01-正文
本章节下载: 01-正文 (28.12 MB)
目录
iMC网络性能高级诊断(简称:NPD高级版)提供了流量分析、应用分析、智能诊断、监控中心、流量精分、报表中心、配置中心、访问关系、告警中心等功能,为用户提供专业化网络性能诊断功能。主要特点如下:
· 精细化测量网络、业务应用的服务质量。
· 网络应用健康实时呈现,把握网络、业务应用服务器的运行状态。
· 保障关键核心业务稳定运行,提升业务运维敏捷性。
· 通过系统智能分析及预定义行为特征,快速发现各种网络中的异常行为,为网络安全保驾护航。
· 及时发现异常状态和故障,自动化或半自动化分析及定位问题根源,降低IT运营成本,提高运维效率。
· 端到端覆盖网络、应用服务全路径监控。
· 高性能大流量处理性能、适合大型用户大流量分析场景。
(1) 登录iMC NPD基础版,在左导航栏选择“网络性能诊断高级版 > 参数配置”菜单项,进入网络性能诊断高级版参数配置页面。
(2) 配置NPD网络性能诊断高级版参数,如图2-1所示。
· IP地址:输入NPD高级版中控管理平台的管理IP地址。
· 协议:选择登录NPD高级版的协议,默认支持HTTP。
· 端口:输入端口号,NPD高级版的默认HTTP端口为8080。若要配置HTTPS端口需要修改Tomcat配置。
· 用户名/密码:输入正确的用户名和密码,默认操作员用户名和密码均为admin。
(3) 单击<确定>按钮,完成参数配置。
(4) 在左导航选择“网络性能诊断高级版 > 网络性能高级诊断”菜单项,跳转至iMC网络性能高级诊断系统首页,如图2-2所示。
NPD高级版包含以下功能模块:
· 配置中心
· 监控中心
¡ 监控中心:支持查看应用系统仪表盘与监控大屏,请参见5 监控中心。
¡ 告警:支持告警配置与告警明细查询分析,请参见4.7 告警管理。
· 分析中心
¡ 流量分析:链路流量可视化,支持协议组成与链路性能分析,请参见6 流量分析。
¡ 应用分析:应用系统可视化,支持应用节点性能分析,请参见7 应用分析。
¡ 报表中心:自定义报表及模板报表的配置与查看,请参见10 报表中心。
· 诊断中心
¡ 流量精分:TCP/UDP四元组(源目IP、端口)会话查询与检索过滤,会话性能分析,请参见12 流量精分。
¡ 解码中心:支持对应用的原始数据包提取分析。
(1) 在iMC网络性能高级诊断系统首页,选择“配置中心 > 配置中心”菜单项,进入配置页面。
(2) 在左导航栏选择“配置 > 探针管理”菜单项,进入探针管理页面。
(3) 输入探针别名和探针IP地址,并选择实时抓包模式。
(4) 单击<添加>按钮,增加探针,如图2-3所示。
(1) 在左导航栏选择“配置 > 接口管理”菜单项,进入接口管理页面。
(2) 输入网卡别名和网卡地址。
(3) 单击<添加>按钮,增加接口,如图2-4所示。
(1) 在左导航栏选择“其他配置 > License验证”菜单项,进入License验证页面。
(2) 单击<选择License>按钮,选择License并进行验证,验证成功如图2-5所示。
图2-5 License验证成功
(1) 在左导航栏选择“任务管理 > 任务管理”菜单项,进入任务管理页面。
(2) 单击分析任务和告警任务的<启动任务>按钮,开启捕获功能。
图2-6 启动探针任务
图3-1 典型镜像区域示意图
· 管理边界
在管理边界最外端的设备出、入链路上进行分光或者镜像,该区域的部署主要用于三方鉴责,鉴定故障发生在管理区域内还是外。测算公网链路的延时、抖动与丢包率。
· 安全策略区域
安全策略区域镜像防火墙等安全设备出、入的流量,通过出、入流量的比对分析,可有效鉴定由于安全设备造成的连接中断、重置、高延时、丢包等故障。
· 服务器接入区域
服务器接入区域是进行网络、主机、应用、业务四级鉴责以及业务交互关联的重要区域。该区域通常既进行旁路镜像,又部署Agent嵌入式探针,同时采集网络数据流与字节码信息。
· 虚拟主机接入区域
虚拟主机接入区域位于VMware、KVM的宿主机内部的VSS、VDS或者OVS上。通过OVF旁路探针的部署,支持采集到虚拟机之间通过VSS、VDS和OVS交互的网络流量,从而完成虚拟机内部的流量分析与故障定位。
(1) 关键链路流量分析
最靠近公网设备的上联端口,镜像rx/tx双向流量:
¡ 防火墙WAN接口。
¡ 路由器广域网接口。
(2) 核心链路
网关设备的下联端口,镜像rx/tx双向流量:
¡ 根据区域,每个下联端口单独镜像至探针或者TAP流量汇聚器。
¡ 如网关设备不支持多路镜像,则下移镜像至汇聚层的上联端口。
(3) 南北向关键链路/设备监控
管理边界、安全域、负载域三个区域:
¡ 管理边界:最外端的管理设备上联端口,镜像rx/tx双向流量。
¡ 安全域:安全设备上联端口,镜像rx/tx双向流量。
¡ 负载域:负载均衡设备上联、下联端口,镜像tx/tx双向流量。
多段镜像原则:镜像进入该区域的上联端口双向流量。
(4) 多方鉴责
¡ 最靠近客户端的管理边界设备的上联端口,镜像rx/tx双向流量。
¡ 最靠近外联方的管理边界设备的上联端口,镜像rx/tx双向流量。
(5) 多级鉴责
¡ 最外端应用组件(Web)的交换机端口,镜像rx/tx双向流量。
¡ 最后一个应用组件(DB)的交换机端口,镜像rx/tx双向流量。
¡ 使用二分法逐段定位故障发生节点。
(6) 业务系统监控拓扑
¡ 镜像进入关键节点的rx/tx流量。
如图3-2所示场景:A访问B,B访问C,C访问D和E,其故障镜像点如图3-2所示,可视化镜像点如图3-3所示。
(7) 使用流量汇聚器(TAP)
¡ TAP流量接收源端口,标记自定义VLAN Tag。
¡ TAP过滤条件添加至源端口。
¡ 思科交换机镜像Trunk端口时,Mirror命令最后添加duplicate参数。
· NPD高级版探针包含2个模块:
¡ 高级版中控管理平台:NPD高级版前台管理模块。
¡ Probe探针:NPD高级版后台数据采集模块。
高级版中控管理平台,出厂部署于探针系统,可独立部署。
· NPD高级版探针系统出厂登录地址为:http://ip:8080/NPM/npm/skip.html?username=admin&password=admin=&encoding=0&target=3。其中:
¡ IP为高级版中控管理平台IP地址。
¡ 用户名和密码均为admin。
在NPD基础版首页配置网络性能诊断高级版参数,配置完成后,选择“网络性能高级诊断”菜单项,跳转至高级版首页。
探针任务管理页面显示所有已经添加至高级版中控管理平台的探针,并支持启动、停止探针任务或向探针推送配置。
(1) 进入NPD基础版,在左导航选择“网络性能诊断高级版 > 网络性能高级诊断”,弹出网络性能高级诊断首页。
(2) 选择“配置中心 > 配置中心”菜单项,进入配置中心,默认显示“任务管理”页面,如图3-4所示。
(1) 进入NPD基础版,在左导航选择“网络性能诊断高级版 > 网络性能高级诊断”,弹出网络性能高级诊断首页。
(2) 选择“配置中心 > 配置中心”菜单项,进入配置中心。
(3) 在左导航选择“配置 > 探针管理”菜单项,进行探针的添加与删除,以及探针数据的清除。
· 添加探针:在添加探针信息中输入“探针别名”、“探针IP地址”,模式选择为“实时抓包”,单击<添加>按钮,添加探针。其中,探针别名支持自定义,探针IP地址为探针服务器管理网口IP地址。
· 管理探针:
操作列图标提供对探针的管理功能,包括如下操作:
¡ Log收集:该功能用于生成探针运行日志压缩包,可下载探针日志,用于产品故障时进行排查修复。
¡ 删除:该功能用于删除探针。注意:删除探针后,该探针历史数据会被自动清除。
图3-5 探针管理
在左导航选择“配置 > 接口管理”菜单项,进行探针捕获抓包管理。
· 每台探针支持8个捕获实例(接口1-8)。
· 每个捕获实例最多可添加4个物理网口。
· 每个物理网口可指定作为上行、下行、双向流量。
图3-6 捕获管理
功能说明:
· 在添加接口信息中,增加物理网口信息:输入网卡别名,网卡MAC地址,单击<添加>按钮,将其添加至该捕获实例。其中,物理网卡别名支持自定义。
· 网口列表中显示已添加的物理网口及探针信息,可对其进行如下操作:
¡ 在操作列点击编辑图标,可修改物理网卡别名、网卡MAC地址、所属抓包口及流量方向。
· 抓包口信息显示当前探针的物理网卡信息。
包括以下几种典型配置场景:
· 每个物理网口接收不同节点的镜像,各物理网口将双向流量添加至一个捕获实例(默认配置)。
· 一组多活设备,分别镜像至多个物理网口,各物理网口将双向流量添加至一个捕获实例。
· rx、tx流量分别镜像,两个物理网口分别配置为上行、下行流量,并添加至同一个捕获实例,如图3-7所示。
NPD高级版以捕获实例为单位创建流量识别与分析规则,并根据规则设定报文存储的长度。
(1) 进入NPD基础版,在左导航选择“网络性能诊断高级版 > 网络性能高级诊断”,弹出网络性能高级诊断首页。
(2) 选择“配置中心 > 配置中心”菜单项,进入配置中心。
(3) 在左导航选择“配置 > 规则管理”菜单项,进入规则管理页面。
