【文章內(nèi)容簡介】 vltIntabiltPer nsi/transit reductionCor IfrtructrRuter atcksWomsTrafic ngieringEde IfrastructreDoSWrmsN atcksMrkeoaret anlysiTR 網(wǎng)絡(luò)流量分析解決方案 采集對象 采集點(diǎn)的部署 Netflow 采樣周期的設(shè)定由于流量分析系統(tǒng)接收由路由設(shè)備按照一定的采樣比采集的 Netflow 原數(shù)據(jù)并對網(wǎng)絡(luò)的流量進(jìn)行計算和分析，因此路由設(shè)備的采樣比率在很大程度上決定了分析結(jié)果的準(zhǔn)確性。如果路由器配置的采樣比過高（如 1000：1 或更高） ，流量分析的誤差將加大，尤其對小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。在 Cisco 路由器上開啟 Netflow 會消耗一些設(shè)備資源，特別是需要占用一些 CPU 和 Memory 等重要資源。目前**電信公司骨干互聯(lián)網(wǎng)上部署的接口板卡類型主要包括Engine Engine Engine 4＋和 Engine 6，其中 Engine Engine 6 對 NETFLOW 的處理能力強(qiáng)大，打開 NETFLOW 后性能影響很小，而 Engine 2 和 Engine 4＋對NETFLOW 的處理能力稍差，過高的 NETFLOW 采樣比率會對路由器的性能帶來一定的影響。根據(jù) Cisco 和 Juniper 設(shè)備的配置原理，每臺設(shè)備只能夠配置一個全局的采樣比率，并可以選擇打開 Netflow 功能的端口（在 Juniper 路由器上還可以選擇在入/ 出方向打開Netflow 功能） 。因此在路由設(shè)備的 NETFLOW 采樣比率設(shè)置時，應(yīng)根據(jù)設(shè)備上需要打開 Netflow 功能的板卡的主要類型并結(jié)合設(shè)備上開通的電路的流量情況重要程度，靈活的設(shè)置路由設(shè)備的 NETFLOW 采樣比率，包括 100：1，500：1，1000：1 和 3000：1等。 獲取路由信息為利用 BGP 路由信息中的屬性對流量進(jìn)行深層次的分析，流量分析系統(tǒng)需要掌握**電信公司骨干互聯(lián)網(wǎng)的 BGP 路由情況。根據(jù)本方案設(shè)計，收集器分別與被監(jiān)測路由器通過 MD5 認(rèn)證建立 iBGP 連接，從被監(jiān)測路由器學(xué)習(xí) BGP 路由信息。流量分析系統(tǒng)能夠利用 BGP 路由信息中的 AS PATH，Origin AS，Next Hop，Community 等屬性對流量進(jìn)行深層次的分析。Arbor 流量分析系統(tǒng)還可以監(jiān)控每臺設(shè)備 BGP 的穩(wěn)定情況并對 BGP 表振蕩情況進(jìn)行報警，還能夠提供對 BGP 路由表的查詢。TR 網(wǎng)絡(luò)流量分析解決方案 獲取路由器的 SNMP 信息Arbor 流量分析系統(tǒng)可以通過 SNMP 的方式獲取路由器上系統(tǒng)感興趣的信息，包括設(shè)備描述、IOS 版本、端口索引、端口描述、端口流量情況、CPU/Memory 利用率等。這些信息包括了系統(tǒng)進(jìn)行分析說必須的信息（如端口索引） ，還可以對路由器的運(yùn)行情況進(jìn)行監(jiān)控并可以把 Netflow 數(shù)據(jù)與端口實(shí)際流量情況進(jìn)行比較。 流量分析系統(tǒng)的硬件部署網(wǎng)絡(luò)的安全是一個系統(tǒng)的工程，其構(gòu)成要素包括：管理策略、技術(shù)策略、業(yè)務(wù)策略。這三部分并不是孤立的，而是相互滲透、穿插，互為補(bǔ)充。