- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (1.14 MB)
U-Center 2.0定位于企业级综合运维解决方案,涵盖“监、管、控”各业务域,可灵活应对多机构、多张网、大容量、分级分权的复杂应用场景,实现“云、网、端”异构全域混合资源“一站式”管理。U-Center 2.0功能架构如图1-1所示。
· 配置管理数据库(Configuration Management Database,简称CMDB)
· 融合基础架构监控管理(Infrastructure Operation Management,简称IOM)
· IT服务管理(ITService Management,简称ITSM)
· 业务服务管理(Business Service Management,简称BSM)
· 用户体验管理(User Experience Management,简称UEM)
· 应用程序性能管理(Application Discovery Tracing and Diagnostics,简称ADTD)
· 网络流量分析(Network Traffic Analyzer,简称NTA)
· 自动化运维管理(Automated Operations Management,简称AOM)
· 模拟拨测(Synthetic Transaction Monitor,简称STM)
· 运维数据分析(Operations and maintenance Data Analysis,简称ODA)
· 应用性能分析(Application Performance Analytics,简称APA)
U-Center 2.0产品平台采用微服务架构、容器底座,依托CMDB数据,并通过监控模板、指标自定义、通用流程编排引擎、业务管理等功能特性,提供“4A”能力,即:
· Aggregation(全域融合):通过微服务融合底盘,聚合云、网、端、安全等多技术域运维,以满足用户全域统一运维要求。
· Application(应用视角):依托CMDB数据,结合OBASHI理论(描述业务与IT资源间相互关系和数据流)生成以业务应用为对象的拓扑视图,并围绕应用拓扑进行资源的集中统一管理。
· AIOps(AI赋能):将逐步利用大数据、机器学习等技术来解决异常诊断、容量预测、根因分析等运维难点问题。
· Agility(敏捷交付):提供监控模板、预置资源模型、指标自定义能力、自动化能力,加速项目交付。
H3C U-Center 2.0通过Web服务为用户提供了简洁、美观、人性化的交互界面。用户可通过浏览器访问H3C U-Center 2.0系统,在H3C U-Center 2.0管理界面完成对全网的配置。
U-Center 2.0系统基于B/S结构开发,用户访问时无需安装任何客户端,直接在Web浏览器的地址栏中输入U-Center 2.0服务器的URL即可。
U-Center 2.0系统对Web浏览器的支持情况如表2-1所示。
表2-1 推荐的Web浏览器
|
浏览器 |
版本 |
|
Chrome |
Chrome 70及以上的版本 |
|
Firefox |
Firefox 78及以上版本 |
访问U-Center 2.0统一运维平台的URL为:http://<IP地址>:<端口>或https://<IP地址>:<端口>,其中“IP地址”是在Matrix中配置的北向业务虚IP,“端口”默认为30000,用户安装时可以自定义端口号。
· 首次登录U-Center 2.0系统时,可使用默认的用户登录,登录名为admin,密码为Pwd@12345。进入系统后请及时修改该密码。
· 可在Matrix的“部署>集群>集群参数”页面查看配置的北向业务虚IP。
登录U-Center 2.0系统后,可进入U-Center 2.0系统首页。
U-Center 2.0系统首页界面也称为运维概览页面,包含了导航条、运维概览模块,如图2-1所示。
鼠标悬浮在页面左上角的Logo图标上,会显示U-Center 2.0的功能导航菜单,如图2-2所示。图片展示部分功能,具体请以实际环境为准。
图2-2 U-Center 2.0的功能导航菜单
以自上而下从左到右的顺序,U-Center 2.0界面分为如下5个部分。
表2-2 U-Center 2.0界面
|
序号 |
名称 |
说明 |
|
(1) |
Logo图标 |
提供了U-Center 2.0所有功能的配置入口,方便管理员快速定位到功能配置页面。 |
|
(2) |
导航条 |
以不同的角度提供了各类管理功能的配置入口,方便管理员根据实际需要进行切换。 |
|
(3) |
运维概览区 |
展示了已纳入系统管理的对象以及网络中的告警信息。 |
|
(4) |
左导航树 |
提供了U-Center 2.0所有功能的配置入口,上方导航条中的每个页签都有其单独的左导航树。 |
|
(5) |
功能配置页面 |
对已纳入系统管理的对象进行配置。 |
选择界面上方导航中的页签可进入U-Center 2.0功能操作界面,选择“监控”页签,在左导航中单击[流量监控>流量配置管理]菜单项,进入流量配置管理页面,如图2-3所示。
页面右上角有帮助的链接,其功能介绍如下:
帮助:单击“帮助”链接,可获取当前页面的帮助信息。
U-Center 2.0对操作员采用基于角色的权限控制。权限指操作员对某一资源类型具有操作权限和数据权限,角色即为一些权限的集合。通过为角色分配权限,进而将角色赋予组织,再将操作员分配到组织之内,可以实现对操作员操作权限和资源数据权限的有效控制。
U-Center 2.0可灵活增加操作员,并提供了多种组织类型,从而可以为不同类型的操作员分配不同的权限,以进行安全的运维管理。
本节将简要介绍如何修改操作员密码及增加操作员。
U-Center 2.0系统缺省存在一个账户名为“admin”的操作员,初始密码为“Pwd@12345”,用于首次登录U-Center 2.0管理系统。
在首次登录系统后,为保证该系统的安全使用,必须先修改“admin”操作员账户的密码,操作方法如下:
· 登录弹窗引导
a. 在登录后系统将弹出修改密码提示窗口。
b. 单击<立即修改>按钮后,在弹出窗口中修改密码。
c. 单击<确定>按钮,完成操作。
· 修改当前用户名密码
a. 将鼠标悬浮于页面右上角的“admin”链接处。
b. 在下拉列表中选择“修改密码”。
c. 在弹出窗口中修改密码。
d. 单击<确定>按钮,完成操作。
· 操作员管理
e. 选择“系统”页签,在左导航中单击[操作员管理>操作员列表]菜单项,进入操作员列表页面。
f. 单击操作员名称为“admin”对应操作列中的
按钮,进入修改操作员页面。
g. 开启“修改密码”的开关,在“登录密码”和“登录密码确认”文本框中输入新设置的密码。
h. 单击<确定>按钮,完成操作。
