【正文】 用系統(tǒng)證明是切實可行的先進(jìn)技術(shù)和產(chǎn)品。我們認(rèn)為，一種技術(shù)或產(chǎn)品，其商品化的程度，以及隨此技 術(shù)或產(chǎn)品而不斷推出的日趨完善的支持服務(wù)，是我們考察它是否真正成熟有效的主要參考標(biāo)準(zhǔn)。 “經(jīng)濟(jì)性和有效保護(hù)歷史投資” XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)的建設(shè)，要從經(jīng)濟(jì)性著眼，在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，力爭用最少的錢辦最多的事，實現(xiàn)成本效益的最大化。對于現(xiàn)在和將來一段時間內(nèi)沒有必要的性能和功能不作選擇。并且新的工程建設(shè)必須要能夠求得一個最佳的價格性能比，才能最大地發(fā)揮投資的效益。 本原則將貫徹整個設(shè)計過程。 可擴(kuò)充性原則 可擴(kuò)充性主要包括兩個方面的內(nèi)容：一是為 XXXX 網(wǎng)通 互聯(lián)網(wǎng)未來將擴(kuò)充新的節(jié)點和新的設(shè) 備預(yù)先作好軟、硬件接口；二是系統(tǒng)必須具有升級能力，能夠適應(yīng)網(wǎng)絡(luò)新技術(shù)和業(yè)務(wù)發(fā)展的要求。 對于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)，保障系統(tǒng)體系可適應(yīng)新節(jié)點和設(shè)備的加入是十分關(guān)鍵的，且網(wǎng)絡(luò)技術(shù)日新月異，采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，對于今后的升級和擴(kuò)充都能帶來極大的方便和投資保護(hù)。 可靠性原則 鑒于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)規(guī)模較大，設(shè)備類型復(fù)雜，要求網(wǎng)絡(luò)分析系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡(luò)分析能力，這就要求充分考慮設(shè)備和線路的冗余備份。 安全性原則 在網(wǎng)絡(luò)分析系統(tǒng)中，安全性原則應(yīng)在各個方面予以高度重視，特別是 網(wǎng)絡(luò)中和其他不可信網(wǎng)絡(luò)進(jìn)行了連接，有可能會發(fā)生這樣那樣的蓄意破壞事件，威脅到系統(tǒng)的可靠安全運(yùn)行。用戶身份的假冒、應(yīng)用程序的非授權(quán)使用和損害或破壞性程序引入都是邏輯方面的威脅。在設(shè)計上采用恰當(dāng)?shù)募夹g(shù)手段為網(wǎng)絡(luò)分析系統(tǒng)提供等手段。既要保證網(wǎng)絡(luò)的安全運(yùn)行，又要確保網(wǎng)上信息的不被他人篡改和破壞。 開放性和標(biāo)準(zhǔn)化原則 方案所采用的技術(shù)和設(shè)備等，都必須符合相應(yīng)的國際標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，或者符合相關(guān)系統(tǒng)內(nèi)部的相應(yīng)規(guī)范。便于系統(tǒng)的升級、擴(kuò)充，以及與其它系統(tǒng)或廠家的設(shè)備的互連、互通。 在總體設(shè)計中，應(yīng)采用開放式的體系結(jié)構(gòu) ，使網(wǎng)絡(luò)分析系統(tǒng)易于擴(kuò)展，使相對獨立的分系統(tǒng)易于進(jìn)行組合和調(diào)整。同時，對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)中選用的通信協(xié)議要符合國際標(biāo)準(zhǔn)。 但是，標(biāo)準(zhǔn)化本身也具有其相對性；真正標(biāo)準(zhǔn)化的東西，往往又會失去其先進(jìn)性；因此需要我們做出權(quán)衡和選擇。 上述各項原則之間并非協(xié)調(diào)一致。許多原則之間是相互矛盾的，如先進(jìn)性和實用性、成熟性之間。因此在系統(tǒng)設(shè)計過程中還必須保證系統(tǒng)的先進(jìn)性、開放性、高可靠性、實用性、成熟性的有機(jī)結(jié)合，在各種矛盾之間尋求一個對立統(tǒng)一的、和諧一致的解決方案。 第三章 Arbor 流量分析系統(tǒng)功能介紹 基于 Netflow 技術(shù)的流量分析系統(tǒng) 目前國內(nèi)的各電信運(yùn)營商的寬帶互聯(lián)網(wǎng)網(wǎng)管系統(tǒng)具備了一定的流量監(jiān)控功能，能夠?qū)ζ渚W(wǎng)絡(luò)中的路由設(shè)備的端口流量進(jìn)行統(tǒng)一和一定的分析。