《网络安全检查及故障诊断-ntm(宁夏大学)》由会员分享,可在线阅读,更多相关《网络安全检查及故障诊断-ntm(宁夏大学)(50页珍藏版)》请在金锄头文库上搜索。
1、IP核心网络安全维护与故障排查一体化解决方案,议程,面向应用的故障诊断工具NTM 现在企业遇到的问题 如何用NTM来解决问题 NTM的功能特点 NTM案例分析,现在我们网络遇到的问题,问题1,应用层流量、核心业务性能感知能力差 网络中应用流量的分布情况? 网络中那个IP流量最活跃? 哪个网站被访问的频率最高?,对IP用户的网络行为缺乏有效的监控机制、安全性无法保障。 内部机密信息通过Email、BBS、MSN等在不经意的流失 ; 缺乏对IP用户上网行为的记录,无法根据用户上网行为日志进行追溯; 重要服务器数据访问缺乏有效的记录。,问题2,问题3,多链路状态下的应用统计和分析?对网络性能的整体性
2、分析?,如何完成核心网的协议分析和应用与故障定位?提升QoS质量。,问题4,总之,网络不断发展的结果丰富了网络应用,同样也带来各种应用的故障和风险 不当操作、非法登陆、黑客攻击、突发的故障、IP的语音质量等等 我们该如何实现针对网络应用的监视和故障分析呢?,如何处理问题,捕包解码破解IP网络“无头公案”的利器 IP网络应用的本质是协议交换的过程 只要在关键节点安装捕包工具,在故障发生时抓取必要信息 事后可通过捕包记录,重现故障环境。分析协议过程,了解故障根本原因 协议分析工具有很多,但使用它的工程师却很少,如何处理问题,为什么大多数工程师不喜欢使用协议分析工具? 我也知道“捕包分析”是分析应用
3、故障基本手段,可那些生涩专业的网络协议内容,我根本看不懂怎么办? 等网络发生故障了再抓包就晚了,但我又不能把抓包工具7x24小时挂着。 现在网络带宽越来越高,在1G/10G核心线路上根本抓不到有效的分析数据! 即使抓到了有效的1G/10G线路数据,我也没时间分析海量数据! 更重要的是,如今的网络应用故障不再是一台服务器、一种应用的简单问题。往往牵涉到一连串的服务器、路由器、和各种不同应用的配合工作。谁搞得清楚问题出现在哪一步?,如何处理问题,简单来说,我们对协议分析工具的期望是 协议分析要像白话文那样通俗易懂 能够7x24小时待命,时刻准备着抓取故障信息 抓1000M,甚至10G线路时不会发生
4、丢包 能够快速分析海量数据,方便我工作 能够把多地采集的信息进行统一分析,这样我才能总揽全局 This is NTM,NTM产品简介,NTM产品,Network Time Machine (NTM) 是一个整体解决方案,集合实时监控,分析,捕获和长时间记录各种网络环境(10/100/1000 Mb/s and 10Gb/s)下的以太网数据。 功能特点 实时监控、深入分析,积极主动地预防损伤。 灵活的硬件过滤、分片和触发进行高效捕获。 可捕获,存储,归档和回顾高达60TB的真实通信量 对于复杂的网络性能和业务 ,给予深入的洞察力和简易的可视性。 Atlas组件可以非常方便地挖掘并分析特定时间范围
5、内的应用、网络和物理数据,同时展示其相应的趋势图,流和数据包。,Network Time Machine 机架型,Network Time Machine 便携型,NTM最高可线速捕获最高达44TB的网络通信。这意味着,在普通企业网络 GbE链接速率下,可捕获长达38天的网络数据。网络管理员还可以执行更加复杂的应用,如:数据取证和数据挖掘等。 捕包性能最好,故障诊断技术最先进,大容量、高性能存储,不同型号适应各种应用和环境,Express 使用小型网络环境 Portable & Portable2 适用于现场应用 Standard 适用于中型或大型网络环境 Premium(10G) 适用于万兆
6、大型网络,研发和实验室环境,NTM 分布式探针,NTM 分布式探针管理器,NTM 分布式探针,NTM 分布式探针,分布式部署,连接方式,支持单个卡上4个GbE端口上同时监控,分析和捕获数据 支持多种链接方式。,产品优势,简单友好的中文操作界面 高性能海量数据存储(高达10G/s) 海量数据整体分析(多达60T) 多段式数据整合 钻取式数据分析 支持远程操作 支持多用户查看,选定某个捕包记录,显示这条记录的所有信息和对应参数的趋势图。,分析流程数据捕获,分析流程快速发现问题,指定并放大感兴趣的某段数据,通过趋势图,发现异常,通过鼠标快速的定位问题范围。,分析流程有效数据截取,选择Show Tra
7、ce 按钮,可以根据设定的条件来查看和保存捕获到的数据,打开相应的trae file,就可进行drill-down(钻取式)分析,同时有过滤,查找,跳转等小的辅助功能,帮助你快速的查找及定位到异常应用及问题。,分析流程-进行钻取式分析,钻取式应用分析概要,钻取式应用分析详细,钻取式应用分析解码,内容回放-安全、取证,VoIP 音、视频 邮件,MSN Oracle,NTM的功能特点,NTM的功能特点,问题发现并告警 问题分析并确认责任归属 Atlas 整体数据分析 排除VOIP五大问题故障,问题发现并告警,通过获取网络实时流量,给予告警,并通知管理员。 物理层,网络层,以及各种应用协议的告警参数
8、可根据用户的实际情况自行设定,多种告警方式,多种告警方式,及时通知管理员和相关负责人,给予快速响应。,责任归属实例,Web Sever,Network Cloud,Client,NTM Probe,NTM Probe,时钟同步,从一段来看 Only Client time / Sever time No time sync No auto merge,这个瓶颈出现在网络、客户端,还是服务器端呢?,责任归属常规方法,Multi-Segment多段分析结果,Flow Time: 12.51s Client Time: 8.26s Server Time: 2.97s Network Time: 1
