H3C网络流量分析解决方案

方案背景

随着网络的应用越来越广泛，规模也随之日渐增长，网络中承载的业务也越来越丰富。企业需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题：

1、网络的可视性：网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？

2、应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？

3、用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？

从这些企业管理网络中所经常遇到的问题来看，需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形，使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。

为了应对企业网络管理中的这些问题，于是，H3C公司的NTA（Network Traffic Analysis）解决方案应运而生！

所谓的工欲善其事，必先利其器，NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题、网络异常现象，也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考，并方便网络管理员及时解决网络异常问题。

NetStream技术介绍

在理解Network Traffic Analysis解决方案之前，首先需要了解NetStream的一些基本概念，它们是该解决方案的基础。

“流”概念

NetStream的流定义为：由源到目的方向的一系列单向的数据包。

NetStream流是通过7元组来标识的，即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流，设备根据七元组信息对过往的数据包进行NetStream统计。

下图中就包括四条流：

从Client A到WWW Server方向通信时产生的流；

从WWW Server到Client A方向通信时产生的流；

从Client B到FTP Server方向通信时产生的流；

从FTP Server到Client B方向通信时产生的流；

图1 网络中流的举例说明

从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。形象地说，通过NetStream流可以记录下来网络中who、what、when、where、how。

NetStream技术

NetStream是H3C公司基于“流”的概念，定义了一种用于路由器/交换机输出网络流量的统计数据的方法，路由器/交换机对通过其的IP数据包进行统计和分析，并上报给网流采集器，网流采集器把搜集的数据包及统计数据传送到网流分析器，经合并处理后存入数据库，并进行进一步的分析处理。NetStream技术可利用网络中数据流创造价值，并可在最大限度减小对路由器/交换机性能影响的前提下提供详细的数据流统计信息。

NTA解决方案介绍

NTA系统组成

NetworkTraffic Analysis解决方案包括：网流采样设备（NetTraffic Exporter）、网流流采集设备（NetTrafficCollector）、数据分析处理设备（NetTraffic Processor），三个设备之间的关系如下图所示：

图2 Network Traffic Analyze各组成部分的关系

NTE负责流量的采集和发送，NTC设备负责收集和存储NTE发来的流量统计数据信息；NTP 从数据库中获取收集到的数据，经分析加工后以直观的图表、报表等方式为网络规划、网络优化、网络监控、流量趋势分析、异常检测等提供直接的数据依据。

1）NetTraffic Exporter

提供NetStream技术接口的网络设备（H3C公司的路由器和交换机及华为公司的路由器），负责对设备各个端口进出的网络报文进行流分类统计，然后打包输出。

2）NetTraffic Collector

NTC可以采集多个NTE设备输出的数据，对数据进行过滤和聚合，并将数据存储在数据库中供分析处理。

3）NetTraffic Processor

NTP是一个网络流量的分析工具，对采集来的流量数据进行分析处理。为便于网络管理人员的操作，采用基于Web形式访问，提供直观的、图形化的管理界面，所有数据输出都以友好的形式直接在Web页面中显示。

NTE设备功能

作为支持NetStream的网络设备，首先需要打开网络设备的侦听端口，然后配置将NetStream 日志要发送到哪个IP的哪个端口（即NTC设备的监听端口）。这样，设备就会把NetStream 日志以UDP包的形式发往NTC，而NTC则可从侦听端口源源不断的接收NetStream日志。

NTC设备功能

NetStream日志被NTC设备采集到之后，将会做聚合处理，这样可减少最终存入数据库的的数据量，并提高了分析的效率；同时，NTC设备也会对存入数据库的数据作进一步的统计处理，以便快速产生各类分析报表。

NTP设备功能

NTP对NTC生成的所有数据进行分析，对数据进行二次聚合、统计分析，分析的结果以非常直观的图表、表格等形式展示给用户，通过这些分析结果，用户可以监控网络使用状况、应用使用状况、用户网络访问行为，并可监控到流量异常状况以便用户进一步做分析。

报表功能

用户可根据统计分析的需求，自定义报表生成规则，由报表引擎生成报表，并将统计分析的结果以饼图、曲线图、统计信息表格等直观的形态展示出来。

当前实现的报表功能列表和简要说明如下：

功能类别

功能项目

功能说明

配置功能

设备接口自动识别

对指定的设备（设备IP地址、团体字），自动发现其各种接口

设备物理端口的流量统计

对指定的设备的物理端口流量通过SNMP方式进行统计

接口组设置

对自动发现的接口按组进行分类，并按组进行统计

设置应用聚合策略

设置统计实时性

系统参数设置

设置TopN的N值大小，数据保存时间，以及磁盘使用方面的信息

应用管理设置

修改预先定义好的网络应用的端口号和协议号，以及新增未知网络应用的端口号和协议号

分析功能

设备接口流量统计

显示设备各个接口的流量值和接口的带宽占用率

基于接口的流量分布

指定设备、接口和时间段，显示其流量在这段时间的趋势图

基于接口的应用分布

指定设备、接口和时间段，显示其各种应用（TopN）流量在一段时间的趋势图和比例

基于接口的源IP TopN

指定设备、接口和时间段，显示其流量排名靠前的TopN 源IP地址以及流量值和占用流量的比例