【正文】 及效能。 本方案介紹的流量分析系統(tǒng)是基于 Cisco 公司的 NETFLOW 技術(shù)的流量采集分析系統(tǒng)。 基于 SNMP 的流量監(jiān)控的缺點(diǎn)是功能較單一，分析功能不強(qiáng)，其收集到的流量信息是端口的統(tǒng)計(jì)信息，不能用于復(fù)雜的分析。許多原則之間是相互矛盾的，如先進(jìn)性和實(shí)用性、成熟性之間。 在總體設(shè)計(jì)中，應(yīng)采用開放式的體系結(jié)構(gòu) ，使網(wǎng)絡(luò)分析系統(tǒng)易于擴(kuò)展，使相對獨(dú)立的分系統(tǒng)易于進(jìn)行組合和調(diào)整。在設(shè)計(jì)上采用恰當(dāng)?shù)募夹g(shù)手段為網(wǎng)絡(luò)分析系統(tǒng)提供等手段。 對于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)，保障系統(tǒng)體系可適應(yīng)新節(jié)點(diǎn)和設(shè)備的加入是十分關(guān)鍵的，且網(wǎng)絡(luò)技術(shù)日新月異，采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，對于今后的升級和擴(kuò)充都能帶來極大的方便和投資保護(hù)。對于現(xiàn)在和將來一段時間內(nèi)沒有必要的性能和功能不作選擇。 但由于市場競爭的需要，各廠家對新產(chǎn)品，新技術(shù)的發(fā)布總是要遠(yuǎn)遠(yuǎn)先于其實(shí)際成熟期的；對任何一個用戶而言，選擇一種不成熟的技術(shù)或產(chǎn)品，總是要冒一定的風(fēng)險的；尤其是對那些實(shí)用性要求高的用戶來說，更是如此；因此，當(dāng)先進(jìn)性的要求與成熟性要求發(fā)生矛盾時，成熟性則應(yīng)是優(yōu)先考慮的原則。 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)的設(shè)計(jì)中，首先要考慮的是實(shí)用性和易于操作性，確保使用技術(shù)成熟的網(wǎng)絡(luò)產(chǎn)品和通信技術(shù)。同時還要為未來系統(tǒng)的擴(kuò)充與擴(kuò)建留有余地和基礎(chǔ)。在流量分析系統(tǒng)設(shè)計(jì)中，必須要明確系統(tǒng)設(shè)計(jì)的原則。 重點(diǎn)采集 IDC 的 flow數(shù)據(jù) . P a g e 3 C o m p a n y C o n f i d e n t i a l3部署拓?fù)銪ack b o n eOff On n etT r ansit互聯(lián)節(jié)點(diǎn)分布層CM CCIDCCTIDC 大客戶河北網(wǎng)通分布層骨干 同時 增加針對 DDoS 的流量清洗設(shè)備 TMS 遠(yuǎn)期： 實(shí)現(xiàn)全網(wǎng)的數(shù)據(jù)采集， 可以分析全網(wǎng)所有流量流向。 Arbor Peakflow XXXX 網(wǎng)網(wǎng) 通通 流流 量量 分分 析析 和和 安安 全全 監(jiān)監(jiān) 測測 系系 統(tǒng)統(tǒng) 解解 決決 方方 案案 目目 錄錄 第一章 前言 .......................................................................................................................... 3 方案背景 ..................................................................................................................... 3 新的網(wǎng)絡(luò)可視化管理需求 ......................................................................................... 3 方案必要性 ................................................................................................................. 5 具體實(shí)施建議 ............................................................................................................. 6 第二章 系統(tǒng)設(shè)計(jì)原則 .......................................................................................................... 8 連續(xù)性原則 ................................................................................................................. 8 實(shí)用性原則 ................................................................................................................. 8 可擴(kuò)充性原則 ............................................................................................................. 