曙光网络监控行业方案集2.0

《曙光网络监控行业方案集2.0》由会员分享，可在线阅读，更多相关《曙光网络监控行业方案集2.0（22页珍藏版）》请在金锄头文库上搜索。

1、 曙光网络监控行业方案集曙光网络监控行业方案集 曙光信息产业(北京)有限公司 20124 月前言前言 随着信息技术和互联网的不断发展， 互联网日益成为人们工作、 学习和生活中重要的一 部分。互联网在给人带来的巨大便利的同时，由其带来的负面影响和安全威胁也日趋严重。 这里的威胁包括传统的计算机安全方面的问题， 比如病毒和木马程序通过网页和邮件中大量 传播、网络攻击、僵尸网络、钓鱼网站、垃圾邮件等等；也包括信息安全方面的问题，比如 保密信息的泄露与传播等； 还包括民众上网行为规范方面的问题， 比如黄色网站传播色情影 像及服务、 不法分子利用网络散播谣言诽谤国家和个人、 在网上大量发布假消息和社会稳

2、定 的言论等。 正因为如此，关于网络信息的安全管理、审计方面的需求越来越受到人们的重视。小到 一个企业、一个社区网络，大到运营商规模的骨干网络，都需要建立网络信息安全监管系统 对所属网络进行监控， 但是， 要真正建立起一套成熟有效的网络监管系统却并不是一件简单 的事情。 曙光公司从 2000 年开始，就为某国家网络安全管理中心进行网络监管平台的建设。在 这十年的服务过程中，在网监系统建设领域积累了丰富的经验 曙光认为， 网监系统始终要面临的最大的挑战就是网络带宽的增长和监控深度的不断加 深。这个矛盾既是网监系统建设者的巨大压力，也是网监系统发展的核心动力。要处理好这 个矛盾，曙光认为，在一套网

3、监系统的设计规划之初，就需要将系统建设、运营、维护和扩 容中可能遇到的种种问题考虑进来，从而规避潜在的风险。这些风险包括： 1） 网络带宽的增加造成巨大的处理设备的需求 2） 监控内容的深度挖掘进一步加大对处理设备的压力 3） 单方面提高处理设备的计算能力将造成网络 IO 的瓶颈 4） 提高处理系统的规模将带来相应的数据存储的问题 5） 简单的扩容系统将带来空间、承重、散热等一系列机房建设的问题 6） 简单的扩容系统将带来巨大的电力消耗和管理代价，提高运营成本 7） 新业务系统的部署，系统的线性扩展能力等等，都会给网监系统的建设带来种种风 险。 因此，曙光针对网监行业面临的种种问题，结合这十年

4、在网监系统建设行业的经验，总 结出了一套行之有效的解决方案，来规避网监系统建设中的各种风险。曙光相信，这些方案 过去为我们的客户建成了全国第一流的网络监控平台， 现在也一定能为您的网络监控事业贡 献力量！ 曙光网络流量监控系统简介曙光网络流量监控系统简介 完整的网络流量监控系统主要分为两个部分： 对网络原始流量的分析和处理部分； 对处 理结果的存储和查询部分。 在系统的前端，对于网络流量的分析和处理，主要有旁路和串行两种模式。 旁路模式是以旁路监听的方式置于运营商的网络节点处，将从路由器上分光/镜像过来 的流量“灌”到处理系统中。这种模式的特点是监控系统对正常网络的运营没有影响，网络 用户不能

5、感知到它的存在， 从而达到第三方监听的目的。 被动式监控的局限性在于它只能对 流经监控系统的流量进行分析，并且“灌”数据的过程是单向的，所以对处理系统的性能有 很高的要求。被动式监控一般主要用于简单排查、快速响应的业务，比如流量清洗、技术侦 察等。 被动式监控系统的规模与待监控网络节点的流量正相关， 构建系统时根据不同的网络 规模又会有不同的特点。 曙光针对大中小型网络环境的监控， 各有一套符合其特点的解决方 案，并配以曙光为此类系统定制了专用网卡、处理卡、网络设备等来提升系统的性价比。 串行监控是监听设备以串行方式接入网络中， 直接进行流清洗， 这种方式对监听设备的 性能和可靠性要求很高，并

