第五部分 H3C iMC NTA组件介绍

,57,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,iMC NTA,组件介绍,ISSUE 2.0,日期：,在企业网络建设完毕后，每一个企业管理者不可避免地要面对下面的问题：,网络中都有什么样的应用在运行，哪些数据流影响了我的网络运行？哪些应用与业务无关，如果保障重要业务？,网络的资源如何部署，如何随业务变化而改变部署？,谁在消耗带宽，哪些用户需要控制，如何控制？,是否需要更多带宽？,引入,了解网络流量分析组件的原理及组网应用,掌握网络流量分析组件的功能特性,了解网络流量分析组件安装、使用、维护和故障排除,课程目标,学习完本课程，您应该能够：,参考资料,iMC NTA,组件联机帮助,第一章 产品总体介绍,第二章 原理及组网应用,第三章 产品功能介绍,第四章 日常维护与故障定位,目录,NTA,流量分析系统,NTA,网络流量分析服务器,网络设备,解析网络设备报文,收集统计数据,到数据库,统计分析数据，,产生流量报表,分析网络报文,提取符合条件流,统计信息,输出流统计信息,主要功能,配合,H3C,多款路由器、交换机及所有支持端口镜像网络设备,支持,NetStream,、,SFlow,等多种日志格式,流量、应用、节点、会话四大类数十种预制报表自动生成,智能建立基线，异常流量自动告警,P2P,应用流量监控与分析,基于,MAC,、主机名的流量监控,联动,iMC UAM,组件提供上网明细查询,数据库使用空间实时监控,Packet,NetStream/sFLow,端口镜像流量,DIG,日志采集器,获取设备镜像数据，形成,NetStream,日志,NTA,组件系统结构,Unba_master,采集器,（,probe,）,主要功能,流量分析,报表展示,日志转储,七层识别,未知应用分析,接收器,(reciever.exe),处理器,(processor.exe),Unba_slave,配置台,FTP,流量日志,(netstream/sFlow),镜像流量,NTA,在,iMC,中的位置,NTA,做为,iMC,的一个组件基于平台之上，实现各种业务。,NTA,组件包括：网络行为分析基础组件，网络行为分析服务基础组件,网络流量分析组件、网络流量分析服务组件,.,网络行为分析基础组件及网络流量分析组件管理,NTA,的界面和配置，安装在,iMC,主服务器端,.,网络流量分析服务组件与网络行为分析服务基础组件管理,NTA,具体的业务逻辑，对日志数据分析，聚合等。可分布式部署，实现性能负载的均衡,NTA,要求平台的资源和告警组件必须部署,iMC,基础平台,iMC UBA,iMC NTA,NTA,配套的操作系统，数据库及服务器情况,NTA,部署在,iMC PLAT,之上，,NTA,对操作系统及数据库的版本要求同,iMC PLAT,NTA,对服务器的性能要求很高，正常情况下必须分布式部署在单独的服务器上，不能与平台或其它组件部署在一起。,网络中总的日志量超过单台,NTA,处理的能力时，需要部署多台,NTA,服务器来分担性能。,NTA,服务器主要考虑的硬件因素有：,CPU/,内存,/,磁盘空间,/RAID,，由于,NTA,服务器处理的日志量非常大，一般情况下要求磁盘配置,RAID,。,Netstream,场景中,NTA,对服务器的硬件要求主要考虑,NTA,服务器每秒钟处理的日志数,sFlow,场景中,NTA,对服务器的硬件要求主要考虑设备启用,sFlow,的接口数,DIG,场景中,NTA,对服务器的硬件要求主要考虑,DIG,采集器处理的流量大小,NTA,可以和,UBA,部署在一起，此时对,NTA,服务器的硬件要求会比单独部署,NTA,时有一定的提高,NTA,部署方式及对服务器硬件配置的详细内容请见,智能管理中心（,iMC,）部署和硬件配置方案,NTA license,项目编码,对外型号,对外中文描述,备注,0231A816,SWP-IMC-NTAW-CN,功能模块,-H3C iMC-SW7M1NTAW-,网络流量分析组件,-,纯软件（,CD,）中文版,配置该组件时必须同时配置智能管理平台,3130A212,LIS-IMC-NTAA-CN-1,License,授权函,-H3C