Netflow网络流量分析手册

Netflow网络流量

分析手册

作者：聂晓亮（毛蛋哥）

一、作者简介 (4)

二、为什么会有这本书 (5)

三、流量分析原理 (6)

(一)原始流量分析方式 (6)

(二)Netflow分析方式 (6)

四、流量采样 (8)

(一)在网络设备上开启Netflow功能 (8)

(二)网络设备不支持Netflow (9)

1.部署方式 (9)

2.安装Fprobe (11)

3.启动Fprobe (11)

4.镜像流量至Fprobe服务器 (12)

5.检测是否收到Netflow数据 (12)

五、部署服务器 (13)

(一)硬件需求 (13)

(二)安装FreeBSD (13)

(三)安装Nfsen (14)

1.安装apache22 (14)

2.安装php5 (14)

3.安装nfsen (15)

(四)安装PortTracker (15)

(五)访问Nfsen (16)

六、抓贼攻略 (18)

(一)了解网络运行状况 (18)

(二)什么协议吞了带宽 (22)

(三)抓出罪魁祸首 (25)

七、感谢 (30)

一、作者简介

本书作者聂晓亮，网名毛蛋哥。2004

年毕业于北京联合大学信息工程学院，热

爱网络相关知识及摄影，机缘巧合参加了

Cisco认证培训，并获得了一些成绩。本

书写于2008年10月，作者目前状态工

作较为舒适，故有空闲时间完成此书。

聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。

聂晓亮（毛蛋哥）的Blog：https://www.360docs.net/doc/3e8980839.html,

聂晓亮（毛蛋哥）的Wiki：https://www.360docs.net/doc/3e8980839.html,

欢迎交流：pharaohnie@https://www.360docs.net/doc/3e8980839.html,

二、为什么会有这本书

在工作的几年当中，经常有朋友和一些网友问我一些关于流量分析的问题，诸如：

●我们局域网怎么这么慢，是不是有人在下BT？

●192.168.0.1也没人用，怎么网卡疯狂闪烁，它在做什么？

●老板让我查查服务器为什么总是那么大流量，可我不知道从何下手。

●公司出口带宽不够了，但一时有没那么多带宽预算，我在考虑是不是要

关掉一些和公司业务无关的协议，但不知道应该关哪些协议。

诸如这类问题还有很多，对于专业的网络人员当然不是什么难题，但对于一般非IT类公司的网管人员也许就是一个不可能完成的任务。因此，才有了这本书，也就是说，这本书的目的就是帮助一般的网管人员了解他们所管理的网络运行情况，排查网速慢、个别主机大量占用带宽的问题。

三、流量分析原理

(一)原始流量分析方式

原始流量分析是通过复制网络流量

至分析端，然后对其进行分析。采用此

类分析方式的好处是完全获取了网络的

所有流量，可以对其进行深度分析，甚

至是用户使用的搜索关键字；弊端是由

于需要分析的流量较大，分析端负载会非常高，并不适合进行需要保存历史数据的长期分析。

(二)Netflow分析方式

Netflow是Cisco公司开发出的一

套协议，用于专门解决原始流量方式所

产生的问题。当在网络设备或其接口上

开启Netflow功能后，网络设备会对需

要进行分析的流量进行采样分析，并把

采样分析的结果发送至分析段进行流量

分析，当然这些采样分析的结果要比原始数据小的多的多。其中网络设备采样分析的结果数据会包含源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。

使用Netflow分析方式的好处显而易见，分析端得到的已经不再是原始数据，而是一个初步分析结果，只要对这些初步结果进行二次分析即可获得更多的数据。由于网络设备发送过来的初步分析结果远小于原始数据，因此分析端可以充分利用CPU做更多的历史分析，也就解决了原始数据分析方式所导致的无法分析较长时间数据的问题。当然，在Netflow分析方式中，由于分析端得到的不是原始数据，自然也无法获得像用户搜索关键字这样的详细信息。

两种分析方式各有特点，建议在进行长期数据分析或进行流量统计分

析时使用Netlfow分析方式。在需要对网络协议进行分析时，如

Skype无法连接服务器这样的情况时使用原始数据分析方式。

四、流量采样

(一)在网络设备上开启Netflow功能

这里只列出如何在Cisco设备上开启Netflow功能。一般情况下，Cisco 路由器都能支持Netflow功能，而交换机只有一些高端系列能够支持Netflow 功能。

下面以一台Cisco 4507R交换机配置为例说明如何在Cisco交换机上开启Netflow功能。

其中需要Cisco 4507R和Netflow分析端可以相互Ping通，才能确保Netflow数据可以顺利的送达分析端进行分析。4507R上的Netflow基本配置如下：

ip flow ingress infer-fields

ip flow ingress layer2-switched

ip flow-export destination 192.168.1.1 9995

192.168.1.1为Netflow分析端的IP地址，9995表示Cisco 4507R向Netflow分析端的UDP 9995发送Netflow数据。

验证一下Cisco 4507R是否已经开始发送Netflow数据：

Cisco-4507R#show ip flow export

Flow export v5 is enabled for main cache

Exporting flows to 192.168.1.1 (9995)

Exporting using source interface Loopback0

Version 5 flow records

40 flows exported in 3 udp datagrams

0 flows failed due to lack of export packet

0 export packets were sent up to process level

多进行几次验证，如果看到橘黄色字体的部分保持持续增长，则表明已经开始发送Netflow数据了。

(二)网络设备不支持Netflow

在一些非IT行业的中小企业以及一些中小学校中，网络环境相对简单，网络设备不一定支持Netflow功能。对于这样的环境也有相应的解决方法-Fprobe。

1.部署方式

Fprobe是一款在FreeBSD（FreeBSD的安装方法见五-(二)）下运行的软件，它可以将其接口收到的数据转化为Netflow数据，并发送至Netflow分析端。我们可以通过部署这样一台服务器，并将网络流量镜像至此服务器来实现对网络流量进行Netflow分析。其部署方式如下：

如果经费不足，可以将Fprobe和Netflow部署在同一台服务器中，如下图：

Fprobe和Netflow部署在同一台服务器的方式较为普遍，因此我们将按下图举例Fprobe的安装及配置网络设备镜像流量，此处所使用的网络设备为Cisco 4507R。

