【正文】 家的設(shè)備的互連、互通。用戶身份的假冒、應(yīng)用程序的非授權(quán)使用和損害或破壞性程序引入都是邏輯方面的威脅。TR 網(wǎng)絡(luò)流量分析解決方案 可擴(kuò)充性原則可擴(kuò)充性主要包括兩個(gè)方面的內(nèi)容：一是為**電信公司骨干互聯(lián)網(wǎng)未來將擴(kuò)充新的節(jié)點(diǎn)和新的設(shè)備預(yù)先作好軟、硬件接口；二是系統(tǒng)必須具有升級能力，能夠適應(yīng)網(wǎng)絡(luò)新技術(shù)和業(yè)務(wù)發(fā)展的要求。 “經(jīng)濟(jì)性和有效保護(hù)歷史投資”**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)的建設(shè)，要從經(jīng)濟(jì)性著眼，在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，力爭用最少的錢辦最多的事，實(shí)現(xiàn)成本效益的最大化。 “先進(jìn)性和成熟性，成熟性優(yōu)先”當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展迅速，新的產(chǎn)品不斷涌現(xiàn)并趨于成熟，在滿足實(shí)用性的基礎(chǔ)上，起點(diǎn)要高，應(yīng)盡量選用先進(jìn)的網(wǎng)絡(luò)技術(shù)及通信設(shè)施。這主要指： “從實(shí)際出發(fā)，講求實(shí)效”TR 網(wǎng)絡(luò)流量分析解決方案業(yè)內(nèi)人士一致公認(rèn)，計(jì)算機(jī)技術(shù)，尤其是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展速度往往超乎人們的想象；每年新推出的技術(shù)和產(chǎn)品層出不窮；人們永遠(yuǎn)希望利用新技術(shù)，新產(chǎn)品，不要落后，但是，成熟的新產(chǎn)品也可能會對應(yīng)用環(huán)境提出新的要求，如果環(huán)境的改造不能同步，再新的技術(shù)和產(chǎn)品，也不能真正發(fā)揮起自身的優(yōu)勢；因此設(shè)計(jì)者必須根據(jù)投資的強(qiáng)度以及運(yùn)行條件的可能，對所建系統(tǒng)、以及所用技術(shù)和產(chǎn)品進(jìn)行客觀地評估。 連續(xù)性原則**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)在進(jìn)行總體設(shè)計(jì)時(shí)，要考慮到技術(shù)的發(fā)展，具備適度的前瞻性，能夠滿足現(xiàn)今和將來一段時(shí)期的需要。TR 網(wǎng)絡(luò)流量分析解決方案第二章 系統(tǒng)設(shè)計(jì)原則**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)工程項(xiàng)目是**電信公司集團(tuán) IP 骨干網(wǎng)建設(shè)中的一項(xiàng)重要部分。流量分析系統(tǒng)主要由一臺數(shù)據(jù)流量收集器和一臺數(shù)據(jù)流量控制器組成。收集器負(fù)責(zé)收集數(shù)據(jù)流信息，鑒定異常的網(wǎng)絡(luò)流量，并且把結(jié)果傳送給數(shù)據(jù)流量控制器，從而建立動態(tài)正常流量模型。在流量分析系統(tǒng)設(shè)計(jì)中，必須要明確系統(tǒng)設(shè)計(jì)的原則。同時(shí)還要為未來系統(tǒng)的擴(kuò)充與擴(kuò)建留有余地和基礎(chǔ)。**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)的設(shè)計(jì)中，首先要考慮的是實(shí)用性和易于操作性，確保使用技術(shù)成熟的網(wǎng)絡(luò)產(chǎn)品和通信技術(shù)。