H3C OAP之NAM流量分析模块 技术白皮书

第1章 概述
在企业的网络中，可能存在几十台到几百台计算机，并且有着种类繁多的网络设备，包括交换机、路由器等。企业用户可能有众多的数据业务流量；终端用户访问各种各样的Internet资源，包括访问各种WEB网站、下载各种软件、玩各种网络游戏等。
如果仅仅是简单的部署一台路由器，网络管理员很难通过路由器统计和区分经过它的流量。路由器可以提供接口的数据报文收发统计，但是不能基于每个主机、每个IP地址深入细致的统计网络流量。网络管理员需要有一种设备，能够很详细的统计通过路由器的流量，能够采用灵活的配置统计出想要看到的数据。网络管理员在网络流量统计的基础上，做到监控网络用户、诊断网络故障、优化网络配置。
如果利用集成了NAM的路由器来监控网络终端用户，可以看到每个终端用户访问了哪些网站，终端用户发送和接收了什么样的数据报文，占用了多少企业带宽。实现这样的功能，可以避免终端用户对于网络资源的滥用，防止少数用户占据大量的网络带宽。如果企业终端用户感染了计算机病毒，被感染的计算机可能不断的发送异常报文。网络管理员可以通过监控网络用户的方法，及时发现网络异常，及时进行网络隔离。
由于路由器在网络中得天独厚的位置，使任何Internet通讯的流量都会经过路由器设备，如果使用某种设备用于监控路由器的流量，这样就能提供出更加准确和详细的网络安全服务。
网络监控产品需要提供了如下基本功能：
l 能够对路由器所有入出端口流量的网络安全分析
l 支持在线流量和历史数据的网络安全分析
l 支持队对多种网络协议分析
l 对已有信息的过滤功能，过滤不仅包括横向的协议，还包括纵向的时间。挖掘急需关注的流量信息
l 方便友好的用户配置，支持图形化的分析结果查询
在部署网络监控产品的时候，还需要考虑如下要求：
（1）硬件和软件功能具有高可靠性。
（2）产品性能高，存储空间大。
（3）无缝集成现有网络，无需对现有网络结构进行调整和重部署。
第2章 NAM网络分析分析卡技术应用背景
为了解决网络监控的问题，H3C公司推出了NAM（Network Analysis Module网络分析）卡。NAM是在MSR路由器设备上集成的流量监控软硬件平台；使用NAM单板，用户可以把流经路由器设备的所有流量进行统计和分析，为网络管理员提供网络安全服务。
本解决方案主要针对中小型企业，NAM通过对网络流量的分析和统计，真实的反映了网络的具体情况，有助于网络管理员及时了解和定位各种网络异常。NAM提供的服务实质上是一种网络安全服务。网络管理员可以使用NAM的以下四种应用来提高网络的安全性和健壮性：
l 网络流量统计——分析各种网络安全事件的基础
l 网络流量监控——及时发现网络安全事件的保障
l 网络安全漏洞检测——消除隐患的有力武器
l 网络的优化与规划——构建一个更合理、更健壮、更安全的网络。
2.1 应用场合
NAM产品的网络位置根据路由器的位置而定。NAM集成于路由器上，路由器一般位于企业网的出口，因此NAM产品也处于企业网的出口，占据了分析流量的有利位置。