但是目前的功能主要是基于網(wǎng)管系統(tǒng)對路由設(shè)備 SNMP 定時輪詢采集端口的數(shù)據(jù)，主要是在網(wǎng)元層用來監(jiān)控網(wǎng)絡(luò)流量和設(shè)備的性能的系統(tǒng)。 基于 SNMP 的流量監(jiān)控的缺點是功能較單一，分析功能不強(qiáng)，其收集到的流量信息是端口的統(tǒng)計信息，不能用于復(fù)雜的分析。而且由于 SNMP 采集的數(shù)據(jù)是基于端口的，無法提供端到端的準(zhǔn)確的流量信息，因此對流向的統(tǒng)計手段不明確 。由于不具備應(yīng)有的協(xié)議分析功能，所以電信運(yùn)營商目前的網(wǎng)管系統(tǒng)無法對網(wǎng)絡(luò)的異常流量進(jìn)行監(jiān)測和分析。同時電信運(yùn)營商目前的網(wǎng)管系統(tǒng)不具備業(yè)務(wù)層面的協(xié)議分析能力，對增值業(yè)務(wù)的開拓?zé)o法提供有力的依據(jù)和方案。 本方案介紹的流量分析系統(tǒng)是基于 Cisco 公司的 NETFLOW 技術(shù)的流量采集分析系統(tǒng)。目前，隨著 NETFLOW 技術(shù)的成熟，越來越多的互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備廠家如Juniper， Foundry 等也開始支持該技術(shù)或類似技術(shù)，并且 IETF 等國際標(biāo)準(zhǔn)化組織正在準(zhǔn)備將該技術(shù)納入國際標(biāo)準(zhǔn)。 Netflow的比較典型的功能是對網(wǎng)絡(luò)數(shù)據(jù)的 源地址、目的地址的分析，對流量中各種應(yīng)用的分析（基于協(xié)議或者端口）或者路由器上各個端口的負(fù)載等的分析。一個 Flow由 7 個因素構(gòu)成： ? Source IP address ? Destination IP address ? Source port number ? Destination port number ? Protocol type ? Type of service (ToS) ? Input interface 觀察上面 7 個要素可以發(fā)現(xiàn)它們可以唯一的標(biāo)識路由器上的一個網(wǎng)絡(luò)連接（ Session）。通過在網(wǎng)絡(luò)的關(guān)鍵路由器 開啟 Netflow 來采集網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)的作用主要體現(xiàn)在以下幾個方面： ? 流量分析和監(jiān)控 ? 根據(jù)流量計費 ? 網(wǎng)絡(luò)加速 ? 用于安全分析 下表是基于 SNMP 輪詢技術(shù)和 NETFLOW 采集技術(shù)的比較： SNMP 輪詢 NETFLOW 采集 采集端口流量統(tǒng)計 是 否 采集端到端流量 否 是 采集業(yè)務(wù)層流量 否 是 采集完整用戶業(yè)務(wù)流量 否 是 消耗網(wǎng)絡(luò)設(shè)備資源 較小 較多（但對高端設(shè)備性能影響不大） 適用電路 各種速率 GE、 POS 、POS 10Gbit/s 及以下 適用范圍 網(wǎng)絡(luò)各個層次 網(wǎng) 絡(luò)匯聚層和核心層 采集數(shù)據(jù)全面程度 較少 較全面 通過基于 NETFLOW 技術(shù)的流量分析系統(tǒng)對網(wǎng)絡(luò)流量的長期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大前實施防范措施，進(jìn)而提升整體網(wǎng)絡(luò)的質(zhì)量及效能。通過對網(wǎng)絡(luò)內(nèi)流量的實時分析，有助于及時發(fā)現(xiàn)網(wǎng)絡(luò)中異常流量（ DDos，蠕蟲病毒等）的來源和目的，以及流量的特性，為故障及時得到處理提供依據(jù)。通過流量分析，可以為多出口的流量負(fù)載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定 QoS 等 網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。 Arbor 流量分析系統(tǒng)功能 流量分析系統(tǒng)的監(jiān)控范圍 流量分析系統(tǒng)的監(jiān)控范圍包括： 1. 能夠分析 網(wǎng)通 各城域網(wǎng)之間的流量情況。 2. 能夠?qū)?XXXX 網(wǎng)通 互聯(lián)網(wǎng)的國際業(yè)務(wù)情況進(jìn)行分析。 3. 能夠?qū)?XXXX 網(wǎng)通 互聯(lián)網(wǎng)與國內(nèi)其它運(yùn)營商之間的業(yè)務(wù)情況進(jìn)行分析。 4. 