H3C iMC 网络流量分析方案技术方案建议书杭州华三通信技术有限公司目录一、网络流量分析技术的现状与发展 (4)二、网络流量分析的重要性分析 (5)三、××项目网络流量分析系统需求分析 (6)3.1. ××项目相关背景及需求信息 (6)3.2. ××项目网络拓扑结构及网络流量模型 (6)四、H3C iMC 网络流量分析(NTA)解决方案介绍 (6)4.1. NTA解决方案介绍 (7)4.2. NTA逻辑组成 (7)4.3. NTA报表功能 (8)4.3.1. 预定义报表介绍 (8)4.3.2. 七层应用分析报表（DIG采集方式支持） (11)4.3.3. 智能基线、自动告警 (11)4.4. NTA相关技术规范 (12)五、×××项目NTA解决方案部署 (12)5.1. 广域网流量监控方案 (13)5.1.1. 广域网分支流量监控方案 (13)5.1.1.1. 适用的网络环境： (13)5.1.1.2. 推荐使用的组件： (13)5.1.1.3. 应用组网图： (13)5.1.1.4. 可实现的功能： (14)5.1.2. 广域网分布式流量监控方案 (15)5.1.2.1. 适用的网络环境： (15)5.1.2.2. 推荐使用的组件： (15)5.1.2.3. 应用组网图 (15)5.1.2.4. 可实现的功能： (15)5.2. 局域网流量监控方案 (16)5.2.1. 局域网Internet出口流量监控方案 (16)5.2.1.1. 适用的网络环境： (16)5.2.1.2. 推荐使用组件： (16)5.2.1.3. 应用组网图： (16)5.2.1.4. 可实现的功能： (17)5.2.2. 不支持NetStream设备组网方案 (17)5.2.2.1. 适用的网络环境： (17)5.2.2.2. 推荐使用的组件： (18)5.2.2.3. 应用组网图 (18)5.2.2.4. 可实现的功能： (18)附：NTA特色流量分析功能介绍 (19)准确的主机识别 (19)数据库实时监控 (19)灵活的应用自定义 (19)流量分析任务管理 (20)附：NETSTREAM技术简介 (20)一、网络流量分析技术的现状与发展随着网络的应用越来越广泛，规模越来越大，其承载的业务越来越丰富，了解网络承载的业务，掌握网络流量特征，以便使网络带宽配置最优化，是当前网络面临的一大挑战；另一方面，网络蠕虫病毒、DoS/DDoS攻击等在网络中越来越流行，对网络正常业务的负面危害也越来越大，因此检测威胁网络安全的异常行为是当前网络面临的另一大挑战。

绝大多数企业的IT管理部门都还没有建设起一套能够完全满足上述管理需求的网络及业务流量和流向分析系统，大部分网管系统还只是采用一些通用型的网络链路使用率监视软件，如MRTG，利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计；或采用在网络中部分重点POP点加装RMON探针的方式，利用RMON I/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。

但是上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性：1) 利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集，但不会对信息进行过滤，经常是收集上许多无用信息。

不但包括网络层的客户业务流量信息，还包括链路层的数据帧包头，Hello数据包，出错后重新传送的数据包等流量信息。

而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况，也无法对进出的流量进行流向分析。

2) 利用RMON协议对运营商网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性，如可以对业务流量进行统计，但同时也暴露出新的技术局限性。

首先，由于RMON协议需要对网络上传送的每个数据帧进行采集和分析，会消耗大量的CPU资源因而不可能由网络设备本身实现，需要额外购买和安装内置式或外置式的RMON探针。

市场上现有的RMON 探针处理能力也有限制，还不能支持监控端口速率超过1Gbps的网络端口。

其次，因为RMON 探针为硬件设备，价格较贵，所以不可能为每台网络设备都配备，且由于RMON探针，特别是内置式RMON探针，探针接入网络后部署变更困难，必然会造成出现异常事件时无法及时对特定的网络链路进行监控。

最后，由于RMON探针采集到的管理数据是由分析每个数据包后得到的，数据量非常大且分散，协议缺乏内建的数据汇总机制，不易对数据进行高层次的流向分析。

这些因素都会阻碍利用RMON协议对大型网络进行流量和流向分析的有效性。

为克服现有网管系统对网络流量和流向分析功能的技术局限性，企业IT管理部门迫切需要寻找一种功能丰富，成熟稳定的新技术对现有管理系统中管理信息的采集和分析方式进行改造和升级。

