1、XXX電信公司網絡監控與分析系統技術建議書20目錄1Wildpackets公司背景12項目需求分析43方案設計53.1系統整體組成53.2Omnipliance（PeekDNX）部署53.3方案功能64Omni3技術概要104.1OmniPeek控制中心114.2Omnipliance專用設備124.3分布式PeekDNX（軟件）134.4系統特點145產品規格與安裝需求165.1OmniPeek支持的網絡類型：165.2OmniPeek支持的網絡適配器165.3支持的操作系統與瀏覽器176培訓191 Wildpackets公司背景自 1990 起,，Wildpackets就已經成功推出故障分

2、析方案 (Fault analysis solutions)，為全球各大型企業提供了既可靠又具穩定性的網絡系統。由桌面計算機到數據中心 (Data Center)，從無線局域網 (Wireless LAN) 到千兆骨干網絡（Gigabit backbones），無論是企業的內部網絡或者是分布式網絡的互連，Wildpackets 都能夠為企業快速發現和處理影響網絡的問題。全球超過5000名的客戶正在使用 Wildpackets 的產品，協助他們解決網絡系統的問題，從而提高網絡系統的性能，這些客戶涵蓋了財富1000強公司中的80。公司核心產品：OMNI3，電信分布式網絡監控與專家分析系統Ether

3、Peek NX，LAN網絡專家分析系統AiroPeek NX，無線網絡專家分析系統公司目標：在當今世界，電信運營商對網絡服務依賴程度變得越來越高，Wildpackets公司一直在為保障網絡服務的可用性以及提高網絡的使用效率而努力。通過對于電信行業的專業知識與經驗、對不同網絡的全面支持以及完善客戶服務支持，Wildpackets的解決方案能夠幫助電信運營商實時監控復雜的IP網絡，進行故障診斷與排除，同時提高網絡的安全性。公司客戶：全球超過5000名的客戶正在使用 Wildpackets 的產品，協助他們解決網絡系統的問題，從而提高網絡系統的性能，這些客戶涵蓋了財富1000強公司中的80。以下的列

4、表僅僅是每天使用Wildpackets進行工作的最終用戶的一小部分：3Com阿爾卡特蘋果計算機思科系統公司電子數據系統公司愛立信福特汽車公司通用汽車公司哈佛大學 IBM 洛克希德馬丁朗訊微軟公司西門子公司諾基亞公司Unisys中國移動中國電信上海交通大學天津大學中國聯通農業發展銀行上海期貨交易所廣東網通上海申銀萬國建行上海數據中心北電公司摩托羅拉Yahoo!施樂Wildpackets的解決方案在業界得到了一致的好評，同時獲得了非常多的贊譽，這也很好的證明了其產品技術上的領先地位。WildPackets 于2004年7月獲得IDG頒發的“Network Troubleshooting/Analy

5、sis Product of the Year” （網絡故障診斷與分析）的最高獎項. 2004年的獎項意味著占有最高的市場地位和市場份額，以及獲得了最好的用戶評價。無數用戶對Omni等產品報以高度的贊譽。Network Computing 2003 Well-Connected 獎項2003年3月31日，網絡計算雜志是網絡行業的權威，她把2003年最佳網絡產品的贊譽授予了WildPackets產品，網絡計算雜志同時強調，WildPackets是他們一直推薦的產品，在針對用戶的網絡嗅探、分析、異常處理方面具有無比的優勢。 Network Computing 編輯推薦獎項Peter Morriss

6、ey 和 Dilip Advani編輯推薦獎來自業界專家的評選，以Peter和Dilip兩位資深行業專家為首的評選團隊一致評選出最佳的提供方案為WildPacketsNetwork Magazine 2003 Product of the Year 獎項2003年4月23日，網絡雜志在2003年的選擇確立了在網絡分析、嗅探、監控領域最佳的年度產品為WildPackets。Network Computing Well-Connected 獎項 2002年5月8日 Network Magazines Product of the Year Award2002年最佳年度產品- Steve Stein