Cisco 4507R与服务器使用2跟线缆连接，左边的线缆用于将进入4507R 的gi1/3的流量镜像至服务器的fxp0，由于fxp0接口用于接收镜像流量，因此fxp0可以不分配IP地址。右边的线缆用于保持服务器的网络连通性，这样可以使网络管理员从任何位置都可以用192.168.1.1访问服务器并进行流量分析。

2.安装Fprobe

fb# cd /usr/ports/net-mgmt/fprobe/

fb# make install clean

fb# rehash

3.启动Fprobe

查看服务器的接口名称。

fb# ifconfig

fxp0: flags=8843 metric 0 mtu 1500

options=8

ether 00:90:27:a5:58:16

media: Ethernet autoselect (100baseTX )

status: active

确认接口名称为fxp0后，启动fprobe。

fb# fprobe -i fxp0 127.0.0.1:9555

上面的命令表示把接口fxp0收到的数据转化为Netflow数据并发送至本机的UDP 9555。如果采用Fprobe和Netflow分开部署的方式，请将127.0.0.1改为Netflow分析端的IP地址，并保证Fprobe服务器和Netflow服务器可以相互ping通。

4.镜像流量至Fprobe服务器

Cisco-4507R(config)#monitor session 1 source interface gi1/3rx

Cisco-4507R(config)#monitor session 1 destination interface gi1/4上面的命令表示将gi1/3收到的流量复制到gi1/4。

5.检测是否收到Netflow数据

fb# tcpdump -n -i lo0 dst port 9555

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 96 bytes

14:00:44.016020 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464 14:00:49.018368 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464 14:00:54.018791 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464 14:00:59.018328 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464如果能收到如上所示信息（桔黄色部分），则表示已经成功的将4507R发送的数据转化为Netflow数据并发送至本机的UDP 9555。

五、部署服务器

Netflow数据的收集及分析是通过Nfsen来实现的，Nfsen同样是FreeBSD 下的免费软件。它完全基于浏览器进行分析和控制。

(一)硬件需求

Nfsen对于CPU的要求较内存的更高一些，我们部署了一台服务器，CPU 为Xeon 3.0，内存为2G，硬盘60G。这台服务器处理双向共为1.8Gbps的原始数据，Netflow数据为1Mbps。从这里也可以看出原始数据与Netflow数据的大小对比。

对于一个原始流量在100Mbps左右的单位，随便在中关村淘一台家用PC，应该是完全够用的。

(二)安装FreeBSD

Nfsen是一套基于FreeBSD搭建的Netflow分析平台，请在安装Nfsen 前先安装FreeBSD。FreeBSD是一套免费的操作系统，具有良好的架构和安全性。目前最新版本为7.0，下载链接为：

ftp://https://www.360docs.net/doc/3e8980839.html,/pub/FreeBSD/releases/i386/ISO-IMAGES/7.0/7.0-R ELEASE-i386-disc1.iso

由于FreeBSD官方已经发行了完整的中文安装手册，因此本书不再重述，请参考：

https://www.360docs.net/doc/3e8980839.html,/doc/zh_CN.GB2312/books/handbook/insta ll.html

如安装中碰到请发送邮件至pharaohnie@https://www.360docs.net/doc/3e8980839.html,

安装后请进行如下操作

freebsd-update fetch install

reboot

portsnap fetch extract

ntpdate https://www.360docs.net/doc/3e8980839.html,

freebsd-update fetch install：为FreeBSD打补丁

reboot：重启以应用新的补丁

portsnap fetch extract：更新FreeBSD的软件至最新版

ntpdat https://www.360docs.net/doc/3e8980839.html,：校准时间，这部很重要，否则分析出的时间不对。

(三)安装Nfsen

1.安装Apache22

cd /usr/ports/www/apache22/

make install clean //取消勾选IPV6

echo 'apache22_enable="YES"' >> /etc/rc.conf

echo 'apache22_http_accept_enable="YES"' >> /etc/rc.conf

/usr/local/etc/rc.d/apache22 start

2.安装Php5

cd /usr/ports/lang/php5 //勾选APACHE，MULTIBYTE，取消勾选IPV6 echo 'AddType application/x-httpd-php .php' >>

/usr/local/etc/apache22/httpd.conf

echo 'AddType application/x-httpd-php-source .phps' >>

/usr/local/etc/apache22/httpd.conf

cd /usr/local/etc

cp php.ini-recommended php.ini

sed -e 's/short_open_tag = Off/short_open_tag = On/g' -i .bak php.ini

/usr/local/etc/rc.d/apache22 restart

sed -e 's/\/usr\/local\/www\/apache22\/data/\/usr\/local\/www\/nfsen/g' -i .bak

/usr/local/etc/apache22/httpd.conf

sed -e 's/index.html/nfsen.php/g' -i .bak /usr/local/etc/apache22/httpd.conf

/usr/local/etc/rc.d/apache22 restart

3.安装Nfsen

cd /usr/ports/net-mgmt/nfsen //默认选项即可

make install clean

sed -e '/peer1/d' -i .bak /usr/local/etc/nfsen.conf

nfsen reconfig

/usr/local/etc/rc.d/nfsen start

sed -e 's/\/usr\/local\/www\/apache22\/data/\/usr\/local\/www\/nfsen/g' -i .bak /usr/local/etc/apache22/httpd.conf

sed -e 's/index.html/nfsen.php/g' -i .bak /usr/local/etc/apache22/httpd.conf

/usr/local/etc/rc.d/apache22 restart

(四)安装PortTracker

cd /usr/ports/net-mgmt/nfdump-devel

make

cd /usr/ports/net-mgmt/nfsen

make patch

cd work/nfsen-1.3/contrib/PortTracker/

sed -e

's/\.\.\/\.\.\/\.\.\/nfdump-current/\/usr\/ports\/net-mgmt\/nfdump-devel\/work\/nfdu mp-snapshot-20070808/g' -i .bak do_compile

sed -e 's/\/usr\/local\/rrdtool-1.2.11\/include/\/usr\/local\/include/g' -i .bak

do_compile

sed -e 's/\/usr\/local\/rrdtool-1.2.11\/lib/\/usr\/local\/lib/g' -i .bak do_compile

./do_compile

cp nftrack /usr/local/bin/

rehash

mkdir /usr/local/var/nfsen/portsdb

sed -e 's/\/data\/ports-db/\/usr\/local\/var\/nfsen\/portsdb/g' -i.bak PortTracker.pm

cp PortTracker.pm /usr/local/libexec/nfsen/plugins/

cp PortTracker.php /usr/local/www/nfsen/plugins/

cd /usr/local/etc

sed -e "s/# profile # module/[\'live\',\'PortTracker\'],/g" -i .bak nfsen.conf nftrack -I -d /usr/local/var/nfsen/portsdb/