iMC-SW7M1NTAA-,网络流量分析组件,license,费用,-,管理,1,台设备,3130A213,LIS-IMC-NTAB-CN-2,License,授权函,-H3C iMC-SW7M1NTAB-,网络流量分析组件,license,费用,-,管理,2,台设备,3130A214,LIS-IMC-NTAC-CN-5,License,授权函,-H3C iMC-SW7M1NTAC-,网络流量分析组件,license,费用,-,管理,5,台设备,iMC NTA,按采集点,(,设备或探针,),计算,license,，默认带一个采集点,license,扩容分为,1/2/5,当一台设备上存在多个,NetStream,板时，每个,NetStream,板即为一个采集点。,第一章 产品总体介绍,第二章 原理及组网应用,第三章 产品功能介绍,第四章 日常维护与故障定位,目录,日志介绍,USERLOG,Type,Contents,Description,ULONG,SIP,源,IP,地址,ULONG,NATIP,NAT,转换后的,IP,地址,ULONG,DIP,目的,IP,地址,USHORT,SPORT,TCP/UDP,源端口号,USHORT,NATPORT,NAT,转换后的端口号,USHORT,DPORT,TCP/UDP,目的端口号,UCHAR,PROT,IP,承载的协议类型,UCHAR,OPERATOR,操作字，主要指流结束原因。,ULONG,STIME,流起始时间，以秒为单位，以,1970/1/1 0:0,开始计算,ULONG,ETIME,流结束时间，以秒为单位，以,1970/1/1 0:0,开始计算,ULONG,RESERVED,保留,USERLOG,为华为设备的日志格式，分为,FLOW/NAT/ACCESS,NTA,支持,FLOW,和,NAT,Type,Contents,Description,UCHAR,VERSION,日志报文版本号，当前版本为：,1,UCHAR,LOG_TYPE,日志报文的类型，目前分为,NAT / ACCESS / FLOW,三种,USHORT,COUNT,当前报文中的流记录数,(1-100),ULONG,UINX_SEC,从,1970,年,1,月,1,日,0,时起，到报文产生时间的整秒数,ULONG,FlOW_SEQUENCE,报文的序列号,USHORT,DEVICE_ID,设备类型号,UCHAR,SLOT,槽号，生成日志报文的槽号,UCHAR,RESERVED,保留,日志介绍二进制日志,二进制日志主要为我司防火墙,路由器设备实现，有时也叫,flow3.0,日志,.,该日志报文头与,USERLOG,日志相似，主要是日志内容上有所区别,.,Type,Contents,Description,UCHAR,Prot,IP,承载的协议类型,UCHAR,Operator,操作字，主要指流结束原因。,UCHAR,IpVersion,IP,报文版本,UCHAR,TosIPv4,IPv4,报文的,Tos,字段,ULONG,SourceIP,源,IP,ULONG,SrcNatIP,NAT,转换后的源,IP,ULONG,DestIP,目的,IP,ULONG,DestNatIP,NAT,转换后的目的,IP,USHORT,SrcPort,TCP/UDP,源端口号,USHORT,SrcNatPort,NAT,转换后的,TCP/UDP,源端口号,USHORT,DestPort,TCP/UDP,目的端口号,USHORT,DestNatPort,NAT,转换后的目的,TCP/UDP,目的端口号,ULONG,StartTime,流起始时间，以秒为单位，以,1970/1/1 0:0,开始计算,ULONG,EndTime,流结束时间，以秒为单位，以,1970/1/1 0:0,开始计算,ULONG,InTotalPkg,（源,IP,方）接收包数,ULONG,InTotalByte,（源,IP,方）接收字节数,ULONG,OutTotalPkg,（源,IP,方）发出包数,ULONG,OutTotalByte,（源,IP,方）发出字节数,ULONG,Reserved1,对于,0x02,版本（,FirewallV200R001,）保留；,对于,0x03,版本（,FirewallV200R005,）第一个字节为源,VPN