7、ke, Editor-in-Chief, Network Magazine Best of Show AwardJune 7, 2001 2 項目需求分析現今，對于電信運營商來說，IP網絡現已成為對外提供各種業務的關鍵平臺，是必不可少的一部分。不管是IP城域網等承載網絡，還是計費、帳務、客服等關鍵業務子系統的網絡平臺，都是電信運營商這個IT架構的核心組成部分之一。如何保障IP網絡健康、高效率的運行，是電信運營商非常需求解決的問題。隨著電信運營商網絡建設規模日益增大、用戶數突破式的增長、業務日趨復雜，如何使網絡高效率、低故障地運行使網管人員面臨日益增加的壓力：如何有效地保障IP網絡健康、高效率的

8、運行，使其能夠針對各種業務的拓展和變化提供支持；如何精確的獲得網絡業務數據，為進一步的業務增加或容量規劃提供決策支持；如何有效的獲得對網絡及其在網絡上運行的應用系統的可視性，簡化網絡的復雜性，提高對網絡的反應性、可用性、和所提供服務的預測能力，從而最大限度地減少網絡性能降低和網絡中斷。Wildpackets Omni3，領先的分布式網絡監控與分析解決方案，為電信運營商帶來了：實時網絡流量監控與分析；快速有效的網絡故障診斷與排除；更高的網絡安全水平；幫助電信運營商充分利用現有的資源，包括網絡設備與鏈路帶寬，提高網絡的使用效率，對病毒、黑客攻擊等網絡異常流量實現快速有效的預警機制，靈活而強大的報表

9、大大減少了網絡管理人員的工作壓力。3 方案設計3.1 系統整體組成我們建議在網管中心，配置一臺服務器安裝OmniPeek控制中心，作為流量監控分析系統的中心平臺。在需要監控的鏈路分別部署Omnipliance（或者安裝PeekDNX軟件），配置相應的硬件接口卡。如果用戶網絡已經部署有rmon探針，比如netscout、DSS Sniffer等標準探針，可以通過wildpackets提供的rmongrabber軟件與之整合，實現無縫結合。用戶網絡拓撲圖：3.2 Omnipliance（PeekDNX）部署在交換機上上配置SPAN(交換機端口鏡像)，針對需要監控的鏈路，把它作為SPAN的源端口，選

10、擇一個其他端口作為SPAN的目的端口，然后把Omnipliance（或者式安裝有PeekDNX軟件的服務器）連接到該SPAN端口。SPAN方式部署比較靈活，我們無需移動任何硬件設備，只需要在交換機配置修改SPAN源端口，可以實現監控不同的鏈路。示意圖如下，單臺omnipliance根據配置的不同，可以支持監控分析不同數量的鏈路。另外一種方式，就是使用專用TAP以旁路插入方式把Omnipliance接入到監控鏈路中去。這種方式的好處是對網絡設備來講是透明的，無須進行任何配置，而且也不受網絡交換機的影響。因為在SPAN模式情況下，SPAN的優先級是非常底，在有些情況這些數據包會被丟棄，而且SPAN

11、會過濾掉物理層的一些錯誤信息。“旁路插入” 方式在插入 TAP 時，需要安排線路中斷時間，但以后撤走探針時如果不拆卸TAP，就不用安排中斷。另外，TAP是無源配件，因此并不會對所監控的網絡，造成瓶頸或單點故障。TAP與鏈路的連接如下圖：TAP的工作原理，跟道路上的攝像機一樣。道路上的攝像機會把車輛的資料 (例如車牌號、駕駛者是男還是女、有幾個乘客、車的型號和顏色等等) ，拍攝下來，并由監控中心負責儲存，車輛在被拍攝時是不需要減速或停下來。TAP在網絡上，會把網絡流量的資料 (例如發包的原地址和目標地址、協議、應用類型、包大小、誤碼有否存在、響應時間等等) ，“拍攝” 到omnipliance的

12、監控網卡，進行即時分析，并由OmniPeek控制中心負責儲存、匯總、綜合等等。同樣地，“拍攝” 時數據包不用減速或停留。3.3 方案功能實時網絡流量監控分析Omni3系統可以實現對網絡流量的實時監控，告訴管理員獲得哪些主機（ip地址、mac地址等）在使用網絡，是在與哪些其他主機通信，使用的什么協議，每個會話的流量有多少，響應時間怎么樣，等等。下圖是Omni3系統的PeerMap圖，從中我們可以看到網絡通信的詳細情況。病毒、蠕蟲、掃描攻擊等異常網絡流量的早期預警日常的監控分析既可以對通常需要的利用率、協議分布情況進行解析和圖表，又可以針對一些網絡病毒攻擊的征兆，例如發現較大規模的網絡掃描、主機端