/usr/local/var/nfsen/portsdb

touch portstat.txt portstat24.txt

chown -R www:www *

/usr/local/etc/rc.d/nfsen restart

(五)访问Nfsen

在做好如上配置后，在浏览器直接输入服务器的IP地址，即可直接访问

Nfsen。

六、抓贼攻略

如果前面的步骤都很顺利的话，到此Nfsen应该可以正常工作了，在浏览器中输入Nfsen服务器的IP地址进入Nfsen的Web界面，如下图所示：

红框内为是Nfsen的主要选单。Home，Graphs，Alerts，Stats是一些概览视图、报警以及配置，与流量的分析关系并不大，因此在这里直接跳过。下面来看看对于流量分析最有用的2个选单：Details和Plugins。

(一)了解网络运行状况

我们所管理的网络运行情况是什么样子？比如每秒钟网络出口发送了多少数据，今天一天下来网络出口一共接收了多少数据等等，通过Nfsen的Details 选单，我们可以对自己的网络做到一个大致了解。下面我们来一起探索Details

选单吧。

点击并进入Nfsen上方的Details选单，如下图所示。在这个选单里，我们可以了解到网络的一些大致情况，如TCP、UDP、ICMP和其他协议的发包速率、流量速率以及流速率（一个流即使用相同源地址、目的地址、源端口、目的端口的一些列数据包。例如从A向B发送一张图片，期间发送的数据包会有多个，但数据流只有一个），并且可以根据历史时间进行查询等。

上图中用[A]-[G]标出了几个小的区域，下面我来依依解释：

[A]在这个区域里可以选择查看TCP、UDP、ICMP、其他协议和所有协议的相

关参数。

[B]在[A]区域选择相关协议后，会在[B]区域以大图显示。并且在此区域有一时

间标（蓝色方框内），拖动此时间标可以选择需要查看的时间内的网络信息。

[C]这个区域主要显示了当前时间标所在的时间，拖动时间标后，这个区域里的

时间也会相应的改变。

[D]在这个区域可以选择查看发包速率、流量速率或者流速率。

[E]这个区域中可以选择让图表以线性方式、指数方式显示或者以堆积图或者线

图显示。一般来说，以线性方式+堆积图的方式显示比较直观。

[F]这里可以选择时间标的类型，包括某一时刻（Single Timeslot）或者一段连

续时间内（Time Window），当选择一段连续时间内（Time Window）时，

[B]区域内的时间标可以分别向左右两个方向拖动，以选择一段连续的时间。

并且，在这个区域内还可以通过选择Display来选择半天、一天、两天、四天、一周、两周、一个月的时间来显示图表。结合时间标的选择（某一时刻或者一段连续时间内），可以做到某一段精确时间内的网络参数查询。此外，在[F]区域内还有一些向录音机按钮一样的按键，通过这些按键可以快速的控制时间标，这个非常简单，可以由大家自己去体会。

[G]此区域内主要以表格形式显示了所有协议的发包速率、流量速率和流速率。

拖动时间标，[G]区域内的数字也会随之改变。此外，选择总量（Sum）可以在表格中显示总发包数、总流量、总流数，选择速率（Rate）则可以显示发包速率、流量速率、流速率。最后，大家可以看到表格的最左侧有IDC和BJENET两行，这是因为在本示例中这台Nfsen服务器接收了2个Netflow 数据源的缘故。因此，也可以看出一台Nfsen服务器可以同时分析多个Netflow数据的。

那么我们可以举一些例子来帮助大家更好的使用Details选单来了解网络运

NETFLOW配置及软件

一、测试环境介绍 1、硬件1台6509交换机，1台3745路由器 IOS (tm) c6sup2_rp Software (c6sup2_rp-JS-M), Version 12.1(22)E6, RELEASE SOFTWARE (fc1) System image file is "disk0:c6sup22-js-mz.121-22.E6.bin" IOS (tm) 3700 Software (C3745-IS-M), Version 12.2(13)T5, RELEASE SOFTWARE (fc1) System image file is "flash:c3745-is-mz.122-13.T5.bin" 2、软件solarwinds NetFlow Traffic Analysis 3.0、 ManageEngine_NetFlowAnalyzer_7002、二、硬件配置 1、NETFLOW配置文档。 2、6509配置 mls netflow mls flow ip destination-source mls nde sender version 5 (我们的设备只有版本5) ip flow-export source Loopback0 （如果有L0接口用其他接口也可以） ip flow-export version 5 ip flow-export destination 192.168.4.165 2055 （2055是SOLAR公司的NETFLOW端口，9996端口是manangeengine公司的端口。两个端口号都是UDP 协议）到此配置结束通过下面命令显示配置结果 CAT6509_1#show mls nde Netflow Data Export enabled Exporting flows to 192.168.4.165 (2055) Exporting flows from 218.30.64.33 (57965) Version: 5 Include Filter not configured Exclude Filter not configured Total Netflow Data Export Packets are: 612381 packets, 0 no packets, 16537978 records Total Netflow Data Export Send Errors: IPWRITE_NO_FIB = 0

网络流量在线分析系统的设计与实现

综合实训报告题目：网络流量在线分析系统的设计与实现

信息学院计算机科学系目录一、实训目的 (3) 二、实训内容 (3) 三、主要设备及环境 (3) 四、设计与步骤 (4) 五、过程与调试 (22) 六、整理与小结 (23) 七、参考文献 (24) 八、附录 (25)