(4) 选择“已知应用(TCP)”页签,进入已知应用(TCP)管理页面,如图3-8所示。
图3-8 规则管理
· 分析规则默认报文存储长度为128字节。
· 每个捕获实例可创建1024条流量识别与分析规则。
· NPD高级版支持以下方式自定义分析规则:
¡ 自定义应用(TCP):根据源目IP、端口四元组定义TCP应用。
¡ 自定义应用(UDP):根据源目IP、端口四元组定义UDP应用。
¡ 已知应用(TCP):内置协议识别规则,根据TCP标准端口识别协议类型。
¡ 已知应用(UDP):内置协议识别规则,根据UDP标准端口识别协议类型。
¡ IP协议:内置IP协议,根据源IP、目的IP和协议ID自定义IP应用。
¡ 七层应用:配置针对所有支持的七层应用的解析设置和规则管理。
(1) 在左导航选择“配置 > 规则管理”菜单项,进入规则管理页面。
(2) 选择“已知应用(TCP)”标签,进入已知应用(TCP)页面,如图3-9所示。
图3-10 修改规则
修改规则参数:
· 源地址范围:输入源地址范围,不设置时将匹配所有源地址网段。
· 源端口范围:输入源端口范围,不设置时将匹配所有端口。
· 目的地址范围:输入目的地址范围,不设置时将匹配所有目的地址网段。
· 目的端口范围:输入目的端口范围,不设置时将匹配所有端口。
· 绑定网卡:选定生效的捕获实例,规则必须绑定实例。
· 报文大小:可在下拉框选择预置报文大小,或自定义数值。
· 规则名称:支持修改规则名称。
(4) 单击<修改>按钮,保存配置。
(5) 在左导航栏选择“任务管理 > 任务管理”菜单项,分别单击“分析任务”和“告警任务”的<推送配置>按钮,使配置生效,如图3-11所示。
(1) 在左导航选择“配置 > 规则管理”菜单项,进入规则管理页面。
(2) 选择“自定义应用(TCP)”标签,进入自定义应用(TCP)页面,如图3-12所示。
图3-13 添加自定义应用
· 源地址范围:输入源地址范围,不设置时将匹配所有源地址网段。
· 源端口范围:输入源端口范围,不设置时将匹配所有端口。
· 目的地址范围:输入目的地址范围,不设置时将匹配所有目的地址网段。
· 目的端口范围:输入目的端口范围,不设置时将匹配所有端口。
· 绑定网卡:选定生效的捕获实例,规则必须绑定实例。
· 报文大小:在下拉框选择或自定义报文存储大小,默认为包头64字节。
(4) 单击<添加>按钮,保存配置。
(5) 在左导航栏选择“任务管理 > 任务管理”菜单项,分别单击“分析任务”和“告警任务”的<推送配置>按钮,使配置生效。
图3-14 推送配置
· 流量汇聚器TAP聚合多个节点镜像流量,并在镜像入口添加自定义VLAN Tag后,将网络流量集中发送至探针的一个捕获实例时,需要通过VLAN ID拆分。
· 对于管理边界/互联网出口,一个物理端口镜像多条专线流量,各专线的网段固定,可通过站点(网段)拆分各个专线链路的流量。
(1) 在左导航栏选择“配置 > 站点管理”菜单项,进入站点管理页面,如图3-15所示。
(2) 点击VLAN管理页签,进入VLAN管理页面,如图3-16所示。
· VLAN别名:输入自定义VLAN名称。
· VLAN ID:输入需要识别的802.1Q ID。
· 所属抓包口:选择该VLAN ID所在的捕获实例。
· 报文大小:全局配置该VLAN的报文存储长度,优先级高于规则设定的报文存储长度。
对于已增加的VLAN Tag管理,可进行如下操作:
· 点击删除图标,删除已添加或识别到的VLAN(流量中出现该VLAN ID后,系统会自动添加该VLAN ID)。
NPD高级版支持自动识别802.1Q VLAN Tag。
(1) 在左导航栏选择“配置 > 接口管理”菜单项,进入接口管理页面,如图3-17所示。
(2) 点击需要开启VLAN识别的捕获实例高级配置图标,进入配置信息页面,如图3-18所示。
· 客户端分组设置:“链路层”选择“按VLAN分组”,网络层保持默认值。
· 排障分析维度设置:选择排障分析第一维度,若设置链路层或网络层分组,需要选择链路层或网络层作为排障分析第一维度。本例中仅选择链路层分组,第一维度仅有链路层。
· 虚接口数量上限:设置VLAN ID识别上限(默认20个)。
(3) 单击<保存>按钮,保存配置内容。
(4) 在左导航栏选择“任务管理 > 任务管理”菜单项,分别单击“分析任务”和“告警任务”的<推送配置>按钮,使配置生效。
图3-19 推送配置
NPD高级版支持根据IP网段拆分捕获实例流量,以子接口的方式显示。
(1) 在左导航栏选择“配置 > 站点管理”菜单项,进入站点管理页面。
(2) 设置站点名称、IP地址以及上下行带宽,如图3-20所示。
(3) 单击<添加>按钮,保存站点配置,如图3-21所示。
(1) 在左导航栏选择“配置 > 接口管理”菜单项,进入接口管理页面,如图3-22所示。
(3) 在客户端分组设置页签,“网络层”选择“按站点分组”。
图3-23 客户端分组设置
(4) 单击<保存>按钮,在弹出的提示框中,单击<确定>按钮,跳转至站点绑定页签。
(5) 勾选生效的站点。
图3-24 站点绑定
(6) 单击<保存>按钮,在弹出的提示框中,单击<跳转>按钮,跳转至任务管理页面。
(7) 分别单击“分析任务”和“告警任务”的<推送配置>按钮,使配置生效。
图3-25 推送配置
NPD高级版采用分层存储方式,数据类型包含:
· 统计报表:KPI数据,以1秒、1分钟颗粒度写入Postgres数据库。
· Top主机/会话:聚合数据,以1分钟颗粒度写入MongoDB数据库。
· 全量会话流:明细数据,以1秒、1分钟颗粒度写入磁盘文件。
· 原始报文:pcap格式,实时写入磁盘文件。
在左导航栏选择“其他配置 > 系统配置”菜单项,进入系统配置页面,如图3-26所示。
配置数据时长管理参数:
· MongoDB保存时间设置:1分钟颗粒度Top主机/会话,默认保存7天。
· KPI数据保存时间设置:1分钟颗粒度统计报表,默认保存31天。
· 实时KPI数据保存时间设置:1秒颗粒度流量统计报表,默认保存3天。
· NetFlow文件保存时间设置:1秒、1分钟颗粒度全量会话流文件,默认保存7天。
· 原始数据包清理策略:pcap原始报文所在存储分区的覆盖写入占比阈值。
(1) 在左导航栏选择“其他配置 > 磁盘映射管理”菜单项,进入磁盘映射管理页面,如图3-27所示。
(2) 可根据每台探针的各捕获实例设置以下两类文件的存储位置:
¡ NetFlow存储路径:全量会话流的存储路径。
¡ pcapTrace存储路径:pcap原始报文的存储路径。
图3-28 存储位置设置
(3) 单击<保存>按钮,在弹出的提示框中单击<确定>按钮,保存配置。
(4) 在左导航栏选择“任务管理 > 任务管理”菜单项,分别单击“分析任务”和“告警任务”的<推送配置>按钮,使配置生效。
图3-29 推送配置
在iMC网络性能高级诊断系统首页,选择“配置中心 > 配置中心”菜单项,进入配置中心页面。配置中心页面默认显示任务管理页面。
任务包括两部分:数据任务和系统定时任务。
· 数据任务包括分析任务和告警任务,是对网卡上的数据流量进行分析统计并展现,当更改了关键的信息(例如:应用规则的定义、网卡参数等),需要重新启动分析任务。
· 系统定时任务是完成系统某些功能的任务,例如:自动告警任务。
图4-1 任务管理
拓扑图提供对应用规则的监控,将应用规则添加到拓扑图,并选择设置过滤规则,实现监控功能。
图4-2 拓扑管理
支持拓扑管理中添加新的拓扑图,或者对已存在拓扑流程进行查看、修改、删除。
拓扑分为应用拓扑、设备拓扑和链路拓扑三种。点击编辑图标,可对拓扑图进行编辑。
图4-3 拓扑图编辑
从左侧拓扑图标框中拖拽控件到拓扑图页面进行设置。
设备管理中,可对设备进行添加、删除、编辑等操作。
图4-4 设备管理
添加设备需要选定该设备进、出的流量规则,如图4-5所示。
探针管理主要是对探针信息进行添加、删除、修改、查询等操作。
在分布式环境中,一台NPD高级版中控管理平台可以管理多台探针。
图4-6 探针管理
探针管理支持对数据包进行回放。
(1) 在左导航选择“配置 > 探针管理”菜单项,进入探针管理页面。
(2) 在探针管理页面输入探针别名、探针IP地址,并选择模式为数据包回放。
(3) 单击<添加>按钮,增加探针。
图4-7 添加回放探针
(4) 把pcap文件拷贝到该目录:/home/output/repro/ip地址/pcap。
(5) 在左导航选择“配置 > 规则管理”菜单项,选择探针接1,设置自定义规则。
(6) 在左导航选择“任务管理 > 任务管理”菜单项,启动探针任务。任务启动完成后,可查看流量分析详单和KPI等。
用户设置完探针后可以配置探针下的网卡,对网卡信息进行添加、删除、修改、查询等操作。
图4-8 接口管理
点击查看数据图标,可以查看网卡接口最近流量记录,如图4-9所示。
客户端分组设置中支持设置不同的聚合方式。
图4-10 客户端分组设置
服务器分组设置支持对服务器KPI分组进行设置。
图4-11 服务器分组设置
如果客户端的聚合方式按照站点分组聚合,那么在站点绑定页面可以选择此接口上需要绑定的站点。
图4-12 接口站点绑定
