【文章內(nèi)容簡(jiǎn)介】 vltIntabiltPer nsi/transit reductionCor IfrtructrRuter atcksWomsTrafic ngieringEde IfrastructreDoSWrmsN atcksMrkeoaret anlysiTR 網(wǎng)絡(luò)流量分析解決方案 采集對(duì)象 采集點(diǎn)的部署 Netflow 采樣周期的設(shè)定由于流量分析系統(tǒng)接收由路由設(shè)備按照一定的采樣比采集的 Netflow 原數(shù)據(jù)并對(duì)網(wǎng)絡(luò)的流量進(jìn)行計(jì)算和分析，因此路由設(shè)備的采樣比率在很大程度上決定了分析結(jié)果的準(zhǔn)確性。如果路由器配置的采樣比過(guò)高（如 1000：1 或更高） ，流量分析的誤差將加大，尤其對(duì)小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。在 Cisco 路由器上開(kāi)啟 Netflow 會(huì)消耗一些設(shè)備資源，特別是需要占用一些 CPU 和 Memory 等重要資源。目前**電信公司骨干互聯(lián)網(wǎng)上部署的接口板卡類型主要包括Engine Engine Engine 4＋和 Engine 6，其中 Engine Engine 6 對(duì) NETFLOW 的處理能力強(qiáng)大，打開(kāi) NETFLOW 后性能影響很小，而 Engine 2 和 Engine 4＋對(duì)NETFLOW 的處理能力稍差，過(guò)高的 NETFLOW 采樣比率會(huì)對(duì)路由器的性能帶來(lái)一定的影響。根據(jù) Cisco 和 Juniper 設(shè)備的配置原理，每臺(tái)設(shè)備只能夠配置一個(gè)全局的采樣比率，并可以選擇打開(kāi) Netflow 功能的端口（在 Juniper 路由器上還可以選擇在入/ 出方向打開(kāi)Netflow 功能） 。因此在路由設(shè)備的 NETFLOW 采樣比率設(shè)置時(shí)，應(yīng)根據(jù)設(shè)備上需要打開(kāi) Netflow 功能的板卡的主要類型并結(jié)合設(shè)備上開(kāi)通的電路的流量情況重要程度，靈活的設(shè)置路由設(shè)備的 NETFLOW 采樣比率，包括 100：1，500：1，1000：1 和 3000：1等。 獲取路由信息為利用 BGP 路由信息中的屬性對(duì)流量進(jìn)行深層次的分析，流量分析系統(tǒng)需要掌握**電信公司骨干互聯(lián)網(wǎng)的 BGP 路由情況。根據(jù)本方案設(shè)計(jì)，收集器分別與被監(jiān)測(cè)路由器通過(guò) MD5 認(rèn)證建立 iBGP 連接，從被監(jiān)測(cè)路由器學(xué)習(xí) BGP 路由信息。流量分析系統(tǒng)能夠利用 BGP 路由信息中的 AS PATH，Origin AS，Next Hop，Community 等屬性對(duì)流量進(jìn)行深層次的分析。Arbor 流量分析系統(tǒng)還可以監(jiān)控每臺(tái)設(shè)備 BGP 的穩(wěn)定情況并對(duì) BGP 表振蕩情況進(jìn)行報(bào)警，還能夠提供對(duì) BGP 路由表的查詢。TR 網(wǎng)絡(luò)流量分析解決方案 獲取路由器的 SNMP 信息Arbor 流量分析系統(tǒng)可以通過(guò) SNMP 的方式獲取路由器上系統(tǒng)感興趣的信息，包括設(shè)備描述、IOS 版本、端口索引、端口描述、端口流量情況、CPU/Memory 利用率等。這些信息包括了系統(tǒng)進(jìn)行分析說(shuō)必須的信息（如端口索引） ，還可以對(duì)路由器的運(yùn)行情況進(jìn)行監(jiān)控并可以把 Netflow 數(shù)據(jù)與端口實(shí)際流量情況進(jìn)行比較。 流量分析系統(tǒng)的硬件部署網(wǎng)絡(luò)的安全是一個(gè)系統(tǒng)的工程，其構(gòu)成要素包括：管理策略、技術(shù)策略、業(yè)務(wù)策略。這三部分并不是孤立的，而是相互滲透、穿插，互為補(bǔ)充。