13、口掃描、大量的ARP無響應以及突發的電子郵件流量等各類病毒征兆，與診治非典時用體溫38度作為第一層判斷方式類似，通過這一早期預警方法，可以對網絡中新的異常現象和病毒攻擊征兆進行第一時間的預警分析。Omni3系統中包含了最新的蠕蟲、病毒、掃描攻擊流量特征模板，這些模板包括且不僅限于沖擊波、振蕩波、NetSky、Sobig、LovSan、尼姆達、紅色代碼、WebDAV攻擊等各類病毒特征。這些模板還在不斷更新，可以保障我們獲得最新的病毒流量分析的支持。同時這些模板還可以通過用戶自行定義或修改，以便滿足最靈活的部署和分析需要。全局實時故障診斷Omni3流量監控與分析系統實現了電信運營商大規模分布式IP

14、網絡的故障診斷，實時支持為分布式網絡提供專家分析、詳細的節點信息、協議、網絡統計摘要及數據包解碼處理。這種方式適用于不同的IP網絡，不管是IP城域網，還是計費、帳務、客服網絡，使用靈活而且安全。Omni3 改變了傳統網絡故障排除的方式，無須運維工程師拿走筆記本電腦跑到各個地方分析排除故障。通過OmniPeek中心控制臺，網絡工程師可以簡單有效地進行故障診斷，不管是本地網絡，還是分布式網絡的其他節點。Omni3系統內置提供了91種10/100M以太網絡中網絡7層上的各類故障診斷的在線專家系統與專業分析插件，除了在線專家系統外的專業分析插件還包括能夠自動分析網絡蠕蟲攻擊的Internet Atta

15、ck自動解析功能與HTTP、FTP等各類應用層自動專業分析功能。上圖顯示了OmniPeek實時在線的專家系統能夠自動診斷出網絡故障并且提示可能存在的原因。靈活多樣的告警方法在Omni3系統中還可以靈活定義異常流量/網絡病毒等通訊的觸發形式，不依賴工作人員坐在計算機前24小時監控，OmniPeek提供了靈活的警告方式。OmniPeek除了提供常見的Email、短消息之類的報警方式以外，還可以通過SNMP trap匯總到網管和安全平臺，也可以通過syslog進行整體的事件記錄。甚至在OmniPeek中可以緊急調用第三方應用程序，諸如通知網絡防病毒系統進行緊急升級或通知防火墻進行加強策略防護等等。靈

16、活多樣的報表功能Omni3默認提供將近二十種不同的圖表、報告形式，也可以靈活的定制自己需要的報表內容。管理員在Omni3系統的GUI軟件界面上，均可以將獲得的信息進行直接快速的導出成分析報告。而且用戶還可以自定義報表和分析結果輸出方式，協助我們作進一步完善的報告分析。4 Omni3技術概要Omni3網絡監控與分析系統，主要有兩個部分組成：OmniPeek控制中心以及分布式PeekDNX。OmniPeek控制中心是在WildPackets屢獲殊榮的EtherPeek NX上基礎上，擴展了對于分布式網絡監控的實現。也就是說，OmniPeek控制中心不僅可以實現本地分析，而且結合分布式PeekDNX

17、實現遠程集中監控分析。分布式PeekDNX可以被部署到IP網絡的任何地方，可以以軟件的方式安裝到服務器上，也可以使用Wildpackets公司提供的專用硬件平臺Omnipliance直接部署到網絡中區。4.1 OmniPeek控制中心OmniPeek將WildPackets的EtherPeek NX產品的本地分析能力擴展到遠程網段。OmniPeek擁有EtherPeek NX所有受歡迎的特點功能，包括：n 基于信息包流的專家分析系統和應用分析n 交互式節點圖n 完整的七層協議解碼n 應用響應時間（ART）分析n 安全功能n 監控與報表n RMON分布式分析OmniPeek同樣有能力連接到遠程運

