iMCNTA组件介绍ISSUE2.0日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播在企业网络建设完毕后,每一个企业管理者不可避免地要面对下面的问题:网络中都有什么样的应用在运行,哪些数据流影响了我的网络运行?哪些应用与业务无关,如果保障重要业务?网络的资源如何部署,如何随业务变化而改变部署?谁在消耗带宽,哪些用户需要控制,如何控制?是否需要更多带宽?引入了解网络流量分析组件的原理及组网应用掌握网络流量分析组件的功能特性了解网络流量分析组件安装、使用、维护和故障排除课程目标学习完本课程,您应该能够:参考资料iMCNTA组件联机帮助第一章产品总体介绍第二章原理及组网应用第三章产品功能介绍第四章日常维护与故障定位目录网络流量分析服务器网络设备解析网络设备报文收集统计数据到数据库统计分析数据,产生流量报表分析网络报文提取符合条件流统计信息输出流统计信息主要功能配合H3C多款路由器、交换机及所有支持端口镜像网络设备支持NetStream、SFlow等多种日志格式流量、应用、节点、会话四大类数十种预制报表自动生成智能建立基线,异常流量自动告警P2P应用流量监控与分析基于MAC、主机名的流量监控联动iMCUAM组件提供上网明细查询数据库使用空间实时监控PacketNetStream/sFLow端口镜像流量DIG日志采集器获取设备镜像数据,形成NetStream日志采集器(probe)主要功能流量分析报表展示日志转储七层识别未知应用分析……接收器(reciever.exe)处理器(processor.exe)Unba_slave配置台FTP流量日志(netstream/sFlow)镜像流量中的位置NTA做为iMC的一个组件基于平台之上,实现各种业务。NTA组件包括:网络行为分析基础组件,网络行为分析服务基础组件,网络流量分析组件、网络流量分析服务组件.网络行为分析基础组件及网络流量分析组件管理NTA的界面和配置,安装在iMC主服务器端.网络流量分析服务组件与网络行为分析服务基础组件管理NTA具体的业务逻辑,对日志数据分析,聚合等。可分布式部署,实现性能负载的均衡NTA要求平台的资源和告警组件必须部署iMC基础平台iMCUBAiMCNTA配套的操作系统,数据库及服务器情况NTA部署在iMCPLAT之上,NTA对操作系统及数据库的版本要求同iMCPLATNTA对服务器的性能要求很高,正常情况下必须分布式部署在单独的服务器上,不能与平台或其它组件部署在一起。网络中总的日志量超过单台NTA处理的能力时,需要部署多台NTA服务器来分担性能。NTA服务器主要考虑的硬件因素有:CPU/内存/磁盘空间/RAID,由于NTA服务器处理的日志量非常大,一般情况下要求磁盘配置RAID。Netstream场景中NTA对服务器的硬件要求主要考虑NTA服务器每秒钟处理的日志数sFlow场景中NTA对服务器的硬件要求主要考虑设备启用sFlow的接口数DIG场景中NTA对服务器的硬件要求主要考虑DIG采集器处理的流量大小NTA可以和UBA部署在一起,此时对NTA服务器的硬件要求会比单独部署NTA时有一定的提高NTA部署方式及对服务器硬件配置的详细内容请见《智能管理中心(iMC)部署和硬件配置方案》网络流量分析组件-纯软件(CD)中文版配置该组件时必须同时配置智能管理平台3130A212LIS-IMC-NTAA-CN-1License授权函-H3CiMC-SW7M1NTAA-网络流量分析组件license费用-管理1台设备3130A213LIS-IMC-NTAB-CN-2License授权函-H3CiMC-SW7M1NTAB-网络流量分析组件license费用-管理2台设备3130A214LIS-IMC-NTAC-CN-5License授权函-H3CiMC-SW7M1NTAC-网络流量分析组件license费用-管理5台设备iMCNTA按采集点(设备或探针)计算license,默认带一个采集点license,扩容分为1/2/5当一台设备上存在多个NetStream板时,每个NetStream板即为一个采集点。第一章产品总体介绍第二章原理及组网应用第三章产品功能介绍第四章日常维护与故障定位目录日志介绍-USERLOGTypeContentsDescriptionULONGSIP源IP地址ULONGNATIPNAT转换后的IP地址ULONGDIP目的IP地址USHORTSPORTTCP/UDP源端口号USHORTNATPORTNAT转换后的端口号USHORTDPORTTCP/UDP目的端口号UCHARPROTIP承载的协议类型UCHAROPERATOR操作字,主要指流结束原因。ULONGSTIME流起始时间,以秒为单位,以1970/1/10:0开始计算ULONGETIME流结束时间,以秒为单位,以1970/1/10:0开始计算ULONGRESERVED保留USERLOG为华为设备的日志格式,分为FLOW/NAT/ACCESS,NTA支持FLOW和NATTypeContentsDescriptionUCHARVERSION日志报文版本号,当前版本为:1UCHARLOG_TYPE日志报文的类型,目前分为NAT/ACCESS/FLOW三种USHORTCOUNT当前报文中的流记录数(1-100)ULONGUINX_SEC从1970年1月1日0时起,到报文产生时间的整秒数ULONGFlOW_SEQUENCE报文的序列号USHORTDEVICE_ID设备类型号UCHARSLOT槽号,生成日志报文的槽号UCHARRESERVED保留日志介绍-二进制日志二进制日志主要为我司防火墙,路由器设备实现,有时也叫flow3.0日志.