图2-1 NAM流量分析组网图
2.2 设备处理流程

图2-2 NAM设备处理流图
路由器物理接口类型丰富，链路层帧格式各不相同，只能通过软件将IP报文进行镜像才能获得流量信息。NAM软件可以配置路由器，将路由器接口上的进出流量镜像到NAM单板，为进行路由器的网络流量分析提供数据源。
第3章 NAM产品实现的技术特点和优势
3.1 强大的流量分析及管理
3.1.1 面向应用的流量统计
NAM能够对流量以各种方式进行统计，方便用户查询自己感兴趣的内容：
l 支持对IP和非IP报文统计
l 支持2-7层各种类型报文统计
l 对带宽使用情况的统计
l 对网络负载的统计
l 对IP组播流量统计
l 对本地主机流量流向的统计
l 对主机信息的统计
l 对自治系统、VLAN信息的统计
l 对历史流量的统计
3.1.2 支持多种形式的流量查询
NAM能够从多维/多视角提供统计报表输出，主要功能包括：
l 按接口查询
l 按主机查询
l 按网段/VLAN查询
l 自定义网段/流类型查询
l 按报文类型查询
l 历史流量的定制查询
l 网络流量拓扑图
l 按照协议类型查询
同时，能够提供对各个协议流量统计按照流量大小、主机等排序的功能；为了更加细致的分析协议，NAM还能够按照时间段，使用柱状图和表格进行汇总。
3.1.3 支持流量统计结果dump
NAM提供把网络中各主机的流量通过各种文档格式导出，供后续导入做其他处理或者查询使用。
3.1.4 支持自定义管理功能
通过在NAM中的配置，用户可自定义网段(cluster)和流规则（Network Flows）用来监控自己感兴趣的流量。
3.1.5 支持TCP会话管理
NAM对当前活动的TCP会话进行统计，主要包括会话双方的IP地址、端口号、接收和发送的数据量、会话建立和活动的一些基本信息以及与每个会话对应的流量。用于DOS攻击检测和病毒探测等。
3.1.6 数据源多样化
NAM产品不仅可以接收MSR的原始流量数据，也可以接收网络流数据（NetFlow、NetStream、SFlow），还可利用NAM集成的nProbe软件把流量直接转换为NetFlow报文。
3.1.7 支持网元角色探测
NAM探测本地主机的操作系统，以及该主机在网络中参与的角色。
3.1.8 支持网络流量拓扑探测
NAM通过对本地的主机之间有流量通讯的给出流量拓扑图。点击主机即可查看主机信息。
3.1.9 流量分析不影响路由器系统性能
流量分析不对原有路由器系统和网络带来额外的负载。MSR数据流量镜像到NAM或者由nProbe把流转换为NetFlow报文。NAM对于MSR来说，物理上和逻辑上都是一个旁路设备。独立运行，不影响的正常工作。
3.2 友好安全的系统管理界面
l NAM产品采用B/S结构，管理员只需使用安装了IE的PC，即可登录NAM，进而查看统计和监控结果。
l NAM的启动、配置和结果查看都可以通过WEB方式来进行。为了保证操作的安全性，同时提供了HTTP和HTTPS两种方式访问监控页面。
l NAM还提供系统参数配置功能，提供对NAM监控的各项参数的配置和管理用户，例如选择监控端口，通过BPF配置期望监控的协议，设置采样时间，配置各类页面显示参数等，也可设置用户等系统功能。
3.3 支持插件扩展功能
l ICMPWATCH
ICMPWATCH是NAM中一个插件，用来查看各种ICMP报文的统计信息，从而定位出发送ICMP报文的主机。
l NetFlow
NAM提供了NetFlow插件收集NetFlow流量以及对NetFlow流量进行分析。
l sFlow
sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很多问题。NAM同样可以分析sFlow报文。
l Round-Robin DataBase
Round-Robin DataBase （简称RRD），NAM使用RRD数据库永久的保存一些历史流量信息。RRD是一种按时间来保存数据的特殊数据库，而且RRD文件的大小不会随着时间的增加而增加。MSR系列路由器软件中的相关模块
3.4 ACFP
NAM网络分析模块和MSR系列路由器互相协作，共同完成查杀病毒的任务。用户在防毒软件的管理界面上进行配置，使得MSR系列路由器将特定的报文流上送到MSR路由器ASM防病毒卡。这两者的协作过程是由ACFP联动实现的。
ACFP（Application control forward protocol）即应用控制转发协议，是一种设备间的C/S（客户端/服务端）模式的联动框架。它主要描述了ASM防病毒卡和H3C公司的MSR系列路由器之间联动的具体实现规范。ASM防病毒卡被称为ACFP Client，MSR系列路由器被称为ACFP Server。
根据报文通过ACFP Server和ACFP Client的方式，ACFP联动的工作模式分为以下四类：主机模式、透传模式、镜像模式和重定向模式。
防毒软件读取数据后，首先进行自定义杀毒策略规则匹配，如果符合自定义杀毒策略则转交协议识别模块的协议匹配，如果不符合自定义杀毒策略则直接进行数据包转发。当数据包转交到协议识别模块时，会进行协议检查，如果属于防毒引擎支持的协议则进行杀毒，反之，则直接进行数据转发。
3.5 ACSEI
ACSEI协议作为ACFP联动提供的支撑协议，保障ACFP client与ACFP server之间有效交互信息、协作运行某种业务，同时也是MSR系列路由器和ASM防病毒卡之间的私有板间协议。
在MSR系列路由器中运行着ACSEI Server，在ASM防病毒卡中则启动ACSEI Client。通过ACSEI ，可以实现路由器对于ASM防病毒卡的实时心跳检测，同时用户也可配置ASM防病毒卡自动同步MSR系列路由器的系统时间，并且通过MSR系列路由器可以查看ASM防病毒卡的状态、启动或者关闭ASM防病毒卡系统。
第4章 MSR路由器NAM网络分析卡系统框架