为适用于多个网络管理员所管理的中大型网络,U-Center 2.0提供了可定制权限的系统操作员管理机制,使得运维管理更加安全化。
增加U-Center 2.0操作员的方法:
(1) 选择“系统”页签,在左导航中单击[操作员管理>操作员列表]菜单项,进入操作员列表页面。
(2) 单击<增加>按钮,进入增加操作员页面。
(3) 输入操作员基本信息:
¡ 操作员名称:操作员登录系统所用的账户名称,该值只能包含字母、数字、“_”、“-”、“.”、“\”,有效长度应该为2~32个字符,不区分大小写。
¡ 租户:操作员绑定的租户信息。
¡ 机构:操作员绑定的机构信息。
¡ 认证方式:选择该操作员的认证方式。认证方式包含如下:
- 简单密码认证:在增加操作员时设置对应密码,该操作员登录系统时采用本地密码验证。
- LDAP认证/RAIDUS认证/TACACS认证:操作员登录系统时通过对应认证服务器完成登录认证。
¡ 登录密码/登录密码确认:当“认证方式”选择为“简单密码认证”时,会显示相关参数,配置操作员的登录密码。
¡ 手机号:可选,输入操作员的手机号。
¡ 邮箱:可选,输入操作员的邮箱帐号。
(4) 输入操作员高级信息。
¡ 姓:可选,操作员的姓氏。
¡ 名:可选,操作员的名字。
¡ 操作员全称:可选,为该操作员增加详细的称呼。
¡ 允许登录时间段:允许操作员登录的时间段,不在登录时间段的操作员无法登录系统。
¡ 描述:可选,为该操作员增加描述信息。记录详实的描述信息可以方便操作员维护。
¡ 启用密码有效期:当“认证方式”选择为“简单密码认证”时,会显示该开关,用户可启用该功能。
- 密码有效期:密码有效期到期之后,该操作员会被禁用,无法登录。
- 提前预警时间:密码有效期剩余天数达到预警天数时将发送Trap告警并且每次登录会以弹出框方式提醒操作员,操作员修改密码之后,告警自动恢复。
¡ 启用账户有效期:将对密码的有效期进行限制。
- 账户有效期至:账户有效期到期后,该操作员会被禁用,无法登录。
- 账户到期提前预警时间:账户有效期剩余天数达到预警天数时将发送Trap告警并且每次登录会以弹出框方式提醒操作员,操作员修改账户有效期之后,告警自动恢复。
(5) 设置操作员权限配置。
¡ 人员归组:以角色组的方式进行授权。
¡ 按角色授权:以角色的方式进行授权。
¡ 直接授权:以权限操作组的方式进行授权。
(6) 单击<确定>按钮,完成增加操作员操作。
当登录认证方式采用LDAP认证/RAIDUS认证/TACACS认证时,需进行认证服务器配置。
NTA采用NetStream/NetFlow/sFlow等日志数据,对海量、复杂的日志数据进行分析处理后,从各种不同的分析角度,以统计图、报表、表格等形式将网络流量使用情况、网络应用行为、网络节点会话等信息直观的进行展示,以帮助用户掌握整个网络的运行状态、快速发现并定位网络故障、合理规划网络资源,从而为网络的稳定、高质量的运行提供有力保障。
本文档主要介绍NTA提供的流量监控功能特性。
管理员可以根据业务需要,定义相应的流量分析任务。
在增加接口流量分析任务之前,需在“监控>流量监控>流量配置管理>设备管理”中增加相应设备。
增加接口流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中单击[流量监控>接口流量]菜单项,进入接口流量页面。
(2) 单击<增加>按钮,进入增加接口流量页面。
(3) 配置如下参数:
¡ 名称:接口流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
¡ VLAN/VXLAN流量分析:此处VLAN/VXLAN仅粗略分析总流量和速率,详细分析需创建VLAN/VXLAN任务进行分析。
(4) 阈值告警:监控接口流入/流出的流量超过设定的阈值时生成告警,该项默认为“否”。若使能阈值告警,则需选择阈值模板,步骤如下:
a. 单击<选择阈值模板>按钮,进入选择阈值模板页面。
b. 单击<增加>按钮,进入定义应用页面,配置如下参数:
- 模板名称:模板的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
- 模板描述:该模板的描述信息。
- 模板类型:默认为“接口任务”,且不可修改。
- 阈值方向:所监控流量的方向,可选项为“流入/流出”、“流入”及“流出”。
- 触发条件(时间):在设定时间内,流量超过设定的阈值范围并且达到触发次数时,发送相应级别的告警,可选项为“最近5分钟”、“最近10分钟”、“最近20分钟”及“最近30分钟”。
- 告警屏蔽时间:产生告警后,在设定时间内不再产生相同的告警,可选项为“无”、“最近30分钟”、“最近1小时”及“最近2小时”。
- 流量阈值(单位):告警设置中流量阈值的单位,可选项为“bps”、“Kbps”、“Mbps”、“Gbps”及“%”。其中,当选择“%”为单位时,若流量超过设定的基线阈值百分比,则发送相应级别告警,基线会在设定一周后生成。
- 告警设置:配置流量阈值及触发次数。当监控接口流量超过设定的阈值范围并且达到触发次数时,发送相应级别的告警。
c. 配置完成后,单击<确定>按钮,返回选择阈值模板页面。可单击列表“操作”列的“详情”图标
,查看阈值模板配置详情。
d. 勾选列表中模板,单击<确定>按钮,完成选择模板操作。
(5) 单击<选择接口>按钮,进入选择接口页面。在该页面中选择需要监控的接口,可以使用“自动获取”或“手工配置”的方式选择接口。
¡ 自动配置
单击“自动获取”页签,进入自动获取页面。
- 列表中接口数量较少时,在接口列表中勾选一个或多个需要监控的接口,单击<确定>按钮,完成选择接口操作。
- 列表中接口数量较多时,在该页面中输入“设备IP”或“接口描述”,单击<查询>按钮,列表中只显示符合条件的接口信息。在接口列表中勾选一个或多个需要监控的接口,单击<确定>按钮,完成选择接口操作并返回增加接口流量页面。
¡ 手工配置
单击“手工配置”页签,进入手工配置页面。在“设备信息”下拉选项中选择相应的设备,输入接口名称、接口索引、接口别名、接口标签(选填)、最大速率,并选择最大速率的单位,配置完成后,单击<确定>按钮,完成选择接口操作并返回增加接口流量页面。
(6) 单击<确定>按钮,完成增加接口流量操作,新增加的接口流量分析任务可在接口流量列表中查看。
选择“监控”页签,在左导航中单击[流量监控>接口流量]菜单项,进入接口流量页面。该页面中查看接口流量分析任务结果的方式有以下两种:
· 单击列表“名称”列的名称链接,进入接口流量-任务名称页面。
· 单击列表“操作”列的“接口数据”图标
,进入接口列表页面。单击该页面列表“操作”列的“流量分析”图标
,进入接口流量-接口页面。
