第五部分 H3C iMC NTA组件介绍.ppt

1、iMC NTA组件介绍,ISSUE 2.0,日期：,在企业网络建设完毕后，每一个企业管理者不可避免地要面对下面的问题： 网络中都有什么样的应用在运行，哪些数据流影响了我的网络运行？哪些应用与业务无关，如果保障重要业务？ 网络的资源如何部署，如何随业务变化而改变部署？ 谁在消耗带宽，哪些用户需要控制，如何控制？ 是否需要更多带宽？,引入,了解网络流量分析组件的原理及组网应用 掌握网络流量分析组件的功能特性 了解网络流量分析组件安装、使用、维护和故障排除,课程目标,学习完本课程，您应该能够：,参考资料,iMC NTA组件联机帮助,第一章 产品总体介绍 第二章 原理及组网应用 第三章 产品功能介绍

2、第四章 日常维护与故障定位,目录,NTA流量分析系统,NTA 网络流量分析服务器,网络设备,Packet,NetStream/sFLow,端口镜像流量,DIG日志采集器,获取设备镜像数据，形成NetStream日志,NTA组件系统结构,Unba_master,采集器 （probe）,接收器(reciever.exe),处理器(processor.exe),Unba_slave,配置台,FTP,流量日志(netstream/sFlow),镜像流量,NTA在iMC中的位置,NTA做为iMC的一个组件基于平台之上，实现各种业务。 NTA组件包括：网络行为分析基础组件，网络行为分析服务基础组件,网络流

3、量分析组件、网络流量分析服务组件. 网络行为分析基础组件及网络流量分析组件管理NTA的界面和配置，安装在iMC主服务器端.网络流量分析服务组件与网络行为分析服务基础组件管理NTA具体的业务逻辑，对日志数据分析，聚合等。可分布式部署，实现性能负载的均衡 NTA要求平台的资源和告警组件必须部署,iMC 基础平台,iMC UBA,iMC NTA,NTA配套的操作系统，数据库及服务器情况,NTA部署在iMC PLAT之上，NTA对操作系统及数据库的版本要求同iMC PLAT NTA对服务器的性能要求很高，正常情况下必须分布式部署在单独的服务器上，不能与平台或其它组件部署在一起。 网络中总的日志量超过单

4、台NTA处理的能力时，需要部署多台NTA服务器来分担性能。 NTA服务器主要考虑的硬件因素有：CPU/内存/磁盘空间/RAID，由于NTA服务器处理的日志量非常大，一般情况下要求磁盘配置RAID。 Netstream场景中NTA对服务器的硬件要求主要考虑NTA服务器每秒钟处理的日志数 sFlow场景中NTA对服务器的硬件要求主要考虑设备启用sFlow的接口数 DIG场景中NTA对服务器的硬件要求主要考虑DIG采集器处理的流量大小 NTA可以和UBA部署在一起，此时对NTA服务器的硬件要求会比单独部署NTA时有一定的提高 NTA部署方式及对服务器硬件配置的详细内容请见智能管理中心（iMC）部署和

5、硬件配置方案,NTA license,iMC NTA按采集点(设备或探针)计算license，默认带一个采集点license,扩容分为1/2/5 当一台设备上存在多个NetStream板时，每个NetStream板即为一个采集点。,第一章 产品总体介绍 第二章 原理及组网应用 第三章 产品功能介绍 第四章 日常维护与故障定位,目录,日志介绍USERLOG,USERLOG为华为设备的日志格式，分为FLOW/NAT/ACCESS,NTA支持FLOW和NAT,日志介绍二进制日志,二进制日志主要为我司防火墙,路由器设备实现，有时也叫flow3.0日志. 该日志报文头与USERLOG日志相似，主要是日志

6、内容上有所区别.,Netsteam Data,日志介绍NetstreamV5,UDP,Header,Flow data,NSV5,NSV5,NSV5,NSV5,NTA,Netsteam Data,日志介绍NetstreamV9,UDP,Header,Flow data,NSV9 data,NSV9 template,NSV9 data,NTA,日志介绍DIG日志,DIG摘要日志 DIG摘要日志内容为应用层协议数据报文信息，包含以下内容：开始时间、结束时间、源IP地址、目的IP地址、目的端口号、摘要信息（目前仅支持HTTP协议、FTP协议、SMTP协议报文信息摘要）； 1)HTTP协议摘要信息：