ID,，第二个字节为目的,VPN ID,，第三、四个字节保留,ULONG,Reserved2,保留,ULONG,Reserved3,保留,Netsteam,Data,日志介绍,NetstreamV5,UDP,Header,Flow,data,NS Version,Counts,SysUpTime,UNIX Seconds,UNIX NanoSeconds,Flow Sequence Number,Engine Type,Engine ID,Sampling interval,Source IP,Destination IP,Nexthop IP,Source interface,Destination interface,Pkts,Bytes,First time stamp,Last time stamp,Source port,Destination port,Reserved,Tcp_flags,Protocol,ToS,Source AS,Destination AS,Source maskbits,Destination maskbits,Direction,Reserved,NSV5,NSV5,NSV5,NSV5,NTA,Netsteam,Data,日志介绍,NetstreamV9,UDP,Header,Flow,data,NSV9,data,NSV9,template,NSV9,data,NTA,NS Version,Counts,SysUpTime,UNIX Seconds,Package Sequence,Source ID,FlowSetID,TemplateID,Length,Record1 -Field Value 1,Record1 -Field Value 2,Record 1 - Field Value 3,Record2 -Field Value 1,Record2 -Field Value 2,Record2 -Field Value 3,padding,FlowSetID=0,Length,TemplateID=1,Field Count,Field Type 1,Field Length 1,Field Type 2,Field Length 2,TemplateID=N,Field Count,Field Type 1,Field Length 1,Field Type 2,Field Length 2,日志介绍DIG日志,DIG,摘要日志,DIG,摘要日志内容为应用层协议数据报文信息，包含以下内容：开始时间、结束时间、源,IP,地址、目的,IP,地址、目的端口号、摘要信息（目前仅支持,HTTP,协议、,FTP,协议、,SMTP,协议报文信息摘要）；,1)HTTP,协议摘要信息：用户访问的,URL,、网页标题；,2)FTP,协议摘要信息：,FTP,用户名、所执行的操作（是,GET,还是,PUT,）、所操作的文件名；,3)SMTP,协议摘要信息：发件人、收件人、邮件的主题等数据；,DIG,流日志,采集器将设备镜像的报文按照5元组进行聚合后按照NetStream日志格式进行老化输出，同时入接口和出接口按照流量方向填入1000/2000的虚拟接口。,支持七层应用分析,DIG,摘要日志能否用于网络流量分析？,日志介绍sFlow日志,sFlow,sFlow,sFlow,sFlow,NTA,Device,sFlow,（,Sampled Flow,，采样流）是一种基于报文采样的网络流量监控技术，主要用于对网络流量进行统计分析。,sFLow,是一种标准的采样技术，基于,RFC3167,。,sFLow,Agent,对设备的性能要求不高，从而使一些低端设备也可以支持该特性。,NTA,目前只支持处理,sFlow,Agent,发出的,flow sample,类型的流量数据。