可以在接口流量分析页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在接口流量分析页面中选择“流量”页签,进入流量分析页面。
· 接口流量-任务名称页面:在该页面中可以查看某一时段所有接口的流量随时间变化的趋势、接口流量分布以及流量明细。
· 接口流量-接口页面:在该页面中可以查看某一时段该接口的流量随时间变化的趋势、流量峰值趋势、VLAN/VXLAN速率Top10以及流量明细。
在接口流量分析页面中选择“应用”页签,进入应用流量分析页面。
在该页面中可以查看某一时段所有主机的各应用使用流量的比例随时间变化的趋势,以及应用的入流量、流入流速、出流量、流出速率。
在接口流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看源主机速率Top10,以及统计时间内的流量、流速、百分比。
在接口流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看目的主机速率Top10,以及统计时间内的流量、流速、百分比。
在接口流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机流量使用分布情况,以及节点间会话流量的信息。
选择“监控”页签,在左导航中单击[流量监控>接口流量]菜单项,进入接口流量页面。
· 单击列表“操作”列的“详情”图标
,进入接口流量详情页面,查看接口流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改接口流量页面,按需修改接口流量分析任务。
· 删除的方式以下两种:
¡ 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将接口流量分析任务删除。
¡ 勾选列表中一个或多个接口流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将接口流量分析任务删除。
管理员可以根据业务需要,定义相应的流量分析任务。
在增加主机流量分析任务之前,需在“监控>流量监控>流量配置管理>设备管理/采集器管理”中增加相应设备或采集器。
增加主机流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中选择[流量监控>主机流量]菜单项,进入接口流量页面。
(2) 单击<增加>按钮,进入增加主机流量页面。
(3) 配置如下参数:
¡ 名称:主机流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
¡ 阈值告警:监控流入/流出的流量超过设定的阈值时生成告警,该项默认为“否”。若使能阈值告警,则需选择阈值模板,具体参数配置请参见“3.1.1 增加接口流量分析任务”。
¡ 主机IP:在主机IP栏里输入需要监控的主机IP或地址段,格式如10.153.89.0、10.153.89.0/24、10.153.89.0/255.255.255.0、10.153.89.*或1.1.1.1-2.2.2.2。输入完成后,单击<增加>按钮,增加的主机IP显示在下方列表中。
(4) 单击<选择应用>按钮,弹出选择应用页面,在该页面中可查询并选择需要监控的应用,不选择应用则默认对所有应用进行统计。
(5) 单击<选择接口>按钮,进入选择接口页面。在该页面中选择需要监控的接口,可以使用“自动获取”或“手工配置”的方式选择接口,具体参数配置请参见“3.1.1 增加接口流量分析任务”。
(6) 单击<选择采集器>按钮,进入选择采集器页面。在该页面列表中勾选需要增加的采集器,单击<确定>按钮,完成选择采集器操作并返回增加主机流量页面。
(7) 单击<确定>按钮,完成增加主机流量操作,新增加的主机流量分析任务可在主机流量列表中查看。
选择“监控”页签,在左导航中选择[流量监控>主机流量]菜单项,进入主机流量页面。单击列表“名称”列的名称链接,进入主机流量分析页面。可在该页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在主机流量分析页面中选择“流量”页签,进入流量分析页面。
在该页面中可以查看某一时段所有主机的流量随时间变化的趋势以及流量明细。
在主机流量分析页面中选择“应用”页签,进入应用流量分析页面。
在该页面中可以查看某一时段所有主机的各应用使用流量的比例随时间变化的趋势,以及应用的流量、流速等。
在主机流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看某一时段源主机速率Top10,以及统计时间内的流量、流速、百分比。
在主机流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看某一时段目的主机速率Top10,以及统计时间内的流量、流速、百分比。
在主机流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机流量使用分布情况、会话主机速率Top10以及节点间会话流量信息。
选择“监控”页签,在左导航中单击[流量监控>主机流量]菜单项,进入主机流量页面。
· 单击列表“操作”列的“详情”图标
,进入主机流量详情页面,查看主机流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改主机流量页面,按需修改主机流量分析任务。
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将主机流量分析任务删除。
· 勾选列表中一个或多个主机流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将主机流量分析任务删除。
管理员可以根据业务需要,定义相应的流量分析任务。
在增加应用流量分析任务之前,需在“监控>流量监控>流量配置管理>设备管理/采集器管理”中增加相应设备或采集器。
增加应用流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中单击[流量监控>应用流量]菜单项,进入应用流量页面。
(2) 单击<增加>按钮,进入增加应用流量页面。
(3) 配置如下参数:
¡ 名称:应用流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
¡ 阈值告警:监控流入/流出的流量超过设定的阈值时生成告警,该项默认为“否”。若使能阈值告警,则需选择阈值模板,具体参数配置请参见“3.1.1 增加接口流量分析任务”。
(4) 单击<选择应用>按钮,弹出选择应用页面,在该页面中可查询并选择需要监控的应用,不选择应用则默认对所有应用进行统计。