高级设置支持配置控制数据去重、数据详单、建连失败详单、重传详单的开和关、MPLS头部剥离、流量精分设置、VLAN解析层次、Jumbo Frame支持、VXLAN剥离、PPPoE报文分析、PPPoE头部剥离、FabricPath头部剥离、Site秒级进度开关、IPSite对IPv6包的流量统计、GRE头部剥离等。
图4-13 高级设置
基本设置支持配置抓包口名称,并配置接口全局参数,包括数据包的存储规则、长连接认定时间、上下行带宽和峰值流量精度等。
图4-14 基本设置
规则排序中可对规则进行排序,拖动规则名称,调整顺序,即可完成排序。
图4-15 规则排序
安全页签支持设置是否开启恶意域名检测、恶意IP访问监测以及SQL注入检测功能。
图4-16 安全设置
转发设置支持配置选中的应用规则流量转发至其他物理网口。
图4-17 转发设置
用户完成网卡配置后,可以为网卡设置规则。
自定义TCP应用是用户平时使用最多的规则配置,用户可以根据客户端IP、客户端端口、服务器IP和服务器端口定义一个应用。
图4-18 规则定义
图标 |
功能 |
描述 |
设置规则客户端集合类型 |
设置每个规则的详单条目数量。 |
|
建连超时设置 |
设置TCP和UDP的通信对超时时间。 |
|
响应时间分级设置 |
对响应时间的阈值进行设定:响应迅速、响应正常、响应超时。 |
|
告警设置 |
设定规则的阈值告警参数。 |
|
编辑 |
修改规则的定义。 |
|
删除 |
删除规则。 |
|
上移 |
调整规则的优先级,优先级上移可以提高规则的优先级。 |
|
下移 |
调整规则的优先级,优先级下移可以降低规则的优先级。 |
|
置顶 |
调整规则的优先级,将指定规则的优先级调到最高。 |
|
置底 |
调整规则的优先级,将指定规则的优先级调到最低。 |
|
禁用 |
禁用该规则。 |
修改规则参数后,需要在“任务管理”页面为分析任务推送配置,才能生效。
图4-19 自定义UDP
在已知应用(TCP)中,系统默认定义了部分规则,按照TCP熟知端口区分应用。
图4-20 已知TCP规则
在已知应用(UDP)中,系统默认定义了部分规则,按照UDP熟知端口区分应用。
图4-21 已知UDP规则
支持对ICMP等IP协议的规则进行定义。
图4-22 IP协议规则
对所支持的七层应用进行解析设置和规则管理。
图4-23 七层应用规则
站点管理模块是NPD高级版中逻辑子接口的重要配置。
支持增加新的站点,或者对已知站点进行修改、删除、查询等操作。
图4-24 站点管理
如果要启用站点功能,需要在接口管理中启用站点聚合。
(1) 在左导航选择“配置 > 接口管理”菜单项,点击对应接口的高级配置图标,进入接口参数配置页面。
(2) 选择“客户端分组设置”,在网络层设置中,选择按站点分组。
(3) 单击<保存>按钮,保存配置。
NPD高级版自动识别802.1Q标准的VLAN Tag,在VLAN管理页面,可设置VLAN别名,速率以及秒级VLAN的开启。
图4-25 VLAN管理
如果要启用VLAN功能,需要在接口管理中启用VLAN聚合。
(1) 在左导航选择“配置 > 接口管理”菜单项,点击接口对应的高级配置图标,进入接口参数配置页面。
(2) 选择客户端分组设置页签,将链路层设置中,选择按VLAN分组。
(3) 单击<保存>按钮,保存配置。
此处设置的VLAN报文大小存储优先级高于应用规则中设置的报文存储大小优先级。
链路层标签管理用于管理非VLAN的链路层标签,添加并设置别名。链路层标签支持MPLS、MPLS EXT、NetFlow、VXLAN和DSCP等。
图4-26 链路层标签
如果要启用链路层标签功能,需要在接口管理进行链路层配置。
(1) 在左导航选择“配置 > 接口管理”菜单项,点击接口对应的高级配置图标,进入接口参数配置页面。
(2) 选择客户端分组设置页签,将链路层设置中,选择按按MPLS、MPLS EXT、NetFlow、VXLAN或DSCP分组。
(3) 单击<保存>按钮,保存配置。
Host别名用于在流量分析页面替代IP地址显示。
图4-27 Host别名
站点经纬度用于在站点大屏中标示各个站点的地理位置。
图4-28 站点地图
NPD高级版支持多种告警类型,包括基线告警、阈值告警、设备告警、安全事件、组合告警和URL Pattern告警。
基线告警统计过去一段时间的数据,以相同时间点的平均值为依据进行对比告警,支持设置高阈值、低阈值告警或排除节假日等。
(1) 在左导航选择“告警管理”菜单项,进入告警管理页面。
(2) 用户在设置基线告警配置前,需要先配置全局信息,点击右上角图标进行配置。
图4-29 基线配置
图4-30 基线告警添加
阈值告警对定义的KPI指标做硬性数据对比,以定义的值为依据进行数据对比告警,支持设置高阈值告警和低阈值告警。
图4-31 阈值告警添加
图4-32 告警列表
点击选择告警时间,支持修改高低阈值,判断告警是否合理。
图4-33 告警模拟
定义时延、丢包率、srv数据包差值、CLI数据包差值、建连成功差值、建连成功%差值、请求数差值、重传数差值等设备相关告警阈值。
图4-34 设备告警
定义TCP SYN风暴、TCP拒绝连接、TCP端口扫描、APP广播风暴、DDoS攻击等安全事件告警阈值。
图4-35 安全告警
组合告警通过与或逻辑,进行告警阈值的组合判断。
图4-36 组合告警
支持针对某些URL的特定返回码和成功率进行告警,同时在告警详单中进行大屏告警展示。
图4-37 URL Pattern告警
· 规则:选择到URL Pattern的规则,支持多选。
· URL Pattern:选择URL Pattern规则对应的URL。
· 告警KPI:选择需要生成URL告警的KPI参数。
· 高阈值:输入高阈值个数,基于下方的参数设置。
· 参数设置:
¡ 算法a:高出高阈值设置的个数,产生告警。
¡ 算法b:在设置时间(分钟)内,超过高阈值个数,产生告警。
NPD高级版还可通过SNMP Trap、Syslog、短信或邮件等方式转发告警信息。
图4-38 告警转发
在告警页面选择相应的接口后,支持查看该接口的URL Pattern告警。
图4-39 告警条目
· 单击<分析>按钮,跳转到七层分析。
· 单击<处理>按钮,显示已处理告警。
图4-40 URL Pattern告警大屏
· 大屏最上方时序图显示每1分钟的告警数,鼠标点击每1分钟的柱状图可以查看告警详情。
· 大屏左下方显示已配置的告警应用。
· 大屏中间默认显示最近1分钟的告警数量。当在时序图中选中某1分钟告警后,会显示该时间的告警数。
· 大屏右下方显示最近1分钟或选中1分钟的告警详细信息。
分组管理中,支持按应用分组或站点分组等进行管理。把多个定义好的规则、站点或者VLAN,添加到一个应用分组或者站点分组,即可在排障(即流量分析)的应用分组或站点分组中进行查看。
图4-41 分组管理
在打分管理中,客户可以新建一个应用,设置网络健康度指标和业务健康度指标,并为其设置对应的分数百分比,最终将在健康度监控大屏展示。
在使用过程中,如果对设置有疑问,可以使用NPD内置的通用模板进行设置。
图4-42 打分设置
在安全管理中,支持添加可疑IP、DNS域名告警、可疑邮件接收、可疑邮件发送和HEX。
图4-43 安全告警设置
用户管理中,支持添加系统用户,并选择用户所在的权限组。
图4-44 用户管理
用户可以建立不同的权限组,用于系统的分级分权。
图4-45 权限组管理
该功能用于管理当前的登录用户,并退出异常登录的用户。
图4-46 登录用户管理
该功能用于设定登录失败的锁定次数,保障用户帐户安全。
图4-47 失败管理
默认菜单管理用于设定用户登录后的初始页面。
图4-48 默认菜单
RADIUS验证用于添加RADIUS认证服务器。
图4-49 RADIUS认证
4A验证用于移动集团4A认证集成。
图4-50 4A认证集成
License验证页面用于添加探针许可,激活探针或CMS(Content Management System,内容管理系统)功能模块。
图4-51 License管理
用户制定了自定义报表后,支持将报表定时发送给指定用户的邮箱,并可对已经设置好的任务进行修改、删除、查询等操作。
图4-52 定时任务
系统配置页面用于设定NPD的数据存储时长等参数。
图4-53 系统配置
日志管理模块记录磁盘空间使用率告警及用户的操作记录,便于进行系统使用审计。
图4-54 审计日志
数据接口中,支持和第三方进行数据对接并且推送,NPD高级版提供了3种接口:Kafka、Redis和ELK接口。
图4-55 数据接口
NPD高级版支持查看探针的硬盘信息,若选择相应的接口,可以删除该接口下保存的相应数据。
· NetFlow是流量精分全量TCP/UDP会话数据。
· pcapTrace是原始pcap文件。
图4-56 磁盘管理
解码功能用于设置定时数据包存储解码任务。
图4-57 定时任务
更新管理用于探针的集中升级。
图4-58 更新管理
目录管理用于应用系统拓扑的目录生成。
图4-59 目录管理
本系统支持数据解码工具WireShark的下载,方便用户进行数据对比分析。