因此，安全系統(tǒng)是一個(gè)多維、多因素、多層次、多目標(biāo)的系統(tǒng)，不是僅僅靠一、兩臺(tái)設(shè)備就可以做到，安全系統(tǒng)中應(yīng)該包含多種功能的設(shè)備，如防火墻、IDS、流量分析、防 DOS 攻擊設(shè)備等，這些設(shè)備既能完成獨(dú)立的安全功能，又能夠有機(jī)的結(jié)合在一起形成一個(gè)完整的安全體系，這樣才能有效的保障整個(gè)**電信公司骨干互聯(lián)網(wǎng)安全穩(wěn)定地運(yùn)行，滿足運(yùn)營(yíng)商在安全上的最終需求。根據(jù)目前**電信公司骨干互聯(lián)網(wǎng)的現(xiàn)狀以及需求，我們建議部署一套 Peakflow SP 系統(tǒng)（共兩臺(tái)設(shè)備，一臺(tái)作為收集器，一臺(tái)作為控制器） ，實(shí)現(xiàn)對(duì)**電信公司骨干互聯(lián)網(wǎng)的流量監(jiān)控及分析；一臺(tái) Peakflow DoS 設(shè)備，實(shí)現(xiàn)**電信公司骨干互聯(lián)網(wǎng)對(duì)異常流量的監(jiān)測(cè)以及對(duì) DDOS 攻擊的防范。收集器（collector）負(fù)責(zé)對(duì)被監(jiān)測(cè)節(jié)點(diǎn)的路由器設(shè)備發(fā)送的 NETFLOW/CFLOWD 等數(shù)據(jù)信息進(jìn)行采集和預(yù)處理；控制器（Controller）負(fù)責(zé)對(duì)各個(gè)收集器采集到的數(shù)據(jù)進(jìn)行統(tǒng)一的匯總、處理和全網(wǎng)關(guān)聯(lián)性分析，將分析結(jié)果統(tǒng)一展現(xiàn)和存儲(chǔ)，滿足運(yùn)營(yíng)商角度對(duì)全網(wǎng)流量狀況的整體把握。今后可根據(jù)網(wǎng)絡(luò)設(shè)備增加的情況和業(yè)務(wù)發(fā)展情況逐漸增加流量收集器的數(shù)量以提高系統(tǒng)的處理能力和范圍。這樣既滿足了用戶當(dāng)前的需求，又為用戶節(jié)省了投資。Peakflow 系統(tǒng)采用分布集中式結(jié)構(gòu)，一臺(tái)控制器可以同時(shí)關(guān)聯(lián)并管理多臺(tái)收集器，可根據(jù)網(wǎng)絡(luò)規(guī)模和流量的增加而進(jìn)行平滑的升級(jí)，只需要根據(jù)網(wǎng)絡(luò)流量的情況增加收集器即可增加系統(tǒng)的處理能力。系統(tǒng)的控制器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時(shí)將原配置在其它收集器的路由器無(wú)縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會(huì)丟失。TR 網(wǎng)絡(luò)流量分析解決方案 流量分析系統(tǒng)的網(wǎng)絡(luò)連接Arbor Peakflow 設(shè)備能夠提供多個(gè) FE/GE 的互聯(lián)端口，鑒于**電信公司在流量分析方面和網(wǎng)絡(luò)安全方面的需求以及現(xiàn)有機(jī)房實(shí)際條件，我們建議目前將 Peakflow SP 收集器部署在南寧節(jié)點(diǎn)骨干數(shù)據(jù)機(jī)房，通過(guò) 1 個(gè) 10M/100M/1000M 端口直接連接骨干交換機(jī) Catalyst 6509，實(shí)現(xiàn)與采集設(shè)備的高速可靠連接；Peakflow SP 控制器部署在**電信公司網(wǎng)管中心，通過(guò) 1 個(gè) 10M/100M/1000M 端口連接至網(wǎng)管中心局域網(wǎng)交換機(jī)。 流量分析系統(tǒng)在網(wǎng)管系統(tǒng)中的定位隨著網(wǎng)絡(luò)的發(fā)展和業(yè)務(wù)的需要，目前國(guó)內(nèi)電信運(yùn)營(yíng)商的網(wǎng)管系統(tǒng)正逐漸從面向面向網(wǎng)元的各專業(yè)網(wǎng)管系統(tǒng)和網(wǎng)管模塊向多專業(yè)的綜合網(wǎng)管平臺(tái)方向發(fā)展。綜合網(wǎng)管平臺(tái)更加強(qiáng)調(diào)面向業(yè)務(wù)、面向用戶以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。