【正文】 及效能。 本方案介紹的流量分析系統(tǒng)是基于 Cisco 公司的 NETFLOW 技術(shù)的流量采集分析系統(tǒng)。 基于 SNMP 的流量監(jiān)控的缺點是功能較單一，分析功能不強，其收集到的流量信息是端口的統(tǒng)計信息，不能用于復雜的分析。許多原則之間是相互矛盾的，如先進性和實用性、成熟性之間。 在總體設計中，應采用開放式的體系結(jié)構(gòu) ，使網(wǎng)絡分析系統(tǒng)易于擴展，使相對獨立的分系統(tǒng)易于進行組合和調(diào)整。在設計上采用恰當?shù)募夹g(shù)手段為網(wǎng)絡分析系統(tǒng)提供等手段。 對于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)，保障系統(tǒng)體系可適應新節(jié)點和設備的加入是十分關鍵的，且網(wǎng)絡技術(shù)日新月異，采用先進的網(wǎng)絡技術(shù)，對于今后的升級和擴充都能帶來極大的方便和投資保護。對于現(xiàn)在和將來一段時間內(nèi)沒有必要的性能和功能不作選擇。 但由于市場競爭的需要，各廠家對新產(chǎn)品，新技術(shù)的發(fā)布總是要遠遠先于其實際成熟期的；對任何一個用戶而言，選擇一種不成熟的技術(shù)或產(chǎn)品，總是要冒一定的風險的；尤其是對那些實用性要求高的用戶來說，更是如此；因此，當先進性的要求與成熟性要求發(fā)生矛盾時，成熟性則應是優(yōu)先考慮的原則。 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)的設計中，首先要考慮的是實用性和易于操作性，確保使用技術(shù)成熟的網(wǎng)絡產(chǎn)品和通信技術(shù)。同時還要為未來系統(tǒng)的擴充與擴建留有余地和基礎。在流量分析系統(tǒng)設計中，必須要明確系統(tǒng)設計的原則。 重點采集 IDC 的 flow數(shù)據(jù) . P a g e 3 C o m p a n y C o n f i d e n t i a l3部署拓撲Back b o n eOff On n etT r ansit互聯(lián)節(jié)點分布層CM CCIDCCTIDC 大客戶河北網(wǎng)通分布層骨干 同時 增加針對 DDoS 的流量清洗設備 TMS 遠期： 實現(xiàn)全網(wǎng)的數(shù)據(jù)采集， 可以分析全網(wǎng)所有流量流向。 Arbor Peakflow XXXX 網(wǎng)網(wǎng) 通通 流流 量量 分分 析析 和和 安安 全全 監(jiān)監(jiān) 測測 系系 統(tǒng)統(tǒng) 解解 決決 方方 案案 目目 錄錄 第一章 前言 .......................................................................................................................... 3 方案背景 ..................................................................................................................... 3 新的網(wǎng)絡可視化管理需求 ......................................................................................... 3 方案必要性 ................................................................................................................. 5 具體實施建議 ............................................................................................................. 6 第二章 系統(tǒng)設計原則 .......................................................................................................... 8 連續(xù)性原則 ................................................................................................................. 8 實用性原則 ................................................................................................................. 8 可擴充性原則 ............................................................................................................. 9 可靠性原則 ............................................................................................................... 10 安全性原則 ............................................................................................................... 10 開放性和標準化原則 ............................................................................................... 10 第三章 ARBOR 流量分析系統(tǒng)功能介紹 ..........................................................................11 基于 NETFLOW 技術(shù)的流量分析系統(tǒng) .......................................................................11 ARBOR流量分析系統(tǒng)功能 ....................................................................................... 12 流量分析系統(tǒng)的作用 ............................................................................................... 14 第 4 章 ARBOR 流量分析系統(tǒng)解決方案 ......................................................................... 16 ARBOR流量分析系統(tǒng)部署方案 ............................................................................... 16 方案優(yōu)勢及特點 ....................................................................................................... 20 第五章電信運營商網(wǎng)絡安全解決方案 ............................................................................. 