(5) 单击<选择接口>按钮,进入选择接口页面。在该页面中选择需要监控的接口,可以使用“自动获取”或“手工配置”的方式选择接口,具体参数配置请参见“3.1.1 增加接口流量分析任务”。
(6) 单击<选择采集器>按钮,进入选择采集器页面。在该页面列表中勾选需要增加的采集器,单击<确定>按钮,完成选择采集器操作并返回增加应用流量页面。
(7) 单击<确定>按钮,完成增加应用流量操作,新增加的应用流量分析任务可在应用流量列表中查看。
选择“监控”页签,在左导航中单击[流量监控>应用流量]菜单项,进入应用流量页面。单击列表“名称”列的名称链接,进入应用流量分析页面。可在该页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在应用流量分析页面中选择“流量”页签,进入流量分析页面。
在该页面中可以查看某一时段所有主机的流量随时间变化的趋势以及流量明细。
在应用流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看某一时段源主机速率Top10,以及统计时间内的流量、流速、百分比。
在应用流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看某一时段目的主机速率Top10,以及统计时间内的流量、流速、百分比。
在应用流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机速率Top10以及节点间会话流量信息。
选择“监控”页签,在左导航中单击[流量监控>应用流量]菜单项,进入应用流量页面。
· 单击列表“操作”列的“详情”图标
,进入应用流量详情页面,查看应用流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改应用流量页面,按需修改应用流量分析任务。
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将应用流量分析任务删除。
· 勾选列表中一个或多个应用流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将应用流量分析任务删除。
管理员可以根据业务需要,定义相应的流量分析任务。
在增加应用流量分析任务之前,需在“监控>流量监控>流量配置管理>采集器管理”中增加采集器。
增加采集器流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中单击[流量监控>采集器流量]菜单项,进入采集器流量页面。
(2) 单击<增加>按钮,进入增加采集器流量页面。
(3) 配置如下参数:
¡ 名称:采集器流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
(4) 单击<选择采集器>按钮,进入选择采集器页面。在该页面列表中勾选需要增加的采集器,单击<确定>按钮,完成选择采集器操作并返回增加采集器流量页面。
(5) 单击<确定>按钮,完成增加采集器流量操作,新增加的采集器流量分析任务可在采集器流量列表中查看。
选择“监控”页签,在左导航中单击[流量监控>采集器流量]菜单项,进入采集器流量页面。单击列表“名称”列的名称链接,进入采集器流量分析页面。可在该页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在采集器流量分析页面中选择“流量”页签,进入流量分析页面。
在该页面中可以查看某一时段所有主机的流量随时间变化的趋势以及流量明细。
在接口流量-接口页面中选择“应用”页签,进入应用流量分析页面。
在该页面中可以查看某一时段各应用使用流量的比例随时间变化的趋势,以及应用的流量、流速、百分比等。
在应用流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看某一时段源主机速率Top10,以及统计时间内的流量、流速、百分比。
在应用流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看某一时段目的主机速率Top10,以及统计时间内的流量、流速、百分比。
在应用流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机流量使用分布情况、会话主机速率Top10以及节点间会话流量信息。
选择“监控”页签,在左导航中单击[流量监控>采集器流量]菜单项,进入采集器流量页面。
· 单击列表“操作”列的“详情”图标
,进入采集器流量详情页面,查看采集器流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改采集器流量页面,按需修改采集器流量分析任务。
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将采集器流量分析任务删除。
· 勾选列表中一个或多个采集器流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将采集器流量分析任务删除。
管理员可以根据业务需要,定义相应的流量分析任务。
在增加VLAN/VXLAN流量分析任务之前,需在“监控>流量监控>流量配置管理>设备管理”中增加相应设备。
增加VLAN/VXLAN流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中单击[流量监控>VLAN/VXLAN流量]菜单项,进入VLAN/VXLAN流量页面。
(2) 单击<增加>按钮,进入增加VLAN/VXLAN流量页面。
(3) 配置如下参数:
¡ 名称:VLAN/VXLAN流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
¡ VLAN类型:可选项为“VLAN”及“VXLAN”。
¡ 统计方向:可选项为“流入”及“流出”。
(4) 单击“VLAN/VXLAN信息”区域中的<增加>按钮,进入增加VLAN/VXLAN信息页面。在该页面输入“VLAN/VXLAN ID”及“VLAN/VXLAN名称”,单击<确定>按钮,完成增加VLAN/VXLAN信息操作并返回增加VLAN/VXLAN流量页面。
(5) 单击“设备信息”区域中的<选择设备>按钮,进入选择设备页面。在该页面列表中勾选需要增加的设备,单击<确定>按钮,完成选择设备操作并返回增加VLAN/VXLAN流量页面。
(6) 单击<确定>按钮,完成增加VLAN/VXLAN流量操作,新增加的VLAN/VXLAN流量分析任务可在VLAN/VXLAN流量列表中查看。
选择“监控”页签,在左导航中单击[流量监控>VLAN/VXLAN流量]菜单项,进入VLAN/VXLAN流量页面。该页面中查看VLAN/VXLAN流量分析任务结果的方式有以下两种:
