网络安全检查与故障诊断-NTM宁夏大学.ppt

《网络安全检查与故障诊断-NTM宁夏大学.ppt》由会员分享，可在线阅读，更多相关《网络安全检查与故障诊断-NTM宁夏大学.ppt（50页珍藏版）》请在三一办公上搜索。

1、IP核心网络安全维护与故障排查一体化解决方案,议程,面向应用的故障诊断工具NTM现在企业遇到的问题如何用NTM来解决问题NTM的功能特点NTM案例分析,现在我们网络遇到的问题,问题1,应用层流量、核心业务性能感知能力差网络中应用流量的分布情况？网络中那个IP流量最活跃？哪个网站被访问的频率最高？,对IP用户的网络行为缺乏有效的监控机制、安全性无法保障。内部机密信息通过Email、BBS、MSN等在不经意的流失；缺乏对IP用户上网行为的记录，无法根据用户上网行为日志进行追溯；重要服务器数据访问缺乏有效的记录。,问题2,问题3,多链路状态下的应用统计和分析？对网络性能的整体性分析？,如何完成核心网

2、的协议分析和应用与故障定位？提升QoS质量。,问题4,总之,网络不断发展的结果丰富了网络应用，同样也带来各种应用的故障和风险不当操作、非法登陆、黑客攻击、突发的故障、IP的语音质量等等我们该如何实现针对网络应用的监视和故障分析呢？,如何处理问题,捕包解码破解IP网络“无头公案”的利器IP网络应用的本质是协议交换的过程只要在关键节点安装捕包工具，在故障发生时抓取必要信息事后可通过捕包记录，重现故障环境。分析协议过程，了解故障根本原因协议分析工具有很多，但使用它的工程师却很少,如何处理问题,为什么大多数工程师不喜欢使用协议分析工具？我也知道“捕包分析”是分析应用故障基本手段，可那些生涩专业的网络协

3、议内容，我根本看不懂怎么办？等网络发生故障了再抓包就晚了，但我又不能把抓包工具7x24小时挂着。现在网络带宽越来越高，在1G/10G核心线路上根本抓不到有效的分析数据！即使抓到了有效的1G/10G线路数据，我也没时间分析海量数据！更重要的是，如今的网络应用故障不再是一台服务器、一种应用的简单问题。往往牵涉到一连串的服务器、路由器、和各种不同应用的配合工作。谁搞得清楚问题出现在哪一步？,如何处理问题,简单来说，我们对协议分析工具的期望是协议分析要像白话文那样通俗易懂能够7x24小时待命，时刻准备着抓取故障信息抓1000M，甚至10G线路时不会发生丢包能够快速分析海量数据，方便我工作能够把多地采集

4、的信息进行统一分析，这样我才能总揽全局This is NTM,NTM产品简介,NTM产品,Network Time Machine(NTM)是一个整体解决方案，集合实时监控，分析，捕获和长时间记录各种网络环境(10/100/1000 Mb/s and 10Gb/s)下的以太网数据。功能特点实时监控、深入分析，积极主动地预防损伤。灵活的硬件过滤、分片和触发进行高效捕获。可捕获，存储，归档和回顾高达60TB的真实通信量对于复杂的网络性能和业务，给予深入的洞察力和简易的可视性。Atlas组件可以非常方便地挖掘并分析特定时间范围内的应用、网络和物理数据，同时展示其相应的趋势图，流和数据包。,Netwo

5、rk Time Machine机架型,Network Time Machine 便携型,NTM最高可线速捕获最高达44TB的网络通信。这意味着，在普通企业网络 GbE链接速率下，可捕获长达38天的网络数据。网络管理员还可以执行更加复杂的应用，如：数据取证和数据挖掘等。捕包性能最好，故障诊断技术最先进,大容量、高性能存储,不同型号适应各种应用和环境,Express使用小型网络环境Portable&Portable2适用于现场应用Standard适用于中型或大型网络环境Premium（10G）适用于万兆大型网络,研发和实验室环境,NTM 分布式探针,NTM 分布式探针管理器,NTM 分布式探针,N

6、TM 分布式探针,分布式部署,连接方式,支持单个卡上4个GbE端口上同时监控，分析和捕获数据支持多种链接方式。,产品优势,简单友好的中文操作界面高性能海量数据存储（高达10G/s）海量数据整体分析（多达60T）多段式数据整合钻取式数据分析支持远程操作支持多用户查看,选定某个捕包记录，显示这条记录的所有信息和对应参数的趋势图。,分析流程数据捕获,分析流程快速发现问题,指定并放大感兴趣的某段数据,通过趋势图，发现异常，通过鼠标快速的定位问题范围。,分析流程有效数据截取,选择Show Trace 按钮，可以根据设定的条件来查看和保存捕获到的数据,打开相应的trae file，就可进行drill-do

7、wn（钻取式）分析，同时有过滤，查找，跳转等小的辅助功能，帮助你快速的查找及定位到异常应用及问题。,分析流程-进行钻取式分析,钻取式应用分析概要,钻取式应用分析详细,钻取式应用分析解码,内容回放-安全、取证,VoIP 音、视频邮件,MSNOracle,NTM的功能特点,NTM的功能特点,问题发现并告警问题分析并确认责任归属Atlas 整体数据分析排除VOIP五大问题故障,问题发现并告警,通过获取网络实时流量，给予告警，并通知管理员。物理层，网络层，以及各种应用协议的告警参数可根据用户的实际情况自行设定,多种告警方式,多种告警方式，及时通知管理员和相关负责人，给予快速响应。,责任归属实例,Web