但由于市場競爭的需要，各廠家對新產(chǎn)品，新技術(shù)的發(fā)布總是要遠(yuǎn)遠(yuǎn)先于其實(shí)際成熟期的；對任何一個(gè)用戶而言，選擇一種不成熟的技術(shù)或產(chǎn)品，總是要冒一定的風(fēng)險(xiǎn)的；尤其是對那些實(shí)用性要求高的用戶來說，更是如此；因此，當(dāng)先進(jìn)性的要求與成熟性要求發(fā)生矛盾時(shí)，成熟性則應(yīng)是優(yōu)先考慮的原則。對于現(xiàn)在和將來一段時(shí)間內(nèi)沒有必要的性能和功能不作選擇。對于**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)，保障系統(tǒng)體系可適應(yīng)新節(jié)點(diǎn)和設(shè)備的加入是十分關(guān)鍵的，且網(wǎng)絡(luò)技術(shù)日新月異，采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，對于今后的升級和擴(kuò)充都能帶來極大的方便和投資保護(hù)。在設(shè)計(jì)上采用恰當(dāng)?shù)募夹g(shù)手段為網(wǎng)絡(luò)分析系統(tǒng)提供等手段。在總體設(shè)計(jì)中，應(yīng)采用開放式的體系結(jié)構(gòu)，使網(wǎng)絡(luò)分析系統(tǒng)易于擴(kuò)展，使相對獨(dú)立的分系統(tǒng)易于進(jìn)行組合和調(diào)整。許多原則之間是相互矛盾的，如先進(jìn)性和實(shí)用性、成熟性之間?；?SNMP 的流量監(jiān)控的缺點(diǎn)是功能較單一，分析功能不強(qiáng)，其收集到的流量信息是端口的統(tǒng)計(jì)信息，不能用于復(fù)雜的分析。本方案介紹的流量分析系統(tǒng)是基于 Cisco 公司的 NETFLOW 技術(shù)的流量采集分析系統(tǒng)。通過在網(wǎng)絡(luò)的關(guān)鍵路由器開啟 Netflow 來采集網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)的作用主要體現(xiàn)在以下幾個(gè)方面：? 流量分析和監(jiān)控? 根據(jù)流量計(jì)費(fèi)? 網(wǎng)絡(luò)加速? 用于安全分析下表是基于 SNMP 輪詢技術(shù)和 NETFLOW 采集技術(shù)的比較：SNMP 輪詢 NETFLOW 采集采集端口流量統(tǒng)計(jì) 是 否采集端到端流量 否 是采集業(yè)務(wù)層流量 否 是采集完整用戶業(yè)務(wù)流量 否 是消耗網(wǎng)絡(luò)設(shè)備資源 較小 較多（但對高端設(shè)備性能影響不大）適用電路 各種速率 GE、POS 、POS 10Gbit/s 及以下適用范圍 網(wǎng)絡(luò)各個(gè)層次 網(wǎng)絡(luò)匯聚層和核心層采集數(shù)據(jù)全面程度 較少 較全面通過基于 NETFLOW 技術(shù)的流量分析系統(tǒng)對網(wǎng)絡(luò)流量的長期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時(shí)發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大前實(shí)施防范措施，進(jìn)而提升整體網(wǎng)絡(luò)的質(zhì)量及效能。TR 網(wǎng)絡(luò)流量分析解決方案2. 能夠?qū)?*電信公司骨干互聯(lián)網(wǎng)的國際業(yè)務(wù)情況進(jìn)行分析。6. 對**電信公司骨干互聯(lián)網(wǎng)中大客戶的出入流量分析。 Arbor 流量分析系統(tǒng)的功能流量分析系統(tǒng)的功能包括：1. 能夠支持接收 Netflow VVVV V9 格式的流量數(shù)據(jù)，能夠接收sFlow、 cFlow 和 Netstream 格式的流量數(shù)據(jù)，并對接收到的Netflow/sFlow/cFlow/Netstream 格式的流量數(shù)據(jù)進(jìn)行統(tǒng)一的統(tǒng)計(jì)分析。5. 能夠?qū)M(jìn)入**電信公司骨干互聯(lián)網(wǎng)的流量按照 PEER 進(jìn)行分類和統(tǒng)計(jì)分析。