6、且需要良好的故障保护机制，以保护监控系统一旦失效，正常的 通信线路能不受影响。 曙光多年根植于网络专用设备的研发， 提供一整套高性能和高可靠串 行网络监控系统，能够很好的满足串行监控需求。 网络流量经过分析系统之后， 就需要对处理过的数据进行存储和查询。 随着互联网的发 展，网络流量的不断增大，网络流量监控系统的规模也必须同步的增长。但是，在这样的增 长中， 网络监控系统的前端流量处理部分和后端数据存储部分却呈现出不同的增长曲线。 由 于前端流量处理系统的架构为成熟的类 IDS 架构， 因此可以简单的通过增加网络和处理设备 来线性扩大系统的规模， 另一方面， 部件和专用加速卡的发展进一步帮助了

7、前端系统的性能 提升；但是，存储硬件发展的速度却远远落后于计算技术和网络规模的发展速度，并且传统 存储的架构决定了其扩展能力难以达到线性扩展。 因此， 曙光在应对网监系统海量数据存储 时， 一方面从硬件结构上对传统存储方式进行优化， 另一方面将焦点放在对整个数据存储的 架构进行改良， 曙光并行数据库系统 DRAC 就是曙光以新的系统架构来解决网监系统数据存 储重要成果。 A 运营商网络流量旁路监控解决方案运营商网络流量旁路监控解决方案 导言导言 骨干网流量监控系统主要是针对省级网络运营商规模的网络进行监控，流量一般都在 100G 以上。网络监控系统的架构与传统的 IDS 类似，都是通过分光器或

8、者专用流量回流设 备将流量镜像到监控系统， 由于流量很大， 所以需要配置专门的一级分流设备和二级流量负 载均衡设备来进行流量的分流再接到每台处理设备进行处理。 这对单台处理机的计算能力和 网络 IO 能力都提出了很高的要求。 为此， 曙光专门研发出 Flowfirm 解决接入和分流的问题， Netfirm、videospeed 等多种硬件设备，来提升处理机的网络流量处理能力，而随着这些手 段的采用，也给传统网监系统的建设带了新的变化。 方案架构方案架构 曙光骨干网流量监控系统方案分三个层次： 前端一级分流设备将镜像进行处理， 并根据 一定原则均衡的分流到各个服务器；前端处理平台，配置 Netf

9、irm 的前端处理探针对流量进 行处理，为考虑到未来业务的扩展，前端探针将处理不了的流量转发到后端；前端二级处理 平台， 配置高速协处理卡的网络处理一体机对这些数据进行更深入的挖掘和分析。 同时分流 设备具有流量复制功能，能够将特定流量复制并传输到其他地方的监控网络使用。 系统架构如下： 方案特色方案特色 Flowfirm S 流量接入分流设备流量接入分流设备 骨干网中的流量有很多种类，有效的数据包、无效的数据包等，如果直接交给服务器处 理平台进行处理，不仅增加服务器处理的压力，而且增加整个链路的压力，同时对软件业务 系统的包处理和分类能力是一个很大考验。而 Flowfirm S 正式在这种背

10、景下，将骨干网的 大流量进行汇聚、初步分析和处理，对业务“关心”的流量甄别并交给后续处理系统。 Flowfirm S 是基于国际开放电信设备标准 ATCA 规范开发的，针对通信运营商、各级政 府安全单位需求的专用电信级综合流量设备，主要用于各级 POS/SDH 及以太网线路进行流 量的采集、过滤、汇聚分流以及其它复杂的流量规划功能。 Flowfirm S 的主要功能包括： 1) 流量接入：流量接入：支持各种接口子卡，支持 OC3，OC12，OC48，OC192，GE，XE 的单模， 多模光纤链路， 可接入 40G POS、 10G POS、 10GE、 2.5G POS、 622M POS、

11、155M POS、 GE/FE 多种流量，可支持混合接入、高密度接入，单板接入密度达到 1 路 40G 或 4 路 10G 或 16 路 2.5G。支持单纤的收和发。 2) 交换协议支持：交换协议支持：主要针对 POS 接口，支持基于 SDH/SONET 的以太，PPP 和 CHDLC 封装的报文；支持 MPLS 封装，VLAN 封装的 IPV4/IPV6 格式报文，并可剥离；通过 解析 HDLC、PPP、MPLS 等封装，提取 IP 数据包，再进行后续处理。兼容各种底层 封装参数。 3) ACL（数据包匹配分类） ：（数据包匹配分类） ：支持基于五元组的灵活和掩码规则；支持基于载荷的指 定偏