一、实训目的设计并实现一个网络流量的分析系统。该系统具有以下功能：（1）实时抓取网络数据。（2）网络协议分析与显示。（3）将网络数据包聚合成数据流，以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。（4）计算并显示固定时间间隔内网络连接（双向流）的统计量（如上行与下行的数据包数目，上行与下行的数据量大小等）。在这些统计数据的基础上分析不同网络应用的流量特征。二、实训内容（1）能够实时抓取网络中的数据包。并实时显示在程序界面上。用户可自定义过滤条件以抓取所需要的数据包。（2）分析各个网络协议格式，能够显示各协议字段的实际意义。例如，能够通过该程序反映TCP三次握手的实现过程。（3）采用Hash链表的形式将网络数据以连接（双向流）的形式存储。（4）计算并显示固定时间间隔内网络连接（双向流）的统计量（如上行与下行的数据包数目，上行与下行的数据量大小等）。例如，抓取一段时间（如30分钟）的网络流量，将该段时间以固定时长（如1分钟）为单位分成若干个时间片，计算网络连接在每一个时间片内的相关统计量。并在上述统计数据的基础上分析不同应用如WEB、DNS、在线视频等服务的流量特征。注意，可根据实际的流量分析需要自己定义相关的统计量。三、主要设备及环境硬件设备：（1）台式计算机或笔记本计算机(含网络适配器) 软件设备：（2）Windows操作系统（3）网络数据包捕获函数包，Windows平台为winpcap

道路交通流量分析

问题描述交通拥堵是困扰当前城市交通的重要难题，随着国民经济的快速发展和城市化进程的不断加快，我国的机动车的拥有量及道路交通流量都必将会急剧地增加，日益增长的交通需求和城市道路基础设施建设将会成为当前城市交通的主要矛盾，因此，交通拥挤和阻塞现象必然会频繁发生。在很多城市的交通拥堵问题，严重地影响了人们的日常出行活动，造成了时间的浪费、工作的耽误，直接或间接的带来了相当大的经济损失，制约了城市经济的发展。问题定义及分析交通拥堵是指在一定时间内想要通过某路段的车辆总数（交通需求）超过了某路段在该段时间内道路所能通过的最大车辆总数（道路的通行能力），从而导致车辆滞留在道路上的交通现象。道路对交通的供给，是通过道路的通行能力来反映的，导致路段单元道路通行能力变化的原因有很多，主要有以下几个方面： 1)驾驶员和行人等的安全交通意识，如闯红灯、超车等 2)非机动车对交通的影响 3)雨、雪、雾等恶劣天气的影响 4)交通事故 5)道路本身的通行能力车辆在以自由状态行驶的时候，时间是与距离成正比的，但是在实际的城市道路中，车辆不可能以自由状态行驶。行驶过程中会受到各种干扰因素的影响，或多或少的阻碍了车辆运行过程中的通畅程度。路段行驶时间和流量的关系建模进行道路交通流量分析建模的主要目的： 1)分析目前交通网络的运行状况 2)发现当前交通网络的缺陷，为后面交通网络的规划设计提供依据 3)评价交通网络规划方案的优劣性、合理性

4)最大限度的减少交通阻塞的发生，提高交通系统服务水平由交通流理论可知，交通量(Q)、速度(V)和密度(K)三参数之间的关系为 () 1Q KV =其中，Q 为路段的车流量，K 为路段车流密度，V 为路段行车速度。当某一段公路上的交通量逐渐增大,达到/1Q C =时,道路上的车辆将开始产生拥挤，此时所计算到的交通密度称为最大密度,用j K 来表示,而j K 所对应的交通量就是路段通行能力C 。此时如果该路段的车辆仍不断增加,将最终导致交通阻塞，从而使速度最后达到零，整个路段道路(车道)被车辆全部占据，我们称此时道路上的交通密度为交通阻塞密度(又称为最大密度max K )对应的交通量显然为零。理论上通过该路段的时间为无限长，这种规律关系见下图。又由速度-密度的线性关系表达式可知 ()() max 2f f V V K V K K =-其中，f V 为自由流行驶时的行车速度，max K 为路段拥堵到流量为0时的车流密度，其它的同式(1) 由(1)式和(2)式可知路段流量和路段车流密度之间的关系为 ()() 2max 3f f V Q K V K K K =-

网络流量论文：网络流量分析预测系统的设计与实现

网络流量论文：网络流量分析预测系统的设计与实现【中文摘要】网络技术的发展导致了其应用和规模不断扩大,同时,大量不同类型的网络设备应用于网络的构建中,一方面扩展了网络所提供的业务各类的能力,另一方面也使其更容易出现故障。通过网络流量的分析和预测,可以实现许多网络故障和性能问题的检测, 已经成为一个检测网络故障和性能问题的有效方法,是提高网络的质量。本文首先分析了网络流量行为的分析与预测相关的知识及技术,涉及到:数据采集、流量分析、流量预测以及数据挖掘等。其次,通过对Apriori和FT-Tree算法的分析,指出其应用的方法以及存在的问题,为了解决这些问题,利用聚类挖掘算法对网络流量进行分析,指出其优点。根据聚类算法的特点,设计了系统的体系结构以及部署方式,并根据网络流量研究的流程,从数据采集、流量分析、行为预测、决策响应等方面研究了系统的实现,最后,以系统测试的方式验证了本文所研究的网络流量分析与预测系统的可用性及有效性。【英文摘要】With the rapid development of internet technology and the wide application of network, the scale of network expands quickly. Meanwhile, a wide variety of network devices have been applied to the construction of network. It not only expanded the network capacity, but also increases the failure rate. However, with the purpose of improving the network quality, the analysis and prediction of Network traffic

网络流量、应用性能分析、故障定位分析方案

. XX省农信社基于产品的网络流量、应用性能分析、故障定位分析项目测试报告 2019年6月11日

1概述随着大量新兴技术和业务趋势的推动，用户的网络架构、业务系统和数据流量日趋庞大、复杂。为了保证网络和业务系统运行的稳定和畅通，我们需要对网络及业务系统进行全方位监测，以确保网络及应用系统可以正常、持续地运行。应用性能管理是一个新兴的市场，其解决方案通过监控应用系统的性能、用户感知，在应用出现异常故障时，帮助用户快速的定位和解决故障，其标准的需求如下： ?通过网络流量分析工具，掌握各级网络运行的趋势和规律，主动、科学地进行网络规划和策略调整，将网络管理的模式从被动变为主动： ?通过网络流量分析工具，实时监控网络中出现的非法流量，及时采取管控措施，保障应用系统的安全运行； ?应用系统出现问题（如运行缓慢或意外中断时，）通过网络流量分析工具可回溯历史网络流量，快速找出问题的根本原因并及时解决。 ?网络拥堵时，通过网络流量分析工具快速判断是正常应用系统占用了带宽还是异常流量占用了带宽，立即执行相应、有效的控制措施。 ?从最终用户感知的角度，提供多维度的应用性能监控，实时掌握应用系统的性能状况； ?7×24小时实时监控各区域用户的真实使用体验，及时发现用户体验下降，并及时作出相应的处理，提升用户满意度。 ?当故障发生时，快速定位故障域，缩短故障分析时间，降低故障对最终用户造成的影响，提高系统的运维质量。年APM市场全球分析报告与魔力象限分析，Riverbed(OPNET)公司已经成为全球这个领域的领导者。 OPNET公司的客户群体非常广泛，国内的用户包括中国移动、中国网通、中国电信、信息产业部电信规划研究院，中国农业银行总行，民生银行，新华人寿，中国海关总署，银河证券，国信证券，电信设备供应商中包括华为、大唐电信、摩托罗拉、中兴电子及西门子等。