9、.28s,Client Time,Server Time,瓶颈分析报告,瓶颈出现在客户端!,Atlas 导航功能数据挖掘技术,在NTM存储的子系统中,创建了基于数据的、强大的、特有的高阶导航 通过钻取式挖掘应用层,网络层和DLC数据信息,查看感兴趣的某个范围内的数据的信息(趋势图,流数据和封包数据)。 我们将Atlas理解成一个整体世界,在从这个世界中查找某个区域信息的方法是这样的 首先,从世界范围内找到这个区域所在的洲(例如:亚洲) 然后,再找到这个区域(例如:中国) 最后,在查找它的具体的统计信息(例如:人口、气候、经济),HTTP 分析 (应用协议),Atlas 分析支持4个应用层协议
10、HTTP, SIP, H.323和 RTP HTTP 分析功能 Server 信息 Client 信息 URL 信息 Status Code 信息,HTTP 服务器信息,Status Code 信息,SIP 分析 (应用协议),MOS Distribution 信息 语音通话质量的一个关键的重要指标 所有的call会被归类到下面的这几个分类中: Good, Acceptable 和 Poor 钻取式分析 选择call可钻取分析到其封包和流,Network 层分析,Overview 信息 显示网络层信息和统计信息(例如: IPv4 和 IPv6 封包 Connections 信息 显示 Serv
11、er/Client 连接统计信息(包括传输的字节和封包数量) Host 信息 显示主机信息和传输数据信息 Charts 信息 显示 应用层、IP层的协议分布和相应的趋势图,Network Layer Analysis Display,Charts Information (Protocol Distribution) Analysis Display,VoIP/Video五大故障,VoIP/Video应用时遇到的五大典型问题是: 话机连通性 呼叫未连接 回声 语音中断/呼叫丢失 话音/图像质量 这些问题的严重范围从降低话音质量到通话彻底失败。现有的数字电话系统已经为通话质量和可靠性设置了很高的
12、标准。要通过VoIP应用程序满足这些要求,理解这些问题及如何分析解决是非常重要的。,VoIP五大故障分析,NTM通过以下几种方式分析VoIP故障 长期历史数据分析,整体判断VoIP质量情况 音视频内容回放,从感官上直接检测出现的问题 多段梯形图,分析故障原因及方向 提供VoIP QoS报表及各种指标参数,为质量进行分级,VoIP五大故障分析,长期历史数据分析,整体判断VoIP质量情况,VoIP五大故障分析,音视频内容回放,从感官上直接检测出现的问题,VoIP五大故障分析,多段梯形图,分析故障原因及方向,VoIP五大故障分析,提供VoIP QoS报表及各种指标参数,为质量进行分级,NTM案例分析
13、,案例1:3G运营商ClearWire,ClearWire:提供高速Internet无线接入的运营商 总部在Kirkland,WA, USA,一共有23个数据中心 核心网是全IP的,并且在开展4G业务(WiMax) 关键需求:要求在23个数据中心的10G线路上相对长期线速捕包,为故障诊断提供可靠数据,产品配置: 23 套NTM专业版,10G,48VDC, 10TB 100 份CSA分析软件 3 年金牌服务(所有产品),产品亮点,线速捕包:客户要求稳定6G,我们可以达到10G 存储能力:专业型标准配10TB,可升级至66TB 解码能力:支持WiMax, PBB/PBT 及其它隧道协议,而且将来L
14、TE等解码与容易扩展 提供便携式的产品,客户已经购买了便携式的产品(1G and 10G) 基于笔记本的CSA工具,让工程师能够在现场捕包,再进行整合分析 支持48VDC,顺应新一代的机房和客户的要求 界面简洁,使用方便,案例2: 数据中心进行服务器故障诊断,需求 监控/故障诊断ISP产品服务器 背景 数据中心服务器用于提供服务给最终客户 协议: SQL, FTP ISP想监控/捕获服务器之间通讯失败的所有数据 当通讯失败的时候,可以专注在相应的跟踪数据中去分析识别原因 重点项目 捕获服务器间的所有会话 千兆速率下长期不间断无丢包捕获 分析无捕获暂停 失败的情况下,放大到相关的数据,快速和应用
15、网络/应用分析. SQL和FTP应用协议的强大的分析功能,NTM 解决方案 千兆以太网速率下线速长期捕获不丢包存储数据量可达 4TB 用户自定义门限的告警通知 捕获同时进行Trace file相关数据的分析 快速放大相关追踪文件的分析 按某组织风格显示每个应用协议流,控制台 PC (远程桌面),100M,100M,100M,100M,100M,1 Gigabit,Network Time Machine,服务器群,汇聚型 TAP,案例3: 关键数据访问监测,需求 保存所有来自不同终端的访问,识别非法的数据访问 关键点 保存5年的数据 (about 10TB) 千兆线速捕包,不丢失任何一个数据包 关键字查找 快速从海量数据中查看有关数据 输出文本的分析报告,NTM 方案 一台专业型NTM保存 10TB (5 年) 的所有数据 长期千兆线速捕包,无丢包 同时具备分析功能 超强的查找和过滤功能,Host Computer,Terminal,Network Time Machine,Console PC (Remote Desktop),谢 谢,Q & A,