一個(gè)綜合的 IP 網(wǎng)網(wǎng)管系統(tǒng)的主要功能應(yīng)該包括資源配置管理、故障管理、性能管理、流量管理、路由管理、安全管理和對(duì)業(yè)務(wù)、客戶管理等。結(jié)合 TMN 和 TOM 功能模型，IP 網(wǎng)管系統(tǒng)功能分為網(wǎng)元層、網(wǎng)絡(luò)層、業(yè)務(wù)層、事務(wù)處理層和客戶層，還包括系統(tǒng)自身的管理。TR 網(wǎng)絡(luò)流量分析解決方案從圖中可以看到，Netflow 流量分析系統(tǒng)位于網(wǎng)管系統(tǒng)的網(wǎng)元層，直接從網(wǎng)元設(shè)備采集數(shù)據(jù)，并將分析結(jié)果提供各上層模塊使用。流量分析系統(tǒng)與網(wǎng)管系統(tǒng)其它功能模塊的配合主要包括：? 與網(wǎng)管系統(tǒng)數(shù)據(jù)庫(kù)的配合將流量分析系統(tǒng)的分析結(jié)果數(shù)據(jù)存儲(chǔ)到網(wǎng)管系統(tǒng)的數(shù)據(jù)庫(kù)中，從而實(shí)現(xiàn)網(wǎng)管系統(tǒng)原始數(shù)據(jù)的統(tǒng)一，將同一對(duì)象（如大客戶/端口等）的 Netflow 分析結(jié)果與其它結(jié)果存儲(chǔ)在一起。同時(shí)還可以充分利用網(wǎng)管系統(tǒng)磁盤陣列的容量、可靠性以及大容量數(shù)據(jù)庫(kù)軟件的效率。? 與網(wǎng)管系統(tǒng)報(bào)表模塊的配合網(wǎng)管系統(tǒng)的報(bào)表模塊一般采用專門的報(bào)表工具，功能比較強(qiáng)大，并有強(qiáng)大的報(bào)表定制和分發(fā)功能。由于流量分析系統(tǒng)的結(jié)果已經(jīng)全部存儲(chǔ)到網(wǎng)管系統(tǒng)的統(tǒng)一數(shù)據(jù)庫(kù)，報(bào)表模塊不需要直接從流量分析系統(tǒng)采集原始數(shù)據(jù)，而可以直接從網(wǎng)管系統(tǒng)的數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)，并將 Netflow 分析結(jié)果與其它模塊的結(jié)果統(tǒng)一展現(xiàn)。 （如可以將一個(gè)用戶/端口的基本情況、SNMP 采集的流量情況、Netflow 分析結(jié)果等綜合到一張報(bào)表中）? 與故障告警模塊的配合網(wǎng)管系統(tǒng)的故障告警模塊可以通過(guò) SNMP 的方式對(duì)流量分析系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)控；流量分析系統(tǒng)在檢測(cè)的網(wǎng)絡(luò)/鏈路/系統(tǒng)等故障告警的時(shí)候可以通過(guò) Trap 的方式通知網(wǎng)管系統(tǒng)的故障告警模塊? 與認(rèn)證模塊的配合Arbor 流量分析系統(tǒng)支持 Radius 和 Tacacs＋，能夠與網(wǎng)管系統(tǒng)配合實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理員身份認(rèn)證和權(quán)限管理。 方案優(yōu)勢(shì)及特點(diǎn)Arbor Peakflow 網(wǎng)絡(luò)流量分析解決方案是一個(gè)面向大型 IP 寬帶網(wǎng)絡(luò)、基于實(shí)用的信息采集和傳輸?shù)慕鉀Q方案。通過(guò) Netflow 快速交換的流量分析技術(shù)，并結(jié)合SNMP、BGP 協(xié)議，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)業(yè)務(wù)流量和流向分析，根據(jù)預(yù)先定義的策略對(duì)流量數(shù)據(jù)作聚集，通過(guò)各種數(shù)據(jù)指標(biāo)、性能報(bào)表、流量圖示和性能趨勢(shì)圖，為用戶提供準(zhǔn)確可靠網(wǎng)絡(luò)的容量規(guī)劃、趨勢(shì)分析以及數(shù)據(jù)的優(yōu)先級(jí)方面的信息。