18、行多種應用的引擎。運行在Omni3 引擎上的首要應用是Peek DNX(Distributed Network eXpert分布式網絡專家)。為了顯示遠程網段信息，OmniPeek從Peek DNX收集統計數據并進行相關分析。OmniPeek控制臺的界面與操作方式都與EtherPeek NX相同：非常易于使用，諸如“選擇相關數據包”等內嵌功能以及可客戶化的界面。OmniPeek也用來配置遠程引擎，包括過濾、報告、和專家系統等設置。只有在用戶需要解碼、分析或者本地保存數據包內容時，數據包文件才會被傳送到OmniPeek。OmniPeek能夠在同一時間連接多個Peek DNX引擎，實現單一用戶分析

19、和比較不同網段。此外，各個Peek DNX支持來自不同用戶并發的互相獨立的會話。4.2 Omnipliance專用設備Omnipliance是軟硬件一體化的專用設備，提供遠程網絡的可視化。通過Omnipliance前面板的LCD顯示屏與按鈕，我們可以輕松的修改IP地址等配置信息，而無須連接顯示器和鍵盤，配置與使用非常方便。Omnipliance出廠已經包括經過性能與安全優化的Windows2003 Server以及PeekDNX軟件。Omnipliance使用內置的10/100M以太網網卡與OmniPeek控制中心的通信，實現配置、告警設置等管理工作。另外兩塊內置的10/100/1000M網卡

20、專門用作流量監控分析。產品標準配置規格：22.4G Intel至強處理器1G DDR ECC內存帶Raid的273G高速SCSI硬盤內置三塊專業網卡（1塊10/100M，兩塊10/100/1000M）LCD顯示屏與配置按鈕Windows2003 ServerPeekDNX軟件產品擴展：Wildpackets千兆網絡分析適配器GAC使用state-of-the-art節硬件以及FPGA技術，提供高性能的千兆網絡分析。GAC支持四端口半雙工的千兆以太網通道或者兩端口全雙工鏈路。GAC卡可以通過TAP、Matrix交換機或者交換機端口鏡像。Tap和Matrix交換機可以提供全面的被動式監控，即使在掉

21、電情況下，也不會對網絡有任何影響，GAC XL1GAC XL1提供4端口的半雙工或者2端口全雙工連接，使用頻率為133MHz的PCI-X總線結構。GAX SL1GAC SL1 PCI卡提供2端口半雙工或者1端口全雙工，實現硬件過濾器。Intel PRO/1000 MT Quad Port Server AdapterIntel Pro/1000 MT四端口服務器適配器4.3 分布式PeekDNX（軟件）分布式PeekDNX其實包括了兩個部分：引擎與PeekDNX應用。引擎在整個體系架構中好比人的肌肉，為Omni3所有應用提供必要的數據包捕獲、系統服務、接口和核心處理。與EtherPeek NX

22、一樣，引擎從所有網絡接口上捕獲數據包，而且提供了過濾、記錄、通知和警報功能給運行在它上面的應用。通過Windows的認證系統，Omni3 引擎允許來自于不同用戶的并發的互相獨立的連接，并且為所有引擎與OmniPeek之間的通訊提供加密和壓縮。假設我們稱引擎為人的肌肉的話，Peek DNX就好比人的大腦。基于WildPackets屢獲殊榮的NX技術，Peek DNX會分析所有的網絡會話，從而可以發現代表網絡與應用出現問題的行為。Peek DNX使用Omni 分布式引擎來綁定連接到網絡中的適配器，并為每個適配器或者不同的連接用戶執行獨立的專家分析系統。所有的專家分析都是在Peek DNX側來完成。

23、數據經過壓縮加密后傳回給OmniPeek，而且針對網絡傳輸進行優化。4.4 系統特點網絡最優化通過使用智能數據傳輸的專有技術，Omni體系確保能夠通過分布在網絡各處之中引擎上運行的應用來分析網絡。在用戶定義的刷新率時間間隔內只有分析的結果才會被傳到控制臺。如果用戶想要分析特定的數據包，舉例來說已發現問題、節點、會話的，只需要檢索那些數據包而不需要停止抓包。包捕獲文件能夠保存在引擎或者控制臺。在數據傳輸方面Omni非常智能，僅僅所必須的數據包才會被傳遞。可升級性Omni是可升級的，它被設計的有能力支持整個IT部門專家同時進行分析。OmniPeek能夠在同一時間連接多個Peek DNX引擎，以便于

