质量。西省分公司在网络运维管理方面面临的主要问题和挑战。2.2.6.的手段进行监控及管理。第5页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案2.2.7.PC同时往上游某些服务器发送大量攻击包，严重阻塞网络骨干和Internet出口IDS的解决方案无能为力。来保障IT投资的回报率，这是中国人保广西省分公司各级单位目前在网络管理和运维中亟待解决一大问题。第6页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案三、中国人保广西分公司网络应用层优化解决方案量AM（ApplicationManagement）解决方案。3.1、MaxnetAM产品为大规模检测功能。AM解决方案主要由统一管理平台XM和AM从上图可看出，AM解决方案可通过在各关键节点部署AM探针收集网络中的多种数据源，如通过在上联部署AM2000分析广西省和总部之间业务情况；通过互联网出口部署AM2000分析外网访问情况；下联出口部署AM2000分析省公司和地市之间业务运行情况；同时在每个地市部署中低端AM1000设备，为各地市网管人员提供分析本地市业务系统平台。多种数据汇总到XM服务器，实现对网络最全面、最有效的性能管理。第7页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案3.1.1AM硬件探针是一种被动网络检测设备，不会对网络的性能产生影响，不会7*24者通过分光器或镜像端口的形式，从网络中线速捕获通过某条线路的流量。AM探针采用Maxnet公司开发的MatrixOSDPI引擎，可支持网络各层数据，如链路层、网络层、传输层、会话层以及应用层等。同时理性能，实际使用中，用户可以根据所使用的网络规模选配不同的探针。3.1.2Maxnet的XM是系统的核心组成部分，收集探针采集到的信息，并进行汇总、分析。XM的主要功能如下：o提供简体中文版本友好界面o用于流量的监控和分析o内置数据库o同时实现实时性监控与自动化历史数据分析o提供高精度的历史数据分析o异常流量告警XM的报表系统可生成日报、周报和月报，并可通过邮件系统自动地发送给用户。用户可以即时得到网络中的业务系统的运行情况。XM系统提供CDP数据库开发工具包，用户可利用此开发工具，从XM的数据库中取出有关的数据，进行二次开发。从而生成符合特定需求的报表系统。首先MaxnetXM产品提供了提供了基于协议和基于IP详细情况，提供访问的源/目的IP地址、服务端口、应用协议、Session数以及运行状况、应用情况、带宽使用情况等状况完全可视化。其次MaxnetXM产品可以通过SNMP的方式获取路由器上系统感兴趣的信第8页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案IOSCPU/Memory利用率等。由此数据作为依据，可以让网管人员全面掌握网内设备的使用状况，使得网络设备运行状况完全可视化。同时，MaxnetXM使用非侵扰的数据收集方法，持续从用户的路由基础设施中获取流量和路由数据，从而建立和维护一个高颗粒度网络信息的数据库。MaxnetXM平台通过使用这数据库里的信息，建立用户网络正常情况的模型；这样一来,就可以把这个模型跟实时收集的数据进行比较以检测流量规则的改变。这种异常现象检测方法提供一种非常可靠的途径来检测和追踪源于恶意攻化。通过把这种独特的方法用于检测网络的异常现象，MaxnetXM提供一种理想的解决方案供教育、企业、政府和运营商等用户了解网络中的安全威胁。3.2、AM基线与实时流量进行比较以进行异常现象的检测,而这种功能也是非常独特的，可以作为一个网络可视化和安全保护的通用平台。该系统集成了网络流量分析、协议解码、专家系统、管理、长期流量分析报SNMPRMON2共同构成整体网络管理系统。AM系统通过充分利用高、中、低级的不同层次的多种数据源，可以获取丰台发出告警以及控制功能。第9页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案3.2.1、链路监控能够对线路状态信息进行实时的检测和统计，包括：网络流量统计：如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。网络传输协议统计：如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。数据包小分类：对数据包大、中、小进行分类统计。XM服务器可以自动显示或采用有声形式的告警，并及时记录故障发生的时间和位置。3.2.2、网络监控分析AM还能够从网络设备的SNMPMIB2、交换机的SNMPRMONMIB获取网络运行数据，并实时显示和进行历史分析。采用探针可对网络流量实现OSI7层流量监控分析，可显示全双工接口的智能排序、转换功能。例如从协议分布中查看某个应用协议的主机、会话对等。3.2.3、应用监控AM可自动检测分析网络中应用，可同时监控多达1000种应用。可根据多TCP/UDPIP地址、网站地址(URL)、基于数据流量特征位等。目前中国人保广西分公司已经定制出理赔、承保、财务、OA等30多种应用协议。如将httphttps协议加入到Web应用组）统一监控分析。对应用协议可显示全双工信息收、发或总量)第10页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案3.2.4、异常流量检测AM性能管理系统可对网络中的异常流量进行检测：基准线检测：具有网络流量的基准线功能，可生成平均值、最大流量、90%网络中的异常。协议端口匹配：可快速发现采用特定协议的网络异常流量，如病毒。网络层通信对分析：分析网络层的通信对，检测出网络中异常流量。