要正常显示NPD基础版的页面,需要使用Chrome v60以上版本,为了便于用户升级到支持的Chrome版本,NPD在工具下载页面提供了Chrome软件的下载。
图4-60 Wireshark下载
图4-61 Chrome v60下载
在iMC网络性能高级诊断系统首页,选择“监控中心 > 监控中心”菜单项,进入监控中心页面。
应用系统仪表盘是监控中心的初始页面,呈现所有的应用系统运行状态,一个应用系统对应一张业务拓扑图,一个应用系统可以由一个或者多个应用组成,一个应用对应于配置中的一个规则。
图5-1 应用仪表盘
序号 |
名称 |
说明 |
1 |
链路大屏 |
点击进入流量分析模块的链路分析页面。 |
2 |
健康度监控 |
点击进入健康度监控模块。 |
3 |
定制大屏 |
支持定制大屏。 |
4 |
链路拓扑 |
点击进入链路拓扑模块。 |
5 |
设备拓扑 |
点击进入设备拓扑模块。 |
6 |
选项 |
设定次要指标和主要指标以及排序方式。 |
7 |
应用系统名称 |
显示应用系统名称。 |
8 |
次要指标 |
显示该应用系统的次要指标。 |
9 |
主要指标 |
显示该应用系统的主要指标。 |
10 |
状态时间轴 |
显示该应用系统的运行状态。 · 红色表示业务产生告警。 · 绿色表示业务正常运行。 · 灰色表示没有流量。 |
健康度监控大屏采用统计指标比例计分方式对应用系统进行打分,并显示造成分数下降的统计指标及原因。若要显示健康度大屏,需要配置4.9 打分管理。
图5-2 健康度大屏
· 应用系统总体网络健康度和业务健康度,一分钟更新一次分数。
· 应用系统拓扑:一分钟更新一次指标状况。
· 双击拓扑图元素,在大屏的右上方显示该拓扑图对应规则的关键KPI指标曲线图,一分钟更新一次,显示KPI时序图为:
¡ 网络延迟:客户端与服务器网络延迟。
¡ TCP建连:建连成功与失败数。
¡ 用户体验时间:响应时间、传输时间等。
¡ TCP重传数量:重传率、客户端/服务器重传数。
· 子系统KPI指标对比表,一分钟更新一次。
链路拓扑显示VLAN或站点逻辑接口的互联关系以及流量情况,需要在4.2 拓扑管理中建立链路视图。
图5-3 链路拓扑
序号 |
名称 |
说明 |
1 |
导航栏 |
可进行链路拓扑选择。 |
2 |
查询选项 |
分析时间轴绿色时间段为当前视图的查询分析时间,可拖动两端的黄色圆点选择查询时间范围。单击<查询>按钮,使查询时间生效。 |
3 |
监控信息 |
显示查询时间段中所监测到的相关信息,包括流量、时延、重传数和告警数等。 |
设备拓扑需要在4.2 拓扑管理中创建设备,并配置拓扑后方可显示。设备拓扑通过比对同一应用规则在不同链路标签位置的流量,计算设备前后的延迟、丢包数、建连差值等统计指标,判断设备的性能状态。
图5-4 设备拓扑
· 左边是导航栏,可进行设备拓扑的选择。
· 右上是数据监控的查询选项,可进行时间段的选择。
· 下方是查询时间段中所监测到的相关信息。
流量分析作为NPD高级版的基础模块,是该系统最主要的功能之一,通过流量分析模块可方便、快捷地实现链路流量的可视化与成分分析,便于快速发现突发主机、丢包链路以及查询检索特定的流量构成。
在iMC网络性能高级诊断系统首页,选择“分析中心 > 流量分析”菜单项,进入流量分析页面。流量分析模块由对象栏与分析页面两部分构成,如图6-1所示。
序号 |
名称 |
说明 |
1 |
对象导航栏 |
以树形结构展开流量分析对象,包含物理捕获实例、虚拟标签接口,分析页面以选择的对象为过滤条件进行分析。 |
2 |
分析页面 |
分析页面包含多种标签页类型,分别实现不同的统计查询与输出。根据对象栏中选择的对象不同,标签类型也有所区别。 |
流量分析模块对象导航栏包含:探针接口、站点分组、VLAN分组、设备等导航模块。
探针接口是最常用的导航模块,该模块探针为展架节点,以树状结构为展开类型,按照“探针”、“捕获实例”、“链路层标签”、“网络层标签”的层级展开分析对象。
图6-2 探针接口导航栏结构
序号 |
名称 |
说明 |
1 |
捕获实例 |
|
2 |
链路层标签 |
· 逻辑子接口,NPD高级版支持VLAN、MPLS、VXLAN、QoS等多种链路层标签,请参见4.6 站点管理。 · 每个物理接口建议绑定不超过200个(系统限制为10,000个,200个为最佳实践值)逻辑子接口。 |
3 |
网络层标签 |
· 逻辑子接口,NPD高级版支持站点(网段)和省份两种网络层标签,请参见4.6 站点管理。 · 每个物理接口建议绑定不超过200个(系统限制为10,000个,200个为最佳实践值)逻辑子接口。 |
站点分组导航显示4.8 分组管理中创建的“站点分组”目录结构,并以站点分组目录作为展开节点。
VLAN分组导航显示4.8 分组管理中创建的“VLAN分组”目录结构,并以VLAN分组目录作为展开节点。
设备导航显示4.2 拓扑管理中“设备管理”模块中创建的设备,并以设备名称为选择对象,显示设备分析页面。
NPD高级版提供多个特定场景的流量分析标签页面,支持负载量、可用性、性能等多层级的可视化分析。
图6-3 链路分析
序号 |
名称 |
说明 |
|||
1 |
对象链接 |
显示当前对象导航栏中选择的对象。 |
|||
2 |
告警提示 |
如有告警生成,告警图标闪烁,点击告警数量跳转到“告警信息”页面。 |
|||
3 |
全局检索 |
可选“IP地址、IP通讯对、应用”三种检索类型,输入后全局查询过去5分钟内检索项所在的规则、应用系统、捕获实例的流量数据。 |
|||
4 |
登录用户 |
显示当前登录用户名,点击下拉图标可选择: · 用户信息:点击跳转到用户管理页面,可查看或修改当前用户设置。 · 版本:点击查看NPD高级版系统版本。 · 使用说明:点击跳转到在线使用说明页面。 · 语言设置:点击选择系统页面语言。 · 登出:点击登出NPD高级版系统。 |
|||
5 |
首页 |
点击显示系统首页。 |
|||
6 |
分析页面标签 |
点击名称切换分析标签页面。 |
|||
7 |
分析时间轴 |
绿色时间段为当前视图的查询分析时间,可拖动两端的黄色圆点选择查询时间范围。单击<查询>按钮,使查询时间生效。 |
|||
8 |
自定义时间 |
点击图标弹出快速选择时段与自定义时间选择,可快速选择查询时间。单击<查询>按钮,使查询时间生效。 |
|||
9 |
快速选择最近1小时 |
点击后时间轴选择范围重置为最近1小时。单击<查询>按钮,使查询时间生效。 |
|||
10 |
分析精度 |
点击切换分析页面视图的数据分析精度,可选分钟(默认)、小时。 |
|||
11 |
站点过滤 |
仅开启站点时出现此选项,点击选择站点后,该页面分析视图数据按选定站点过滤。 |
|||
12 |
VLAN过滤 |
仅开启VLAN时出现此选项,点击选择VLAN后,该页面分析视图数据按选定VLAN过滤。 |
|||
13 |
实时更新 |
仅“链路分析”、“Site(站点)分析”、“负载量”页面支持实施更新,点击后页面数据按选定精度实时刷新数据。 |
|||
14 |
快速选择 |
点击8自定义时间后,出现快速时间选择,选中时间后时间轴切换为所选时间段。 |
|||
15 |
自定义时间 |
点击8自定义时间后,出现自定义时间选择,选择日期与时间(精度为1分钟),单击<确定>按钮,时间轴切换为所选时间段。 |
链路分析页面通过3组联动视图:链路流量时序图(指标图表)、应用协议占比图、TopN主机与TopN通讯对,提供流量可视化与快速检索分析。
图6-4 链路分析视图
图6-5 流量时序图
序号 |
名称 |
说明 |
1 |
秒级 |
|
2 |
实时更新 |
点击后开启自动更新,更新频率可选:1秒、5秒、15秒、30秒、1分钟。(逻辑子接口下需要开启秒级数据,请参见4.4 接口管理和4.6 站点管理)。 |
3 |
视图类型 |
点击切换时序图类型,可选:柱状图、曲线图、点线图、区域图、柱状堆叠图、表格。 |
4 |
视图KPI |
点击切换时序图显示的统计指标(统计指标说明详见附录1:KPI使用说明),视图可最多叠加4个统计指标。 |
5 |
隐藏视图 |
点击隐藏本视图。 |
6 |
放大视图 |
点击弹出放大页面,放大该视图。 |
7 |
保存视图 |
点击保存视图图片或数据,支持选项: · 保存图片:PNG、JPG、SVG、PDF。 · 保存数据:XLSX、JSON。 · 添加注解。 · 打印视图。 |
8 |
时序图 |
时序图支持点选与拖拉选择区域(仅柱状图支持点选)。拖拉选择后,选中区域放大,下方视图联动放大,点击还原图标,视图还原为原始状态。 在时序图柱块右键点击,选择跳转分析该1分钟或1秒柱块: · 图表联动:开启/关闭视图联动。 · 详单分析:跳转至“详单查询”页面。 · 高精度流量分析:进入高精度亚秒级分析页面,详情请参见6.3.2 高精度分析。 · 流量精分:跳转至“流量精分”模块。 |
应用协议占比时序图展示所有应用协议分布时序图,点击“IP协议时序图”页签,可查看IP协议分布时序图。
图6-6 应用协议占比时序图
序号 |
名称 |
说明 |
1 |
Top数量 |