12、移的带掩码数据匹配扩展 ACL 功能（DPI 功能） ；同时支持 IPV4 和 IPV6 功能； 支持用户定义的六种灵活五元组规则 200 万条（IPV4） ，100 万条（IPV6） ；支持掩 码规则 60 万（IPV4） ，20 万（IPV6） ；支持不同规则种类间的 32 种优先级；支持标 准 ACL 和扩展 ACL 之间的绑定； 分类规则按规则集方式进行管理， 用户可创建并设 置多个规则集，并将规则集绑定到多个接口之上。 4) 流量过滤、汇聚、负载均衡分发：流量过滤、汇聚、负载均衡分发：对命中 ACL 规则的报文，支持丢弃，透传，分 流转发，流量复制，报文截断，采样分流；报文的分流支持

13、多种负载分担算法（轮 询、Hash、五元组等算法） ；分流组内节点可基于硬件端口，也可以基于后端服务 器 IP 地址；动态监测后端服务器状态，或者端口状态，动态更新分流组，并尽可 能保证同源同宿；支持 32 个分流组，组内最多支持 256 个节点；输出报文的源 MAC 支持信息携带功能。 5) 流量复制：流量复制：支持同一规则的流量复制：即为符合某条规则的流量指定复制方式，在 不影响这条流量的分发策略的前提下，可以将流量复制到另一个或一批 GE/10GE 口输出。 6) 数据包再封装：数据包再封装：对处理的 IP 包进行最后的符合标准以太协议的再封装，并可携带 输入接口等信息；支持对输出数据包

14、进行截短、提取有用头部。 7) 网管功能：网管功能：支持 SNMP、Telnet 和 ssh 等网管功能。 图图 Flowfirm S 分流设备分流设备 Flowfirm S 具有以下特性： 1) 适应性强适应性强 针对低链路密度的监控提供高性价比的单板或双板方案， 针对高链路密度的应用提供基 于背板交换的大容量解决方案。 2) 电信级标准电信级标准 基于电信级开放平台的最高标准 ATCA，提供基于标准的高可靠性产品，具有优秀的芯 片/刀片异构能力，可按需配置网络处理刀片、通用计算刀片、各种专业业务刀片（如 DSP 语音通信刀片等） 。保护用户投资。 3) 全硬件转发全硬件转发 多引擎流水线的

15、硬件处理流程保证数据的线速转发。 包处理流水线每一个部分都有多个 引擎工作。 4) 应用多样性应用多样性 适应高复杂度的过滤匹配和应用处理需求，面向不断复杂化的新兴网络应用。 5) 高性价比高性价比 专门优化设计的分流设备。能够根据用户实际的需求和网络环境进行功能定制化。 6) 数据处理功能数据处理功能 包含多种接口的流量接入、协议转换、数据包匹配分类、流量过滤、流量汇聚分发和负 载均衡、流量复制、数据包再封装等。 7) 支持设备级联扩展支持设备级联扩展 突破单设备系统的机箱槽位容量， 并可按需扩展级联， 为支持未来网络发展提供极大的 空间。 图图 Flowfirm S 设备级联设备级联利用利

16、用 Netfirm 提高单机处理能力提高单机处理能力 Netfirm 是专门针对网络流量监控项目而研发的一块高性能智能网络加速卡。 Netfirm 基 于 FPGA 实现，内置 4G 大内存做数据处理，利用 Netfirm 可以实现流量高速接入、卸载 cpu 负载等功能， 是在当前越来越大的网络流量的情况下， 解决高网络流量带来的众多问题的利 器。 图图 Netfirm 智能加速卡智能加速卡 Netfirm 给网监系统带来的优势包括： 1）0% CPU 消耗，消耗，100% 数据包捕获数据包捕获 普通的网卡在接收数据过程中需要耗费大量的 cpu 资源， 并且随着网络流量的增大， 这 种消耗变得非常可观以至于无法 100%将网络数据获取下来，对业务系统的监控效果造成影 响。由于这个原因，传统的网监应用的单机处理能力只能做到 500Mbps 左右。Netfirm 智能 加速卡将整个数据接收过程由硬件自动实现，从而在不消耗任何 CPU 资源的同时，保证了 数据完全获取，即使处理 1