关 键 词:DIG、NetStream、NTA、网络流量、网流分析
摘 要:网络流量分析是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具,通过对网络信息流(NetStream)的采集并分析可帮助网络管理者得到网络流量的准确信息,为网络的正常、稳定、可靠运行提供保障。本文档介绍了H3C公司的网络流量分析(Network Traffic Analysis)解决方案的结构组成、功能、以及部署建议,有助于用户更好的理解H3C的网络流量分析解决方案的功能和特点。 缩略语清单:
缩略语 | 英文全名 | 中文解释 |
NTA | Network Traffic Analysis | 网络流量分析 |
| | |
1 方案背景
网络应用越来越广泛、网络规模日渐增大,网络中承载的业务也越来越丰富。企业需要及时
的了解到网络中承载的业务,及时的掌握网络流量特征,以便使网络带宽配置最优化,及时解决网络性能问题。
目前企业在管理网络当中普遍遭遇到了如下的问题:
● 网络的可视性:网络利用率如何?什么样的程序在网络中运行?主要用户有哪些?网络中是否产生异常流量?有没有长期的趋势数据用作网络带宽规划? ● 应用的可视性:当前网内有哪些应用?分别产生了多少流量?网络中应用使用的模式是什么?企业内部重要应用执行状况如何?
● 用户使用网络模式的可视性:哪些用户产生的流量最多?哪些服务器接收的流量最多?哪些会话产生了流量?分别使用了哪些应用?
从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。
为了应对企业网络管理中的这些问题,H3C公司的网络流量分析(NTA)解决方案应运而生。
所谓的工欲善其事,必先利其器。NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况,及时发现并解决网络中的性能瓶颈问题、网络异常现象。相关信息可以作为用户进行网络优化、网络设备投资、网络带宽优化等的参考。
2 NetStream技术介绍
在理解NTA解决方案之前,首先需要了解NetStream的一些基本概念,它们是该解决方案的基础。
2.1 “流”概念
NetStream流的定义为:一系列的由源到目的的单向数据包。
NetStream流是通过7元组来标识的,即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流。设备根据七元组信息对过往的数据包进行NetStream统计。
下图中就包括四条流:
● 从Client A到WWW Server方向通信时产生的流;
● 从WWW Server到Client A方向通信时产生的流;
● 从Client B到FTP Server方向通信时产生的流;
● 从FTP Server到Client B方向通信时产生的流。
图1 网络中流的举例说明
从上例中可以很容易地理解,流是单向的,同时流也是基于协议的。形象地说,通过NetStream流可以记录下来网络中who、what、when、where、how。
2.2 NetStream技术
NetStream是H3C基于“流”的概念定义的一种用于路由器/交换机输出网络流量统计数据的方法。路由器/交换机对通过的IP数据包进行统计和分析,并上报给网流采集器。网流采集器把搜集的数据包及统计数据传送到网流分析器,经聚合处理后存入数据库,之后可以进一步的分析处理。NetStream技术可利用网络中数据流创造价值,并可在最大限度减小对路由器/交换机性能影响的前提下提供详细的数据流统计信息。
3 NTA解决方案介绍
3.1 NTA系统组成
NTA解决方案包括:网流采样设备(NTE,NetTraffic Exporter)、网流采集设备(NTC,
NetTraffic Collector)、数据分析处理设备(NTP,NetTraffic Processor),三个设备之间的关系如下图所示:
图2 NTA各组成部分的关系
NTE负责流量的采集和发送。NTC负责收集NTE发来的流量统计数据信息并存入数据库。NTP从数据库中获取收集到的数据,经分析加工后以直观的图表、报表等方式展示数据,为网络规划、网络优化、网络监控、流量趋势分析、异常检测等提供直接的数据依据。
1. NTE
提供NetStream技术接口的网络设备(H3C系列路由器和交换机),负责对设备各个端口进出的网络报文进行流分类统计,然后打包输出。
2. NTC
NTC可以采集多个NTE设备输出的数据,对数据进行过滤和聚合,并将数据存储在数据库中供分析处理。
3. NTP
NTP是一个网络流量的分析工具,对采集来的流量数据进行分析处理。为便于网络管理人员的操作,采用基于Web形式访问,提供直观的、图形化的管理界面,所有数据输出都以友好的形式直接在Web页面中显示。
3.2 NTE设备的工作机制
作为支持NetStream的网络设备,首先需要打开网络设备的侦听端口,然后配置将NetStream日志要发送到NTC设备的IP及其监听端口。这样NTE就会将NetStream日志以UDP包的形式发往NTC,而NTC则可从侦听端口源源不断的接收NetStream日志。
3.3 NTC设备的工作机制
NetStream日志被NTC设备采集到之后,将会做聚合处理,这样可减少最终存入数据库的的数据量,并提高了分析的效率;同时,NTC设备也会对存入数据库的数据作进一步的统计处理,以便快速产生各类分析报表。
3.4 NTP设备的工作机制
NTP对NTC生成的所有数据进行分析,对数据进行二次聚合、统计分析,分析的结果以非常直观的图表、表格等形式展示给用户。