该日志报文头与USERLOG日志相似,主要是日志内容上有所区别.TypeContentsDescriptionUCHARProtIP承载的协议类型UCHAROperator操作字,主要指流结束原因。UCHARIpVersionIP报文版本UCHARTosIPv4IPv4报文的Tos字段ULONGSourceIP源IPULONGSrcNatIPNAT转换后的源IPULONGDestIP目的IPULONGDestNatIPNAT转换后的目的IPUSHORTSrcPortTCP/UDP源端口号USHORTSrcNatPortNAT转换后的TCP/UDP源端口号USHORTDestPortTCP/UDP目的端口号USHORTDestNatPortNAT转换后的目的TCP/UDP目的端口号ULONGStartTime流起始时间,以秒为单位,以1970/1/10:0开始计算ULONGEndTime流结束时间,以秒为单位,以1970/1/10:0开始计算ULONGInTotalPkg(源IP方)接收包数ULONGInTotalByte(源IP方)接收字节数ULONGOutTotalPkg(源IP方)发出包数ULONGOutTotalByte(源IP方)发出字节数ULONGReserved1对于0x02版本(FirewallV200R001)保留;对于0x03版本(FirewallV200R005)第一个字节为源VPNID,第二个字节为目的VPNID,第三、四个字节保留ULONGReserved2保留ULONGReserved3保留日志介绍-NetstreamV5UDPHeaderFlowdataNSVersionCountsSysUpTimeUNIXSecondsUNIXNanoSecondsFlowSequenceNumberEngineTypeEngineIDSamplingintervalSourceIPDestinationIPNexthopIPSourceinterfaceDestinationinterfacePktsBytesFirsttimestampLasttimestampSourceportDestinationportReservedTcp_flagsProtocolToSSourceASDestinationASSourcemaskbitsDestinationmaskbitsDirectionReservedNSV5NSV5NSV5NSV5NTA日志介绍-NetstreamV9UDPHeaderFlowdataNSV9dataNSV9templateNSV9dataNTANSVersionCountsSysUpTimeUNIXSecondsPackageSequenceSourceIDFlowSetID=TemplateIDLengthRecord1-FieldValue1Record1-FieldValue2Record1-FieldValue3……Record2-FieldValue1Record2-FieldValue2Record2-FieldValue3…………paddingFlowSetID=0LengthTemplateID=1FieldCountFieldType1FieldLength1FieldType2FieldLength2…………TemplateID=NFieldCountFieldType1FieldLength1FieldType2FieldLength2…………日志介绍-DIG日志DIG摘要日志DIG摘要日志内容为应用层协议数据报文信息,包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、目的端口号、摘要信息(目前仅支持HTTP协议、FTP协议、SMTP协议报文信息摘要);1)HTTP协议摘要信息:用户访问的URL、网页标题;2)FTP协议摘要信息:FTP用户名、所执行的操作(是GET还是PUT)、所操作的文件名;3)SMTP协议摘要信息:发件人、收件人、邮件的主题等数据;DIG流日志采集器将设备镜像的报文按照5元组进行聚合后按照NetStream日志格式进行老化输出,同时入接口和出接口按照流量方向填入1000/2000的虚拟接口。支持七层应用分析DIG摘要日志能否用于网络流量分析?日志介绍-sFlow日志sFlowsFlowsFlowsFlowNTADevicesFlow(SampledFlow,采样流)是一种基于报文采样的网络流量监控技术,主要用于对网络流量进行统计分析。sFLow是一种标准的采样技术,基于RFC3167。sFLowAgent对设备的性能要求不高,从而使一些低端设备也可以支持该特性。NTA目前只支持处理sFlowAgent发出的flowsample类型的流量数据。采集器(probe)主要功能流量分析报表展示日志转储七层识别未知应用分析……接收器(reciever.exe)处理器(processor.exe)Unba_slave配置台FTP流量日志(netstream/sFlow)镜像流量过滤策略过滤策略组网方式主要面向金融、政府、教育等中大型行业用户,为管理员提供流量分析、网络优化、异常监控的手段:设备是支持NetStream/sFlow的设备,做NetStream/sFlow分析,并输出NetStream/sFlo