它具有以下特點(diǎn)及優(yōu)勢(shì)：TR 網(wǎng)絡(luò)流量分析解決方案 適用于大型運(yùn)營(yíng)商 IP 網(wǎng)絡(luò)Arbor 公司的 Peakflow 系列產(chǎn)品采用了分布式的體系結(jié)構(gòu)，具有良好的擴(kuò)展性，能夠支持對(duì)大型電信運(yùn)營(yíng)商網(wǎng)絡(luò)的流量分析和安全監(jiān)控。Arbor Peakflow 的產(chǎn)品可以靈活的配置成分析服務(wù)器（Controller）和采集機(jī)（Collector）兩種工作模式。分析服務(wù)器可以網(wǎng)絡(luò)中的全部采集機(jī)進(jìn)行管理，負(fù)責(zé)對(duì)各個(gè)收集器進(jìn)行統(tǒng)一的配置并將采集機(jī)采集的數(shù)據(jù)進(jìn)行匯總并進(jìn)行全網(wǎng)的關(guān)聯(lián)性分析，并將結(jié)果統(tǒng)一展現(xiàn)和存儲(chǔ)。Arbor Peakflow 的流量分析和安全監(jiān)控功能側(cè)重于整個(gè)網(wǎng)絡(luò)，而不是僅僅局限于單臺(tái)或幾臺(tái)設(shè)備，因而也更適合于電信運(yùn)營(yíng)商的網(wǎng)絡(luò)的部署。采用 Collector 對(duì)多臺(tái)路由設(shè)備進(jìn)行實(shí)時(shí)分析，通過(guò)核心 Controller 對(duì) Collector 進(jìn)行管理和對(duì) Collector 分析到的數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)。當(dāng)網(wǎng)絡(luò)擴(kuò)容時(shí)，隨著網(wǎng)絡(luò)中路由氣臺(tái)數(shù)的增加通過(guò)增加 Collector 方式即可實(shí)現(xiàn)擴(kuò)展，保護(hù)用戶的投資。在應(yīng)用網(wǎng)絡(luò)中存在規(guī)模超過(guò) 150 臺(tái) GSR 的實(shí)際應(yīng)用案例。目前 Arbor Peakflow 系列產(chǎn)品在國(guó)外的大型運(yùn)營(yíng)商的網(wǎng)絡(luò)中已經(jīng)得到了廣泛的應(yīng)用，其中包括 ATamp。T、Quest、NTT 等著名運(yùn)營(yíng)商。目前在 Quest 的 IP 骨干網(wǎng)中，共部署了 44 臺(tái) Arbor 的產(chǎn)品（ 22 臺(tái) Peakflow Traffic 和 22 臺(tái) Peakflow Dos） ，對(duì)其網(wǎng)絡(luò)的流量進(jìn)行全面的流量分析和安全監(jiān)控。與其他商業(yè)和免費(fèi)流量統(tǒng)計(jì)軟件相比，Peakflow SP 在可靠性和擴(kuò)展性方面提供顯著的改善。 Peakflow SP 不僅僅是一套用戶應(yīng)用軟件。從固化的操作系統(tǒng)到基于高速內(nèi)部核心的數(shù)據(jù)流收集子系統(tǒng)，Peakflow SP 是為符合可靠和大量數(shù)據(jù)處理能力的要求而設(shè)計(jì)。這套系統(tǒng)也包含對(duì)與運(yùn)營(yíng)商工作流程軟件集成的支持，包括如思科/Juniper 相類似的 CLI，Radius/TACACS ，SNMP Traps，等等。Arbor 公司提供的方案為整體實(shí)時(shí)監(jiān)控全部網(wǎng)絡(luò)設(shè)備的全部實(shí)時(shí)流量的解決方案，而并非間斷性監(jiān)控網(wǎng)絡(luò)不同部分的流量分析方案，同時(shí)方案本身由于采用了分布式處理的解決方案，可真正實(shí)現(xiàn)高擴(kuò)展性和高性能。TR 網(wǎng)絡(luò)流量分析解決方案 良好的可擴(kuò)展性使用 Netflow 收集數(shù)據(jù)比在線（Inline）解決方案或采用鏡像端口收集數(shù)據(jù)具有更佳的擴(kuò)展性。 單個(gè)收集器就能從網(wǎng)絡(luò)中多個(gè)路由器收集數(shù)據(jù)而且沒(méi)有對(duì)網(wǎng)絡(luò)增加任何故障點(diǎn)。