· 单击列表“名称”列的名称链接,进入VLAN/VXLAN流量-任务名称页面。
· 单击列表“操作”列的“VLAN/VXLAN数据”图标
,进入VLAN/VXLAN列表页面。单击该页面列表“操作”列的“流量分析”图标
,进入VLAN/VXLAN流量-VLAN/VXLAN ID页面。
可以在VLAN/VXLAN流量分析页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在VLAN/VXLAN分析页面中选择“流量”页签,进入流量分析页面。
· VLAN/VXLAN流量-任务名称:在该页面中可以查看某一时段所有主机的流量随时间变化的趋势、VLAN/VXLAN流量分布以及流量明细。
· VLAN/VXLAN流量-VLAN/VXLAN ID在该页面中可以查看某一时段所在主机的流量随时间变化的趋势以及流量明细。
在VLAN/VXLAN流量分析页面中选择“应用”页签,进入应用流量分析页面。
在该页面中可以查看某一时段所有主机的各应用使用流量的比例随时间变化的趋势,以及应用的流量、流速、百分比等。
在VLAN/VXLAN流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看某一时段源主机速率Top10以及报表统计时间内的该应用的流量、流速、百分比等。
在VLAN/VXLAN流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看某一时段目的主机速率Top10以及报表统计时间内的该应用的流量、流速、百分比等。
在VLAN/VXLAN流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机速率Top10以及节点间会话流量信息。
选择“监控”页签,在左导航中单击[流量监控>VLAN/VXLAN流量]菜单项,进入VLAN/VXLAN流量页面。
· 单击列表“操作”列的“详情”图标
,进入VLAN/VXLAN流量详情页面,查看VLAN/VXLAN流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改VLAN/VXLAN流量页面,按需修改VLAN/VXLAN流量分析任务。
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将VLAN/VXLAN流量分析任务删除。
· 勾选列表中一个或多个VLAN/VXLAN流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将VLAN/VXLAN流量分析任务删除。
管理员可以根据业务需要,定义相应的流量分析任务。
增加VPN流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中单击[流量监控>VPN流量]菜单项,进入VPN流量页面。
(2) 单击<增加>按钮,进入增加VPN流量页面。
(3) 配置如下参数:
¡ 名称:VPN流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
(4) 单击“VPN实例信息”区域中的<增加>按钮,进入增加VPN实例页面。在该页面“设备名称”下拉框中选择设备,输入“VPN标识(1-65535)”及“实例描述”,单击<确定>按钮,完成增加VPN实例操作并返回增加VPN流量页面。
(5) 单击<确定>按钮,完成增加VPN流量操作,新增加的VPN流量分析任务可在VPN流量列表中查看。
选择“监控”页签,在左导航中单击[流量监控>VPN流量]菜单项,进入VPN流量页面。单击列表“名称”列的名称链接,进入VPN流量分析页面。可在该页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在VPN流量分析页面中选择“流量”页签,进入流量分析页面。
在该页面中可以查看某一时段所有主机的流量随时间变化的趋势以及流量明细。
在VPN流量分析页面中选择“应用”页签,进入应用流量分析页面。
在该页面中可以查看某一时段各协议使用流量的比例随时间变化的趋势,以及应用的流量、流速等。。
在VPN流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看某一时段源主机速率Top10,以及统计时间内的流量、流速、百分比。
在VPN流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看某一时段目的主机速率Top10,以及统计时间内的流量、流速、百分比。
在VPN流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机流量使用分布情况、以及节点间会话流量信息。
选择“监控”页签,在左导航中单击[流量监控>VPN流量]菜单项,进入VPN流量页面。
· 单击列表“操作”列的“详情”图标
,进入VPN流量详情页面,查看VPN流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改VPN流量页面,按需修改VPN流量分析任务。
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将VPN流量分析任务删除。
· 勾选列表中一个或多个VPN流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将VPN流量分析任务删除。
管理员可以根据业务需要,定义相应的流量分析任务。
BGP(Border Gateway Protocol,边界网关协议)是一种既可以用于不同AS(Autonomous System,自治系统)之间,又可以用于同一AS内部的动态路由协议。AS是拥有同一选路策略,属于同一技术管理部门的一组路由器。该流量分析任务可针对不同的AS系统进行流量分析。
在增加接口流量分析任务之前,需在“监控>流量监控>流量配置管理>设备管理”中增加相应设备。
增加BGP流量分析的步骤如下:
(1) 选择“监控”页签,在左导航中单击[流量监控>BGP流量]菜单项,进入BGP流量页面。
(2) 单击<增加>按钮,进入增加BGP流量页面。
(3) 配置如下参数:
¡ 名称:BGP流量分析任务的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
¡ 描述:该任务的描述信息。
(4) 单击“AS信息”区域中的<增加>按钮,进入增加AS信息页面。在该页面中输入“AS ID”、“AS名称”及是否使能“阈值告警”,该项默认为“否”。若使能阈值告警,则需选择阈值模板,具体参数配置请参见“3.1.1 增加接口流量分析任务”。配置完成后,单击<确定>按钮,完成增加AS信息操作并返回增加BGP流量页面。
