构建全方位的网络监测平台

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,25,构建全方位的网络监测平台,报告提纲,网络监测的内容及重要性,中国科技网网络监测平台,几个实用的网络监测工具,下一步的研发计划,总结,网络管理发展趋势,网络发展趋势,网络环境日趋复杂，如：,FR、ATM、VPN,网络技术日新月异，如：,IP,电话、,IPv6,所有的业务运行都和网络紧密相关,网络管理发展趋势,实现对复杂网络环境的可视化监控,从监控网络设备到面向网络应用的管理,在问题未发生时提前预警，最大限度的保证业务应用,services,incidents,change,calls,staff,components,customers,availability,security,performance,recoverability,usage,users,lobm /econbuyer,staff,exec mgmt,it mgmt,report,track,measure,(aggregate),network elements,apps,systems,opsmgmt,helpdesk,我们的问题,网络设备的工作状态是否正常，有没有直观的监控手段？,端到端的网络链路是否正常，网络的瓶颈在哪里？,网络中发生了什么故障，哪些影响了我的网络运行，影响程度如何？,网络发生了问题，到底根源问题在哪里？,网络的流量如何，带宽需不需要扩容？,谁在消耗带宽？,网络监测的定义,网络监测(,Network Measurement),提供了一种探索实际环境中网络特性的手段。,网络监测是指从网络设备上采集数据、收集数据、分析数据的过程。它从网络中采集一些具体指标性数据，并反馈给监测者。这些数据可以用来作为分析网络性能、了解网络运行动态、诊断可能存在的问题、甚至预测可能出现问题的“度量值“。,网络监测的重要性,网络监测对,ISP,至关重要,：,网管人员全面了解网络运行状况的重要手段,网络安全保障的前提,网络计费的前提,实现网络,SLA,的前提,网络扩容、升级改造、容量规划的重要依据,ISP,建立对等连接的重要依据,网络监测对网络使用者非常重要:,保护重要应用的前提,实现网络安全的手段,苏州贷款,网络监测技术,主动监测,(,active):,流量采集者主动发包去探测网络设备的运行情况，根据反馈信息分析网络的具体性能。,Ping,Traceroute,Http gets,基于事件戳的分布式测量,被动监测,(,passive):,被动采集网络中现有的标志性数据以了解网络设备的运行情况。,Tcpdump,Cisco Netflow,Snmp,监测什么?,性能参数测量,delay,loss,jitter,路由测量,路由稳定性；路由可达性;网络拓扑,流量测量,端口进出流量；协议、服务比率；字节、流、包的比率,服务可用性测量,Web,服务；,email,服务；,ftp,服务,其他,报告提纲,IP,网络监测的内容及重要性,中国科技网网络监测平台,几个实用的网络监测工具,下一步的研发计划,总结,中国科技网网络监测平台,基于,RRDtool,的,MRTG,面向安全监测的协议分析仪,网络气象图,Http gets,others,基于,RRDTool,的,MRTG,MRTG (Multi Router Traffic Grapher),称为多路由器流量图示仪，它采用,SNMP,协议采集网络设备上,MIB,库里的值，加工数据后绘制出流量曲线图显示在,WEB,上。,RRDtool:,循环数据库。提供了丰富的绘图功能，海量数据的存储能力。,基于,RRDTool,的,MRTG,高效的数据采集性能,系统在5分钟内可以处理的端口数目达5000个。,长期的历史数据查询,提供长达一年的精确数据查询。,方便的图形查看、缩放,点击可以缩放正在查看的图像,从而使系统操作更加灵活。,准确的数值显示,在小时图上移动鼠标可以查看该点的详细流量，包括时间、该时的进出速率。,用户权限分级管理,流量数据安全保密,。,基于,RRDTool,的,MRTG,面向安全监测的协议分析仪,背景,网络蠕虫攻击、带宽滥用、,DDoS,攻击成为网络的隐患,网络带宽的占用按时间成规律性分布,“流”分析技术成为近年来安全监测技术的热点,大量的攻击事件可以从流量的异常中预知,功能介绍,服务监测、协议监测,Top n user、Top n ports,监测,安全分析,实时报警,了解带宽的使用,根据以下描述整体网络的使用量:,接口(国际、国内）,服务(,tcp,udp,icmp,.),应用(,email,http,ftp,p2p.),了解用户行为,根据以下描述用户的网络行为：,Top n User,Top n Port,监测网络攻击行为,流量建模,设定基线，建立正常模式下的流量模型,某应用的流量突然上升,Code Red, Nimda?,模式匹配,端口匹配，如,sql slammer,攻击是针对,UDP,端口1434,地址匹配，如,W32/Netsky.c,蠕虫发作时会向如下,dns,主机发出解析请求：145.253.2.171,151.189.13.35,193.189.244.205,193.193.144.12,193.193.158.10等等,扫描发现,TopN session,单个主机对单个或多个目标主机发出超过正常数量的连接请求,IP,伪装,源地址、目的地址都非科技网地址,网络气象图,尝试以网络气象图的形式来展示网络运行状况,为中国科技网骨干网网络运行提供全局的性能监测,图示化北京核心到12个分中心的骨干网的网络性能状况,端到端的性能,每一跳的性能,网络气象图,网络拓扑图:,整体图,地区图,网络气象图,终端图：,提供了端到端网络性能的浓缩，包括,Max cpu/mem/bandwidth/loss utilization,网络气象图,延迟图:,集成化的,delay,loss,监测,Web,方式的,Traceroute,TOP HITS,等表格,Http get,性能监测,模拟,Http,请求实时监测网络性能数据,得到网络性能的变化规律,网络性能历史统计分析,网络性能数据预测,及时报警,Http get,性能监测,报告提纲,IP,网络监测的内容及重要性,中国科技网网络监测平台,几个实用的网络监测工具,下一步的研发计划,总结,总结,网络监测对于,NOC,的运营至关重要,构建完善的网络监测平台,为网络运行保驾护航,