流量監(jiān)測技術(shù)及在IP網(wǎng)絡(luò)維護管理中的應(yīng)用(共12頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上流量監(jiān)測及其在IP網(wǎng)絡(luò)維護管理中的應(yīng)用摘要：對IP網(wǎng)絡(luò)的流量進行監(jiān)測和分析，能夠掌握并優(yōu)化網(wǎng)絡(luò)運行狀況，增強網(wǎng)絡(luò)運行的可靠性和安全性，有效地進行網(wǎng)絡(luò)的規(guī)劃和設(shè)計，了解用戶使用網(wǎng)絡(luò)的情況，應(yīng)用業(yè)務(wù)的分布情況，為新的數(shù)據(jù)業(yè)務(wù)的開發(fā)提供依據(jù)。同時，對現(xiàn)有基于SNMP/RMON協(xié)議，數(shù)據(jù)采集探針，協(xié)議分析儀表， NetFlow/sFlow的四種流量監(jiān)測技術(shù)進行了分析和比較。并對js綜合信息網(wǎng)上應(yīng)用的流量監(jiān)測技術(shù)進行了介紹。關(guān)鍵詞：IP網(wǎng)絡(luò) 流量分析 流量監(jiān)測技術(shù) js綜合信息網(wǎng)隨著IP業(yè)務(wù)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴張，網(wǎng)絡(luò)結(jié)構(gòu)日益復雜，如何有效地對網(wǎng)絡(luò)進行管理使之高效、穩(wěn)定運行

2、，已成為IP網(wǎng)絡(luò)管理日趨重要的工作內(nèi)容。目前網(wǎng)絡(luò)上使用的管理手段主要是完成故障管理、配置管理、計費管理、性能管理及安全管理等傳統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)的五大功能，而對于網(wǎng)絡(luò)中流量分布、流量組成等有關(guān)流量的生成因素缺乏相應(yīng)的管理手段，使得IP網(wǎng)絡(luò)管理中的分析研究不能形成全方位、深層次的管理功能，不能很好地發(fā)揮網(wǎng)絡(luò)管理作用，也就不能為IP網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)、更有效的技術(shù)支撐和技術(shù)服務(wù)。因而，我們有必要加強網(wǎng)絡(luò)流量的管理和分析，有必要對網(wǎng)絡(luò)維護管理中作用越來越大的流量分析加以積極應(yīng)用，進而有效地提高IP網(wǎng)絡(luò)管理的分析研究功能，進一步提高網(wǎng)絡(luò)管理的地位和作用。1流量監(jiān)測的目標對網(wǎng)絡(luò)整體流量的監(jiān)測，目的

3、是通過對流量的監(jiān)視，保證IP網(wǎng)絡(luò)能夠長時間安全可靠的運行，不會因為某些突發(fā)的異常流量對網(wǎng)絡(luò)正常運行造成嚴重的影響，甚至癱瘓。對不同用戶、不同業(yè)務(wù)的流量組成進行監(jiān)測，可保證各類業(yè)務(wù)的順利開展，可保證合法客戶的網(wǎng)絡(luò)帶寬資源和通信質(zhì)量。對流量監(jiān)測的需求主要體現(xiàn)在：實時監(jiān)測和統(tǒng)計網(wǎng)絡(luò)流量、全面分析網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)分布、異常流量的監(jiān)測和告警等三個方面。1.1實時監(jiān)測和統(tǒng)計網(wǎng)絡(luò)流量實施流量分析功能可以通過對網(wǎng)絡(luò)中繼鏈路流量的長期實時監(jiān)測、統(tǒng)計，掌握各中繼流量的變化趨勢，對網(wǎng)絡(luò)擴容提供數(shù)據(jù)依據(jù)；通過對流量的長期監(jiān)測，形成流量分布的基線圖；通過設(shè)定警戒線，及時發(fā)現(xiàn)捕捉異常流量，并進一步分析排除產(chǎn)生異常流量的根源。