(5) 单击“设备信息”区域中的<选择设备>按钮,进入选择设备页面。在该页面列表中勾选需要增加的设备,单击<确定>按钮,完成选择设备操作并返回增加BGP流量页面。
(6) 单击<确定>按钮,完成增加BGP流量操作,新增加的BGP流量分析任务可在BGP流量列表中查看。
选择“监控”页签,在左导航中单击[流量监控>BGP流量]菜单项,进入BGP流量页面。该页面中查看BGP流量分析任务结果的方式有以下两种:
· 单击列表“名称”列的名称链接,进入BGP流量-任务名称页面。
· 单击列表“操作”列的“AS数据”图标
,进入AS列表页面。单击该页面列表“操作”列的“流量分析”图标
,进入BGP流量-AS ID页面。
可以在BGP流量分析页面顶端,设置时间范围及页面刷新间隔,页面中显示分析结果如下:
在BGP流量-任务名称或BGP流量-AS ID的页面中选择“流量”页签,进入流量分析页面。
· BGP流量-任务名称:在该页面中可以查看某一时段所有主机的流量随时间变化的趋势、流量明细以及BGP AS流量分布。
· BGP流量-AS ID:在该页面中可以查看某一时段所有主机的流量随时间变化的趋势、流量明细。
在BGP流量分析页面中选择“应用”页签,进入应用流量分析页面。
在该页面中可以查看某一时段各协议使用流量的比例随时间变化的趋势,以及应用的分布、流量、流速等。
在BGP流量分析页面中选择“源主机”页签,进入源主机流量分析页面。
在该页面中可以查看某一时段所有源主机使用流量的比例随时间变化的趋势,源主机速率Top10分布以及报表统计时间内的该应用的流量、流速、百分比等。
在BGP流量分析页面中选择“目的主机”页签,进入目的主机流量分析页面。
在该页面中可以查看某一时段所有目的主机使用流量的比例随时间变化的趋势,目的主机速率Top10分布以及包含报表统计时间内的该应用的流量、流速、百分比等。
在BGP流量分析页面中选择“会话”页签,进入会话流量分析页面。
在该页面中可以查看某一时段会话主机流量使用分布情况、会话主机速率Top10分布以及节点间会话流量信息。
选择“监控”页签,在左导航中单击[流量监控>BGP流量]菜单项,进入BGP流量页面。
· 单击列表“操作”列的“详情”图标
,进入BGP流量详情页面,查看BGP流量分析任务配置详情。
· 单击列表“操作”列的“修改”图标
,进入修改BGP流量页面,按需修改BGP流量分析任务。
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将BGP流量分析任务删除。
· 勾选列表中一个或多个BGP流量分析任务,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将BGP流量分析任务删除。
流量配置管理提供设备管理、采集器管理、应用管理、参数管理、异常检测及阈值模板一系列配置管理功能,以满足各种不同的网络和应用场景。
选择“监控”页签,在左导航中单击[流量监控>流量配置管理]菜单项,进入流量配置管理页面。在该页面中单击图标链接即可进入对应的功能页面。
设备管理功能提供了两种增加设备的方式:手动增加设备和从U-Center 2.0中选择设备。
单击“设备管理”图标链接,进入设备管理页面。
单击<增加>按钮,进入增加设备页面,参数说明如下:
· 设备IP:提供两种方式增加设备。
¡ 方式一:手动输入设备的IP地址。
¡ 方式二
- 单击“设备IP”输入框后的<选择设备>按钮,进入选择设备页面。
- 勾选列表中一个资源,单击
图标,将该资源加入到已选资源列表中。
- 单击<确定>按钮,完成增加设备IP操作。
· 设备名称:增加设备的名称。若使用方式二增加设备,则此项自动增加。
· 设备描述:设备的描信息。
· SNMP参数配置:是否启用SNMP参数配置。配置后,系统可以自动从设备获取接口索引等参数。
· NetStream流统计标识:是否使能“NetStream流统计标识”。如果设备支持NetStream流统计标识则选择有效,否则选择无效。
· NetStream新特性:是否使能“NetStream新特性”。NetStream新特性主要是Comware V5的流采样特性,设备可以对大流量的数据进行采样和分析从而获得整体的流量统计。如果设备不支持NetStream新特性,则需要配置NetStream采样比。
· 输入NetStream采样比,范围是1-65536。1表示采样比为1:1,100表示采样比为1:100。这里输入的采样比应该和设备上的配置相同,否则审计时会出现错误。
单击列表中“设备名称”列的名称链接或单击“操作”列的“详情”图标
,进入设备详情页面,查看设备的详细信息。
单击列表中“操作”列的“同步”图标
,同步设备的信息。
单击列表中“操作”列的“修改”图标
,进入修改设备页面,按需修改设备基本信息。
删除的方式以下两种:
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将设备删除。
· 勾选列表中一个或多个设备,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将设备删除。
· 查询
在页面右上角的查询文本框中,选择“设备名称”或“设备IP”的查询方式,并输入相应的名称或IP地址后,单击“查询”图标
,符合条件的设备会显示在列表中。其中,查询条件均支持模糊匹配。
· 刷新
单击<刷新>按钮,更新列表中的设备信息。
如果设备不支持NetStream、NetFlow、sFlow等流统计技术,可以利用采集器收集并处理网络数据。在设备上配置端口镜像,将经过设备接口的网络数据完整的复制并发给采集器。采集器接收之后经过处理以流日志的形式通过FTP上传到H3C U-Center 2.0 NTA服务器。
单击“采集器管理”图标链接,进入采集器管理页面。
单击<增加>按钮,进入增加采集器页面,参数说明如下:
· 采集器名称:采集器的名称。
· 采集器IP:采集器的IP地址。
· 采集器描述:采集器的描述信息。
· 七层应用识别:是否使能七层应用识别。若使能,则H3C U-Center 2.0 NTA会根据应用管理中定义的应用类型分析七层的数据,监控各类应用的使用情况。如果选择不启用,则H3C U-Center 2.0 NTA只分析四层数据。
· 网卡分析:是否使能网卡分析。采集器支持获取多网卡的功能,可以设置监控采集器的网卡的流量信息(在任务中配置),如果要使用TCP响应时间分析就必须启动网卡分析。
单击列表中“采集器名称”列的名称链接或单击“操作”列的“详情”图标
,进入采集器详情页面,查看设备的详细信息。
单击列表中“操作”列的“修改”图标
,进入修改采集器页面,按需修改采集器基本信息。
删除的方式以下两种:
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将采集器删除。