,日志过滤,Unba_master,采集器,（,probe,）,主要功能,流量分析,报表展示,日志转储,七层识别,未知应用分析,接收器,(reciever.exe),处理器,(processor.exe),Unba_slave,配置台,FTP,流量日志,(netstream/sFlow),镜像流量,过滤策略,过滤策略,NetStream V5 /sFlow,组网方式,主要面向金融、政府、教育等中大型行业用户，为管理员提供流量分析、网络优化、异常监控的手段：,设备是支持,NetStream/sFlow,的设备，做,NetStream/sFlow,分析，并输出,NetStream/sFlow,日志。,NTA,服务器接收,NetStream/sFlow,日志并进行流量分析，可以区分,4,层流量信息。,提供区域流量分类统计、应用流量统计分析、流量和应用分析（,TOP N,、跟踪、分布）等丰富的报表。,NTA,部署位置无特定要求，与,netstream,设备路由可达即可。,DIG,探针式组网方式,该组网方式主要面向出口容量不大的教育或行业用户，为管理提供更深入的用户行为审计,同时提供了对端口或链路进行流量分析、网络优化和异常监控的手段：,NTA,流量探针通过端口镜像采集和分析端口或链路的流量。,流量探针支持通过,TAP,分流器采集流量。,旁路监听方式，对网络性能影响小。,NTA,部署,位,置无特定要求，与,netstream,设备路由可达即可。,DIG,采集器一般配置,第一章 产品总体介绍,第二章 原理及组网应用,第三章 产品功能介绍,第四章 日常维护与故障定位,目录,产品功能介绍,系统配置,流量分析,流量日志审计,数据库空间使用,主机识别,NTA,快速配置向导,NTA,快速配置向导,包括设备管理、采集器管理、服务器管理和流量分析任务管理。,设备管理,设备管理,包括增加、修改、删除流量分析设备操作,采集器管理,采集器管理,包括增加、修改、删除采集器操作,是否对七层应用进行识别,服务器管理,服务器管理,服务器配置即对部署的网络流量分析服务器组件相关信息的配置。,服务器配置完成后，必须将配置下发，新配置才能在接收器、处理器及探针侧生效。,服务器配置,选择了采集器的监控，必须配置,FTP,信息,选择过滤策略或是不过滤,选择网络流量分析设备,选择网流分析采集器,流量分析任务管理,NTA,组件可从多个维度对网络流量进行分析。对于,VPN,网络增加了基于,VPN,的网络流量分析功能。,基于接口的流量分析,基于采集器的流量分析,基于应用的流量分析,基于主机的流量分析,基于,VPN,的流量分析,增加基于接口的流量分析任务,任务关联的网流服务器，即任务不能跨服务器。,增加基于采集器的流量分析任务,增加基于应用的流量分析任务,每个应用流量分析任务最多支持,10,个应用。,增加基于主机的流量分析任务,每个主机流量分析任务最多支持,10,个应用。,每个主机流量分析任务最多支持,10,个主机定义。,增加基于,VPN,的流量分析任务,NTA,其他配置,包括应用定义管理、应用识别管理、系统参数管理和过滤策略管理。,应用定义管理,应用定义管理,NTA,应用由两部分组成：系统预定义、用户自定义,用户可根据协议和端口定义一种应用,应用识别管理,应用识别管理,NTA,应用识别,是,专门针对端口不固定的应用进行的流量分析，如,BT,、,eDonkey,等,P2P,应用，该类应用通过报文应用层数据的特征进行识别。,应用识别仅对探针有效，增加应用识别后，必须重新下发配置才能生效。,如果不启用，则探针不会进行识别,系统参数管理,根据实际的业务需求和硬件配置，对系统参数进行合理的设置,过滤策略管理,将不关心的日志报文丢弃，可以降低无用的报文对系统性能的影响,日志的过滤是由接收器和探针完成,过滤策略组成：一个缺省处理方式、一个或多个过滤条件、日志类型,过滤条件的组成：一个或多个过滤项、符合过滤条件的处理方式,过滤策略管理,过滤策略的缺省处理方式与过滤条件中处理方式之间的关系：缺省处理方式表示当日志报文不符合日志接收器采用过滤策略中包含的任意一个过滤条件时，接收器对日志报文的处理方式。