选择显示的应用协议数量,可选:10(默认)、50、100、200、1000。 |
2 |
视图类型 |
选择视图类型,可选:柱状堆叠图(默认)、饼图、柱状图。 |
3 |
视图KPI |
选择切换显示的统计指标,请参见附录1:KPI使用说明。 |
4 |
表格切换 |
点击图标切换为表格显示。 |
5 |
时序图 |
|
6 |
应用协议显示选择 |
勾选显示应用协议数据,去勾选隐藏协议数据。 |
图6-7 Top主机/IP通讯对
序号 |
名称 |
说明 |
1 |
视图时间 |
显示钻取时视图显示数据的时间段。 |
2 |
Top数量 |
点击选择对象数量,可选:10(默认)、50、100、200、1000。 |
3 |
主机IP |
聚合显示主机IP地址,选择捕获实例时,不拆分逻辑子接口。 |
4 |
IP通讯对 |
显示IP地址对,选择捕获实例时,拆分逻辑子接口。 |
流量时序图用于发现链路对象的流量突发情况,点击突发时刻数据或拖拽选择需要分析的时间段,应用协议占比图与TopN主机/TopN通讯对数据切换为所选择时间段的数据,再次点击流量时序图中已选择的柱块,取消钻取选择。
图6-8 流量时序图钻取
应用协议占比图用于发现流量突发时刻的应用类型,可切换为柱状叠加图、饼图或TopN柱状图,并对其数据进行钻取:
· 柱状叠加图:点击该应用数据柱块,TopN主机/TopN通讯对数据切换为所选择时间段的数据。
· 饼图:点击某协议数据,TopN主机/TopN通讯对数据切换为所选择协议的数据。
· TopN柱状图:不支持钻取。
图6-9 协议分布图钻取
TopN主机显示发生流量突发的主机TopN。点击主机柱块,TopN通讯对视图显示该主机包含的IP通讯对的TopN数据。
图6-10 Top主机钻取IP对
点击主机地址、通讯对IP地址,以该主机或IP对跳转到流量精分模块,进行全量TCP、UDP会话分析,请参见12 流量精分。
图6-11 流量精分过滤
NPD高级版支持链路流量亚秒级分析,分析颗粒度为:100ms、10ms、1ms。在链路分析流量时序图右键选择“高精度流量分析”菜单项,支持查看更高精度的流量时序图:
· 点击分钟颗粒度柱块,弹出该分钟的秒级时序图。
· 点击秒级颗粒度柱块,弹出该秒的100ms颗粒度时序图。
· 点击100ms颗粒度柱块,弹出该100ms秒的10ms颗粒度时序图。
· 点击10ms颗粒度柱块,弹出该10ms秒的1ms颗粒度时序图。
图6-12 高精度分析钻取
高精度分析视图右键菜单支持通讯对分析和主机分析两种分析方式。
图6-13 IP通讯对分析
图6-14 主机分析
流量分析页面用于快速的应用、IP地址、端口检索。通过对流量应用组成的钻取,可快速比对不同服务器之间的流量差异和性能差异。
流量分析模块通过4类统计方式,逐级钻取显示链路流量组成与统计:
· 按应用:显示分析时段内,链路流量的应用协议组成及排序,并钻取展开服务器IP、服务端口、客户端IP。
· 按端口:显示分析时段内,链路流量的TCP/UDP端口组成及排序,并钻取展开使用该服务端口的IP地址。
· 按服务器IP:显示分析时段内,链路流量的服务器IP地址组成及排序,并钻取展开使用服务端器IP所承载的应用协议。
· 按通讯对:显示分析时段内,链路流量的IP通讯对组成及排序。
客户端与服务器端IP地址的判定:
· NPD高级版通过三次握手的方式判断一个会话的服务器端与客户端,对于已知应用协议,发送SYN建连请求的IP地址为客户端IP,对端则为服务器IP。
· 对于自定义应用,如果指定服务器IP地址和端口,则指定的IP地址恒为服务器IP,不通过三次握手方向判断。
页面控件说明如下:
图6-15 流量分析控件
序号 |
名称 |
说明 |
1 |
统计类型 |
选择流量统计的类型,支持按应用、端口、服务器IP或通讯对统计。 |
2 |
Top数量 |
数据显示的Top条目数,默认100条,支持1~1000条。 |
3 |
服务器IP |
查询服务器IP地址。 |
4 |
统计列表 |
按照统计类型及统计指标排序,统计对象可展开,应用统计展开层级为:服务器IP、服务器端口、客户端IP、通讯对。 |
5 |
服务器IP地址 |
选定的应用中服务器的IP地址。 |
6 |
应用端口 |
选定的服务器IP地址所使用的应用通讯端口。 |
7 |
客户端IP地址 |
连接选定的应用通讯端口的客户端IP地址。 |
8 |
通讯对IP |
选定的应用Top通讯对,左为客户端IP地址,右为服务器IP地址。 |
9 |
菜单 |
不同统计项对应的菜单内容不同。点击应用菜单出现钻取功能: · 查看应用定义:弹出应用规则定义页面。 · 详单分析:跳转到详单分析页面,对该应用进行分析。 · 流量精分:钻取进入全量会话页面。 |
10 |
修改IP显示方式 |
|
11 |
列表导出 |
以Excel格式导出流量分析列表。 |
12 |
快速解码 |
以选定条目为过滤条件,解码原始报文。 · 可修改:捕获实例、应用、四元组(源地址、源端口、目的地址、目的端口)、起止时间。 · 显示:页面解码,显示报文解码内容。 · 下载:过滤当前原始报文,以pcap格式下载。 |
13 |
生成时序图 |
以当前选定条目为过滤条件生成指定指标的时序图。 |
VLAN分析页面仅在探针接口上开启链路层标签为VLAN,即链路层“按VLAN分组”时,方可显示。
VLAN分析页面分为VLAN Top对比和VLAN流量分析两个模块。
图6-16 VLAN Top对比图
· 速率TopN:展示速率、请求量、并发量及用户数等数据。
· 客户端时延TopN:展示客户端延迟、服务器延迟、建连失败数、重传数、重传率及客户端零窗口数等数据。
图6-17 VLAN流量钻取
钻取层级以VLAN ID/名称为展开节点,钻取层级为:应用协议、服务器IP地址。
站点分析(Site分析)页面仅在探针接口上开启网络层标签为站点,即网络层“按站点分组”时,方可显示。
站点分析页面分为站点Top对比和站点流量分析两个模块。
图6-18 站点Top对比图
· 速率TopN:展示速率、请求量、并发量及用户数等数据。
· 客户端时延TopN:展示客户端延迟、服务器延迟、建连失败数、重传数、重传率及客户端零窗口数等数据。
· Top数量:支持修改,可选10(默认)、50、100。
点击需要分析的站点柱块,进入该站点的流量分析模块,如图6-19所示。
序号 |
名称 |
说明 |
1 |
回退 |
点击回退到站点Top对比页面。 |
2 |
实时更新 |
点击按照1分钟颗粒度刷新时序图。 |
3 |
快照 |
点击切换视图为快照显示,可选统计值为:最大值、最小值、平均值或总值。 |
4 |
时序图 |
显示该站点上/下行速率、带宽统计指标,颗粒度为1分钟。 |
5 |
统计维度 |
· 上行/下行:显示该站点作为源/目的的统计类型排序。 · 站点发起/外部接入:显示该站点内部/外部IP发起的应用协议,并按:应用协议、服务器IP、服务端口、客户端IP展开。 · 站点上下行:显示站点内部与外部IP地址,并按协议、客户端IP钻取展开。 |
6 |
统计类型 |
站点统计维度为上行、下行时,可选统计类型为:主机、通讯对、应用、端口,并钻取展开。 |
7 |
统计范围 |
站点统计维度为上行、下行时,可选统计范围为:站点内部、站点外部、全部,分别显示站点内部IP、外部IP和全部IP。 |
8 |
Top值 |
显示输出的条目数,默认为100。 |
9 |
数据条目 |
显示分析条目,支持跳转到流量精分页面钻取分析。 |
负载量是流量分析的基础数据,通过负载量的分析可快速发现链路的基本组成,并用于进行流量的规划。
图6-20 负载量分析
· 速率曲线图:显示流量速率的趋势。
· 带宽利用率曲线图:显示链路带宽的使用趋势(需要设定链路速率)。
· 并发量曲线图:显示每分钟最大的并发量,对比请求量与用户数,用于发现异常的高并发及DoS攻击。
· 包速率曲线图:显示包速率曲线,判断设备的吞吐能力。
· 流量曲线图:显示流量大小趋势。
· 流量组成饼图:显示IP层协议组成,还可用于分析广播、组播占比。
· ARP流量曲线图:显示异常ARP突发。
· 数据包大小占比图:显示分组报文长度,用于发现异常小包突发。
链路性能分析用于快速发现性能下降的应用协议以及链路的延迟。
图6-21 链路性能分析
· 响应最差的应用Top10:显示响应时间最大的应用排序。
· 并发量最大的应用Top10:显示并发量最大的应用排序。
· 客户端和服务器网络时延:显示探针接口到客户端、服务器端的网络延迟。
· 应用重传百分比Top10:显示重传率最大的应用排序。
点击分析视图中的应用名称可跳转至流量精分页面,进行详细分析。
TCP指标分析用于快速发现TCP传输层的异常。
图6-22 TCP指标分析
· 建连失败最多的应用Top10:显示建连失败最多的应用协议排序。
· TCP建连次数柱状图:显示TCP建连成功、失败数量对比。
· TCP SYN量柱状图:显示客户端SYN与服务器SYN ACK的数量对比,常用于发现SYN flood攻击。
· TCP FIN量柱状图:显示客户端与服务器的FIN数量对比。
· TCP RST量柱状图:显示客户端与服务器的RST数量对比。