9 可靠性原則 ............................................................................................................... 10 安全性原則 ............................................................................................................... 10 開放性和標(biāo)準(zhǔn)化原則 ............................................................................................... 10 第三章 ARBOR 流量分析系統(tǒng)功能介紹 ..........................................................................11 基于 NETFLOW 技術(shù)的流量分析系統(tǒng) .......................................................................11 ARBOR流量分析系統(tǒng)功能 ....................................................................................... 12 流量分析系統(tǒng)的作用 ............................................................................................... 14 第 4 章 ARBOR 流量分析系統(tǒng)解決方案 ......................................................................... 16 ARBOR流量分析系統(tǒng)部署方案 ............................................................................... 16 方案優(yōu)勢及特點(diǎn) ....................................................................................................... 20 第五章電信運(yùn)營商網(wǎng)絡(luò)安全解決方案 ............................................................................. 29 網(wǎng)絡(luò)中的異常流量 ................................................................................................... 29 對異常流量的監(jiān)測與控制 ....................................................................................... 30 SP IS 安全解決方案 ................................................................................ 31 異常流量的監(jiān)測與控制解決方案 ........................................................................... 33 第六章 ARBOR PEAKFLOW產(chǎn)品介紹 ........................................................................ 37 PEAKFLOW SP CP產(chǎn)品功能介紹： ............................................................................. 38 第一章 前言 方案背景 目前 IP 網(wǎng)絡(luò)已經(jīng)是 XXXX 網(wǎng)通 網(wǎng)絡(luò)中的重要業(yè)務(wù)承載平面 , 網(wǎng)通 總部 已 于三年前部署了針對 IP 骨干網(wǎng)絡(luò)的流量分析和異常監(jiān)控系統(tǒng) , 通過 Arbor Networks 的Peakflow SP 平 臺實(shí)現(xiàn)了強(qiáng)有力的網(wǎng)絡(luò)可視化分析能力并實(shí)時生成靈活的自定義報表 , 為總部的業(yè)務(wù)調(diào)度和安全分析提供了很好的保障 . 針對目前 XXXX 網(wǎng)通 的業(yè)務(wù)和管理需求 , 可以利用最新的 Peakflow SP CP 平臺實(shí)現(xiàn)網(wǎng)絡(luò)可視化的分析與安全監(jiān)控 . 新的網(wǎng)絡(luò)可視化管理需求 本工程建設(shè)內(nèi)容為：建設(shè)一套流量分析系統(tǒng)對 XXXX 網(wǎng)通 IP 網(wǎng)內(nèi)的流量進(jìn)行分析、檢測和控制。如在 ATamp。我公司 將遵守連續(xù)性、實(shí)用性、可擴(kuò)充性、可靠性、安全性、標(biāo)準(zhǔn)化、規(guī)范化的原則進(jìn)行此次流量分析系統(tǒng)的設(shè)計(jì)和建設(shè)。既要考慮原有投資的保護(hù)，又要兼顧未來的發(fā)展 和變化。 “技術(shù)領(lǐng)先” 當(dāng)今社會里信息技術(shù)的發(fā)展變化迅速，各種新技術(shù)新應(yīng)用層出不窮。 但是，成熟性本身也是一個相對的概念，我們不能因?yàn)樽非蟪墒欤艞壱呀?jīng)被諸多應(yīng)用系統(tǒng)證明是切實(shí)可行的先進(jìn)技術(shù)和產(chǎn)品。并且新的工程建設(shè)必須要能夠求得一個最佳的價格性能比，才能最大地發(fā)揮投資的效益。 可靠性原則 鑒于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)規(guī)模較大，設(shè)備類型復(fù)雜，要求網(wǎng)絡(luò)分析系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡(luò)分析能力，這就要求充分考慮設(shè)備和線路的冗余備份。既要保證網(wǎng)絡(luò)的安全運(yùn)行，又要確保網(wǎng)上信息的不被他人篡改和破壞。同時，對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)中選用的通信協(xié)議要符合國際標(biāo)準(zhǔn)。因此在系統(tǒng)設(shè)計(jì)過程中還必須保證系統(tǒng)的先進(jìn)性、開放性、高可靠性、實(shí)用性、成熟性的有機(jī)結(jié)合，在各種矛盾之間尋求一個對立統(tǒng)一的、和諧一致的解決方案。而且由于 SNMP 采集的數(shù)據(jù)是基于端口的，無法提供端到端的準(zhǔn)確的流量信息，因此對流向的統(tǒng)計(jì)手段不明確 。目前，隨著 NETFLOW 技術(shù)的成熟，越來越多的互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備廠家如Juniper， Foundry 等也開始支持該技術(shù)或類似技術(shù)，并且 IETF 等國際標(biāo)準(zhǔn)化組織正在準(zhǔn)備將該技術(shù)納入國際標(biāo)準(zhǔn)。通過對網(wǎng)絡(luò)內(nèi)流量的實(shí)時分析，有助于及時發(fā)現(xiàn)網(wǎng)絡(luò)中異常流量（ DDos，蠕蟲病毒等）的來源和目的，以及流量的特性，為故障及時得到處理提供依據(jù)。 3. 能夠?qū)?XXXX 網(wǎng)通 互聯(lián)網(wǎng)與國內(nèi)其它運(yùn)營商之間的業(yè)務(wù)情況進(jìn)行分析。能夠根據(jù)用戶的地址范圍、互聯(lián)端口、 AS 號、 Community等靈活的設(shè)定用戶范圍，并能夠反映用戶的業(yè)務(wù)使用情況、訪問熱點(diǎn)地區(qū)、 Transit 流量以及用戶內(nèi)部的 TOP N Talker 等。 2. 能夠?qū)崟r的對網(wǎng)絡(luò)的全部流量進(jìn)行分析，顯示實(shí)時分析結(jié)果并將分析結(jié)果進(jìn)行存儲。 6. 能按照流量的原始 AS 號對從不同 PEER進(jìn)入 XXXX網(wǎng)通 互聯(lián)網(wǎng)的流量進(jìn)行分類和統(tǒng)計(jì)分析。告警可以通過告警窗口進(jìn)行顯示，并可以通過Trap 方式發(fā)送給網(wǎng)管系統(tǒng)的告警服務(wù)器，還可以通過 Email發(fā)送給網(wǎng)絡(luò)管理人員。 16. 流量分析系統(tǒng)支持分級分權(quán)管理功能，支持用戶根據(jù)需要進(jìn)行自定義的授權(quán)，開放相應(yīng)的權(quán)限和功能。通過對對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)與其它運(yùn)營商之間流量的分析，掌握用戶對競爭對手的訪問熱點(diǎn)，以及競爭對手對網(wǎng)內(nèi)業(yè)務(wù)的訪問熱點(diǎn)，從而為業(yè)務(wù)發(fā)展和業(yè)務(wù)分析提供依據(jù)。 網(wǎng)絡(luò)維護(hù)支持 l. 為網(wǎng)絡(luò)的日常維護(hù)提供幫助。 3. 在網(wǎng)絡(luò)故障時給網(wǎng)管人員提供排除故障的手段。如果路由器配置的采樣比過高（如 1000： 1 或更高），流量分析的誤差將加大，尤其對小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。根據(jù)本方案設(shè)計(jì)，收集器分別與被監(jiān)測路由器通過 MD5 認(rèn)證建立 iBGP 連接，從被監(jiān)測路由器學(xué)習(xí) BGP 路由信息。 這些信息包括了系統(tǒng)進(jìn)行分析說必須的信息（如端口索引），還可以對路由器的運(yùn)行情況進(jìn)行監(jiān)控并可以把 Netflow數(shù)據(jù)與端口實(shí)際流量情況進(jìn)行比較。 Peakflow系統(tǒng)采用分布集中式結(jié)構(gòu) ，一臺控制器可以同時關(guān)聯(lián)并管理多臺收集器，可根據(jù) 網(wǎng) 絡(luò)規(guī)模和流量的增加而進(jìn)行平滑的升級，只需要根據(jù)網(wǎng)絡(luò)流量的情況增加 收 集器即可增加系統(tǒng)的處理能力。綜合網(wǎng)管平臺更加強(qiáng)調(diào)面向業(yè)務(wù)、面向用戶以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。 流量分析系統(tǒng)與網(wǎng)管系統(tǒng)其它功能模塊的配合主要包括： ? 與網(wǎng)管系統(tǒng)數(shù)據(jù)庫的配合 將流量分析系統(tǒng)的分析結(jié)果數(shù)據(jù)存儲到網(wǎng)管系統(tǒng)