【正文】 中將嚴格遵守上述原則。 連續(xù)性原則**電信公司骨干互聯網流量分析系統在進行總體設計時，要考慮到技術的發(fā)展，具備適度的前瞻性，能夠滿足現今和將來一段時期的需要。同時還要為未來系統的擴充與擴建留有余地和基礎。既要考慮原有投資的保護，又要兼顧未來的發(fā)展和變化。 實用性原則實用性的原則的目的是在保證實用要求和技術可行性的前提下，要選擇易于操作和管理，應用見效快的技術和方案，以及適當檔次和價格的產品。這主要指： “從實際出發(fā)，講求實效”TR 網絡流量分析解決方案業(yè)內人士一致公認，計算機技術，尤其是計算機網絡技術的發(fā)展速度往往超乎人們的想象；每年新推出的技術和產品層出不窮；人們永遠希望利用新技術，新產品，不要落后，但是，成熟的新產品也可能會對應用環(huán)境提出新的要求，如果環(huán)境的改造不能同步，再新的技術和產品，也不能真正發(fā)揮起自身的優(yōu)勢；因此設計者必須根據投資的強度以及運行條件的可能，對所建系統、以及所用技術和產品進行客觀地評估。**電信公司骨干互聯網流量分析系統的設計中，首先要考慮的是實用性和易于操作性，確保使用技術成熟的網絡產品和通信技術。 “技術領先”當今社會里信息技術的發(fā)展變化迅速，各種新技術新應用層出不窮。為了保證建設后的系統能在今后的一段時間內能夠適應新出現的應用，需要將**電信公司骨干互聯網流量分析系統的技術水平定位于一個較高的層次上，從而保證系統的先進性，以適應未來數據發(fā)展的需要。 “先進性和成熟性，成熟性優(yōu)先”當前網絡技術發(fā)展迅速，新的產品不斷涌現并趨于成熟，在滿足實用性的基礎上，起點要高，應盡量選用先進的網絡技術及通信設施。但由于市場競爭的需要，各廠家對新產品，新技術的發(fā)布總是要遠遠先于其實際成熟期的；對任何一個用戶而言，選擇一種不成熟的技術或產品，總是要冒一定的風險的；尤其是對那些實用性要求高的用戶來說，更是如此；因此，當先進性的要求與成熟性要求發(fā)生矛盾時，成熟性則應是優(yōu)先考慮的原則。但是，成熟性本身也是一個相對的概念，我們不能因為追求成熟，而放棄已經被諸多應用系統證明是切實可行的先進技術和產品。我們認為，一種技術或產品，其商品化的程度，以及隨此技術或產品而不斷推出的日趨完善的支持服務，是我們考察它是否真正成熟有效的主要參考標準。 “經濟性和有效保護歷史投資”**電信公司骨干互聯網流量分析系統的建設，要從經濟性著眼，在完成系統目標的基礎上，力爭用最少的錢辦最多的事，實現成本效益的最大化。對于現在和將來一段時間內沒有必要的性能和功能不作選擇。并且新的工程建設必須要能夠求得一個最佳的價格性能比，才能最大地發(fā)揮投資的效益。本原則將貫徹整個設計過程。TR 網絡流量分析解決方案 可擴充性原則可擴充性主要包括兩個方面的內容：一是為**電信公司骨干互聯網未來將擴充新的節(jié)點和新的設備預先作好軟、硬件接口；二是系統必須具有升級能力，能夠適應網絡新技術和業(yè)務發(fā)展的要求。對于**電信公司骨干互聯網流量分析系統，保障系統體系可適應新節(jié)點和設備的加入是十分關鍵的，且網絡技術日新月異，采用先進的網絡技術，對于今后的升級和擴充都能帶來極大的方便和投資保護。 可靠性原則鑒于**電信公司骨干互聯網規(guī)模較大，設備類型復雜，要求網絡分析系統必須具有較高的可靠性，和良好的網絡分析能力，這就要求充分考慮設備和線路的冗余備份。 安全性原則在網絡分析系統中，安全性原則應在各個方面予以高度重視，特別是網絡中和其他不可信網絡進行了連接，有可能會發(fā)生這樣那樣的蓄意破壞事件，威脅到系統的可靠安全運行。用戶身份的假冒、應用程序的非授權使用和損害或破壞性程序引入都是邏輯方面的威脅。在設計上采用恰當的技術手段為網絡分析系統提供等手段。既要保證網絡的安全運行，又要確保網上信息的不被他人篡改和破壞。 開放性和標準化原則方案所采用的技術和設備等，都必須符合相應的國際標準或國家標準，或者符合相關系統內部的相應規(guī)范。便于系統的升級、擴充，以及與其它系統或廠家的設備的互連、互通。在總體設計中，應采用開放式的體系結構，使網絡分析系統易于擴展，使相對獨立的分系統易于進行組合和調整。同時，對**電信公司骨干互聯網流量分析系統中選用的通信協議要符合國際標準。但是，標準化本身也具有其相對性；真正標準化的東西，往往又會失去其先進性；因此需要我們做出權衡和選擇。TR 網絡流量分析解決方案上述各項原則之間并非協調一致。許多原則之間是相互矛盾的，如先進性和實用性、成熟性之間。