Arbor Peakflow 的產(chǎn)品可以根據(jù)用戶的網(wǎng)絡(luò)規(guī)模和流量的增加而進(jìn)行平滑的升級(jí)，只需要根據(jù)網(wǎng)絡(luò)流量的情況增加收集器即可增加系統(tǒng)的處理能力。系統(tǒng)的分析服務(wù)器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時(shí)將原配置在其它收集器的路由器無(wú)縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會(huì)丟失。 高性能處理能力Arbor 公司專利的軟硬件結(jié)合方式，同時(shí)能夠?qū)崟r(shí)通過(guò)分析路由和 Netflow 采集到的數(shù)據(jù)以及 SNMP 信息分析大型網(wǎng)絡(luò)的流量，一個(gè) collector 可以時(shí)實(shí)性分析多達(dá)50,000 flow/秒。在實(shí)際的網(wǎng)絡(luò)中存在一個(gè) collector 同時(shí)實(shí)時(shí)性的分析管理多臺(tái)高端網(wǎng)絡(luò)設(shè)備，每個(gè)設(shè)備可擁有多個(gè)高帶寬鏈路（OC192/STM64） 。單臺(tái) Arbor Peakflow 設(shè)備在配置大量監(jiān)控條件，并學(xué)習(xí) Inter 全部國(guó)際路由的情況下，能夠處理 50,000session/s（150 萬(wàn) session/分鐘）的 Netflow 原始數(shù)據(jù)。在Inter 上，如果 Netflow 采樣比定為 500：1，每 10Gb/s 的流量平均每秒產(chǎn)生(1010241024)/(50038418)＝6990session/s 的 Netflow 原始數(shù)據(jù)。因此一臺(tái)Arbor Peakflow 設(shè)備就能夠完成 左右的流量的分析。 出色的統(tǒng)計(jì)分析能力 全網(wǎng)關(guān)聯(lián)性分析通過(guò)核心 Controller 對(duì)網(wǎng)絡(luò)中流量情況進(jìn)行匯總，實(shí)現(xiàn)全網(wǎng)關(guān)聯(lián)的關(guān)聯(lián)性流量分析，滿足運(yùn)營(yíng)商角度對(duì)全網(wǎng)流量狀況的整體把握。如：實(shí)現(xiàn)多出口整體的關(guān)聯(lián)性分析，提供整體的出口狀況的整體性分析，針對(duì)某個(gè)熱點(diǎn)地區(qū)和用戶的全網(wǎng)關(guān)聯(lián)流量分析等，有助于從整個(gè)網(wǎng)絡(luò)的角度來(lái)把握全局的流量特征。TR 網(wǎng)絡(luò)流量分析解決方案Arbor 的 Peakflow 解決方案完全通過(guò)分析 BGP 路由來(lái)分析互連流量的 AS 屬性，這樣做可以避免采用 NetflowV8 造成當(dāng)流量大的情況下造成分析 AS 特征流量不準(zhǔn)的情況，同時(shí)也可以避免開(kāi)啟 NetflowV8 對(duì)路由器造成的額外負(fù)擔(dān)。同時(shí)通過(guò)接收路由還可以為用戶分析網(wǎng)絡(luò)中路由的穩(wěn)定狀況和防止針對(duì) BGP 路由的 Hijack 攻擊。 多種屬性的相互關(guān)聯(lián)性分析可真正實(shí)現(xiàn)從 AS、IP 地址、應(yīng)用、指定用戶、指定路由器、指定設(shè)備端口、用戶指定屬性的感興趣點(diǎn)等以上各個(gè)用戶興趣點(diǎn)在全網(wǎng)內(nèi)的相互關(guān)聯(lián)性分析。真正實(shí)現(xiàn)用戶所必需的 POP to POP，網(wǎng)絡(luò)到不同 Peer、Peer to Peer、Interface to Peer、用戶應(yīng)用分析、網(wǎng)絡(luò)內(nèi)部 top talker、不同應(yīng)用和不同人群的熱點(diǎn)地區(qū)等需求，真正能夠幫助用戶解決網(wǎng)絡(luò)中實(shí)際問(wèn)題。 針對(duì)互連路徑和流量的詳細(xì)分析通過(guò) Peer Evaluation 功能分析到各個(gè)