8、 Sever,Network Cloud,Client,NTM Probe,NTM Probe,时钟同步,从一段来看 Only Client time/Sever time No time sync No auto merge,这个瓶颈出现在网络、客户端，还是服务器端呢？,责任归属常规方法,Multi-Segment多段分析结果,Flow Time:12.51sClient Time:8.26sServer Time:2.97sNetwork Time:1.28s,Client Time,Server Time,瓶颈分析报告,瓶颈出现在客户端！,Atlas 导航功能数据挖掘技术,在NTM存储的

9、子系统中，创建了基于数据的、强大的、特有的高阶导航通过钻取式挖掘应用层，网络层和DLC数据信息，查看感兴趣的某个范围内的数据的信息(趋势图，流数据和封包数据)。我们将Atlas理解成一个整体世界，在从这个世界中查找某个区域信息的方法是这样的首先，从世界范围内找到这个区域所在的洲(例如：亚洲)然后，再找到这个区域(例如：中国)最后，在查找它的具体的统计信息(例如：人口、气候、经济),HTTP 分析(应用协议),Atlas 分析支持4个应用层协议HTTP,SIP,H.323和 RTPHTTP 分析功能Server 信息 Client 信息URL 信息Status Code 信息,HTTP 服务器信

10、息,Status Code 信息,SIP 分析(应用协议),MOS Distribution 信息语音通话质量的一个关键的重要指标所有的call会被归类到下面的这几个分类中:Good,Acceptable 和 Poor钻取式分析选择call可钻取分析到其封包和流,Network 层分析,Overview 信息显示网络层信息和统计信息(例如：IPv4 和 IPv6 封包Connections 信息显示 Server/Client 连接统计信息(包括传输的字节和封包数量)Host 信息显示主机信息和传输数据信息Charts 信息显示 应用层、IP层的协议分布和相应的趋势图,Network Laye

11、r Analysis Display,Charts Information(Protocol Distribution)Analysis Display,VoIP/Video五大故障,VoIP/Video应用时遇到的五大典型问题是：话机连通性呼叫未连接回声语音中断/呼叫丢失话音/图像质量这些问题的严重范围从降低话音质量到通话彻底失败。现有的数字电话系统已经为通话质量和可靠性设置了很高的标准。要通过VoIP应用程序满足这些要求，理解这些问题及如何分析解决是非常重要的。,VoIP五大故障分析,NTM通过以下几种方式分析VoIP故障长期历史数据分析，整体判断VoIP质量情况音视频内容回放，从感官上直

12、接检测出现的问题多段梯形图，分析故障原因及方向提供VoIP QoS报表及各种指标参数，为质量进行分级,VoIP五大故障分析,长期历史数据分析，整体判断VoIP质量情况,VoIP五大故障分析,音视频内容回放，从感官上直接检测出现的问题,VoIP五大故障分析,多段梯形图，分析故障原因及方向,VoIP五大故障分析,提供VoIP QoS报表及各种指标参数，为质量进行分级,NTM案例分析,案例1：3G运营商ClearWire,ClearWire：提供高速Internet无线接入的运营商总部在Kirkland，WA,USA，一共有23个数据中心核心网是全IP的，并且在开展4G业务（WiMax）关键需求：要

13、求在23个数据中心的10G线路上相对长期线速捕包，为故障诊断提供可靠数据,产品配置：23 套NTM专业版，10G，48VDC，10TB100 份CSA分析软件3 年金牌服务（所有产品）,产品亮点,线速捕包：客户要求稳定6G，我们可以达到10G 存储能力：专业型标准配10TB，可升级至66TB解码能力：支持WiMax,PBB/PBT 及其它隧道协议，而且将来LTE等解码与容易扩展提供便携式的产品，客户已经购买了便携式的产品(1G and 10G)基于笔记本的CSA工具，让工程师能够在现场捕包，再进行整合分析支持48VDC，顺应新一代的机房和客户的要求界面简洁，使用方便,案例2:数据中心进行服务器

14、故障诊断,需求监控/故障诊断ISP产品服务器背景数据中心服务器用于提供服务给最终客户协议:SQL,FTPISP想监控/捕获服务器之间通讯失败的所有数据当通讯失败的时候，可以专注在相应的跟踪数据中去分析识别原因重点项目捕获服务器间的所有会话千兆速率下长期不间断无丢包捕获分析无捕获暂停失败的情况下，放大到相关的数据，快速和应用网络/应用分析.SQL和FTP应用协议的强大的分析功能,NTM 解决方案千兆以太网速率下线速长期捕获不丢包存储数据量可达 4TB用户自定义门限的告警通知捕获同时进行Trace file相关数据的分析快速放大相关追踪文件的分析按某组织风格显示每个应用协议流,控制台 PC(远程桌

15、面),100M,100M,100M,100M,100M,1 Gigabit,Network Time Machine,服务器群,汇聚型 TAP,案例3:关键数据访问监测,需求保存所有来自不同终端的访问，识别非法的数据访问关键点保存5年的数据(about 10TB)千兆线速捕包，不丢失任何一个数据包关键字查找快速从海量数据中查看有关数据输出文本的分析报告,NTM 方案一台专业型NTM保存 10TB(5 年)的所有数据长期千兆线速捕包，无丢包同时具备分析功能超强的查找和过滤功能,Host Computer,Terminal,Network Time Machine,Console PC(Remote Desktop),谢 谢,Q&A,