网站流量统计分析总结

网站流量统计分析总结什么是网站流量分析？网站流量分析，是指我们在获得网站访问量基本数据的情况下，对有效数据进行统计、分析，从分析结果中发现用户访问门户网站的规律，并将这些规律与门户的运营策略相结合，从而发现目前门户运营活动中可能存在的问题，并且为我们进一步修正或重新制定门户运营策略提供依据。说得简单一些，就是通过网站的流量数据来分析我们前期门户运营的情况如何。网站流量分析对网络营销有哪些作用？在网络营销评价方法中，网站访问统计分析是重要的方法之一。分析的结果，是形成一份网站访问统计报告。通过这份报告，我们不仅可以了解前期的网络运营所取得的效果，而且可以从统计数字中发现许多有说服力的问题。如何进行流量统计分析？网站在上线后，需要通过对网站访问数据进行分析研究，诊断出网站优化、网站推广的效果，发现在网络营销中可能存在的一些问题，并进行网络营销策略的修改，这在网络营销中是不可或缺的一个环节。在使用流量统计工具时应该做到每个页面都要放置流量统计代码，这样统计出来的数据才更完整，分析出来的结论才更科学。网站的流量统计分析，大致可以从下面几个方面着手：

1、来路统计分析来路统计分析主要是对用户通过什么途径来到网站进行统计，包括下面几种情况：搜索引擎、直接点击量、推介网站、广告系列等。 2、关键字分析关键字分析主要是对关键字来源，关键词分类，搜索引擎通过什么关键字来到网站，这些关键字是否包括网站的核心关键字，关键字的排名等进行分析，找出哪些网站核心关键字还没有带来访问量，哪些关键字可以进行排列组合扩展出新的关键字等。 3、访问者分析访问者分析是网络营销效果最直接的表现形式之一，其中包括访问次数、独立IP、综合浏览量、平均综合流量量、网站停留时间、新访者和回访者、访问者忠诚度等。（1）独立 IP 表示，拥有特定唯一 IP 地址的计算机访问您网站的次数。一般情况下，同一级别的网络（例如某个局域网、社区网、教学楼网）范围内的 IP 很有可能是唯一的。（2）独立访客数量（UV）表示包括一天中多次来访的访客在内的次数，而且是根据 IP 和 Cookies 两个属性来进行判断的。比如说张三今天访问你的网站三次，那么张三算做一个独立访客。如果张三在你的门户上注册了一个会员，他的弟弟看了看，注册了另一个会员。由于两个人的 IP 相同，但根据 Cookies 可以判断这是属于两个不同的用户，因此算做两个独立访客。

网络流量采集分析解决方案技术白皮书

网络流量采集分析解决方案（NSC&NDA）技术白皮书
华为技术有限公司 Huawei Technologies Co., Ltd.

网络流量采集分析方案（NSC&NDA）技术白皮书
目
1. 2.
录
前言..................................................................................................................................................1 NSC&NDA解决方案简介..............................................................................................................2 2.1. 2.2. NetStream概念 ........................................................................................................... 2 NSC&NDA解决方案组成 ............................................................................................ 4
3.
NSC&NDA解决方案关键特性......................................................................................................5 3.1. 3.2. 3.3. NDE关键特性.............................................................................................................. 5 NSC关键特性.............................................................................................................. 6 NDA关键特性.............................................................................................................. 7
4.
NSC&NDA解决方案典型应用......................................................................................................8 4.1. NSC&NDA解决方案部署策略 ..................................................................................... 8 NDE部署策略 .................................................................................................................9 NSC部署策略 ..................................................................................................................9 NDA部署策略 ...............................................................................................................10
4.1.1. 4.1.2. 4.1.3. 4.2. 4.3. 5.
NSC&NDA宽带公众网络运营商解决方案 ................................................................. 10 NSC&NDA承载网解决方案....................................................................................... 12
结束语............................................................................................................................................12
附录A 缩略语 .......................................................................................................................................12
Copyright ?2005 华为技术有限公司
版权所有，侵权必究
i

网站分析中常见的流量变化原因

网站分析中常见的流量变化原因本篇文章我们将讨论网站流量变化背后的原因。我们将深入到各个细分流量中，如：直接流量，付费搜索品牌词等等。针对每一组细分流量背后可能的原因进行分析。下面我们就开始逐一列举分析。一，直接流量直接流量通常是指访问者直接输入网址或从收藏夹中访问网站的流量，但在现实中情况要复杂的多，所有无法获得引荐来源的流量都被归为直接流量，例如：来自聊天工具QQ，MSN 的流量，或者来自邮件客户端的流量都会因为没有来源信息而被归为直接流量。了解了直接流量的组成后，我们来分析下可能引起直接流量变化4种原因。 1品牌广告品牌广告是造成直接流量变化的第一个原因。所谓品牌广告，我的理解就是除了网站名称或网址外啥信息也没有的那种。场景分析：品牌广告最直接的目的就是让用户记住并访问网站，如果网址简洁又好记的话，用户会直接记住网站地址访问网站。这就造成了直接流量的增长。而如果网址较长那么用户会记住网站名称或某个slogan然后通过搜索引擎访问网站，这与直接访问无关，是我们后面要介绍的内容。 2热点事件热点事件是造成直接流量变化的第二个原因。这里的热点事件既包括正面事件也包括负面事件。无论是网站自己制造的病毒营销还是因某个失误被网友发现并放大。当网站因为热点事件被广泛关注时，流量肯定也会随之增长。场景分析：热点事件引起直接流量变化的理由很简单，想一下我们平时都是如何获得这类信息的，又是如何将这些信息分享给朋友的。是的，聊天工具QQ或者MSN。当我们在QQ群里看到带有链接的信息，并点击访问时。这次访问将被记录为了直接流量。 3内部访问内部访问是造成直接流量变化的第三个原因。内部访问是指网站或公司内部人员访问网站产生的流量。通常网站都会屏蔽掉来自内部IP的访问量，但如何没有屏蔽或者因为某种原因无法屏蔽时，内部访问就成了影响直接流量的主要原因了。场景分析：网站或公司内部员工会如何访问自己的网站？去搜索引擎搜公司名称？去找网站广告点进来？他们一定是直接输入网址访问网站，最差也是把网站放在收藏夹里然后点击访问的。大部分浏览器都有网站提醒功能，并且内部员工每天都需要频繁的访问网站，所以直接输入网站域名首字母，然后选择网址访问已经是最方便的一种方法了。所以，内部员工的访问量大部分都属于直接流量。这里要特别说明下，如果你网站的内部员工数量少，不会对流量和指标造成太大影响，但如 1