例如，某个IP地址与多个IP地址进行网络会话，数据包为单向。过滤模板：采用异常流量模板（过滤器）进行数据捕获分析，检测网络中异常流量。3.2.5、应用响应时间监控passiveactiveAM是ART应用响应时间测量标准的制定者，ART定义了在网络层面被动测量应用响应的方法，现AM采用集成了被动测量和主动测试二种功能的URT应用响应时间监控技术。采用URT技术可以：同时反映应用程序的响应与网络效率的关系数据具体到每种应用、每个服务器与用户同时具备实时与历史数据能区分网络传输时间与服务器响应时间确定时延导致根源，分析究竟是由于服务器、应用，还是网络造成AM解决方案的主、被动方式的应用响应时间监控，可在复杂网络环境中发现并解决响应时间故障，再加上AM对应用行为和网络的状态的关联分析功能，可以有效地发现并解决网络性能问题。AM解决方案的应用响应时间监控功能可为用户提供丰富的分析结果，包括：应用服务器响应时间分析、网络时间分析、特定应用的流量分析、特定应用第11页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案应用服务响应分布、重传分析、应用的客户端数量分析、响应最差的客户端。3.2.7、主动告警功能AM解决方案具有功能强大的告警功能，并提供告警事件的关联分析功能，可实现网络的主动管理，及时发现网络的问题，并分析解决网络问题。AM解决方案可根据多种条件自动生成告警，当告警发生时，可通过邮件、SNMPTrap、脚本发送告警。AM告警的触发，可根据超过阀值、低于阀值二种状态告警，是业界唯一提供此功能的产品。可根据以下条件产生告警：链路层流量状态：利用率、广播包数量、错误包数量、组播包数量、包数应用响应时间：可用性、响应量应用流量：应用利用率、特定应用数据包数量基线：可按流量基准提供告警功能虚链路流量：可根据虚链路的利用率产生告警。协议、主机和会话数。3.2.8、集中管理AM的探针设备具有一个10/100MXM包捕获等工作，远程进行网络故障检测。XM进行综合分析。用户可自行调整定义不同角色的权限，也可增加角色。3.2.9、报表系统XM统一管理平台收集探针设备的监控信息，并存储到数据库中，并提供功能强大的分析报表。第12页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案XM服务器可提供了日报、周报、月报、季报、年报等中、长的流量报告。报告系统内置50个标准的报表，同时支持用户自定义报表。报表主要内容有：链路分析报告网络层分析报告TOPN统计报告应用层协议分布应用响应性能分析报告网络应用流量基准报告网络故障统计报告汇总分析报告能问题。并根据应用的发展要求调整网络，改善网络服务质量，提供容量规划、网络优化和网络扩容的依据。四、应用层优化核心技术简介4.1、传统的IP包流量识别和QoS控制技术，仅对IP包头中的即五元组信息进行分析，来确定当前流量的基本信息，传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoSIP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，随着类型。深度包检测技术是目前7流量控制的前提、基础。（DeepPacket，深度包检测）I是目前通过IP包来检测、识别第13页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案和判断协议及应用的最核心、最有效的技术手段。DPI技术通过源IP地址、目的IP地址、源端口、目的端口以及会话信息，同时增加了对IP包中应用层数据深入分析，最终可以识别各种类型的协议和应用。通过采用DPI技术，可以探测和跟踪动态端口分配的应用，通过比对协议7户的网络和应用的可用性。P2P协议的分析与识别机理基于应用层数据检测的DPI技术P2P即P2P载荷P2P载荷所包含的协议特征值，来判断是否属于P2P应用。在深层数据包检测技术中，通过对具体的P2P协议及其对应的P2P系统的载荷进行特征提取，建立特的特征串。如果特征匹配成功，该网络流就是P2P数据。DPIP2PIM、视频/流媒体、网络游戏、炒股软件以及Internet常见应用等。4.2、与DPI进行应用层的载荷匹配不同，DFI（Deep/DynamicFlow，型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130220byte，连接速率较低，为20～84kbit/s，同时会话持续时间也相对较长；而基于P2P第14页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案下载应用的流量模型的特点为平均包长都在450byteTCP等。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。有了DFI技术的强力补充，能够保证正确识别加密传输的应用流量。4.31、令牌桶算法概念：令牌桶算法（tokenbucketalgorithm）是目前QoS中最常采用的一种流量应用中。2、令牌桶算法的基本工作原理：令牌桶算法的基本工作机理为：令牌桶算法通过控制发送到网络上的数据的整形和速率控制。通过基于应用优先级的区分，可实现保证带宽、最大带宽、量、突发性的应用中具有良好的整形和控制效果。桶中的每一个令牌都代表一个字节。如果令牌桶中存在令牌，则允许发送流量；第15页中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案配置并且令牌桶中有足够的令牌，那么流量就可以以峰值速率发送。令牌桶算法的概念模型如下图所示：最大带宽、保证带宽技术得到同样的带宽管理服务和网络使用感受。毫无节制的消耗宝贵的带宽资源，从而保证关键应用的服