网络实时监控解决方案优质PPT.ppt

网络实时监控解决方案优质PPT.ppt

《网络实时监控解决方案优质PPT.ppt》由会员分享，可在线阅读，更多相关《网络实时监控解决方案优质PPT.ppt（14页珍藏版）》请在冰豆网上搜索。

网络实时监控系统方案-智能网络探针,V.0.0.22012年5月,需求分析,性能瓶颈：

@#@在大流量的电信级运营网络中因为性能瓶颈无法串接，从而无法实时获得所需内容不能实时：

@#@目前的技术手段，只能从海量镜像报文的存储设备中提取需要特殊分析的镜像包，再动用大量的服务器进行分析和处理，不能做到实时分析，同时效率也非常低。

@#@布署困难：

@#@现有技术手段需要消耗大量的服务器在直连光纤上镜像抓包，进行内容恢复，无法实现远程集中式的分析解决方案，在部署和实时性上都有很大的局限性成本增加：

@#@对大流量环境需要进行内容进行处理的数据量巨大，必须采用外接负载均衡设备进行分流，造成部署和成本急剧增加,实现需求的关键设备,高效过滤：

@#@要实现高效率的实时分析和处理网络行为内容，就需要一种设备，能够高性能的过滤出指定条件的数据流输入信息：

@#@全网流量，或者需要被监控的内网IP地址，内网IP范围，目的IP范围，目的端口等组合信息输出信息：

@#@分光流经该设备的，根据策略镜像出来的流量，根据保持算法进行负载均衡分离，同时修改目的IP+目的MAC地址，镜像或者重定向指定流量到不同的远端服务器进行内容恢复和监控处理,主要实现方案,实现高性能的策略远程负载均衡重定向功能高性能串接模式动态策略过滤重定向负载均衡的远程部署实现高性能的策略远程负载均衡镜像功能高性能并接方式（双臂镜像）动态策略过滤镜像负载均衡的远程部署,全网远程实时重定向方案,IP溯源中心,智能网络探针设备（策略重定向）,网络为串接模式重定向流量需要回注,内容处理服务器群,城域网,重定向流量,正常访问,全网远程实时监控方案,IP溯源中心,分光器,智能网络探针设备（策略镜像分流）,被监控对象,4、镜像报文实时行为恢复服务器,3、被监控对象镜像报文存储设备,5、被监控对象网络行为实时显示终端,城域网,网络为旁路并接模式镜像流量需要隧道,镜像重组设备,镜像流量,下行分光,上行分光,系统处理过程简述,被监控对象，通过、手机、WiFi等上网通过现有技术手段，实时回溯被监控对象使用的IP地址或者账号信息向该“智能网络探针设备”动态下发镜像或者重定向指令，参数包括：

@#@源IP、目的IP、目的端口等组合条件。

@#@“智能网络探针设备”实时根据条件进行过滤，并执行镜像或者重定向处理。

@#@对于重定向处理，采取均衡算法选取目的服务器群，更换目的IP地址+目的MAC,远程分流重定向到指定的服务器去做特殊处理，处理之后的流量回注到监控设备，监控设备再次更换原IP地址之后转发回去。

@#@对于镜像处理，采取均衡算法选取目的服务器群，添加一个新的IP头,并且对于超过MTU的报文进行分片处理之后，远程分流景象到指定的服务器去做镜像处理，这时需要在远程接入一个镜像重组设备，剥离添加的IP头，并且将报文重组，但是转发仍然按照外层MAC进行转发的操作，从而达到分流到不同的镜像服务器。

@#@,各个模块的功能简介,IP溯源中心集中策略配置服务器智能网络探针设备镜像报文重组设备镜像报文实时恢复服务器重定向内容处理服务器,IP溯源中心,功能描述：

@#@根据截获的被监控对象的某种应用的相关信息，确定被监控对象使用的IP地址确定该IP地址所属的接入点是否有镜像设备，以及镜像控制服务器的IP地址确定需要监控这个用户的单位的IP地址向镜像控制服务器发送监控指令接口描述：

@#@【镜像控制服务器编号、用户名、密码等信息及IP地址】,【被监控对象的IP地址、被监控对象id】,【监控单位的预处理服务器的IP地址】等,集中策略配置服务器,功能描述集中自动通过IP溯源中心获取IP地址或者账号信息，并且把配置命令下发到“智能网络探针设备”中集中直接进行实时的镜像或者重定向配置策略下发到各个“智能网络探针设备”,网络探针设备,功能描述：

@#@“智能网络探针设备”实时根据条件进行过滤，并执行镜像或者重定向处理。

@#@对于重定向处理，采取均衡算法选取目的服务器群，更换目的IP地址+目的MAC,远程分流重定向到指定的服务器去做特殊处理，处理之后的流量回注到“智能网络探针设备”，“智能网络探针设备”再次更换原IP地址之后转发回去。

@#@对于镜像处理，采取均衡算法选取目的服务器群，添加一个新的IP头,并且对于超过MTU的报文进行分片处理之后，远程分流景象到指定的服务器去做镜像处理，这时需要在远程接入一个镜像重组设备，剥离添加的IP头，并且将报文重组，但是转发仍然按照外层MAC进行转发的操作，从而达到分流到不同的镜像服务器。

@#@,镜像报文重组设备,功能描述解析带隧道包头的镜像包，并剥掉隧道包头对于分片报文需要进行分片重组处理采用直接用原报文的目的MAC转发的机制分流镜像流量到不同的目的服务器,镜像报文实时恢复服务器及显示终端,功能描述接收镜像报文预处理服务器发送来的镜像报文，并将镜像报文做相应的处理，分析并恢复监控对象的网络行为，在显示终端上展示，包括下载的网页、上传的网页、聊天内容、发送或接收的邮件内容等可将恢复出来的信息，发送到多个监控终端上，并可以存储监控到的可疑的上网行为接口描述接镜像报文预处理服务器，接收【镜像报文+监控对象id】接显示终端，显示分析出来的监控内容,重定向内容处理服务器,功能描述原有内容处理服务不需要任何修改，可以完全基于userspace的socket侦听架构，因为所有前端处理已经被透明化了。

@#@,