netflow安装过程

Netflow安装步骤一、安装linux 操作系统，安装是要把apche(www服务器)组件和development tools(编译安装工具)选上二、部署flow-statcgi Flow-statcgi是一个基于flow-tools的browse/server结构（cgi）的NetFlow数据分析工具。 2.1cisco设备的设置 cisco设备的NetFlow支持,首先要培植cisco设备，使之产生NetFlow数据，输出到服务器的2055端口上。 2.2安装flow-tools 0.56 使用flow-tools来接收NetFlow数据，并保存成文件。为了顺利编译flow-statcgi，要将flow-tools的源文件解压缩到/root下： 1．将flow-tools-0.56.tar.gz复制到服务器的/root目录下。 2．cd /root ; tar zxvf flow-tools-0.56.tar.gz ; cd flow-tools-0.56(这是三个命令用一行执行) 3．./configure 4．make 5．make install 2.3安装apache server 使用apache server来做http服务器。由于各apache server的配置不一样，在flow-statcgi中假设cgi-bin目录为/var/www/cgi-bin，www目录为/var/www/html。如果有变动，需要修改flow-statcgi.c中的“DEBUGFILENAME”、make_flow_cgi.sh中的“/var/www/cgi-bin/” 三、编译和安装flow-statcgi 3.1预处理 1．将flow-statcgi.c复制到/root/flow-tool-0.56/src/，将flow-statcgi.temple.html复制到/var/www/cgi-bin/（cgi所在目录），将flow-statcgi.log.html复制到 /var/www/html/（html所在目录），注意要在这里把flow-statcgi.log.html的属性加个可写属性。 2．修改flow-statcgi.c中的“DEBUGFILENAME”（要改成html文件所在的位置）、“DataDir”（要改成flow-tool数据所在目录） 3．修改flow-statcgi.c中的“isip”部分，同时修改“ISIPCOUNT ”、“isipdesc”，“isip”。详细说明见《Flow-statcgi使用说明》中的“预定义条件”。 3.2编译、安装把make_flow_cgi.sh这个文件拷贝到/root目录下，修改make_flow_cgi.sh中的“/var/www/cgi-bin”为cgi所在目录。执行一下命令进行编译、安装“sh make_flow_cgi.sh flow-statcgi”，这样会在cgi目录下面生成一个flow-statcgi的cgi文件。其中编译之后会出现警告信息，可以忽略不管。四、运行flow-tools 1．把startflowreceive.sh和starflowcapture.sh这两个shell命令文件拷到/root目录下2．执行“sh startflowreceive.sh”命令 3．执行“sh startflowcapture.sh”命令

网络流量分析解决方案

1 网络流量分析解决方案方案简介 NTA网络流量分析系统为客户提供了一种可靠的、便利的网络流量分析解决方案。客户可以使用支持NetStream技术的路由器和交换机提供网络流量信息，也可以使用DIG探针采集器对网络流量信息进行采集。并且可根据需求，灵活启动不同层面（接入层、汇聚层、核心层）的网络设备进行流量信息采集，不需要改动现有的网络结构。 NTA网络流量分析系统可以为企业网、校园网、园区网等各种网络提供网络流量信息统计和分析功能，能够让客户及时了解各种网络应用占用的网络带宽，各种业务消耗的网络资源和网络应用中TopN流量的来源，可以帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提供丰富的网络流量分析报表。帮助客户在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策。2方案特点 ● 多角度的网络流量分析 NTA网络流量分析系统可以统计设备接口、接口组、IP地址组、多链路接口的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速率的比例。 NTA网络流量分析系统可以从多个角度对网络流量进行分析，并生成报表，包括基于接口的总体流量趋势分析报表、应用流量分析报表、节点（包括源、目的IP）流量报表、会话流量报表等几大类报表。 ● 总体流量趋势分析总体流量趋势报表可反映被监控对象（如一个接口、接口组、IP地址组）的入、出流量随时间变化的趋势。图形化的统计一览表提供了指定时间段内总流量、采样点速率最大值、采样点速率最小值和平均速率的信息。对于设备接口，还可提供带宽资源利用率的统计。支持按主机统计流量Top5，显示给定时间段内的流量使用在前5位的主机流量统计情况，以及每个主机使用的前5位的应用流量统计。同时还支持流量明细报表，可提供各采样时间点上的流量和平均速率

流量透明化-IPFIX流量分析解决方案技术白皮书

目录 1 方案背景 (1) 1.1 问题的提出 (1) 1.2 问题的归纳 (1) 1.3 问题的解决 (2) 1.3.1 网管方式 (2) 1.3.2 数据包监听方式 (2) 1.3.3 基于流（Flow）技术的方式 (2) 1.3.4 解决方法的评估 (3) 2 IPFIX技术介绍 (4) 2.1 IPFIX技术概述 (4) 2.2 IPFIX技术价值 (6) 3 网络透明化解决方案 (7) 3.1 解决方案组成 (7) 3.2 Exporter设备功能 (8) 3.3 Collector设备功能 (8) 3.4 Analyzer设备功能 (8) 3.5 Analyzer设备报表 (9) 3.6 业务功能展示 (10) 3.6.1 网络用户分区管理 (10) 3.6.2 应用流量分析 (11) 3.6.3 流量目标地址统计 (13) 3.6.4 带宽使用实时统计 (14) 3.6.5 网内流量趋势 (16) 3.6.6 高效便捷的流量管理 (16) 4 网络透明化解决方案组网模式及应用 (18) 4.1 网络透明化解决方案组网模式 (18) 4.2 网络透明化解决方案应用 (19) 5 结束语 (21)