图4-1 MSR路由器NAM网络分析卡系统框架
第5章 典型组网及应用
5.1 组网模型
5.1.1 基于WAN口镜像的NAM方案
企业网中的流量分为两类：Intranet和Internet进行通信的流量、Intranet主机之间进行通信的流量。

图5-1 基于WAN口镜像的NAM方案
5.1.2 基于switch镜像的NAM方案
该组网是最为常用的NAM方案，将NAM部署在企业的出口路由器MSR上，同时在WAN口进行流量镜像，由NAM对镜像流量进行分析，掌握企业内部使用WAN的情况。

图5-2 基于switch镜像的NAM方案
5.1.3 分布式的NAM方案
该组网是基于switch的NAM方案。有些企业不但对广域网流量有分析监控的需求，也要求能对内网的流量进行分析与监控，例如监控内网访问某关键业务的流量。由于内网的流量是不经过出口路由器的，这时需要在switch上进行流量镜像，通常可对switch与MSR相连的端口以及与关键服务器相连的端口进行镜像，并将镜像流量通过NAM的外部GE口导入NAM，由NAM进行分析。这样，企业不但可以掌握内部用户访问外网的情况，同时也能掌握内网关键业务的使用情况。

图5-3 分布式的NAM方案
该组网为分布式的NAM方案，适用于规模较大的企业，行业。在一些关键分支的出口路由器MSR上部署NAM，并且NAM中启动NProbe。在分支位置由NAM完成分支流量的分析。同时由NProbe将镜像流量转化为Netflow流，发送给企业总部集中的流量分析平台，例如H3C的XLog系统，完成对企业全网流量的分析与监控。
5.2 典型应用
5.2.1 网络历史流量查询
在企业网中，各种网络异常情况发生在各个时间段中。网络管理员可以实时查看网络流量来定位分析各种异常情况，也需要通过查看历史数据来定位分析问题。同时，历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布，有助于网络管理员对网络进行综合评价。
NAM的RRD插件可以存储全局的历史流量，结合NAM本身直观的图表显示功能，正好满足了网络管理员查看历史数据的需求。

图5-4 网络负载流量图
过去十二小时Intranet访问101.5.3.1的HTTP流量。

图5-5 HTTP历史流量图
5.2.2 精确统计功能
随着人们越来越热衷于使用互联网，各种网络技术和网络服务满足了不同人群的各种需求。P2P技术是近来比较流行的一种技术。这种技术提高了用户的下载速度，但是也占用了大量的带宽。网络管理员希望发现和监控网络中的P2P流量，以便在适当的时候采取必要的措施。
NAM具备了在诸多网络流量中分辨各种应用层流量的能力，并通过人性化的图表显示了网络流量的统计结果。因此网络管理员使用NAM即可发现和监控P2P流量。

图5-6 各种P2P协议所占流量的百分比

图5-7 各种P2P协议的比例图和历史信息
确定使用P2P软件的主机，并查看这些主机详细信息

图5-8 按照Gnutella流量排序

图5-9 按照BitTorrent流量排序
查看P2P流量较大的主机占用带宽的情况。

图5-10 主机流量所占总流量的百分比
查看该IP对应的主机的详细信息显示界面。

图5-11 主机详细信息显示界面
5.2.3 网络错误配置
在企业网中，虽然网络管理员可以对网络中的主机进行统一的配置和部署，但是主机的使用者随时可以对主机进行相关修改，比如修改主机的IP地址，主机使用的DNS服务器地址等。一方面，使用者的随意修改可能使其无法正常使用网络；另一方面，各种修改使得网络管理员很难定位问题。NAM可以帮助网络管理员解决以上烦恼。NAM对网络进行实时监控，可以发现网络配置错误，使得网络管理员不用现场定位即可发现问题。
通过NAM可以协助网络管理员定位诸多网络配置问题。例如DNS服务器配置错误，IP地址配置错误等等
NAM提供基于主机的应用层流量的统计。查看具体协议报文的界面，显示结果表明192.168.0.65发送了一定量的DNS报文，如0所示。