7、用户访问的URL、网页标题； 2)FTP协议摘要信息： FTP用户名、所执行的操作（是GET还是PUT）、所操作的文件名； 3)SMTP协议摘要信息：发件人、收件人、邮件的主题等数据；,DIG流日志 采集器将设备镜像的报文按照5元组进行聚合后按照NetStream日志格式进行老化输出，同时入接口和出接口按照流量方向填入1000/2000的虚拟接口。 支持七层应用分析,DIG摘要日志能否用于网络流量分析？,日志介绍sFlow日志,sFlow,sFlow,sFlow,sFlow,NTA,Device,sFlow（Sampled Flow，采样流）是一种基于报文采样的网络流量监控技术，主要用于对网络

8、流量进行统计分析。 sFLow是一种标准的采样技术，基于RFC3167。sFLow Agent对设备的性能要求不高，从而使一些低端设备也可以支持该特性。 NTA目前只支持处理sFlow Agent发出的flow sample类型的流量数据。,日志过滤,Unba_master,采集器 （probe）,接收器(reciever.exe),处理器(processor.exe),Unba_slave,配置台,FTP,流量日志(netstream/sFlow),镜像流量,过滤策略,过滤策略,NetStream V5 /sFlow组网方式,主要面向金融、政府、教育等中大型行业用户，为管理员提供流量分析、网

9、络优化、异常监控的手段： 设备是支持NetStream/sFlow的设备，做NetStream/sFlow分析，并输出NetStream/sFlow日志。 NTA服务器接收NetStream/sFlow日志并进行流量分析，可以区分4层流量信息。 提供区域流量分类统计、应用流量统计分析、流量和应用分析（TOP N、跟踪、分布）等丰富的报表。 NTA部署位置无特定要求，与netstream设备路由可达即可。,DIG探针式组网方式,该组网方式主要面向出口容量不大的教育或行业用户，为管理提供更深入的用户行为审计,同时提供了对端口或链路进行流量分析、网络优化和异常监控的手段： NTA流量探针通过端口镜像

10、采集和分析端口或链路的流量。 流量探针支持通过TAP分流器采集流量。 旁路监听方式，对网络性能影响小。 NTA部署位置无特定要求，与netstream设备路由可达即可。 DIG采集器一般配置,第一章 产品总体介绍 第二章 原理及组网应用 第三章 产品功能介绍 第四章 日常维护与故障定位,目录,产品功能介绍,系统配置 流量分析 流量日志审计 数据库空间使用 主机识别,NTA快速配置向导,NTA快速配置向导 包括设备管理、采集器管理、服务器管理和流量分析任务管理。,设备管理,设备管理 包括增加、修改、删除流量分析设备操作,采集器管理,采集器管理 包括增加、修改、删除采集器操作,是否对七层应用进行识

11、别,服务器管理,服务器管理 服务器配置即对部署的网络流量分析服务器组件相关信息的配置。 服务器配置完成后，必须将配置下发，新配置才能在接收器、处理器及探针侧生效。,服务器配置,选择了采集器的监控，必须配置FTP信息,选择过滤策略或是不过滤,选择网络流量分析设备,选择网流分析采集器,流量分析任务管理,NTA组件可从多个维度对网络流量进行分析。对于VPN网络增加了基于VPN的网络流量分析功能。 基于接口的流量分析 基于采集器的流量分析 基于应用的流量分析 基于主机的流量分析 基于VPN的流量分析,增加基于接口的流量分析任务,任务关联的网流服务器，即任务不能跨服务器。,增加基于采集器的流量分析任务,

12、增加基于应用的流量分析任务,每个应用流量分析任务最多支持10个应用。,增加基于主机的流量分析任务,每个主机流量分析任务最多支持10个应用。,每个主机流量分析任务最多支持10个主机定义。,增加基于VPN的流量分析任务,NTA其他配置,包括应用定义管理、应用识别管理、系统参数管理和过滤策略管理。,应用定义管理,应用定义管理 NTA应用由两部分组成：系统预定义、用户自定义 用户可根据协议和端口定义一种应用,应用识别管理,应用识别管理 NTA应用识别是专门针对端口不固定的应用进行的流量分析，如BT、eDonkey等P2P应用，该类应用通过报文应用层数据的特征进行识别。 应用识别仅对探针有效，增加应用识