24、單一用戶可以同時分析和比較不同網段的信息。此外，每個Peek DNX支持來自不同用戶并發的互相獨立的會話。7X24運行Omni引擎和Peek DNX在Windows XP和Windows2000系統中是作為一個系統服務運行的。不但引擎被設計為7X24小時連續運行，而且多個捕捉過程同樣是這樣運行的。捕捉過程可以被配置為觸發模式，一旦到特定時間或出現特定數據包才開始進行分析。捕捉過程能夠獨立于OmniPeek控制臺很好的運行。用戶只要連接到遠程引擎，就能夠看到所有可用的捕捉過程。舉例來說，一個用戶可以配置在7X24小時情況下運行捕捉過程，同時現基于專家分析特定事件的一系列報警。使用OmniPeek

25、，只有在問題出現被通知的后，用戶才需要連接到Peek DNS，進行數據包捕獲的分析。安全的體系架構網絡分析工具非常強大但同時一定要防止被不正當的使用。被捕獲的數據包通過網絡進行傳輸時是很敏感的。Omni是嚴格遵循IT安全要求而進行設計的，Omni引擎和應用使用Windows安全特性進行訪問控制。所有引擎與OmniPeek之間的通信都是經過壓縮與加密的。NX專家分析系統EtherPeek NX和AiroPeek NX是第一個提供在捕捉數據包過程中同時能進行專家系統分析與數據包解碼的網絡分析產品。現在Omni3已經把相同的技術引入到遠程網段的故障診斷。NX專家分析系統提供了針對現今網絡環境進行精確

26、分析的業界領先技術。舉例來說，沒有其它分析產品在TCP事件探測器數量方面能夠超越NX。NX專家分析系統提供了自動的網絡故障識別，把不同數據包對應到不同的會話，并且以直觀的樹結構的方式進行顯示。通過分析每一個網絡設備，系統可以發現、描述除網絡、客戶端、服務器、路由器的不正常行為，并且實現告警。5 產品規格與安裝需求5.1 OmniPeek支持的網絡類型：OmniPeek能分析Ethernet、Fast Ethernet、Gigabit Ethernet、WAN和Wireless上的通訊。Ethernet和Gigabit IEEE 802.3 Ethernet 類型2 速率：10，100和1000

27、MbpsWireless Wireless 802.11 a/b/g 802.11a速率：6,9,12,18,24,36,48,54,72,96,108Mbps 802.11b速率：1,2,5.5,和11 Mbps 802.11g速率：5.5,6,9,11,12,18,22,24,33,36,48,54MbpsWAN WAN T3/E3 T3速率：44.736Mbp E3速率：34.368Mbp5.2 OmniPeek支持的網絡適配器Ethernet網卡OmniPeek能運行在所有NDIS 3版本以上并且兼容以太網混雜模式的網卡上。現今幾乎所有市場上的網絡適配器都符合這個需求。如，我們兼容來自

28、3Com、Inter、Xircom、SMC及其它廠商的網卡。Gigabit分析網卡（GAC） 雙端口Gigabit分析網卡(GAC)SL1 -支持小型可插拔(SFPs)CX、LX、SX模塊 四端口Gigabit分析網卡(GAC)XL1-支持小型可插拔(SFPs)CX、LX、SX模塊或固化10/100/1000RJ45接口AN分析卡(WAC) WAN分析卡(WAC)T3/E3ireless LAN網卡Atheros Wireless LAN網卡的3.0版本的驅動程序已經經過測試并且在包含OmniPeek中。基于Atheros AR5001、AR5002和AR5004芯片的適配器使用此驅動程序。在

29、AiroPeek (WildPackets 802.11無線網分析軟件)可以使用的所用網卡，都應該可以在OmniPeek中使用，但這些網卡沒有被測試過。需要獲取更多信息或者需要下載Wireless驅動的話，請訪問：/support/hardware/omnipeek/wireless5.3 支持的操作系統與瀏覽器indows XP Professional(SP2)Windows 2000(SP4)或Windows Server 2003和Internet Explorer 6.0(SP1)系統最低要求OmniPeek支持按操作系統基本要求配置的絕大多數機架服務器、工作站和筆記本電腦。基于需要分析流量的大小與細節，使用Omni3的要求可