1 方案背景1.1 问题的提出 “无法被量化的将无法改进”。管理和优化网络首先要进行测量。随着IT、网络技术的迅猛发展和企业信息化程度的不断提高，各种网络应用越来越丰富，各种应用时时刻刻都在争夺有限的网络带宽，从而导致网络管理的难度不断增大。因此，如何保证网络的可用性和关键业务的畅通运行，对用户业务发展将起到至关重要的作用。随着网络的规模越来越大，IT服务的完善，网络管理者也会提出一下问题： 1. 当前的上网流量占用多大带宽？这些带宽主要谁在占用？这些占用是允许的吗？在 WWW 访问之外，是不是有大量的FTP 等下载？是允许的吗？ 2. DMZ 区的服务器有多少是内网用户在访问，有多少是外网用户在访问？如果是内网用户访问多（比如DNS），是不是考虑将其迁移到服务器区？外网用户的访问有时间规律吗？ 3. 外联的服务器是提供特定用户访问吗？哪个访问流量最大？最大流量占用的用户是合法的吗？服务器是不是该扩容了？有非法用户访问这些服务器吗？ 4. 这些关键的业务服务器的带宽够用吗？是不是考虑一台服务器提供多个业务服务或者多台服务器提供一个业务服务？除了生产业务外，这些服务器是不是还提供其它无关的业务，导致影响性能？谁访问这些服务器更多一些？这些服务器在哪个时间段最繁忙？ 5. 部门用户用于工作（访问业务服务器）的流量有多大？用于上网的流量有多大？谁更多地使用互联网？是必要的吗？谁占用的网络带宽最大？这些占用是必要的吗？哪个用户在非法扫描网络？是否有用户提供非法的下载（WWW/FTP）服务？ 1.2 问题的归纳这些问题都是流量分析问题。归结起来，所有的流量问题大致包含： 1. 这些宝贵的网络带宽谁在占用？一定时间内，谁占用最多？ 2. 这些流量到底包含哪些内容？是数据库通讯，还是ping，还是网页访问HTTP，还是FTP 下载？ 3. 这些流量是生产业务产生的流量吗？是必要的吗？

基于NetFlow的网络流量采集技术和应用

第31卷　第23期 2009年12月武　汉　理　工　大　学　学　报JOURNA L OF WUHAN UNIVERSIT Y OF TECHN OLOG Y Vol.31　No.23　Dec.2009DOI :10.3963/j.issn.167124431.2009.23.037 基于N etFlow 的网络流量采集技术和应用孟晓蓓 (武汉大学计算机中心,武汉430072) 摘　要:　针对计算机网络状况监控领域的实际需要,提出了基于Net Flow 的流量采集技术。相比其它的流量采集工具,Net Flow 的流量采集技术具有配置方便,费用低,占用资源小的优点。分析了Net Flow 交换技术采集网络流量信息的实现原理。并从计算机网络的网络层和传输层2个方面,讨论了Net Flow 网络流量采集技术在网络信息安全方面的相关应用。关键词:　流量采集;　Net Flow ;　网络攻击中图分类号:　TP 393.06文献标识码:　A 文章编号:167124431(2009)2320155204 N et work Flux Collection T echnique B ase on N etFlow and Its Application M EN G Xiao 2bei (Computer Center ,Wuhan University ,Wuhan 430072,China ) Abstract :　This paper proposes the network flux collection technique based on net flow according to practical requirements in the field of monitoring the status of computer https://www.360docs.net/doc/3e8980839.html,pared to other flux collection tools ,Net Flow has advantages of con 2venient configuration ,low cost and small occupied resources.This paper analyses the principle of realization of Net Flow ex 2change technique collecting network flux information.Then both from the network layer and transport layer ,the paper discuss 2es some relevant applications of Net Flow network flux collection technique using in network information security areas. K ey w ords :　flux collection ;　Net Flow ;　network attack 收稿日期:2009207209. 作者简介:孟晓蓓(19572),女,高级实验师.E 2mail :meng1025@https://www.360docs.net/doc/3e8980839.html, 随着Internet 和Intranet 的发展,网络用户、接入设备日益增长,对计算机网络的安全运行产生了压力。因此,计算机网络状况的实时监控的工作,显得十分必要。计算机网络状况的实时监控的一个重要环节,就是网络上的数据流量进行统计和分析。由于各种各样的应用对网络带宽的需求越来越高,传统的网络流量统计和数据采集方式开销大、对数据传输延时的影响大,已经不能满足现在的需求,因此,需要一种新的流量统计技术来适应现在的网络环境。Net Flow 技术正是这样的能适应新环境的流量采集方法。 1　网络流量采集的特点和方法理想的数据采集方式应该具备以下一些特点[1]: 1)不影响数据流转发的速度　在整个数据流的采集过程中,不能有明显影响数据流转发速度的状况发生。如果在数据采集的过程中,数据流转发的速度明显下降,不能真实地反映网络流量状况,这违背数据采集的根本目的。 2)占用资源小　对数据流进行采集的过程中,可能需要在路由器(交换机)中进行流量统计,并且储存所