因此，安全系統(tǒng)是一個多維、多因素、多層次、多目標(biāo)的系統(tǒng)，不是僅僅靠一、兩臺設(shè)備就可以做到，安全系統(tǒng)中應(yīng)該包含多種功能的設(shè)備，如防火墻、IDS、流量分析、防 DOS 攻擊設(shè)備等，這些設(shè)備既能完成獨(dú)立的安全功能，又能夠有機(jī)的結(jié)合在一起形成一個完整的安全體系，這樣才能有效的保障整個**電信公司骨干互聯(lián)網(wǎng)安全穩(wěn)定地運(yùn)行，滿足運(yùn)營商在安全上的最終需求。根據(jù)目前**電信公司骨干互聯(lián)網(wǎng)的現(xiàn)狀以及需求，我們建議部署一套 Peakflow SP 系統(tǒng)（共兩臺設(shè)備，一臺作為收集器，一臺作為控制器） ，實(shí)現(xiàn)對**電信公司骨干互聯(lián)網(wǎng)的流量監(jiān)控及分析；一臺 Peakflow DoS 設(shè)備，實(shí)現(xiàn)**電信公司骨干互聯(lián)網(wǎng)對異常流量的監(jiān)測以及對 DDOS 攻擊的防范。收集器（collector）負(fù)責(zé)對被監(jiān)測節(jié)點(diǎn)的路由器設(shè)備發(fā)送的 NETFLOW/CFLOWD 等數(shù)據(jù)信息進(jìn)行采集和預(yù)處理；控制器（Controller）負(fù)責(zé)對各個收集器采集到的數(shù)據(jù)進(jìn)行統(tǒng)一的匯總、處理和全網(wǎng)關(guān)聯(lián)性分析，將分析結(jié)果統(tǒng)一展現(xiàn)和存儲，滿足運(yùn)營商角度對全網(wǎng)流量狀況的整體把握。今后可根據(jù)網(wǎng)絡(luò)設(shè)備增加的情況和業(yè)務(wù)發(fā)展情況逐漸增加流量收集器的數(shù)量以提高系統(tǒng)的處理能力和范圍。這樣既滿足了用戶當(dāng)前的需求，又為用戶節(jié)省了投資。Peakflow 系統(tǒng)采用分布集中式結(jié)構(gòu)，一臺控制器可以同時關(guān)聯(lián)并管理多臺收集器，可根據(jù)網(wǎng)絡(luò)規(guī)模和流量的增加而進(jìn)行平滑的升級，只需要根據(jù)網(wǎng)絡(luò)流量的情況增加收集器即可增加系統(tǒng)的處理能力。系統(tǒng)的控制器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會丟失。TR 網(wǎng)絡(luò)流量分析解決方案 流量分析系統(tǒng)的網(wǎng)絡(luò)連接Arbor Peakflow 設(shè)備能夠提供多個 FE/GE 的互聯(lián)端口，鑒于**電信公司在流量分析方面和網(wǎng)絡(luò)安全方面的需求以及現(xiàn)有機(jī)房實(shí)際條件，我們建議目前將 Peakflow SP 收集器部署在南寧節(jié)點(diǎn)骨干數(shù)據(jù)機(jī)房，通過 1 個 10M/100M/1000M 端口直接連接骨干交換機(jī) Catalyst 6509，實(shí)現(xiàn)與采集設(shè)備的高速可靠連接；Peakflow SP 控制器部署在**電信公司網(wǎng)管中心，通過 1 個 10M/100M/1000M 端口連接至網(wǎng)管中心局域網(wǎng)交換機(jī)。 流量分析系統(tǒng)在網(wǎng)管系統(tǒng)中的定位隨著網(wǎng)絡(luò)的發(fā)展和業(yè)務(wù)的需要，目前國內(nèi)電信運(yùn)營商的網(wǎng)管系統(tǒng)正逐漸從面向面向網(wǎng)元的各專業(yè)網(wǎng)管系統(tǒng)和網(wǎng)管模塊向多專業(yè)的綜合網(wǎng)管平臺方向發(fā)展。