图5-12 查看发送的DNS字节数
查看Received Only链接，结果表明192.168.0.65没有接受到DNS报文，如0所示。

图5-13 查看接收的DNS字节数
192.168.0.65的发送的DNS字节数为590字节，接收的DNS字节数为0，说明用户A无法正常使用DNS服务，排除DNS服务器本身的问题后，网络管理员即可确定用户A的DNS服务器地址配置错误。
5.2.4 DOS攻击检测
网络安全成为网络管理员越来越关注的问题。当网络中出现恶意攻击时，正确使用NAM，就能对几种常见的攻击行为进行检测和分析。
查看服务器的TCP连接情况来判断是否遭受SYN Flood攻击。

图5-14 Packet Statistics表
从上图可以看出服务器收到了4496个TCP的SYN报文，而只有2个是有效的，由此判定服务器正在受到SYN Flood攻击。
查看服务器的ICMP流量来判断是否遭受ICMP Flood攻击。
在同一个页面中，查看ICMP流量情况。

图5-15 ICMP流量情况
发现ICMP流量很大，说明服务器收到非正常的ICMP流量。

图5-16 ICMP报文信息统计界面
5.2.5 探测网络无用协议
在企业网中，IP是最常用的网络通信协议。而企业员工经常会安装一些无用的网络协议，如IPX、NetBIOS等。这些协议经常广播报文，浪费了网络带宽。网络管理员可以定期普查网络协议的使用状况，发现并指导企业员工把这些无用的协议删除，优化网络环境。
利用NAM提供sFlow插件作为sFlow分析工具，在内部网络的设备上启动sFlow，将sFlow流发给NAM进行分析
查看全局流量，确定网络中包含协议的类型。

图5-17 Global Protocol Distribution表
在表中可以看出网络中存在IPX、NetBIOS流量。网络管理员需要定位到安装了这些协议的主机。
定位运行了IPX和NetBIOS的主机。

图5-18 Network Traffic表
根据主机的IP地址，即可定位到具体的主机。
5.2.6 网络角色探测和主机OS指纹识别
NAM同时探测本地主机的操作系统，以及该主机在网络中参与的角色。

图5-19 网络角色探测和主机OS指纹识别
5.2.7 网络流量拓扑图
NAM可以生成网络流量拓扑图。

图5-20 网络流量拓扑图
第6章 总结和展望
随着Internet的高速发展，网络已经成为一个企业不可缺少的资源。为了保证企业网络的正常运行，需要网络管理员监控整个网络，并且根据监控的数据，采取有针对性的措施。
H3C的NAM产品，在稳定可靠的基础硬件平台上，提供卓越的性能，能够在网络流量统计的基础上，实现网络精确监控、安全漏洞检测、网络的优化与规划。NAM用于监控路由器的流量，由于路由器在网络中得天独厚的位置，使任何内Internet通讯的流量都会经过路由器设备，也就是使NAM能够获取最为全面的流量数据，提供出更加准确和详细的网络安全服务。
NAM采用基本功能＋插件的方式，为功能的可扩展提供了有力的保障，也进一步满足用户需求做好了准备。
NAM产品软件功能强大，采用RRD数据库，使用NetFlow、sFlow等插件。NAM提供丰富的管理软件，实现用户管理。不仅可以监控企业网络宏观流量信息，还可以数据挖掘，深入到最细微的网络单元，了解企业网络的细胞。NAM能够从各种信息维度，进行统计和监控。小到物理/逻辑接口、各种协议报文，大到某个网段。NAM可以做网络负载分析，也可以做网络安全漏洞检查。
NAM产品探测灵敏，性能卓越，旁路流量监控，对路由器的性能几乎没有影响。它检测协议全面广泛，几乎可以监测网络上的所有协议。NAM可以探测3层以上的协议报文，P2P流量都可以统计监控。
H3C的NAM产品为企业网络量身定做，是H3C安全解决方案的重要组成部分，是企业网络流量分析，实现安全监控和管理的有力利器。
即将投入使用的nProbe软件，与NAM配合使用，直接把路由器镜像过来的流量发送到nProbe，由nProbe把流量转换为NetFlow流量后发送给NAM进行统计处理，解决了在千兆流量下NAM部分丢包的问题，轻松实现千兆流量下的网络监控与管理。

原文链接