對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)每臺路由器設(shè)備的出入流量分析。 5. 對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)每個 BGP PEER的出入流量分析，當(dāng)一個 BGP PEER通過多條電路連接到網(wǎng)絡(luò)中的一個或者多個節(jié)點時，流量分析系統(tǒng)應(yīng)能夠?qū)⒏?條電路的流量進(jìn)行統(tǒng)一的分析和匯總。 6. 對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)中大客戶的出入流量分析。能夠根據(jù)用戶的地址范圍、互聯(lián)端口、 AS 號、 Community等靈活的設(shè)定用戶范圍，并能夠反映用戶的業(yè)務(wù)使用情況、訪問熱點地區(qū)、 Transit 流量以及用戶內(nèi)部的 TOP N Talker 等。 7. 對滿足定制條件的出入流量分析。流量分析系統(tǒng)應(yīng)能夠根據(jù)（源 /目的） IP 地址段 /自治域號 /Community/接入端口 /協(xié)議端口號 /BGP 屬性等定制流量分析內(nèi)容，并完成針對性的流量分析。 Arbor流量分析系統(tǒng)的功能 流量分 析系統(tǒng)的功能包括： 1. 能夠支持接收 Netflow V V V V V9 格式的流量數(shù)據(jù)，能夠接收 sFlow、 cFlow和 Netstream格式的流量數(shù)據(jù)，并對接收到的Netflow/sFlow/cFlow/Netstream 格式的流量數(shù)據(jù)進(jìn)行統(tǒng)一的統(tǒng)計分析。 2. 能夠?qū)崟r的對網(wǎng)絡(luò)的全部流量進(jìn)行分析，顯示實時分析結(jié)果并將分析結(jié)果進(jìn)行存儲。 3. 能夠?qū)M(jìn) XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照網(wǎng)絡(luò)層協(xié)議類型（如TCP/UDP/ICMP 等）進(jìn)行分類和統(tǒng)計分析。 4. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照 TCP 和 UDP 的業(yè)務(wù)類型（如 HTTP/BT/FTP/EMAIL/OICQ/媒體點播等）進(jìn)行分類和統(tǒng)計分析。 5. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照 PEER進(jìn)行分類和統(tǒng)計分析。 6. 能按照流量的原始 AS 號對從不同 PEER進(jìn)入 XXXX網(wǎng)通 互聯(lián)網(wǎng)的流量進(jìn)行分類和統(tǒng)計分析。 7. 通過 BGP 通告的 AS PATH、 Community、 Prefix 等屬性對進(jìn)入 XXXX網(wǎng)通 互聯(lián)網(wǎng)的流量進(jìn)行分析； 8. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照 IP 包長度進(jìn)行分類和統(tǒng)計分析。 9. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照業(yè)務(wù) 類型（ TOS）進(jìn)行分類和統(tǒng)計分析， 10. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)內(nèi)的 MPLS 流量進(jìn)行分析。 11. 能夠?qū)ο到y(tǒng)運(yùn)行狀態(tài)、端口流量、網(wǎng)絡(luò) BGP 狀態(tài)、路由器運(yùn)行情況進(jìn)行監(jiān)控，并根據(jù)設(shè)置的閥值告警。告警可以通過告警窗口進(jìn)行顯示，并可以通過Trap 方式發(fā)送給網(wǎng)管系統(tǒng)的告警服務(wù)器，還可以通過 Email發(fā)送給網(wǎng)絡(luò)管理人員。 12. 能夠?qū)ο到y(tǒng) CPU、 Memory、硬盤等使用情況進(jìn)行實時監(jiān)控和記錄，能夠?qū)ο到y(tǒng)的 Netflow處理量進(jìn)行實時監(jiān)控和記錄。 13. 系統(tǒng)能夠完成以上功能的實時監(jiān)控，并能在系統(tǒng)中將結(jié)果保存 12 個月； 14. 系統(tǒng)支持歷史結(jié)果的查詢，查詢可以年 /月 /周 /日為單位，并可以查詢?nèi)我鈺r間段（如任意一天）的歷史結(jié)果。 15. 流量分析系統(tǒng)提供天 /月 /周 /年的分析結(jié)果圖表，并能夠以 HTML等格式對結(jié)果進(jìn)行存儲，并能夠提供二次開發(fā)的接口。 16. 流量分析系統(tǒng)支持分級分權(quán)管理功能，支持用戶根據(jù)需要進(jìn)行自定義的授權(quán)，開放相應(yīng)的權(quán)限和功能。 