綜合網(wǎng)管平臺更加強(qiáng)調(diào)面向業(yè)務(wù)、面向用戶以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。一個綜合的 IP 網(wǎng)網(wǎng)管系統(tǒng)的主要功能應(yīng)該包括資源配置管理、故障管理、性能管理、流量管理、路由管理、安全管理和對業(yè)務(wù)、客戶管理等。結(jié)合 TMN 和 TOM 功能模型，IP 網(wǎng)管系統(tǒng)功能分為網(wǎng)元層、網(wǎng)絡(luò)層、業(yè)務(wù)層、事務(wù)處理層和客戶層，還包括系統(tǒng)自身的管理。TR 網(wǎng)絡(luò)流量分析解決方案從圖中可以看到，Netflow 流量分析系統(tǒng)位于網(wǎng)管系統(tǒng)的網(wǎng)元層，直接從網(wǎng)元設(shè)備采集數(shù)據(jù)，并將分析結(jié)果提供各上層模塊使用。流量分析系統(tǒng)與網(wǎng)管系統(tǒng)其它功能模塊的配合主要包括：? 與網(wǎng)管系統(tǒng)數(shù)據(jù)庫的配合將流量分析系統(tǒng)的分析結(jié)果數(shù)據(jù)存儲到網(wǎng)管系統(tǒng)的數(shù)據(jù)庫中，從而實(shí)現(xiàn)網(wǎng)管系統(tǒng)原始數(shù)據(jù)的統(tǒng)一，將同一對象（如大客戶/端口等）的 Netflow 分析結(jié)果與其它結(jié)果存儲在一起。同時還可以充分利用網(wǎng)管系統(tǒng)磁盤陣列的容量、可靠性以及大容量數(shù)據(jù)庫軟件的效率。? 與網(wǎng)管系統(tǒng)報表模塊的配合網(wǎng)管系統(tǒng)的報表模塊一般采用專門的報表工具，功能比較強(qiáng)大，并有強(qiáng)大的報表定制和分發(fā)功能。由于流量分析系統(tǒng)的結(jié)果已經(jīng)全部存儲到網(wǎng)管系統(tǒng)的統(tǒng)一數(shù)據(jù)庫，報表模塊不需要直接從流量分析系統(tǒng)采集原始數(shù)據(jù)，而可以直接從網(wǎng)管系統(tǒng)的數(shù)據(jù)庫中讀取數(shù)據(jù)，并將 Netflow 分析結(jié)果與其它模塊的結(jié)果統(tǒng)一展現(xiàn)。 （如可以將一個用戶/端口的基本情況、SNMP 采集的流量情況、Netflow 分析結(jié)果等綜合到一張報表中）? 與故障告警模塊的配合網(wǎng)管系統(tǒng)的故障告警模塊可以通過 SNMP 的方式對流量分析系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)控；流量分析系統(tǒng)在檢測的網(wǎng)絡(luò)/鏈路/系統(tǒng)等故障告警的時候可以通過 Trap 的方式通知網(wǎng)管系統(tǒng)的故障告警模塊? 與認(rèn)證模塊的配合Arbor 流量分析系統(tǒng)支持 Radius 和 Tacacs＋，能夠與網(wǎng)管系統(tǒng)配合實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理員身份認(rèn)證和權(quán)限管理。 方案優(yōu)勢及特點(diǎn)Arbor Peakflow 網(wǎng)絡(luò)流量分析解決方案是一個面向大型 IP 寬帶網(wǎng)絡(luò)、基于實(shí)用的信息采集和傳輸?shù)慕鉀Q方案。通過 Netflow 快速交換的流量分析技術(shù)，并結(jié)合SNMP、BGP 協(xié)議，對網(wǎng)絡(luò)進(jìn)行實(shí)時業(yè)務(wù)流量和流向分析，根據(jù)預(yù)先定義的策略對流量數(shù)據(jù)作聚集，通過各種數(shù)據(jù)指標(biāo)、性能報表、流量圖示和性能趨勢圖，為用戶提供準(zhǔn)確可靠網(wǎng)絡(luò)的容量規(guī)劃、趨勢分析以及數(shù)據(jù)的優(yōu)先級方面的信息。