· 勾选列表中一个或多个采集器,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将采集器删除。
H3C U-Center 2.0 NTA应用管理包括四层应用管理和七层应用管理。四层应用管理允许用户根据协议和端口定义四层应用。通常情况下,网络应用由一组(或多组)固定的网络协议和通讯端口的组合进行标识,如TCP协议的80端口表示HTTP应用。网络行为分析系统对应用带宽占用趋势的分析基于已定义的应用。系统预定义了200多种标准的和常见的四层应用,通常不需要自定义四层应用。
七层应用管理是针对端口不固定的应用,如BT、eDonkey等P2P应用,该类应用通过报文应用层数据的特征进行识别。端口不固定的应用在网络中非常普遍,对带宽的占用问题也很突出,管理员可以根据需要,将对网络影响较大的此类应用设定为七层应用,进行网络行为分析。
系统已经将大部分常见的端口不固定的应用设定为系统预定义的七层应用,包括:BT、DC、eDonkey、Gnutella、Kazaa、MSN、QQ、AIM、SopCast、AppleJuice、SoulSeek、PPStream、Ares、Mute、PPLive、VNC、TVAnts、WinMX、ShoutCast、FileTopia、ManoLito、Stream、StealthNet等。管理员也可以根据需要,自定义其它的七层应用。
单击“应用管理”图标链接,进入应用管理页面。
七层应用识别功能只对DIG日志有效,对其他类型的日志无效。
选择“应用”页签,单击<增加>按钮,进入增加应用页面,参数说明如下:
· 名称:应用的名称。
· 应用描述:应用的描述信息。
· 协议:应用的协议类型,可选项为“TCP/UDP”、“TCP”及“UDP”。
· 应用类型:可选项为“四层应用”及“七层应用”。
· 端口:四层应用的端口号。
· 主机IP:四层应用中主机的IP地址,在“主机IP”输入框中输入IP地址,单击<增加>按钮,完成增加主机IP操作。
· 正则表达式:输入合法的正则表达式,H3C U-Center 2.0 NTA会根据该表达式识别七层应用
· 是否启用:是否启动该七层应用。
选择“协议”页签,单击<增加>按钮,进入增加协议页面,参数说明如下:
· 名称:协议的名称。
· 协议号:协议的协议号,取值范围为[0-255]。
· 是否启用:是否启用协议。
选择“应用类别”页签,单击<增加>按钮,进入增加应用类别页面,配置步骤如下:
· 输入基本信息:
¡ 名称:应用类别的名称。
¡ 应用类别描述:应用类别的描述。
¡ 类别分类:可选项为“应用”或“协议”。
· 选择应用信息或协议信息
¡ 当选择类别分类为应用时,单击“应用信息”区域的<选择应用>按钮,进入选择应用页面,勾选列表中一个或多个应用,单击<确定>按钮,完成选择应用操作并返回增加应用类别页面。
¡ 当选择类别分类为协议时,单击“协议信息”区域的<选择协议>按钮,进入选择协议页面,勾选列表中一个或多个协议,单击<确定>按钮,完成选择协议操作并返回增加应用类别页面。
· 单击<确定>按钮,完成增加应用类别操作。
在应用管理中,查看、修改、删除的操作相似,此处以“应用”举例。
单击列表中“应用名称”列的名称链接或单击“操作”列的“详情”图标
,进入应用详情页面,查看应用的详细信息。
单击列表中“操作”列的“修改”图标
,进入修改应用页面,按需修改应用描述及主机IP。
手动增加的应用删除方式以下两种:
· 单击列表“操作”列的“删除”图标
,在弹出的确认提示框中单击<确定>按钮,将应用删除。
· 勾选列表中一个或多个应用,单击<删除>按钮,在弹出的确认提示框中单击<确定>按钮,将应用删除。
通过查询操作精确显示符合条件的应用。
· 简单查询
在页面右上角的查询文本框中输入应用名称后,单击“查询”图标
,符合条件的应用会显示在列表中。其中,查询条件均支持模糊匹配。
· 高级查询
单击页面右上角查询文本框旁边的“高级查询”图标
,展开高级查询区域。设置名称、协议、端口、应用类型或系统预定义后,符合条件的应用会显示在列表中。
为了更好的适应不同的网络环境,H3C U-Center 2.0 NTA提供了系统参数管理功能。根据实际的业务需求和硬件配置,对系统参数进行合理设置。
单击“参数管理”图标链接,进入参数管理页面。
· 报表TopN(1-50):对于需要排序显示的查询项,显示的项目个数不超过此处设置的数值。默认为10,设置过高可能影响查询性能。
· 未知应用流量分析:对于流量分析,如果启用该参数,将可以查看未知应用的详细信息,默认为不启用。
· 流量峰值分析:对于流量分析任务,如果启用该参数,将可以查看各流量分析任务和接口的网络流量峰值分布情况,默认为不启用。
· 阈值告警:是否全局启用阈值告警功能。只有全局启用阈值告警功能后,各流量分析任务才能开启阈值告警功能。对于流量分析,如果启用该参数,将可以对接口流量分析任务、主机流量分析任务、应用流量分析任务和BGP流量分析任务进行阈值告警配置。全局阈值告警功能,默认为启用。
· 基线分析:是否全局启用基线分析功能。只有全局启用基线分析功能后,各流量分析任务才能开启基线分析功能。如果不启用/启用全局基线分析功能,则所有启用了基线分析功能的流量分析任务也会相应的停止/开始基线分析。
· 流量监控菜单:流量监控菜单中显示的菜单项,可选项为“接口流量”、“主机流量”、“应用流量”、“采集器流量”、“VPN流量”、“BGP流量”及“VLAN/VXLAN流量”。修改流量监控菜单后,请手动刷新页面或重新登录系统后流量监控菜单才会变化。
设置系统采集不同时长粒度的日志并保存在数据库中的时长,支持多种时长粒度设置。
异常检测功能可以对网络中的异常行为进行检测。H3C U-Center 2.0 NTA定义了28种异常检测,管理员可以修改阈值以及告警级别等信息,超过阈值的异常行为会生成告警,并通过告警管理功能及时通知管理员。
单击“异常检测”图标链接,进入异常检测页面。
28种异常检测说明如下:
· Corrupt_IPOption:用于攻击Windows主机系统。攻击者构造畸形IP头选项报文并发送给目标Windows系统,使系统发生越界访问,造成系统重启崩溃,或执行任意指令。
· DHCPOfferPacket:攻击者伪造DHCP Offer包项向发送DHCP请求的主机回应任意IP地址,引起网络异常。
· DNS_Rogue_Hack:利用DNS协议违规传输数据。攻击者将数据伪装成DNS流量记录数据,使用UDP 53端口发送。管理员需要定义合法DNS服务器列表以便区分伪装DNS流量。
· FragmentedICMPPacket:ICMP报文分片检测。ICMP报文通常只包含很短的信息,无需分片。