流量分析系統(tǒng)的作用 流量分析系統(tǒng)能夠為對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)提供業(yè)務(wù)決策和網(wǎng)絡(luò)維護(hù)上的幫助，主要表現(xiàn)在： 業(yè)務(wù)決策支持 l. 了解網(wǎng)絡(luò)中的真實的業(yè)務(wù)使用 情況，傳統(tǒng)的手段只能知道網(wǎng)絡(luò)的實時流量情況，卻無法了解網(wǎng)絡(luò)中實時的業(yè)務(wù)使用情況。通過對網(wǎng)絡(luò)中業(yè)務(wù)情況的分析，了解用戶的使用習(xí)慣和訪問熱點，以便于更好的為用戶提供服務(wù)。 2. 競爭對手業(yè)務(wù)分析。通過對對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)與其它運(yùn)營商之間流量的分析，掌握用戶對競爭對手的訪問熱點，以及競爭對手對網(wǎng)內(nèi)業(yè)務(wù)的訪問熱點，從而為業(yè)務(wù)發(fā)展和業(yè)務(wù)分析提供依據(jù)。 3. 了解大客戶的流量情況，掌握大客戶的業(yè)務(wù)使用情況和熱點訪問地區(qū)等情況，并可以將流量分析的結(jié)果作為增值服務(wù)提供給大客戶。 4. 發(fā)現(xiàn)潛在的用戶。通過對網(wǎng)絡(luò)流量分析， 可以發(fā)現(xiàn)潛在用戶群，為業(yè)務(wù)人員發(fā)展業(yè)務(wù)提供幫助。 網(wǎng)絡(luò)維護(hù)支持 l. 為網(wǎng)絡(luò)的日常維護(hù)提供幫助。網(wǎng)管人員需要定期的對網(wǎng)絡(luò)進(jìn)行分析并制作大量的網(wǎng)絡(luò)運(yùn)行情況報告和各種報表。流量分析系統(tǒng)能夠大幅度的減少網(wǎng)管人員的工作量，并能夠提供大量的分析結(jié)果和報表。 2. 通過對國際 /國內(nèi)流量、網(wǎng)內(nèi) /網(wǎng)間流量的分析，了解網(wǎng)絡(luò)的具體使用情況和增長趨勢，為網(wǎng)絡(luò)調(diào)整和擴(kuò)容提供依據(jù)。 3. 在網(wǎng)絡(luò)故障時給網(wǎng)管人員提供排除故障的手段。當(dāng)網(wǎng)絡(luò)中發(fā)現(xiàn)大量的垃圾流量或安全攻擊時，網(wǎng)管人員可以通過網(wǎng)絡(luò)分析系統(tǒng)對流量的實時監(jiān)控發(fā)現(xiàn)垃圾 流量和攻擊的類型和來源，從而為網(wǎng)管人員處理故障提供輔助手段。 第 4 章 Arbor 流量分析系統(tǒng)解決方案 Arbor 流量分析系統(tǒng)部署方案 Peakflow解決方案可以被部署在服務(wù)提供商的基礎(chǔ)架構(gòu)內(nèi)的不同的位置。如下圖所示，不同的部署方案可以得到不同的好處： Peer Infra str uctur eD D o SR o u ter atta ck sB GP se ss ion att ac ksP o licy v iola tio nIns tab ilityP ee r an aly sis /tr an s it r ed u ctio nCor e Infr astr uctur eR o u ter atta ck sW o r m sT r aff ic e n g ine er ingEdge In fras truc tureD D o SW o r m sD N S att ac ksM ar ke t to m ar ke t a n aly sis 采集對象 采集點的部署 Netflow采樣周期的設(shè)定 由于流量分析系統(tǒng)接收由路由設(shè)備按照一定的采樣比采集的 Netflow原數(shù)據(jù)并對網(wǎng)絡(luò)的流量進(jìn)行計算和分析，因此路由設(shè)備的采樣比率在很大程度上決定了分析結(jié)果 的準(zhǔn)確性。如果路由器配置的采樣比過高（如 1000： 1 或更高），流量分析的誤差將加大，尤其對小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。 根據(jù) Cisco 和 Juniper 設(shè)備的配置原理，每臺設(shè)備只能夠配置一個全局的采樣比率，并可以選擇打開 Netflow功能的端口（在 Juniper 路由器上還可以選擇在入 /出方向打開 Netflow功能）。因此在路由設(shè)備的 NETFLOW 采樣比率設(shè)置時，應(yīng)根據(jù)設(shè)備上需要打開 Netflow功能的板卡的主要類型并結(jié)合設(shè)備上開通的電路的流量情況重要程度，靈活 的設(shè)置路由設(shè)備的 NETFLOW 采樣比率，包括 100： 1， 500： 1，1000： 1 和 3000： 1 等。 獲取