· TCP零窗口曲线图:显示客户端与服务器的零窗口数量对比。
· 重复ACK次数柱状图:显示客户端与服务器的Dup ACK数量对比。
· 重传率曲线图:显示客户端与服务器的重传率对比。
建连分析是NPD高级版中,针对链路与应用可用性的主要分析模块,通过建连失败的方向与类型,可快速鉴定无法连接的原因。
建连失败的类型与原因分类如下:
· 客户端超时:客户端发起SYN后,服务器回应SYN ACK,客户端无响应。通常原因为链路丢包或客户端异常关闭。
· 服务器超时:客户端发起SYN后,服务器无响应。通常原因为链路丢包或服务端口无响应。
· 客户端RST:客户端发起SYN后,服务器回应SYN ACK,客户端拒绝连接。通常原因为客户端程序异常。
· 服务器RST:客户端发起SYN后,服务器拒绝连接。通常原因为服务端应用连接限制或应用程序异常。
建连分析功能模块包含:建连分析、建连详单、拆连分析、长连接分析四个功能页面。
图6-23 建连失败时序图
建连曲线图为建连失败的时序图,显示不同时间建连失败的数量。点击建连失败1分钟颗粒度柱块,可显示建连失败发生的客户端,以及该客户端失败的类型。
建连详单则显示每次建连失败的详细信息,点击“详情”链接查看详单,支持查询建连失败的会话三次握手的过程。
图6-24 建连失败详情分析
拆连分析用于发现FIN超时的异常,大量FIN超时会造成应用连接处于close_wait的状态,影响应用的连接性。
图6-25 拆连分析
长连接分析用于分析长连接的状态,显示长连接会话的四元组,以及开始时间、持续时长。
图6-26 长连接分析
L7分析(即七层分析)模块需要附加的许可激活,该模块是NPD高级版中进行网络与应用关联分析鉴责的重要模块。
通过对报文七层的应用层协议字段解析,生成多维度的分析数据,分析维度包含:
· 应用方法:应用的调用类型,如HTTP的GET、POST、SQL的SELECT、INSERT、DELECT操作等方法。
· 应用对象:应用对象是七层分析的主要入口,如HTTP的URL、SQL的语句作为监控条件,快速发现异常的应用访问对象。
· 应用详单:应用详单通过报文重组与还原,解析应用事务信息并存储。
· 应用事务延迟:对应用单笔事务的请求、响应关联计算应用层延迟。
· 应用返回码:应用返回码是界定应用程序错误与网络故障的主要依据,NPD高级版通过对应用返回码的解析,发现并统计应用程序出错。
此外NPD高级版通过与TCP会话的关联,实现单笔应用事务与TCP会话的上下钻取分析,从而对复杂故障进行网络和应用的定界、定责。
告警信息页面作为告警模块的主要组成,提供告警条目的查询与分析。
告警详情页面统计并显示所有的告警条目,通过对告警条目的分析,可回溯告警产生时间的状态,便于快速分析告警原因。
图6-27 告警统计
单击告警<分析>按钮,可回溯产生告警时的指标情况,判断告警异常原因,并跳转至流量精分模块进行深度分析。
图6-28 告警回溯
告警统计页面显示各类告警的统计视图,并合并告警条目。
图6-29 告警统计
· 组合告警:显示配置在组合告警中的告警条目,具体配置见4.7 告警管理。
· 可疑IP:显示安全管理中配置的可疑IP告警条目,具体配置见4.10 安全管理。
· DNS域名告警:显示安全管理中配置的可疑DNS域名告警条目,具体配置见4.10 安全管理。
· 可疑邮件接收:显示安全管理中配置的POP3邮件内容告警条目,具体配置见4.10 安全管理。
· 可疑邮件发送:显示安全管理中配置的SMTP邮件内容告警条目,具体配置见4.10 安全管理。
· HEX扫描:显示安全管理中配置的负载字段告警条目,具体配置见4.10 安全管理。
· URL Pattern告警:显示告警配置的URL返回码告警条目,具体配置见4.7 告警管理。
详单数据是一组TCP会话的聚合条目,根据客户端IP、应用协议以及每分钟聚合三元组(源IP、目的IP、目的端口)条目的明细数据,生成按照分钟维度聚合的数据详单。
详单数据根据逻辑子接口进行拆分,并按照1分钟颗粒度逐条显示。
图6-30 详单数据
解码页面以链路标签为单位自定义过滤条件下载pcap报文。
图6-31 解码
序号 |
名称 |
说明 |
1 |
接口名称 |
树形对象栏所选择的捕获实例。 |
2 |
可回溯数据包时间 |
探针存储上捕获的pcap文件起止时间。 |
3 |
过滤设置 |
过滤时间选择,选择过滤的时间段。 |
4 |
快速时间选择 |
点击设置过滤时长为最近1分钟。 |
5 |
默认过滤器 |
上次使用的过滤器。 |
6 |
已保存过滤器 |
快速过滤器中保存的过滤器。 |
7 |
快速过滤器 |
使用源目IP、端口、协议类型设置过滤器。 |
8 |
自定义过滤器 |
按照IOS七层字段与或逻辑设定过滤器。 |
解码模块可使用过滤器进行自定义的解码输出,支持四种过滤器。
上次使用的过滤器将作为默认过滤器。四元组为上次设置的四元组,子接口及应用规则可选。
图6-32 默认过滤器
已保存的过滤器是快速过滤器中保存的过滤器,显示快速过滤器中保存的过滤器条目及内容。
图6-33 保存的过滤器
快速过滤器是使用源目IP、端口、协议类型设置过滤器。可输入源目IP、端口四元组,并选择协议类型为TCP或UDP,单击<添加>按钮,增加一个过滤条目,多条目之间为“或”关系。
图6-34 快速过滤器
自定义过滤器是按照IOS七层字段、与或逻辑设定过滤器。按照图示语法设置过滤条件,单击<下载>按钮,即可检索pcap并下载。
图6-35 自定义过滤器
特征分析基于tcpdump语法实现自定义的pcap报文分析与下载。
图6-36 特征解码
序号 |
名称 |
说明 |
1 |
解码时长 |
精确到秒。 |
2 |
快速时间选择 |
点击选择最近1分钟。 |
3 |
协议类型 |
解码协议类型,默认为TCP。 |
4 |
解码四元组 |
包括源地址、目的地址、源端口、目的端口。 |
5 |
TCP Flags |
TCP标志位选择。 |
6 |
ICMP Type |
ICMP类型选择。 |
7 |
ICMP Code |
ICMP返回码选择。 |
8 |
扩展过滤 |
自定义过滤。 |
定位任意主机或者IP所在探针捕获点位置。
(1) 进入流量分析模块,在全局检索中选择按服务器IP地址查询。
(2) 输入IP地址,点击图标进行查询,出现该IP地址所在捕获实例及所属规则信息。
(1) 在链路时序图上鼠标左键点击选择流量最高的1分钟柱状颗粒。
(2) 应用协议占比图关联显示点选的该分钟流量的应用占比饼图。
(3) 在应用协议占比图上鼠标左键选中Multicast,Top主机、Top IP对视图关联显示该分钟Multicast流量的Top10主机及Top10 IP对。
图6-37 流量突发查询
在流量分析页签,输入需要查询的服务器IP地址,如224.0.0.251,点击图标进行查询。
图6-38 流量查询
· 显示服务器提供的服务通讯端口,如服务器224.0.0.251提供服务通讯端口5353。
· 服务通讯端口对应多个客户端主机。
(1) 设置流量分析按端口检索,单击<查询>按钮,可见共有TCP活跃端口0个、UDP活跃端口1个。
(2) 展开5353端口,可见使用HTTPS通讯主机IP。
(3) 点击IP地址跳转至全量会话分析。
图6-39 端口查询
(1) 在特征分析页面选择分析时长。
(2) 协议类型选择TCP。
(3) 目的端口输入5353(HTTPS)。
(4) 扩展过滤输入tcp[32]==22 and tcp[37]==2。
¡ tcp[32]:表示从TCP头部开始取偏移量为32字节的单字节(偏移量从0开始)。
¡ ==22:表示与十进制值22比较,取该字节等于22的报文。
¡ and:表示“与”关系,取偏移量32与37的字节为22与2的报文,即SSL server hello报文。
图6-40 过滤下载
(5) 单击<确定>按钮,下载所有SSL Server hello报文。
应用拓扑是一组自定义规则的集合,通过对应用规则在不同位置的流量流向,建立以应用系统为单位的流量交互拓扑,从而实现以应用系统为导向的网络性能监控。
应用分析模块也包含两个主要模块:
· 应用系统导航栏:显示应用系统名称,以及系统包含的应用规则,请参见4.2 拓扑管理。
· 应用系统分析页面:显示应用交互拓扑,并以该系统的应用规则为单位进行流量与性能分析。
应用系统组件节点是应用系统监控的核心,NPD高级版以自定义的应用规则作为应用系统组件节点,代表一组IP和端口的服务组合。
(1) 在iMC网络性能高级诊断系统首页,选择“分析中心 > 应用分析”菜单项,进入应用分析页面。
(2) 点击导航栏中任意应用系统名称,进入应用拓扑监控页面,如图7-1所示。
序号 |
名称 |
说明 |
1 |
应用系统导航栏 |
显示应用系统定义目录以及所包含的应用分析规则。 |
2 |
应用系统 |
按照1分钟颗粒度,实施刷新显示应用系统各个规则节点的统计指标。 |
3 |
流量分析 |
按照该应用系统所包含的应用协议规则,过滤显示流量分析页面。 |
4 |
建连拆连 |
按照该应用系统所包含的应用协议规则,过滤显示建连分析页面。 |
5 |
告警信息 |