29 網(wǎng)絡中的異常流量 ................................................................................................... 29 對異常流量的監(jiān)測與控制 ....................................................................................... 30 SP IS 安全解決方案 ................................................................................ 31 異常流量的監(jiān)測與控制解決方案 ........................................................................... 33 第六章 ARBOR PEAKFLOW產(chǎn)品介紹 ........................................................................ 37 PEAKFLOW SP CP產(chǎn)品功能介紹： ............................................................................. 38 第一章 前言 方案背景 目前 IP 網(wǎng)絡已經(jīng)是 XXXX 網(wǎng)通 網(wǎng)絡中的重要業(yè)務承載平面 , 網(wǎng)通 總部 已 于三年前部署了針對 IP 骨干網(wǎng)絡的流量分析和異常監(jiān)控系統(tǒng) , 通過 Arbor Networks 的Peakflow SP 平 臺實現(xiàn)了強有力的網(wǎng)絡可視化分析能力并實時生成靈活的自定義報表 , 為總部的業(yè)務調(diào)度和安全分析提供了很好的保障 . 針對目前 XXXX 網(wǎng)通 的業(yè)務和管理需求 , 可以利用最新的 Peakflow SP CP 平臺實現(xiàn)網(wǎng)絡可視化的分析與安全監(jiān)控 . 新的網(wǎng)絡可視化管理需求 本工程建設內(nèi)容為：建設一套流量分析系統(tǒng)對 XXXX 網(wǎng)通 IP 網(wǎng)內(nèi)的流量進行分析、檢測和控制。如在 ATamp。我公司 將遵守連續(xù)性、實用性、可擴充性、可靠性、安全性、標準化、規(guī)范化的原則進行此次流量分析系統(tǒng)的設計和建設。既要考慮原有投資的保護，又要兼顧未來的發(fā)展 和變化。 “技術(shù)領先” 當今社會里信息技術(shù)的發(fā)展變化迅速，各種新技術(shù)新應用層出不窮。 但是，成熟性本身也是一個相對的概念，我們不能因為追求成熟，而放棄已經(jīng)被諸多應用系統(tǒng)證明是切實可行的先進技術(shù)和產(chǎn)品。并且新的工程建設必須要能夠求得一個最佳的價格性能比，才能最大地發(fā)揮投資的效益。 可靠性原則 鑒于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)規(guī)模較大，設備類型復雜，要求網(wǎng)絡分析系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡分析能力，這就要求充分考慮設備和線路的冗余備份。既要保證網(wǎng)絡的安全運行，又要確保網(wǎng)上信息的不被他人篡改和破壞。同時，對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)中選用的通信協(xié)議要符合國際標準。因此在系統(tǒng)設計過程中還必須保證系統(tǒng)的先進性、開放性、高可靠性、實用性、成熟性的有機結(jié)合，在各種矛盾之間尋求一個對立統(tǒng)一的、和諧一致的解決方案。而且由于 SNMP 采集的數(shù)據(jù)是基于端口的，無法提供端到端的準確的流量信息，因此對流向的統(tǒng)計手段不明確 。目前，隨著 NETFLOW 技術(shù)的成熟，越來越多的互聯(lián)網(wǎng)網(wǎng)絡設備廠家如Juniper， Foundry 等也開始支持該技術(shù)或類似技術(shù)，并且 IETF 等國際標準化組織正在準備將該技術(shù)納入國際標準。通過對網(wǎng)絡內(nèi)流量的實時分析，有助于及時發(fā)現(xiàn)網(wǎng)絡中異常流量（ DDos，蠕蟲病毒等）的來源和目的，以及流量的特性，為故障及時得到處理提供依據(jù)。 3. 能夠?qū)?XXXX 網(wǎng)通 互聯(lián)網(wǎng)與國內(nèi)其它運營商之間的業(yè)務情況進行分析。能夠根據(jù)用戶的地址范圍、互聯(lián)端口、 AS 號、 Community等靈活的設定用戶范圍，并能夠反映用戶的業(yè)務使用情況、訪問熱點地區(qū)、 Transit 流量以及用戶內(nèi)部的 TOP N Talker 等。 2. 能夠?qū)崟r的對網(wǎng)絡的全部流量進行分析，顯示實時分析結(jié)果并將分析結(jié)果進行存儲。 6. 能按照流量的原始 AS 號對從不同 PEER進入 XXXX網(wǎng)通 互聯(lián)網(wǎng)的流量進行分類和統(tǒng)計分析。告警可以通過告警窗口進行顯示，并可以通過Trap 方式發(fā)送給網(wǎng)管系統(tǒng)的告警服務器，還可以通過 Email發(fā)送給網(wǎng)絡管理人員。 16. 流量分析系統(tǒng)支持分級分權(quán)管理功能，支持用戶根據(jù)需要進行自定義的授權(quán)，開放相應的權(quán)限和功能。通過對對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)與其它運營商之間流量的分析，掌握用戶對競爭對手的訪問熱點，以及競爭對手對網(wǎng)內(nèi)業(yè)務的訪問熱點，從而為業(yè)務發(fā)展和業(yè)務分析提供依據(jù)。 網(wǎng)絡維護支持 l. 為網(wǎng)絡的日常維護提供幫助。 3. 在網(wǎng)絡故障時給網(wǎng)管人員提供排除故障的手段。如果路由器配置的采樣比過高（如 1000： 1 或更高），流量分析的誤差將加大，尤其對小數(shù)據(jù)流或混雜在大流量中的部分關鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。根據(jù)本方案設計，收集器分別與被監(jiān)測路由器通過 MD5 認證建立 iBGP 連接，從被監(jiān)測路由器學習 BGP 路由信息。 這些信息包括了系統(tǒng)進行分析說必須的信息（如端口索引），還可以對路由器的運行情況進行監(jiān)控并可以把 Netflow數(shù)據(jù)與端口實際流量情況進行比較。 Peakflow系統(tǒng)采用分布集中式結(jié)構(gòu) ，一臺控制器可以同時關聯(lián)并管理多臺收集器，可根據(jù) 網(wǎng) 絡規(guī)模和流量的增加而進行平滑的升級，只需要根據(jù)網(wǎng)絡流量的情況增加 收 集器即可增加系統(tǒng)的處理能力。綜合網(wǎng)管平臺更加強調(diào)面向業(yè)務、面向用戶以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。 流量分析系統(tǒng)與網(wǎng)管系統(tǒng)其它功能模塊的配合主要包括： ? 與網(wǎng)管系統(tǒng)數(shù)據(jù)庫的配合 將流量分析系統(tǒng)的分析結(jié)果數(shù)據(jù)存儲到網(wǎng)管系統(tǒng)