它具有以下特點(diǎn)及優(yōu)勢：TR 網(wǎng)絡(luò)流量分析解決方案 適用于大型運(yùn)營商 IP 網(wǎng)絡(luò)Arbor 公司的 Peakflow 系列產(chǎn)品采用了分布式的體系結(jié)構(gòu)，具有良好的擴(kuò)展性，能夠支持對大型電信運(yùn)營商網(wǎng)絡(luò)的流量分析和安全監(jiān)控。Arbor Peakflow 的產(chǎn)品可以靈活的配置成分析服務(wù)器（Controller）和采集機(jī)（Collector）兩種工作模式。分析服務(wù)器可以網(wǎng)絡(luò)中的全部采集機(jī)進(jìn)行管理，負(fù)責(zé)對各個收集器進(jìn)行統(tǒng)一的配置并將采集機(jī)采集的數(shù)據(jù)進(jìn)行匯總并進(jìn)行全網(wǎng)的關(guān)聯(lián)性分析，并將結(jié)果統(tǒng)一展現(xiàn)和存儲。Arbor Peakflow 的流量分析和安全監(jiān)控功能側(cè)重于整個網(wǎng)絡(luò)，而不是僅僅局限于單臺或幾臺設(shè)備，因而也更適合于電信運(yùn)營商的網(wǎng)絡(luò)的部署。采用 Collector 對多臺路由設(shè)備進(jìn)行實(shí)時分析，通過核心 Controller 對 Collector 進(jìn)行管理和對 Collector 分析到的數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)。當(dāng)網(wǎng)絡(luò)擴(kuò)容時，隨著網(wǎng)絡(luò)中路由氣臺數(shù)的增加通過增加 Collector 方式即可實(shí)現(xiàn)擴(kuò)展，保護(hù)用戶的投資。在應(yīng)用網(wǎng)絡(luò)中存在規(guī)模超過 150 臺 GSR 的實(shí)際應(yīng)用案例。目前 Arbor Peakflow 系列產(chǎn)品在國外的大型運(yùn)營商的網(wǎng)絡(luò)中已經(jīng)得到了廣泛的應(yīng)用，其中包括 ATamp。T、Quest、NTT 等著名運(yùn)營商。目前在 Quest 的 IP 骨干網(wǎng)中，共部署了 44 臺 Arbor 的產(chǎn)品（ 22 臺 Peakflow Traffic 和 22 臺 Peakflow Dos） ，對其網(wǎng)絡(luò)的流量進(jìn)行全面的流量分析和安全監(jiān)控。與其他商業(yè)和免費(fèi)流量統(tǒng)計軟件相比，Peakflow SP 在可靠性和擴(kuò)展性方面提供顯著的改善。 Peakflow SP 不僅僅是一套用戶應(yīng)用軟件。從固化的操作系統(tǒng)到基于高速內(nèi)部核心的數(shù)據(jù)流收集子系統(tǒng)，Peakflow SP 是為符合可靠和大量數(shù)據(jù)處理能力的要求而設(shè)計。這套系統(tǒng)也包含對與運(yùn)營商工作流程軟件集成的支持，包括如思科/Juniper 相類似的 CLI，Radius/TACACS ，SNMP Traps，等等。Arbor 公司提供的方案為整體實(shí)時監(jiān)控全部網(wǎng)絡(luò)設(shè)備的全部實(shí)時流量的解決方案，而并非間斷性監(jiān)控網(wǎng)絡(luò)不同部分的流量分析方案，同時方案本身由于采用了分布式處理的解決方案，可真正實(shí)現(xiàn)高擴(kuò)展性和高性能。TR 網(wǎng)絡(luò)流量分析解決方案 良好的可擴(kuò)展性使用 Netflow 收集數(shù)據(jù)比在線（Inline）解決方案或采用鏡像端口收集數(shù)據(jù)具有更佳的擴(kuò)展性。 