新的信息采集和分析技术还需要对企业的运行网络影响小，无需对网络拓扑进行改变就能平滑升级。

而且新的信息采集和分析技术应该即可以对网络中各个链路的带宽使用率进行统计，也可以对每条链路上传输不同类型业务的流量和流向进行分析和统计。

作为IT业界的网络解决方案提供商，H3C不但提供了性能卓越的网络设备，还配套研发了可以满足客户对网络流量和流向分析需求的NetStream技术，NetStream技术是一种基于网络流信息的统计与发布技术，它可以对网络中的通信量和资源使用情况进行分类和统计，基于各种业务和应用进行分析。

二、网络流量分析的重要性随着网络规模的日渐增长，网络中承载的业务也越来越丰富。

企业需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。

目前企业在管理网络当中普遍遭遇到了如下的问题：1) 网络的可视性：网络利用率如何？什么样的程序正在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据作为网络带宽规划的参考？2) 应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？3) 用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？三、××项目网络流量分析系统需求分析此处对××项目背景进行简单介绍，主要目的是分析网络流量分析的需求，建议内容包括：注：此处请项目人员根据具体的项目信息补充说明。

3.1. ××项目相关背景及需求信息3.2. ××项目网络拓扑结构及网络流量模型四、H3C I MC网络流量分析(NTA)解决方案介绍H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。

作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。

H3C智能管理中心解决方案架构如下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性和灵活性。

4.1. NTA解决方案介绍iMC 网络流量分析(Network Traffic Analyzer, NTA)解决方案可以帮助网络管理人员了解企业内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题、网络异常现象，也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考，并方便网络管理员及时解决网络异常问题。

4.2. NTA逻辑组成iMC NTA解决方案包括：网络设备、DIG日志采集器（可选）、iMC NTA网络流量分析组件，三部分之间的关系如下图所示：1）网络设备提供NetStream技术\sFlow技术接口的网络设备，负责对设备各个端口进出的网络报文进行流分类统计，然后生成日志并发送到流量分析服务器。

2）DIG日志采集器适用于配合不支持NetStream技术\sFlow技术的网络设备进行流量分析的组网环境，DIG日志采集器过滤和统计DIG日志报文，形成DIG日志输出。

DIG采集器有以下两种方式对网络设备端口的数据报文进行采集：1、从镜像端口采集对于支持端口镜像功能的交换机、路由器设备，可以将镜像端口直接同DIG日志探针组件的采集网卡相连，实现数据采集。

此类采集方式，需要设置设备镜像端口，保证镜像端口和采集网卡的类型、带宽匹配。

2、分流器采集在设备不支持镜像端口的情况下，为了不影响设备性能，比较专业的采集方案是采用分流器，从设备端口接收网络数据报文。

此方案通常应用于光纤链路。

3、 iMC NTA网络流量分析组件iMC NTA网络流量分析组件是本方案的核心，其根据不同应用对采集来的流量数据进行详细的分析处理。

采用将分布式数据先集中再分析的方法，实现了精细统计粒度的同时高效的分析样本。

为便于网络管理人员的操作，采用基于Web的直观的、图形化的管理界面。

4.3. NTA报表功能4.3.1. 预定义报表介绍使用iMC NTA可以简化对企业网络中带宽使用的监控。

用户借助NetStream数据了解谁、何时占用了多少带宽，使用多长时间，网络流量来自何地、流向何处。

iMC NTA这些数据进行多角度的统计和分析，并生成各种直观的流量、带宽报表。

以便用户快速诊断网络问题并解决带宽瓶颈，同时作为用户进行网络优化、网络设备投资、网络带宽优化等的参考。

iMC NTA提供了一系列预置的流量、带宽报表，所有报表均可以灵活定制过滤条件（包括应用类别、源IP、目的IP等），在预定义报表中按照定制的过滤条件显示特定应用的流量趋势或特定节点的流量明细信息。

通过预置报表可以简单有效地分析网络流量。

可以了解造成带宽瓶颈的某个特定主机、应用或会话的详细信息。

这将便于快速了解当前哪些链路堵塞，并分析其原因。

另外，不同时间段的使用趋势有助于用户在带宽投资或加强安全策略方面做出重要的决定，促进有效地使用带宽。

4.3.2. 七层应用分析报表（DIG采集方式支持）iMC NTA支持按照特征码识别BT、Kazaa、DC通讯、eDonkey、Gnutella、QQ文字、MSN 文字通讯、迅雷、AIM等十余种目前流行的P2P和即时通信应用，对识别的七层应用提供应用带宽占用趋势等预定义报表，具体可参见报表功能介绍部分，同时用户可以根据特征码自行定义关心的七层应用。