11. 能夠?qū)ο到y(tǒng)運(yùn)行狀態(tài)、端口流量、網(wǎng)絡(luò) BGP 狀態(tài)、路由器運(yùn)行情況進(jìn)行監(jiān)控，并根據(jù)設(shè)置的閥值告警。15. 流量分析系統(tǒng)提供天/月/周/年的分析結(jié)果圖表，并能夠以 HTML 等格式對結(jié)果進(jìn)行存儲，并能夠提供二次開發(fā)的接口。2. 競爭對手業(yè)務(wù)分析。通過對網(wǎng)絡(luò)流量分析，可以發(fā)現(xiàn)潛在用戶群，為業(yè)務(wù)人員發(fā)展業(yè)務(wù)提供幫助。2. 通過對國際/國內(nèi)流量、網(wǎng)內(nèi)/網(wǎng)間流量的分析，了解網(wǎng)絡(luò)的具體使用情況和增長趨勢，為網(wǎng)絡(luò)調(diào)整和擴(kuò)容提供依據(jù)。如下圖所示，不同的部署方案可以得到不同的好處： Per InfrastructreDoSRuter atcksBGPsion atcksolicy vltIntabiltPer nsi/transit reductionCor IfrtructrRuter atcksWomsTrafic ngieringEde IfrastructreDoSWrmsN atcksMrkeoaret anlysiTR 網(wǎng)絡(luò)流量分析解決方案 采集對象 采集點(diǎn)的部署 Netflow 采樣周期的設(shè)定由于流量分析系統(tǒng)接收由路由設(shè)備按照一定的采樣比采集的 Netflow 原數(shù)據(jù)并對網(wǎng)絡(luò)的流量進(jìn)行計(jì)算和分析，因此路由設(shè)備的采樣比率在很大程度上決定了分析結(jié)果的準(zhǔn)確性。根據(jù) Cisco 和 Juniper 設(shè)備的配置原理，每臺設(shè)備只能夠配置一個(gè)全局的采樣比率，并可以選擇打開 Netflow 功能的端口（在 Juniper 路由器上還可以選擇在入/ 出方向打開Netflow 功能） 。流量分析系統(tǒng)能夠利用 BGP 路由信息中的 AS PATH，Origin AS，Next Hop，Community 等屬性對流量進(jìn)行深層次的分析。 流量分析系統(tǒng)的硬件部署網(wǎng)絡(luò)的安全是一個(gè)系統(tǒng)的工程，其構(gòu)成要素包括：管理策略、技術(shù)策略、業(yè)務(wù)策略。收集器（collector）負(fù)責(zé)對被監(jiān)測節(jié)點(diǎn)的路由器設(shè)備發(fā)送的 NETFLOW/CFLOWD 等數(shù)據(jù)信息進(jìn)行采集和預(yù)處理；控制器（Controller）負(fù)責(zé)對各個(gè)收集器采集到的數(shù)據(jù)進(jìn)行統(tǒng)一的匯總、處理和全網(wǎng)關(guān)聯(lián)性分析，將分析結(jié)果統(tǒng)一展現(xiàn)和存儲，滿足運(yùn)營商角度對全網(wǎng)流量狀況的整體把握。系統(tǒng)的控制器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時(shí)將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會丟失。一個(gè)綜合的 IP 網(wǎng)網(wǎng)管系統(tǒng)的主要功能應(yīng)該包括資源配置管理、故障管理、性能管理、流量管理、路由管理、安全管理和對業(yè)務(wù)、客戶管理等。同時(shí)還可以充分利用網(wǎng)管系統(tǒng)磁盤陣列的容量、可靠性以及大容量數(shù)據(jù)庫軟件的效率。 方案優(yōu)勢及特點(diǎn)Arbor Peakflow 網(wǎng)絡(luò)流量分析解決方案是一個(gè)面向大型 IP 寬帶網(wǎng)絡(luò)、基于實(shí)用的信息采集和傳輸?shù)慕鉀Q方案。分析服務(wù)器可以網(wǎng)絡(luò)中的全部采集機(jī)進(jìn)行管理，負(fù)責(zé)對各個(gè)收集器進(jìn)行統(tǒng)一的配置并將采集機(jī)采集的數(shù)據(jù)進(jìn)行匯總并進(jìn)行全網(wǎng)的關(guān)聯(lián)性分析，并將結(jié)果統(tǒng)一展現(xiàn)和存儲。