显示该应用系统所产生的告警信息。 |
6 |
详单查询 |
按照该应用系统所包含的应用协议规则,过滤显示详单数据。 |
7 |
实时时间轴 |
显示过去一小时内,该应用系统的运行状态,每分钟状态颜色代表该分钟的数据状态。 · 红色:有告警生成。 · 绿色:运行正常。 · 灰色:无流量数据。 |
8 |
切换指标 |
点击选择切换组件节点上的统计指标,该设置对所有应用系统拓扑生效。 |
9 |
一键对比 |
以各个应用系统包含的规则为对象,根据所选择的时间长度和统计指标生成临时报表。 |
10 |
保存拓扑 |
修改拓扑后,点击保存拓扑。 |
11 |
切换显示类型 |
点击切换拓扑显示类型为节点型。 |
12 |
隐藏拓扑 |
点击隐藏拓扑。 |
13 |
拓扑缩放 |
上下移动拓扑缩放,可放大、缩小显示当前拓扑。 |
点击应用拓扑上的任意组件节点,进入该组件节点的分析页面,此时拓扑自动隐藏。应用分析页面以该自定义的应用规则为分析对象,实现应用分析。
应用总览以规则的用户体验时间为分析入口,包含3组联动的视图。
用户体验时间曲线图拆分应用组件节点的延迟情况,区分延迟产生的位置与层级。
图7-2 用户体验时间曲线图
· 响应时间:应用程序响应延迟。
· 服务器延迟:探针接口到服务器的网络延迟。
· 客户端延迟:探针接口到客户端的网络延迟。
· 网络RTT时间:客户端延迟+服务器延迟。
该视图包含三个子视图,通过与用户体验时间的时间点比对快速发现造成用户体验降低的原因。
图7-3 性能时序图
· 负载量:显示速率和请求量数据,用于判断是否请求量过大造成体验下降。
· TCP性能:显示重传和零窗口数据,判断是否由于丢包或者TCP缓存不足造成体验下降,并通过客户端、服务器的方向鉴责终端位置。
· 连接状态:显示建连成功率、建连成功/失败数,判断应用组件节点的可用性。
该视图通过比对自定义应用协议的客户端/服务器的流量、延迟、应用协议中各台服务器的延迟曲线、并发、请求、建连失败,快速定位异常的客户端或者该组件节点的服务器。
图7-4 Top比对视图
显示当前应用规则的流量组成,按照流量分析页面逻辑进行分析。
显示当前应用规则的负载量组成,按照负载量页面逻辑进行分析。
显示当前应用规则的性能状况,是主要的性能分析页面。
图7-5 性能时序图
· 响应时间曲线图:显示应用的请求与响应延迟的平均值,峰值响应时间为该分钟最大的一次响应时间。
· 响应时间分布曲线图:NPD高级版默认定义2个响应时间SLO阈值分别为50ms和500ms。当阈值≤50ms为迅速响应,50ms~500ms为正常响应,大于500ms为超时响应。
· 客户端和服务器网络时延:该应用组件到服务器和客户端的网络延迟。
· 网络重传量:显示该应用组件到客户端和服务器端的丢包重传数量。
· 请求及响应传输时间曲线图:显示一次请求、响应的分片报文传输完毕所需时间的平均值。
· 故障率曲线图:显示故障率时序图,需要开启该自定义应用规则的故障率设置,请参见4.5 规则管理。
显示当前应用规则的TCP指标,按照TCP指标页面逻辑进行分析。
显示当前应用规则的建连拆连,按照建连拆连页面逻辑进行分析。
显示当前应用规则的七层分析,按照七层分析页面逻辑进行分析。
显示当前应用规则的告警信息。
显示当前应用规则的详单。
以当前规则为过滤条件进行解码。
当需要梳理业务系统之间的关系时,支持利用访问关系页面自动发现业务路径图。
(1) 在iMC网络性能高级诊断系统首页,选择“分析中心 > 访问关系”菜单项,进入访问关系页面。
(2) 在拓扑发现条件中,进行抓包口、IP或网段、层数、是否显示客户端、IP显示等相关查询条件设置。
(3) 单击<查询>按钮,在拓扑图中查看访问关系,同时支持对每个节点进行单独的操作,方便梳理对应关系,如图8-1所示。
· 在访问关系中,可以显示4层访问关系。
· 查询IP地址,可以显示此IP地址上所有的客户端,及客户端访问的服务器与该服务器访问的其他服务器,一直向上递推3层访问关系。
事实上,我们可以显示N层的访问关系,但在实际情况下,由于超过3层的访问关系会使整个拓扑图变得异常复杂,因而做了3层访问关系的限制。
(4) 在拓扑发现条件中输入IP地址172.16.1.202,查询显示其3层的访问关系图,如图8-2所示。
安全面板主要展示了攻击数量以及失陷数量曲线图、攻击事件和失陷资产数量、Top10威胁的来源地、Top10失陷资产IP、Top10威胁类型、Top10攻击来源IP。
配置和使用方法:
(1) 在iMC网络性能高级诊断系统首页,选择“配置中心 > 配置中心”菜单项,进入配置中心页面。
(2) 在左导航选择“配置 > 探针管理”菜单项,进入探针管理页面。
(4) 单击<安全配置>按钮,进行安全配置。
(5) 上传恶意IP,并更新恶意域名库,单击<保存>按钮。
图9-1 安全配置
(6) 单击<保存>按钮,保存修改。
(1) 在左导航选择“配置 > 接口管理”菜单项,进入接口管理页面。
(3) 选择“安全”页签,开启恶意域名检测、恶意IP访问监测以及SQL注入检测功能。
图9-2 配置信息
(4) 单击<保存>按钮。
(1) 在左导航选择“配置 > 规则管理”菜单项,进入规则管理页面。
(2) 选择七层应用页签,单击DNS的<设置>按钮,启用DNS解析功能。
图9-3 DNS配置
(3) 单击<修改>按钮,保存配置。
(1) 在左导航选择“任务管理 > 任务管理”菜单项,进入任务管理页面。
(2) 分别单击“分析任务”和“告警任务”的<推送配置>按钮,使配置生效。
图9-4 推送配置
(1) 点击页面右上角“网络性能高级诊断”,在弹出的导航栏中选择“安全面板”菜单项,进入安全面板页面,可查看安全大屏,如图9-5所示。
NPD高级版提供两种报表类型。
· 定制报表支持自定义报表中的每个视图,适用于对报表灵活性要求较高的场景。
· 模板报表是一组预定义的视图合集,适用于快速输出特定场景的报表内容。
图10-1 报表视图
· 报表导航栏显示报表类型以及报表项目的选择。
· 报表设置页面用于报表的编辑与查看。
(1) 在左导航栏选择“定制报表 > 创建报表”菜单项,进入创建自定义报表页面。
(2) 填写报表名称,选择自定义报表类型。可选类型包括:
¡ 自定义报表:报表视图均自定义选择对象、时间、KPI。
¡ 单个规则(应用)报表:报表视图对象统一使用相同的应用规则。
¡ 同KPI不同规则(应用)对比:报表视图统一使用相同的KPI。
(3) 在左导航选择新增的自定义报表,进入报表编辑页面。
(4) 点击按钮,设置自定义图表。自定义报表设置页面如图10-2所示。
根据需要配置如下内容:
序号 |
名称 |
说明 |
1 |
添加视图 |
点击弹出设置自定义图表页面,添加自定义图表。 |
2 |
接口 |
选择视图数据的捕获实例。 |
3 |
应用 |
选择视图对象,可选接口或接口下的应用规则。 |
4 |
指标 |
添加视图指标可多选,最多添加两个单位不同的KPI指标。 |
5 |
时间范围 |
选择视图时间。 |
6 |
时间精度 |
选择视图精度,可选1分钟、1小时。 |
7 |
图表名称 |
输入视图名称。 |
8 |
高级设置 |
单击<高级设置>按钮,弹出高级设置页面。 |
9 |
添加图表 |
单击<添加图标>按钮,保存添加的视图。 |
10 |
链路层 |
选择该视图数据的链路标签过滤,如VLAN。 |
11 |
站点 |
选择该视图数据的网络标签过滤,如站点。 |
12 |
同期 |
选择显示该KPI的同期数据。 |
13 |
线型 |
选择视图类型,可选:曲线图、区域图、柱状图、区域叠加图。 |
14 |
颜色 |
选择KPI的显示颜色。 |
15 |
显示 |
勾选显示。 |
16 |
删除 |
删除视图上该条对象数据。 |
17 |
应用 |
选择应用。 |
(5) 单击高级设置中<确定>按钮,完成配置。
(6) 单击<添加图表>按钮,增加图表。
报表支持即时查看,并可实时编辑。
图10-3 报表查看与编辑
序号 |
名称 |
说明 |
1 |
导出PDF |
导出当前报表为PDF格式。 |
2 |
发送报表 |
|
3 |
删除报表 |
删除当前报表。 |
4 |
清空报表 |
清空当前报表。 |
5 |
添加图表 |
添加视图,与13添加视图功能相同。 |
6 |
设置 |
设置报表每行显示的视图数量,最大为4张视图。 |
7 |
自定义时间 |
设置报表查询的时间。 |
8 |
拷贝 |
复制当前视图至下一个可用位置。 |
9 |
删除 |
删除当前视图。 |
10 |
编辑 |
编辑当前视图。 |
11 |
切换表格 |
切换视图为数据表格。 |
12 |
放大 |
在弹出窗口放大当前视图。 |
13 |
添加视图 |
添加视图,点击弹出添加图表页面。与5功能相同。 |
NPD高级版提供三类模板报表,分别覆盖链路流量、应用系统、站点链路的使用情况。
· 流量报表组:
¡ 流量分析全局报表:用于查看链路流量大小及组成。
¡ 流量分析报表:用于查看链路协议组成以及Top地址。
¡ 应用系统性能分析:用于查看应用系统各组件节点的流量比对。
· 应用系统报表组:
¡ 管理边界链路分析报表:用于分析管理边界链路的流量组成及Top地址。