單個收集器就能從網(wǎng)絡(luò)中多個路由器收集數(shù)據(jù)而且沒有對網(wǎng)絡(luò)增加任何故障點(diǎn)。Arbor Peakflow 的產(chǎn)品可以根據(jù)用戶的網(wǎng)絡(luò)規(guī)模和流量的增加而進(jìn)行平滑的升級，只需要根據(jù)網(wǎng)絡(luò)流量的情況增加收集器即可增加系統(tǒng)的處理能力。系統(tǒng)的分析服務(wù)器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會丟失。 高性能處理能力Arbor 公司專利的軟硬件結(jié)合方式，同時能夠?qū)崟r通過分析路由和 Netflow 采集到的數(shù)據(jù)以及 SNMP 信息分析大型網(wǎng)絡(luò)的流量，一個 collector 可以時實(shí)性分析多達(dá)50,000 flow/秒。在實(shí)際的網(wǎng)絡(luò)中存在一個 collector 同時實(shí)時性的分析管理多臺高端網(wǎng)絡(luò)設(shè)備，每個設(shè)備可擁有多個高帶寬鏈路（OC192/STM64） 。單臺 Arbor Peakflow 設(shè)備在配置大量監(jiān)控條件，并學(xué)習(xí) Inter 全部國際路由的情況下，能夠處理 50,000session/s（150 萬 session/分鐘）的 Netflow 原始數(shù)據(jù)。在Inter 上，如果 Netflow 采樣比定為 500：1，每 10Gb/s 的流量平均每秒產(chǎn)生(1010241024)/(50038418)＝6990session/s 的 Netflow 原始數(shù)據(jù)。因此一臺Arbor Peakflow 設(shè)備就能夠完成 左右的流量的分析。 出色的統(tǒng)計分析能力 全網(wǎng)關(guān)聯(lián)性分析通過核心 Controller 對網(wǎng)絡(luò)中流量情況進(jìn)行匯總，實(shí)現(xiàn)全網(wǎng)關(guān)聯(lián)的關(guān)聯(lián)性流量分析，滿足運(yùn)營商角度對全網(wǎng)流量狀況的整體把握。如：實(shí)現(xiàn)多出口整體的關(guān)聯(lián)性分析，提供整體的出口狀況的整體性分析，針對某個熱點(diǎn)地區(qū)和用戶的全網(wǎng)關(guān)聯(lián)流量分析等，有助于從整個網(wǎng)絡(luò)的角度來把握全局的流量特征。TR 網(wǎng)絡(luò)流量分析解決方案Arbor 的 Peakflow 解決方案完全通過分析 BGP 路由來分析互連流量的 AS 屬性，這樣做可以避免采用 NetflowV8 造成當(dāng)流量大的情況下造成分析 AS 特征流量不準(zhǔn)的情況，同時也可以避免開啟 NetflowV8 對路由器造成的額外負(fù)擔(dān)。同時通過接收路由還可以為用戶分析網(wǎng)絡(luò)中路由的穩(wěn)定狀況和防止針對 BGP 路由的 Hijack 攻擊。 多種屬性的相互關(guān)聯(lián)性分析可真正實(shí)現(xiàn)從 AS、IP 地址、應(yīng)用、指定用戶、指定路由器、指定設(shè)備端口、用戶指定屬性的感興趣點(diǎn)等以上各個用戶興趣點(diǎn)在全網(wǎng)內(nèi)的相互關(guān)聯(lián)性分析。真正實(shí)現(xiàn)用戶所必需的 POP to POP，網(wǎng)絡(luò)到不同 Peer、Peer to Peer、Interface to Peer、用戶應(yīng)用分析、網(wǎng)絡(luò)內(nèi)部 top talker、不同應(yīng)用和不同人群的熱點(diǎn)地區(qū)等需求，真正能夠幫助用戶解決網(wǎng)絡(luò)中實(shí)際問題。 針對互連路徑和流量的詳細(xì)分析通過 Peer Evaluation 功能分析到各個