因此在系統設計過程中還必須保證系統的先進性、開放性、高可靠性、實用性、成熟性的有機結合，在各種矛盾之間尋求一個對立統一的、和諧一致的解決方案。TR 網絡流量分析解決方案第三章 Arbor 流量分析系統功能介紹 基于 Netflow 技術的流量分析系統目前國內的各電信運營商的寬帶互聯網網管系統具備了一定的流量監(jiān)控功能，能夠對其網絡中的路由設備的端口流量進行統一和一定的分析。但是目前的功能主要是基于網管系統對路由設備 SNMP 定時輪詢采集端口的數據，主要是在網元層用來監(jiān)控網絡流量和設備的性能的系統?；?SNMP 的流量監(jiān)控的缺點是功能較單一，分析功能不強，其收集到的流量信息是端口的統計信息，不能用于復雜的分析。而且由于 SNMP 采集的數據是基于端口的，無法提供端到端的準確的流量信息，因此對流向的統計手段不明確。由于不具備應有的協議分析功能，所以電信運營商目前的網管系統無法對網絡的異常流量進行監(jiān)測和分析。同時電信運營商目前的網管系統不具備業(yè)務層面的協議分析能力，對增值業(yè)務的開拓無法提供有力的依據和方案。本方案介紹的流量分析系統是基于 Cisco 公司的 NETFLOW 技術的流量采集分析系統。目前，隨著 NETFLOW 技術的成熟，越來越多的互聯網網絡設備廠家如Juniper，Foundry 等也開始支持該技術或類似技術，并且 IETF 等國際標準化組織正在準備將該技術納入國際標準。Netflow 的比較典型的功能是對網絡數據的源地址、目的地址的分析，對流量中各種應用的分析（基于協議或者端口）或者路由器上各個端口的負載等的分析。一個Flow 由 7 個因素構成：? Source IP address? Destination IP address? Source port number? Destination port number? Protocol type? Type of service (ToS)? Input interfaceTR 網絡流量分析解決方案觀察上面 7 個要素可以發(fā)現它們可以唯一的標識路由器上的一個網絡連接（Session） 。通過在網絡的關鍵路由器開啟 Netflow 來采集網絡流量，對網絡的作用主要體現在以下幾個方面：? 流量分析和監(jiān)控? 根據流量計費? 網絡加速? 用于安全分析下表是基于 SNMP 輪詢技術和 NETFLOW 采集技術的比較：SNMP 輪詢 NETFLOW 采集采集端口流量統計 是 否采集端到端流量 否 是采集業(yè)務層流量 否 是采集完整用戶業(yè)務流量 否 是消耗網絡設備資源 較小 較多（但對高端設備性能影響不大）適用電路 各種速率 GE、POS 、POS 10Gbit/s 及以下適用范圍 網絡各個層次 網絡匯聚層和核心層采集數據全面程度 較少 較全面通過基于 NETFLOW 技術的流量分析系統對網絡流量的長期監(jiān)控，有助于網管人員了解網絡的流量模型，所形成的基準數據，可供網管人員正確分析網絡使用狀況，并可及時發(fā)布異常警訊，在故障事件爆發(fā)或擴大前實施防范措施，進而提升整體網絡的質量及效能。通過對網絡內流量的實時分析，有助于及時發(fā)現網絡中異常流量（DDos ，蠕蟲病毒等）的來源和目的，以及流量的特性，為故障及時得到處理提供依據。通過流量分析，可以為多出口的流量負載均衡、重要鏈路的帶寬設置、路由選擇和設定 QoS 等網絡優(yōu)化措施提供數據依據。 Arbor 流量分析系統功能 流量分析系 統 的監(jiān)控范圍流量分析系統的監(jiān)控范圍包括：1. 能夠分析**電信公司各城域網之間的流量情況。TR 網絡流量分析解決方案2. 能夠對**電信公司骨干互聯網的國際業(yè)務情況進行分析。3. 能夠對**電信公司骨干互聯網與國內其它運營商之間的業(yè)務情況進行分析。4. 對**電信公司骨干互聯網每臺路由器設備的出入流量分析。5. 對**電信公司骨干互聯網每個 BGP PEER 的出入流量分析，當一個 BGP PEER 通過多條電路連接到網絡中的一個或者多個節(jié)點時，流量分析系統應能夠將各條電路的流量進行統一的分析和匯總。6. 對**電信公司骨干互聯網中大客戶的出入流量分析。能夠根據用戶的地址范圍、互聯端口、AS 號、Community 等靈活的設定用戶范圍，并能夠反映用戶的業(yè)務使用情況、訪問熱點地區(qū)、Transit 流量以及用戶內部的 TOP N Talker 等。7. 對滿足定制條件的出入流量分析。流量分析系統應能夠根據（源/目的）IP地址段/自治域號/Community/ 接入端口/協議端口號/BGP 屬性等定制流量分析內容，并完成針對性的流量分析。 