· ICMPDstUnreachable:用于切断目标主机与特定网络的连接。某些操作系统在收到ICMP不可达报文时会认为对应的网络不可达,并切断网络连接。攻击者通过伪造ICMP不可达报文,切断目标主机与特定网络的连接,干扰用户正常使用网络。
· ICMPParameterProblem:ICMP数据包的参数错误。
· ICMPRedirects:用于攻击主机的路由表。攻击者向目标主机发送ICMP重定向报文,更改目标主机的路由表,干扰用户正常使用网络。
· ICMPReplyExcess:用于探测主机的操作系统。攻击者通过ICMP Reply消息来探测主机操作系统的相关信息。
· ICMPRequestExcess:用于攻击主机系统。攻击者向目标主机发送大量的ICMP请求报文(ICMP Echo Request,即Ping消息),目标主机在处理这些报文时会消耗大量的资源及带宽。
· ICMPSourceQuench:用于降低用户的数据发送速度。ICMP源抑制报文可以降低用户发送数据的速度,停止发送该报文后速度恢复。攻击者通过伪造ICMP源抑制报文减少其它用户对网络带宽的占用。
· ICMPTimeExceeded:攻击者伪造ICMP超时消息,向通信的一方或双方发送ICMP,造成通信中断。
· Invalid_IP_Prot:伪造的IP报文,这些报文的协议号大于等于134。大于等于134的协议号为未定义或预留协议号,不应出现在正常使用的网络中。
· Invalid_Tos:数据包中含有无效ToS值,如:0,2,4,8,16。
· Land_Attack:用于攻击主机系统。登录攻击的数据包使用相同的源地址与目的地址,操作系统在受到这些数据包后无法正确处理,从而消耗大量系统资源,造成系统崩溃或死机。
· LargeICMPPacket:超大ICMP报文攻击检测。ICMP报文通常只包含很短的信息,如果ICMP报文超大,则网络可能存在异常。
· PingofDeath_Attack:用于攻击主机或网络设备。攻击者发送超大的ICMP报文(大于65507个字节),主机或网络设备在接收到报文后由于处理异常造成系统崩溃、重启或死机。
· Record_Route_IPOption:用于探测网络结构。攻击者利用IP报文中的Route Record选项探测网络结构。
· Security_IPOption:伪造的IP报文。IP安全选项已被废除,网络中不应出现带有此选项的IP报文。
· Snork_Attack:针对Windows NT RPC服务的拒绝服务攻击。特征为UDP报文,源端口(7,19,135),目的端口(135)。
· SourceRoute_IPOption:攻击者用于隐藏自身的数据包。正常的TCP数据包只包含源地址和目的地址,攻击者通过在TCP数据包中加入源路由信息使自己假冒其它主机来获取敏感数据,隐藏自己的真实来源。
· StreamID_IPOption:伪造的IP报文。IP流ID选项已被废除,网络中不应出现带有此选项的IP报文。
· TCP_Fin_Scan:用于探测目标主机端口的开关状态以及操作系统类型(Unix或者Windows)。攻击者向目标主机的一个端口发送FIN位置位的TCP数据包,如果目标端口为“关”状态则返回TCP RST数据包,为“开”则不回复。
· TCP_Null_Scan:用于探测目标主机端口的开关状态。攻击者向目标主机的一个端口发送标志位均为空的TCP数据包,如果目标端口为“关”状态则返回TCP RST数据包,为“开”则不回复。
· TCP_Syn_Fin_Scan:受到攻击时才会产生的异常报文。TCP SYN用于初始化连接,不能与FIN和RST位一起置位,类似的组合包括SYN/FIN,SYN/FIN/PSH,SYN/FIN/RST,SYN/FIN/RST/PSH。
· TCP_Xmas_Scan:用于探测目标主机端口的开关状态。攻击者向目标主机的一个端口发送FIN,URG和PSH位置位的TCP数据包,如果目标端口为“关”状态则返回TCP RST数据包,为“开”则不回复。
· TimeStamp_IPOption:用于攻击NetBSD主机系统。攻击者发送含有不对称IP时间戳选项的TCP报文给目标NetBSD系统,造成远程DOS攻击,使NetBSD系统瘫痪。
· UDP_Bomb_Attack:用于攻击旧版本的操作系统。攻击者在UDP数据包中填进某些非法值(UDP首部的长度字段),一些就旧版本的操作系统在受到这样的数据包时会崩溃。
· UDP_Flood_Attack:基于UDP协议的拒绝服务攻击。UDP洪水攻击会快速消耗网络的可用带宽,影响网络使用。
基本设置包括时间窗和时间窗长度。参数说明如下:
· 时间窗:告警产生的时间窗,包括固定时间窗和滚动时间窗。选择固定时间窗时,每个时间段内,异常检测功能只发送一次告警;选择滑动时间窗时,两次告警的时间间隔需要大于等于时间窗长度,在时间窗长度范围内发生的同一种攻击行为不会产生告警。在下拉框中选择固定或滚动,单击右侧的<确定>按钮,完成设置。
· 时间窗长度(1-10分):告警时间窗的长度,范围为1-10分钟。在文本框中输入时间窗长度,单击右侧的<确定>按钮,完成设置。
异常检测列表中列出了系统定义的28种异常检测模板,管理员不能增加和删除,但是可以修改部分参数。
单击列表中“操作”列的“修改”图标
,进入修改异常检测页面,参数说明如下:
· 名称:H3C U-Center 2.0 NTA监控的异常行为的名称。单击名称链接查看详细信息。
· 描述:异常行为的描述。
· 阈值:异常检测生成告警的阈值。
· 告警级别:异常检测生成告警的告警级别。包括紧急、重要、次要、警告和通知。
· 是否启用:显示为启用或不启用。
单击列表中“操作”列的“详情”图标
,进入异常检测详情页面,查看异常检测详情。
监控流量超过设定的阈值时生成告警。
单击“阈值模板”图标链接,进入模板页面。
· 模板名称:模板的名称,该值只能包含中文、字母、数字、"_"、"-"、"."。
· 模板描述:该模板的描述信息。
· 模板类型:可选应用任务、BGP任务、主机任务、接口任务以及接口。
· 阈值方向:所监控流量的方向,可选项为“流入/流出”、“流入”及“流出”。
· 触发条件(时间):在设定时间内,流量超过设定的阈值范围并且达到触发次数时,发送相应级别的告警。
· 告警屏蔽时间:产生告警后,在设定时间内不再产生相同的告警。
· 流量阈值(单位):告警设置中流量阈值的单位,可选项为“bps”、“Kbps”、“Mbps”、“Gbps”及“%”。其中,当选择“%”为单位时,若流量超过设定的基线阈值百分比,则发送相应级别告警,基线会在设定一周后生成。
· 告警设置:配置流量阈值及触发次数。当监控接口流量超过设定的阈值范围并且达到触发次数时,发送相应级别的告警。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