13、别后，必须重新下发配置才能生效。,如果不启用，则探针不会进行识别,系统参数管理,根据实际的业务需求和硬件配置，对系统参数进行合理的设置,过滤策略管理,将不关心的日志报文丢弃，可以降低无用的报文对系统性能的影响,日志的过滤是由接收器和探针完成 过滤策略组成：一个缺省处理方式、一个或多个过滤条件、日志类型 过滤条件的组成：一个或多个过滤项、符合过滤条件的处理方式,过滤策略管理,过滤策略的缺省处理方式与过滤条件中处理方式之间的关系：缺省处理方式表示当日志报文不符合日志接收器采用过滤策略中包含的任意一个过滤条件时，接收器对日志报文的处理方式。而当日志报文符合某一个过滤条件时，接收器将按照该条件设定的处

14、理方式处理日志报文；“过滤条件中的处理方式优先” 一个过滤条件中多个过滤项之间的关系：如果设置了多个过滤项，则只有同时满足多个过滤项的日志报文才会按照此过滤条件的处理方式进行处理；过滤项之间的关系是“与”关系 不同过滤条件之间的关系：当某个日志报文同时符合多个过滤条件时，如果这些过滤条件的报文处理方式不同（有的是“接收”，有的是“丢弃”），则根据过滤条件的优先级进行处理,产品功能介绍,系统配置 流量分析 流量日志审计 数据库空间使用 主机识别,流量分析介绍,对流量的分析基于用户配置的任务 接口流量分析任务 接口流量分析任务可能只包含一个接口，也可能包含多个接口，在左侧接口流量分析菜单树中，将每

15、个流量分析任务所包含的接口分别列出 ，用户也可以针对某一个接口进行流量分析。 采集器流量分析任务 应用流量分析任务 主机流量分析任务,报表流量类型,查看任务指定时间段内的出、入流量、最大、最小和平均速率、流量时间变化趋势及流量明细信息。,流量信息 一览无余,短期数据 作为 发现异常流量参考,长期流量趋势为 网络优化提供依据,报表应用类型,查看指定时间段内任务流入、流出方向上，各网络应用占用带宽的比例的变化趋势及应用统计概况。,谁在使用带宽， 访问那些目的？,报表主机类型,查看流量分析任务总流量TopN的主机及流量统计信息，包括来源主机和目的主机 。,他们在使用什么协 议？和谁进行通信？,哪些端

16、口在被频繁使用？,报表会话类型,查看流量分析任务总流量TopN的网络主机间会话及流量统计信息。,哪些特定的主机对耗尽了大量带宽,通信的主机之间使用了哪些应用？,接口流量基线化,流量基线建立智能化，能自动裁减突发异常流量 异常流量及时告警,产品功能介绍,系统配置 流量分析 流量日志审计 数据库空间使用 主机识别,流量日志审计,NTA不仅做流量分析，通过流量日志审记可以提供类似UBA的审记终端用户网络访问行为详细信息的功能。,流量日志审计（续）,流量日志审计从四个维度进行审计： 流量、来源、目的、会话。,产品功能介绍,系统配置 流量分析 流量日志审计 数据库空间使用 主机识别,数据库空间使用,数据

17、库 剩余 空间,数据库已用空间,全面掌握磁盘使用状况 磁盘空间使用阈值设置 达到阈值自动释放空间,磁盘已用空间,磁盘 剩余 空间,相关配置项参见服务器配置,产品功能介绍,系统配置 流量分析 流量日志审计 数据库空间使用 主机识别,主机识别,NTA主机识别功能包括： 基于MAC和主机名的用户识别 和iMC UAM联动查询特定IP的上网明细信息,组网环境中存在 iMC UAM作为 AAA服务器,第一章 产品总体介绍 第二章 原理及组网应用 第三章 产品功能介绍 第四章 日常维护与故障定位,目录,日常维护与故障定位,查看iMC NTA组件运行情况 在“智能部署接入代理”程序中，观察”UNBA-Ser

18、ver”、“processor.exe”、“receiver.exe”进程是否正常。若该进程已经停止，请重新启动该进程。 查看SQL Server运行情况 在Windows的服务管理中查看MSSQL SERVER服务是否正常启动。 查看智能管理中心运行情况 在Windows的服务管理中查看H3C iMC Server服务是否正常启动，并能正常登录智能管理中心配置管理台。,日常维护与故障定位,NTA服务配置好后，不能监控流量定位流程 检查智能管理中心、SQL Server是否正常运行 检查SQL Server的unba_slave数据库，看是否存在以tbl_nets_yymmddhh方式的表。 如果不存在这样的表，则说明数据还没有入库，此时应该检查： 1) 设备是否有发送日志，发送目的是否为NTA从服务器。 2) 探针组网方式，则检查探针是否接收镜像日志报