在應(yīng)用網(wǎng)絡(luò)中存在規(guī)模超過 150 臺 GSR 的實(shí)際應(yīng)用案例。與其他商業(yè)和免費(fèi)流量統(tǒng)計(jì)軟件相比，Peakflow SP 在可靠性和擴(kuò)展性方面提供顯著的改善。Arbor 公司提供的方案為整體實(shí)時(shí)監(jiān)控全部網(wǎng)絡(luò)設(shè)備的全部實(shí)時(shí)流量的解決方案，而并非間斷性監(jiān)控網(wǎng)絡(luò)不同部分的流量分析方案，同時(shí)方案本身由于采用了分布式處理的解決方案，可真正實(shí)現(xiàn)高擴(kuò)展性和高性能。系統(tǒng)的分析服務(wù)器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時(shí)將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會丟失。在Inter 上，如果 Netflow 采樣比定為 500：1，每 10Gb/s 的流量平均每秒產(chǎn)生(1010241024)/(50038418)＝6990session/s 的 Netflow 原始數(shù)據(jù)。TR 網(wǎng)絡(luò)流量分析解決方案Arbor 的 Peakflow 解決方案完全通過分析 BGP 路由來分析互連流量的 AS 屬性，這樣做可以避免采用 NetflowV8 造成當(dāng)流量大的情況下造成分析 AS 特征流量不準(zhǔn)的情況，同時(shí)也可以避免開啟 NetflowV8 對路由器造成的額外負(fù)擔(dān)。 針對互連路徑和流量的詳細(xì)分析通過 Peer Evaluation 功能分析到各個(gè) peer 的流量情況，是否存在 transit。系統(tǒng)能夠充分利用網(wǎng)絡(luò) BGP 信息對網(wǎng)絡(luò)與每個(gè) PEER 和每個(gè) AS 之間的流量進(jìn)行深入的分析。Peakflow 從多個(gè)接口、路由器、用戶自定模板和對等匯集流量統(tǒng)計(jì)資料。基于接口層次流量模型，Peakflow Traffic 將準(zhǔn)確測量進(jìn)入和外出的流量，即使在嚴(yán)重 BGP 路由不對稱的情況下。同時(shí)系統(tǒng)還能自動記錄網(wǎng)絡(luò) BGP 路由的振蕩情況。通過分析大型用戶的業(yè)務(wù)特點(diǎn)，提供運(yùn)營商最需要的重要用戶的應(yīng)用特點(diǎn)和最多應(yīng)用 IP 的分析。TR 網(wǎng)絡(luò)流量分析解決方案 強(qiáng)大的安全功能 異常流量檢測Peakflow SP 的核心包括一種尖端的拓?fù)浜土髁磕Ｐ鸵妗Ｅc Peakflow DoS 系統(tǒng)相配合，能提供業(yè)界領(lǐng)先的拒絕服務(wù)攻擊檢測和防衛(wèi)。系統(tǒng)保存成千上萬種不同網(wǎng)絡(luò)模板并且使用它們與實(shí)際的流量采樣作比較。這種方法對于新型和/或變種的攻擊是完全無效的。TR 網(wǎng)絡(luò)流量分析解決方案 自動發(fā)現(xiàn)偽造地址攻擊同樣，我們自動發(fā)現(xiàn)私有 IP、Dark IP 地址欺騙事件并追蹤到物理的設(shè)備源頭，在這種情況下如果只發(fā)現(xiàn)源地址而不發(fā)現(xiàn)物理進(jìn)入網(wǎng)絡(luò)的物理源頭，是不可能有效控制的，Arbor 的產(chǎn)品將會定位物理的源頭，提供有效的控制。Arbor 公司在美國部署了一套 FingerPrint（安全攻擊指紋特征）數(shù)據(jù)庫服務(wù)器。TR 網(wǎng)絡(luò)流量分析解決方案 真正的網(wǎng)絡(luò)安全設(shè)備基于自身獨(dú)特的流量模型以及分析策略，能夠發(fā)現(xiàn)小流量但是致命的安全攻擊。在 ATamp。因此，多臺 Arbor Peakflow 組成的是真正面向大型的運(yùn)營商網(wǎng)絡(luò)的系統(tǒng)，而不是孤立的多臺設(shè)備。