网络流量分析解决方案

报表功能
❖ 用户可根据统计分析的需求，自定义报表生 成规则，由报表引擎生成报表，并将统计分 析的结果以饼图、曲线图、统计信息表格等 直观的形态展示出来。
❖ 报表展示 ❖ 流量统计报表--给出一段时间内入出流量的趋势图，以及
按入出流量统计总流量、最大速率、最小速率、平均速率， 并给出流量明细信息：
网络流量分析
杨林海
❖ 网络流量分析是一个有助于网络管理者进行 网络规划、网络优化、网络监控、流量趋势 分析等工作的工具，通过对网络信息流 （NetStream）的采集并分析可帮助网络管 理者得到网络流量的准确信息，为网络的正 常、稳定、可靠运行提供保障。
流量分析方案背景
❖ 网络的可视性 ❖ 网络利用率如何？ ❖ 什么样的程序在网络中运行？ ❖ 主要用户有哪些？ ❖ 网络中是否产生异常流量？ ❖ 有没有长期的趋势数据用作网络带宽规划？
NTA解决方案
❖ Network Traffic Analysis解决方案包括：
❖ 网流采样设备（NTE）（Net Traffic Exporter）：采集和发送 ❖ 网流流采集设备NTC（Net Traffic Collector）：流量统计 ❖ 数据分析处理设备NTP（Net Traffic Processor）：直观的图表、报表
❖ 应用统计报表--给出一段时间内流入、流出 的各种应用以及趋势图。
❖ 应用明细报表--给出应用统计报表中某个应用的明细信息， 包含该应用的趋势、使用该应用源节点以及目的节点应用 统计报表--给出一段时间内流入、流出的各种应用以及趋 势图。
❖ 来源统计报表--给出一段时间内，作为源IP
的各个节点产生的流量的信息。以饼图的 形式展示，并给出产生流量最多的节点：
❖ 从上例中可以很容易地理解，流是单向的， 同时流也是基于协议的。
❖ 形象地说，通过NetStream流可以记录下来 网络中who、what、when、where、how。
Net Stream技术
路由器/交换机 对IP包统计分析
路由器/交换机 统计数据
网流采集器
网流分析器
数据库 进一步分析处理
❖ Net Stream技术可利用网络中数据流创造价 值，并可在最大限度减小对路由器/交换机性 能影响的前提下提供详细的数据流统计信息。
❖ Net Stream流是通过7元组来标识的，即通过 接口索引、源IP地址、目的IP地址、源端口 号、目的端口号、协议号和ToS组成的七元 组确定一个Net Stream流，设备根据七元组 信息对过往的数据包进行Net Stream统计。
分析下图中四条流：
上图包括的四种数据流
❖ 从Client A到WWW Server方向通信时产生的流； ❖ 从WWW Server到Client A方向通信时产生的流； ❖ 从Client B到FTP Server方向通信时产生的流； ❖ 从FTP Server到Client B方向通信时产生的流；
❖ 当前网内有哪些应用？ ❖ 分别产生了多少流量？ ❖ 网络中应用使用的模式是什么？ ❖ 企业内部重要应用执行状况如何？
❖ 用户使用网络模式的可视性： ❖ 哪些用户产生的流量最多？ ❖ 哪些服务器接收的流量最多？ ❖ 哪些会话产生了流量？ ❖ 分别使用了哪些应用？
wk.baidu.comet Stream技术介绍
“流”概念Net Stream的流定义为：由源到目 的方向的一系列单向的数据包。
Net Traffic Processor ：数据分析处理设备
❖ NTP是一个网络流量的分析工具，对采集来的流量 数据进行分析处理。为便于网络管理人员的操作， 采用基于Web形式访问，提供直观的、图形化的管 理界面，所有数据输出都以友好的形式直接在Web 页面中显示。
❖ NTP对NTC生成的所有数据进行分析，对数据进行二次聚合、统计分析， 分析的结果以非常直观的图表、表格等形式展示给用户，通过这些分析 结果，用户可以监控网络使用状况、应用使用状况、用户网络访问行为， 并可监控到流量异常状况以便用户进一步做分析。
❖ 会话统计报表--给出会话节点流量TOP分布 图，以及会话节点流量TOP列表
❖ 会话明细报表－－给出会话统计报表中， 某对IP之间在一段时间内产生的流量的趋势， 并给出这对IP之间通信所使用的应用
❖ DIG采集设备
❖ DIG采集设备针对一些不支持Net Stream技 术的网络设备，有一种DIG采集设备，只要 网络设备支持端口镜像，DIG采集设备能直 接从镜像端口收集网络流量信息，并形成 DIG日志提供给NTC/NTP进行流量分析。
Net Traffic Exporter：网流采样设备
❖ 提供Net Stream技术接口的网络设备（路由 器和交换机及的路由器），负责对设备各个 端口进出的网络报文进行流分类统计，然后 打包输出。
❖ 作为支持NetStream的网络设备，首先需要打开网络设备的 侦听端口，然后配置将NetStream日志要发送到哪个IP的哪 个端口（即NTC设备的监听端口）。这样，设备就会把 NetStream日志以UDP包的形式发往NTC，而NTC则可从侦 听端口源源不断的接收NetStream日志。
❖ 来源明细报表--给出来源统计报表中某个节 点的明细信息。并给出与源节点通信的top 目的节点以及与源节点通信的top应用
❖ 目的统计报表--给出一段时间内，作为目的IP的各 个节点接收的流量的统计信息。以饼图的形式展 示，并给出接收流量最多的节点
❖ 目的明细报表--给出目的统计报表中某个节点的 明细信息。并给出与目的节点通信的top目的节点 以及与目的点通信的top应用
Net Traffic Collector：网流采集设备
❖ NTC可以采集多个NTE设备输出的数据，对 数据进行过滤和聚合，并将数据存储在数据 库中供分析处理。
❖ NetStream日志被NTC设备采集到之后，将会做聚合处理，这样可减少 最终存入数据库的的数据量，并提高了分析的效率；同时，NTC设备也 会对存入数据库的数据作进一步的统计处理，以便快速产生各类分析报 表。