¡ 关键节点可用性报表:用于分析应用系统组件节点的可用性。
¡ Forward节点性能分析:用于分析应用系统中转发设备的延迟与丢包。
¡ 服务节点:用于分析应用系统组件节点的性能与服务质量。
· 站点报表组:
¡ 速率趋势和突发:用于分析站点链路的流量突发。
¡ 站点故障率分析:用于分析站点链路的故障率。
¡ VLAN故障率分析:用于分析VLAN链路的故障率。
¡ 子接口排障:用于分析所有逻辑链路的故障率及故障情况。
¡ 峰值速率趋势:用于分析链路的秒级突发趋势。
智能诊断功能支持自动分析网络中的故障,比如应用的单向流量、通信对单向流量、业务可用性异常、服务器端口异常、勒索病毒和僵尸客户端等。
(1) 在iMC网络性能高级诊断系统首页,选择“诊断中心 > 智能诊断”菜单项,进入智能诊断页面,如图11-1所示。
智能诊断支持的分析事件如下:
· 应用单向流量:某个服务器+端口只有单向的流量。
· 通讯对单向流量:某两个主机之间的通讯对单向流量。
· 业务可用性异常:业务可用性低下,建连失败率高。
· 服务器端口异常:服务器端口没打开或者防火墙等中间设备阻挡。
· 僵尸客户端:客户端在扫描多个服务器的固定端口或者少数服务器的多个端口。
(2) 选择“分析时间点”、“探针接口”和“分析事件”,单击<分析>按钮,进行事件分析。
(3) 事件分析完成后,可在左导航报告栏查看各事件报告。
图11-2 分析完成
· 应用单向流量:记录最近至少5分钟以上时长,某个应用的客户端流量或服务器流量其一为0,且总流量不为0的问题事件。
· 通信对单向流量:记录最近至少5分钟以上时长,某个通信对的客户端流量或服务器流量其一为0,且总流量不为0的问题事件。
· 业务可用性异常:记录最近至少30分钟以上时长,建连失败率>10%,且建连次数不为0的问题事件。
· 服务器端口异常:记录最近至少5分钟以上时长,建连失败率=100%,且流量不为0的问题事件。
· 僵尸客户端:最近至少30分钟以上时长,建连失败率>50%(服务器IP地址个数>50个,且服务器端口数>50个)的问题事件。
解析ICMP流量,并判断ICMP的返回错误码,分析每条失败ICMP的会话条目。
在左导航选择“ICMP分析”菜单项,进入ICMP分析页面,如图11-3所示。
记录通告事件、事件分布及各事件详情。
ARP分析需要在4.4 接口管理中开启ARP分析条目,默认配置为Top100。通过ARP分析可快速发现产生ARP广播风暴的IP地址与MAC地址。
图11-4 ARP分析
恶意域名监控需要在4.4 接口管理中开启恶意域名检测。该检测通过比对DNS流量A/AAAA记录,发现在恶意域名黑名单中的请求,并定位请求主机的IP地址。
恶意IP监控需要在4.4 接口管理中开启恶意IP检测。该检测通过比对会话IP地址,发现在恶意IP黑名单中的通讯,并定位请求主机的IP地址。
检测流量会话中的445端口通讯,当特定IP地址进行大量445端口扫描时提示并定位扫描的主机IP地址。
流量精分是NPD高级版中重要的流量会话分析模块,该模块按照1秒、1分钟颗粒记录全量的TCP、UDP会话统计指标。
该模块通常通过其他模块跳转进入:
· 在NPD高级版首页,选择“诊断中心 > 流量精分”菜单项,进入流量精分页面。
· 链路分析视图,任意颗粒度上点击鼠标右键,在弹出菜单中选择“流量精分”菜单项,进入流量精分页面。
· 流量分析视图,在任意钻取层级上点击鼠标右键,弹出菜单中选择“流量精分”菜单项,进入流量精分页面。
从NPD高级版首页进入流量精分页面后,默认选择第一个捕获实例,无过滤条件。从分析视图上跳转至流量精分页面,将添加当前视图时间、对象作为过滤条件。
图12-1 流量精分跳转
分析条件用于过滤分析内容,缩减分析范围,所有选择条件均为“与”组合。
图12-2 分析条件
序号 |
名称 |
说明 |
1 |
接口 |
选择需要分析的捕获实例。 |
2 |
VLAN |
开启VLAN分析后显示,选择该捕获实例识别到的VLAN ID。 |
3 |
应用 |
所选捕获实例下的应用规则,包含已知规则与自定义规则。 |
4 |
模式 |
数据统计模式,包含:IP会话、TCP会话、UDP会话、主机和网段。 |
5 |
条目上限 |
数据统计显示的条目上线,默认1000条,可设置范围1~1,000,000。 |
6 |
过滤器统计方向 |
· 双向,输入IP或端口同时检索源、目内容。 · 单向,输入IP或端口按照源、目精确匹配。 |
流量精分支持多种数据呈现模式。
数据统计模式选择IP会话,分析条件输入源目IP地址,数据呈现为IP对。
图12-3 IP会话统计
数据统计模式选择TCP会话,分析条件输入TCP源目IP、端口,数据呈现为TCP会话。
图12-4 TCP会话统计
数据统计模式选择UDP会话,分析条件输入UDP源目IP、端口,数据呈现为UDP会话。
图12-5 UDP会话统计
数据统计模式选择主机,分析条件输入单个Host IP地址,数据呈现为检索到的该主机IP统计指标。
图12-6 主机过滤
数据统计模式选择主机,分析条件中输入子网IP与掩码,数据呈现为检索该网段内的所有主机。
图12-7 过滤网段
数据统计模式选择网段,分析条件输入子网IP与掩码,数据呈现该网段的汇聚统计指标。
图12-8 网段检索
流量精分的会话分析控件分为流量时序图与会话列表两个关联部分。
图12-9 流量时序图
序号 |
名称 |
说明 |
1 |
时间选择器 |
选择分析的时间,如果从其他页面钻取跳转,该时间则由之前页面时间填充。 |
2 |
快速查询 |
快速时间选择,支持快速选取最近1分钟、5分钟、15分钟、60分钟。 |
3 |
秒级颗粒度 |
当选择时长≤15分钟,可选择1秒显示颗粒度。 |
4 |
视图类型选择 |
选择视图显示类型,包含:柱状图(默认)、曲线图、点线图、区域图。 |
5 |
视图实时更新 |
勾选后该视图根据1秒颗粒度实时刷新链路速率。 |
6 |
速率时序图 |
显示分析条件过滤结果的速率时序图。 · 柱状图下点击任意时间颗粒,下方表格数据时间过滤为反选颗粒的数据,再次鼠标点击该时间颗粒取消选择。 · 拖拽鼠标选择放大区域,下方表格数据时间过滤为放大区域对应时间,点击“还原”后视图及表格数据返回之前选择时间。 |
流量精分会话列表部分根据时序图选择的时间进行联动显示。
图12-10 会话列表
序号 |
名称 |
说明 |
1 |
后退 |
分析条件回退,点击退回到上次选择的分析条件。 |
2 |
数据表格 |
以分析条件所选的统计模式显示四元组条目,鼠标划过四元组时出现下拉框,可选择快速过滤条件: · 填充过滤器:IP地址填入分析条件过滤器,视图不查询。 · 主机分析:以当前IP地址为过滤条件,进行主机统计模式查询。 · IP会话分析:以当前源或目的IP地址(端口)作为源或目的IP(端口),进行IP会话统计模式查询。 · TCP会话分析:以当前源或目的IP地址(端口)作为源或目的IP(端口),进行TCP会话统计模式查询。 · UDP会话分析:以当前源或目的IP地址(端口)作为源或目的IP(端口),进行UDP会话统计模式查询。 · IP归属地:查询当前IP地址所属区域及运营商。 |
3 |
X-Forward关联追踪 |
选中TCP会话,单击<X-Forward>按钮,进入分析页面。 |
4 |
会话多段关联分析 |
选中TCP会话,单击<多段分析>按钮,进入分析页面。 |
5 |
会话分析 |
选中TCP会话,单击<会话分析>按钮,进入分析页面。 |
6 |
问题会话过滤 |
过滤建连失败、零窗口、连接重置、响应超时的会话。 |
7 |
条目绘图 |
从原始报文绘制选中条目的1秒、1分钟颗粒度速率时序图。 |
8 |
添加应用规则 |
创建选中条目四元组的应用规则。 |
9 |
高级过滤器 |
根据统计指标及值设置与或条件过滤。 |
10 |
统计指标选择 |
选择表格中显示的统计指标。 |
11 |
报文解码 |
解码选中的会话条目。 |
12 |
SSL解码 |
选中SSL会话后,上传PEM证书进行解码。 |
13 |
表格导出 |
导出表格为Excel格式。 |
流量精分可用于查询突发流量IP对,并分析该IP对的流量趋势。
(1) 进入流量精分页面,设置过滤条件。
图12-11 过滤选择
· 接口:选择需要分析的捕获实例,本例中为接口1(test)。
· VLAN:选择需要分析的VLAN,本例中为VLAN 1(V3001)。
· 模式:分析模式选择主机。
· 其他参数保持默认值。
(2) 单击<分析>按钮,进行会话分析。
(3) 在时序图上选中速率最高的1分钟颗粒。
(4) 会话列表显示该分钟颗粒下的主机排序。
(5) 点击最大主机条目,选择“IP会话分析”。
图12-12 过滤钻取
分析条件自动添加,源地址为所选主机,模式为IP会话,时间为所选1分钟颗粒。
(6) 勾选“秒级”,当前1分钟颗粒度时序图展开为1秒颗粒度时序图,下方表格显示与当前主机通讯的所有IP对的统计指标,如图12-13所示。
图12-13 IP地址过滤
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!