全部統(tǒng)計(jì)資料都能從每個(gè)接口、每個(gè)路由器、每個(gè)對等、每個(gè)配置模板、和全網(wǎng)范圍的基礎(chǔ)上得到。系統(tǒng)能夠提供指定時(shí)間的流量分析結(jié)果，提供指定時(shí)間段，指定時(shí)間周期的報(bào)告，方便進(jìn)行分析。系統(tǒng)還能夠通過 Email、SNMP TRAP、SYSLOG 等方式直接將不同級別的告警按照系統(tǒng)管理員的配置發(fā)送給系統(tǒng)管理員、日志服務(wù)器或者直接發(fā)送給網(wǎng)絡(luò)用戶。系統(tǒng)管理員能夠非常方便的了解系統(tǒng)運(yùn)行的情況，并對系統(tǒng)的歷史運(yùn)行情況進(jìn)行查詢。Arbor Peakflow 系統(tǒng)本身內(nèi)置字典功能并支持用戶自定義字典，能夠自動將這些數(shù)字翻譯成實(shí)際的業(yè)務(wù)名稱，如將 TCP 的 80 端口翻譯成 WWW，AS4134 翻譯成 ChinaNET 等。目前，Arbor 已經(jīng)先于其它廠家完成了對 Netflow V9 的支持，從而實(shí)現(xiàn)了對 MPLS 業(yè)務(wù)的支持（Cisco 設(shè)備打開 MPLS 后只能發(fā)送 Netflow V9 格式的數(shù)據(jù)） ，這在很大程度上就得益于 Arbor 和 Cisco 的良好合作關(guān)系。Peakflow 解決方案已經(jīng)出廠超過一年, 并且被廣泛部署在很多網(wǎng)絡(luò)里, 包括產(chǎn)品最初研究工作開展的密西根大學(xué)和Mich —— 一家在密西根地區(qū)服務(wù)于很多主要學(xué)術(shù)機(jī)構(gòu)的地區(qū)因特網(wǎng)運(yùn)營商。Peakflow 拒絕服務(wù)（DoS）平臺通過使用這數(shù)據(jù)庫里的信息，建立運(yùn)營商網(wǎng)絡(luò)正常情況的模型。Peakflow SP 是建立于 Peakflow DoS 的基礎(chǔ)上。 這個(gè)平臺能夠從網(wǎng)絡(luò)的邊緣到核心建立正常網(wǎng)絡(luò)行為的模型, 然后把這個(gè)基線與實(shí)時(shí)流量進(jìn)行比較以進(jìn)行異?，F(xiàn)象的檢測, 而這種功能也是非常獨(dú)特的。因此，在無需進(jìn)行大型的網(wǎng)絡(luò)升級或重新規(guī)劃的情況下，網(wǎng)絡(luò)管理人員就能夠得到整體網(wǎng)絡(luò)范圍的流量信息和拓?fù)湫畔⒌哪Ｐ?。因此?網(wǎng)絡(luò)管理人員可以有效知道現(xiàn)有的安全威脅（如 ICMP Flood、Syn Flood 等）以及全新、從未發(fā)現(xiàn)過的威脅， 即使攻擊是未知的，它將造成異常的網(wǎng)絡(luò)行為,，Peakflow 也具有檢測和發(fā)現(xiàn)的能力。在數(shù)據(jù)測量和報(bào)告方面，Peakflow SP 能夠?qū)崿F(xiàn)以下主要功能：? 監(jiān)視和跟蹤網(wǎng)絡(luò)流量，所有被監(jiān)視的路由器及關(guān)聯(lián)接口的網(wǎng)絡(luò)拓?fù)渥兓?系統(tǒng)應(yīng)能產(chǎn)生一年內(nèi)任一時(shí)間段的這些圖表。? 提供一個(gè)自動一次或循環(huán)生成報(bào)告的機(jī)制。? 對特定的對等（peer） 、路由器、接口或者 profile 從最近的收集周期中提供Netflow 的實(shí)際采樣。? 展示進(jìn)出每個(gè)網(wǎng)絡(luò)對等（peer）的協(xié)議和 TCP/UDP 端口號的數(shù)據(jù)細(xì)目。 ? 反映出流經(jīng)用戶網(wǎng)絡(luò)的數(shù)據(jù)中，主要的源／目的 AS 之間的流量水平．例如，多少流量是從 A1 到 A2，多少流量是從 A2 到 A1。在資源統(tǒng)計(jì)方面，Peakflow SP 可以實(shí)現(xiàn)以下主要功能：? 提供進(jìn)/