网站流量各类指标分析

网站流量各类指标分析 UV(独立访客)：即Unique Visitor,访问您网站的一台电脑客户端为一个访客。00:00-24:00内相同的客户端只被计算一次。 PV(访问量)：即Page View, 即页面浏览量或点击量，用户每次刷新即被计算一次。IP(独立IP)：指独立IP数。00:00-24:00内相同IP地址只被计算一次。雅虎统计指数(YSR)：通过来源带来的PV、UV、IP，以及用户停留时间、访问情况、用户行为等因素综合分析按不同权重计算得到的，评判来源质量的指数，指数越高，表明来源质量越高。现在大多数的统计工具只统计到IP和PV的层面上，因为在大多情况下IP与UV数相差不大。但由于校园网络、企业机关等一些部门的特殊性，IP已经很难真实的反映网站的实际情况，所以引入了更加精确的UV这个概念。所有UV与IP对于是使用真实IP上网的用户，数值是相同的。但是如果访问你的站点中有通过“网络地址转换”（NAT）上网的用户，那么这两个值就不同的。所有对于国内站长来说，这个UV值还是很有意义的。那么什么情况下UV 会比IP少? 一般情况下，统计UV数应该大于等于IP数，但有些情况下，有可能UV数会小于IP数： 1)IP地址是绝对的，从TCP链路上取的，真实的，不唯一的； 2) UV设置的cookie，随机设置的，可重复的，只是重复概率足够小； 3) 移动笔记本不时的更换IP，可以导致这种问题； 4) 客户端禁用cookie或者客户端安全级别高会导致cookie设置不上，会出现这种问题； 5) 如果采用的图片统计，由于拿不到cookie会出现这种问题；雅虎统计指数(YSR)：通过来源带来的pv、uv,ip，以及用户停留时间、访问情况、用户行为等因素综合分析按不同权重计算得到的，评判来源质量的指数，指数越高，表明来源质量越高。新访客：某客户端首次访问为一个新访客。最近访客：最近一段时间内访问您网站的客户端。目前显示50条。当前在线人数：15分钟内在线访问的UV数。 24小时独立IP：指每小时独立的IP地址。因为该数据每个小时是独立的，所以叫24小时独立的IP。例如192.168.1.1 0点-1点访问了您网站在这个时段算一个IP。如果192.168.1.1 0点-1点再次访问您的网站去重不计算IP。如果192.168.1.1 1点-2点又访问您的网站在这个时段也算一个IP。最高IP : 指选择时间段范围内，某日访问IP最多的数值。最高PV：指选择时间段范围内，某日访问量最高的数值。日均流量：指选择时间范围内，平均每日流量。(日均流量=总访问量/总天数) 人均访问量：指选择时间范围内，每个访客访问网站的PV数。(计算公式：人均访问量=访问量/唯一访客数)。访问过程：每个访问者从进入您的网站开始访问，一直到最后离开您的网站，整个过程中发生的一切点击访问行为，称为一次访问过程。访问入口：每次访问过程中，用户进入的第一个页面为访问入口页面。访问出口：每次访问过程中，用户结束访问，离开前点击的最后一个页面为访问出口页面。平均停留时间：所有访客的访问过程，访问持续时间的平均值。平均访问页数：所有访客的访问过程，连续访问页面数的平均值。

流量分析产品介绍

流量分析产品介绍（2006-2）

SiteView FA产品介绍产品概述细致、深入、全面的流量分析系统 SiteView流量分析即SiteView Flow Analyzer（英文缩写:SiteView FA），提供对网络设备流量、网络流量和网络营运业务三个层面细致、深入的分析，具有强大的报表自定义功能，能够提供体贴周到的报表定制和网络分析服务，完全可以满足用户对与所有网络流量相关的日常工作的监控和管理需要。 SiteView FA——产品架构图应用SiteView FA进行流量统计，可以帮助企业实现以下几个方面的管理： 1、网络监控。提供实时的网络监测，用图形化的方式展现路由器或交换机的流量信息，有利于用户尽早发现并解决网络故障。 2、网络规划与分析。SiteView FA为网络规划提供了重要的数据信息，可以尽可能的协助用户降低网络运营费用，优化网络性能，提高网络可靠性。 3、应用监控。SiteView FA可以提供详细的各种应用网络资源占用情况信息，以便内容商和服务提供商更好的规划和分配网络资源来满足客户的需求。 4、用户监控。网络管理员可以获得用户对网络资源的使用情况信息，以利于进行网络优化。 5、网络资源数据分析和挖掘。SiteView FA数据可用于构建数据仓库，进行数据分析和挖掘，从战略层面上预测资源的需求，使业务部门能够积极满足更新的业务需要。

SiteView FA不但提供了网络设备流量监视、服务器流量监视和网络流量监视，而且从业务层面提供了业务设备投资分析、网络优化分析、业务流量分析、内外网资源利用分析、区域资源利用分析、网间流量分析和出口带宽分析等等。另外，SiteView FA还提供了网络异常分析和网络安全分析。对于上述各种分析,都可提供网络历史、网络现状和趋势预测分析报表。特点如下： 1、强大的流量分析功能，从业务、网络、设备三个层面为用户提供完善的分析报告，充分满足用户需求，为用户实现开源、节流、控制营运风险提供有力帮助； 2、具有适应大型、多节点网络的能力，适应多厂商平台设备、多操作系统的混杂环境； 3、采集数据不占用太多的网络带宽，不会对网络的正常营运造成不良影响； 4、开放的体系，具有用户自定义功能，可与其它系统集成； 5、采用分布式架构，模块化程度高，具有良好的可扩展性，可以帮助用户实现平滑过渡； 6、系统引入了数据仓库等技术，有效保证了系统对海量数据的处理性能； 7、采用WEB方式，界面采用FLASH实现，美观大方，易于使用； 8、根据用户需求量身定制，并提供网络分析服务。下图显示了某个接口或IP组在所选时间里进出的分别基于流量、速度、利用率的总值、最大值、最小值和平均值。 SiteView FA——流量图主要功能灵活监控和分析流量运行状况 SiteView FA从设备组流量管理、IP组流量管理、流量定制、用户管理等方面为IT管理人员提供强大了的流量分析和管理功能，可帮助用户灵活和方便的监控和分析流量和带宽利用状况。通过对网络内流量进行分析，SiteView FA能够收集并分析从路由器和交换机导出的有关IP流量的重要信息，同时提供与企业带宽

H3C网络流量分析解决方案

方案背景随着网络的应用越来越广泛，规模也随之日渐增长，网络中承载的业务也越来越丰富。企业需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题： 1、网络的可视性：网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？ 2、应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？ 3、用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？从这些企业管理网络中所经常遇到的问题来看，需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形，使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。为了应对企业网络管理中的这些问题，于是，H3C公司的NTA（Network Traffic Analysis）解决方案应运而生！所谓的工欲善其事，必先利其器，NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题、网络异常现象，也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考，并方便网络管理员及时解决网络异常问题。 NetStream技术介绍在理解Network Traffic Analysis解决方案之前，首先需要了解NetStream的一些基本概念，它们是该解决方案的基础。

“流”概念 NetStream的流定义为：由源到目的方向的一系列单向的数据包。 NetStream流是通过7元组来标识的，即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流，设备根据七元组信息对过往的数据包进行NetStream统计。下图中就包括四条流：从Client A到WWW Server方向通信时产生的流；从WWW Server到Client A方向通信时产生的流；从Client B到FTP Server方向通信时产生的流；从FTP Server到Client B方向通信时产生的流；图1 网络中流的举例说明从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。形象地说，通过NetStream流可以记录下来网络中who、what、when、where、how。