而当日志报文符合某一个过滤条件时，接收器将按照该条件设定的处理方式处理日志报文；,“过滤条件中的处理方式优先”,一个过滤条件中多个过滤项之间的关系：如果设置了多个过滤项，则只有同时满足多个过滤项的日志报文才会按照此过滤条件的处理方式进行处理；,过滤项之间的关系是“与”关系,不同过滤条件之间的关系：当某个日志报文同时符合多个过滤条件时，如果这些过滤条件的报文处理方式不同（有的是“接收”，有的是“丢弃”），则根据,过滤条件的优先级进行处理,产品功能介绍,系统配置,流量分析,流量日志审计,数据库空间使用,主机识别,流量分析介绍,对流量的分析基于用户配置的任务,接口流量分析任务,接口流量分析任务可能只包含一个接口，也可能包含多个接口，在左侧接口流量分析菜单树中，将每个流量分析任务所包含的接口分别列出 ，用户也可以针对某一个接口进行流量分析。,采集器流量分析任务,应用流量分析任务,主机流量分析任务,报表流量类型,查看任务指定时间段内的出、入流量、最大、最小和平均速率、流量时间变化趋势及流量明细信息。,流量信息,一览无余,短期数据 作为,发现异常流量参考,长期流量趋势为,网络优化提供依据,报表应用类型,查看指定时间段内任务流入、流出方向上，各网络应用占用带宽的比例的变化趋势及应用统计概况。,谁在使用带宽，,访问那些目的？,报表主机类型,查看流量分析任务总流量,TopN,的主机及流量统计信息，包括来源主机和目的主机,。,他们在使用什么协,议？和谁进行通信？,哪些端口在被频繁使用？,报表会话类型,查看流量分析任务总流量,TopN,的网络主机间会话及流量统计信息。,哪些特定的主机对耗尽了大量带宽,通信的主机之间使用了哪些应用？,接口流量基线化,流量基线建立智能化，能自动裁减突发异常流量,异常流量及时告警,产品功能介绍,系统配置,流量分析,流量日志审计,数据库空间使用,主机识别,流量日志审计,NTA,不仅做流量分析，通过流量日志审记可以提供类似,UBA,的审记终端用户网络访问行为详细信息的功能。,流量日志审计（续）,流量日志审计从四个维度进行审计：,流量、来源、目的、会话。,产品功能介绍,系统配置,流量分析,流量日志审计,数据库空间使用,主机识别,数据库空间使用,数据库,剩余,空间,数据库已用空间,全面掌握磁盘使用状况,磁盘空间使用阈值设置,达到阈值自动释放空间,磁盘已用空间,磁盘,剩余,空间,相关配置项参见服务器配置,产品功能介绍,系统配置,流量分析,流量日志审计,数据库空间使用,主机识别,主机识别,NTA,主机识别功能包括：,基于,MAC,和主机名的用户识别,和,iMC UAM,联动查询特定,IP,的上网明细信息,组网环境中存在,iMC UAM,作为,AAA,服务器,第一章 产品总体介绍,第二章 原理及组网应用,第三章 产品功能介绍,第四章 日常维护与故障定位,目录,日常维护与故障定位,查看,iMC NTA,组件运行情况,在“智能部署接入代理”程序中，观察”,UNBA-Server”,、“,processor.exe”,、“,receiver.exe”,进程是否正常。若该进程已经停止，请重新启动该进程。,查看,SQL Server,运行情况,在,Windows,的服务管理中查看,MSSQL SERVER,服务是否正常启动。,查看智能管理中心运行情况,在,Windows,的服务管理中查看,H3C iMC Server,服务是否正常启动，并能正常登录智能管理中心配置管理台。,日常维护与故障定位,NTA,服务配置好后，不能监控流量定位流程,检查智能管理中心、,SQL Server,是否正常运行,检查,SQL Server,的,unba_slave,数据库，看是否存在以,tbl_nets_yymmddhh,方式的表。,如果不存在这样的表，则说明数据还没有入库，此时应该检查：,1),设备是否有发送日志，发送目的是否为,NTA,从服务器。,2),探针组网方式，则检查探针是否接收镜像日志报文。检查服务配置中的,FTP,目录是否配置正确、,FTP,服务器是否启动。,设备时区配置是否一致，设备,IP,是否配置正确，接口索引是否一致。,从服务器多网卡的情况下，检查配,NTA,中从服务器的,IP,地址是否是监控流量通过的,IP,地址。,日常维护与故障定位,Q,：登录配置管理台提示试用版已到期怎么办？,A,：,向公司,License,管理中心申请,License,，注册成为正式版本。,Q,：如何检查,SQL Server,数据库正常启动？,A,：,检测,SQL Server,启动是否正常方法：在客户端或,SQL Server,服务器上看是否能正常登录,SQL,的查询分析器,。,