Arbor 流量分析系統的功能流量分析系統的功能包括：1. 能夠支持接收 Netflow VVVV V9 格式的流量數據，能夠接收sFlow、 cFlow 和 Netstream 格式的流量數據，并對接收到的Netflow/sFlow/cFlow/Netstream 格式的流量數據進行統一的統計分析。2. 能夠實時的對網絡的全部流量進行分析，顯示實時分析結果并將分析結果進行存儲。3. 能夠對進**電信公司骨干互聯網的流量按照網絡層協議類型（如TCP/UDP/ICMP 等）進行分類和統計分析。4. 能夠對進入**電信公司骨干互聯網的流量按照 TCP 和 UDP 的業(yè)務類型（如 HTTP/BT/FTP/EMAIL/OICQ/媒體點播等）進行分類和統計分析。5. 能夠對進入**電信公司骨干互聯網的流量按照 PEER 進行分類和統計分析。TR 網絡流量分析解決方案6. 能按照流量的原始 AS 號對從不同 PEER 進入 **電信公司骨干互聯網的流量進行分類和統計分析。7. 通過 BGP 通告的 AS PATH、Community、Prefix 等屬性對進入**電信公司骨干互聯網的流量進行分析；8. 能夠對進入**電信公司骨干互聯網的流量按照 IP 包長度進行分類和統計分析。9. 能夠對進入**電信公司骨干互聯網的流量按照業(yè)務類型（TOS）進行分類和統計分析，10. 能夠對進入**電信公司骨干互聯網內的 MPLS 流量進行分析。11. 能夠對系統運行狀態(tài)、端口流量、網絡 BGP 狀態(tài)、路由器運行情況進行監(jiān)控，并根據設置的閥值告警。告警可以通過告警窗口進行顯示，并可以通過 Trap 方式發(fā)送給網管系統的告警服務器，還可以通過 Email 發(fā)送給網絡管理人員。12. 能夠對系統 CPU、Memory、硬盤等使用情況進行實時監(jiān)控和記錄，能夠對系統的 Netflow 處理量進行實時監(jiān)控和記錄。13. 系統能夠完成以上功能的實時監(jiān)控，并能在系統中將結果保存 12 個月；14. 系統支持歷史結果的查詢，查詢可以年/月/周/日為單位，并可以查詢任意時間段（如任意一天）的歷史結果。15. 流量分析系統提供天/月/周/年的分析結果圖表，并能夠以 HTML 等格式對結果進行存儲，并能夠提供二次開發(fā)的接口。16. 流量分析系統支持分級分權管理功能，支持用戶根據需要進行自定義的授權，開放相應的權限和功能。 流量分析系統的作用流量分析系統能夠為對**電信公司骨干互聯網提供業(yè)務決策和網絡維護上的幫助，主要表現在：TR 網絡流量分析解決方案 業(yè)務決策支持l. 了解網絡中的真實的業(yè)務使用情況，傳統的手段只能知道網絡的實時流量情況，卻無法了解網絡中實時的業(yè)務使用情況。通過對網絡中業(yè)務情況的分析，了解用戶的使用習慣和訪問熱點，以便于更好的為用戶提供服務。2. 競爭對手業(yè)務分析。通過對對**電信公司骨干互聯網與其它運營商之間流量的分析，掌握用戶對競爭對手的訪問熱點，以及競爭對手對網內業(yè)務的訪問熱點，從而為業(yè)務發(fā)展和業(yè)務分析提供依據。3. 了解大客戶的流量情況，掌握大客戶的業(yè)務使用情況和熱點訪問地區(qū)等情況，并可以將流量分析的結果作為增值服務提供給大客戶。4. 發(fā)現潛在的用戶。通過對網絡流量分析，可以發(fā)現潛在用戶群，為業(yè)務人員發(fā)展業(yè)務提供幫助。 網 絡維護支持l. 為網絡的日常維護提供幫助。網管人員需要定期的對網絡進行分析并制作大量的網絡運行情況報告和各種報表。流量分析系統能夠大幅度的減少網管人員的工作量，并能夠提供大量的分析結果和報表。2. 通過對國際/國內流量、網內/網間流量的分析，了解網絡的具體使用情況和增長趨勢，為網絡調整和擴容提供依據。3. 在網絡故障時給網管人員提供排除故障的手段。當網絡中發(fā)現大量的垃圾流量或安全攻擊時，網管人員可以通過網絡分析系統對流量的實時監(jiān)控發(fā)現垃圾流量和攻擊的類型和來源，從而為網管人員處理故障提供輔助手段。TR 網絡流量分析解決方案第 4 章 Arbor 流量分析系統解決方案 Arbor 流量分析系統部署方案Peakflow 解決方案包括 Peakflow DoS 系統和 Peakflow SP 系統兩部分，可以被部署在服務提供商的基礎架構內的不同的位置。如下圖所示，不同的部署方案可以得到不同的好處： Per InfrastructreDoSRuter atcksBGPsion atcksolicy