4、1.2全面分析網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)分布傳統(tǒng)的網(wǎng)管系統(tǒng)只能取得設(shè)備接口的流量統(tǒng)計數(shù)據(jù)，僅能實現(xiàn)流量的量化功能，對于流量的組成、來源、目的地及應(yīng)用等各種數(shù)據(jù)參數(shù)及其比例分析則無法得到。而這些是提高網(wǎng)絡(luò)性能、合理規(guī)劃網(wǎng)絡(luò)及業(yè)務(wù)決策等的重要數(shù)據(jù)依據(jù)。通過對端到端網(wǎng)絡(luò)層流量的詳細分析，可以獲知不同用戶和不同網(wǎng)段的流量組成以及流量去向，掌握各種業(yè)務(wù)對網(wǎng)絡(luò)帶寬的占用情況，為重點用戶或重要任務(wù)保障提供基礎(chǔ)數(shù)據(jù)。1.3異常流量的監(jiān)測和告警對于網(wǎng)絡(luò)運行維護來說，確保同絡(luò)的安全是最重要的。目前我們在廣域網(wǎng)方面面臨的主要威脅是拒絕服務(wù)DoS、分布式拒絕服務(wù)Ddos或蠕蟲病毒等，這些網(wǎng)絡(luò)攻擊會造成網(wǎng)絡(luò)設(shè)備CPU使用率上升，造成

5、大量丟包，嚴重影響網(wǎng)絡(luò)通信質(zhì)量。但通過對網(wǎng)絡(luò)流量的實時監(jiān)測，這些攻擊所造成的網(wǎng)絡(luò)異常流量就能被檢測到，并且通過網(wǎng)絡(luò)流量流向的分析能有效地確定攻擊的來源和目標，進而可以通過切斷攻擊源等方法進行響應(yīng)和排除。2流量監(jiān)測技術(shù)目前對網(wǎng)絡(luò)流量監(jiān)測的常用技術(shù)有四種，分別是：基于SNMP/RMON協(xié)議的監(jiān)測技術(shù)、基于數(shù)據(jù)采集探針的監(jiān)測技術(shù)、基于協(xié)議分析儀表的監(jiān)測技術(shù)、基于NetFlow/SFlow的監(jiān)測技術(shù)。2.1基于SNMP/RMON協(xié)議的監(jiān)測技術(shù)SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）是TCP/IP的標準網(wǎng)絡(luò)管理協(xié)議?；赟NMP的流量信息采集，實質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備代理提供的MIB（管理對象信息庫）信息，收集一些

6、具體設(shè)備及流量信息相關(guān)的變量。MIB中定義了節(jié)點設(shè)備的對象標識樹，每個對象表示設(shè)備的一種狀態(tài)或數(shù)據(jù)（如接口發(fā)送、接收的報文數(shù)和字節(jié)數(shù)）?；赟NMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)等。RMON協(xié)議是對SNMP標準的擴展，它定義了遠程監(jiān)視的標準功能以及遠程監(jiān)控代理的接口，主要對一個網(wǎng)段乃至整個網(wǎng)絡(luò)的性能數(shù)據(jù)進行采集和測量。RMON關(guān)注網(wǎng)絡(luò)鏈路層的統(tǒng)計、分析和告警，而RMON 關(guān)注網(wǎng)絡(luò)層和應(yīng)用層的性能監(jiān)測，在RMON基礎(chǔ)上增加了協(xié)議分布和探針配置等項目

7、。RMON通過兩種方法收集數(shù)據(jù)：一種是將RMON代理嵌入網(wǎng)絡(luò)設(shè)備使其對外提供RMON功能；另一種是通過專用的RMON探針，網(wǎng)管直接從探針獲取信息并控制網(wǎng)絡(luò)設(shè)備。一般而言，所有的網(wǎng)絡(luò)設(shè)備都提供標準的SNMP功能。通過通用的網(wǎng)管軟件（如MRTGMulti Router Traffic Grapher）或?qū)Ｓ镁W(wǎng)管系統(tǒng)（如廠家設(shè)備網(wǎng)管）都可以提供固定時長的流量曲線和重要數(shù)據(jù)，能夠滿足一般的端口鏈路流量監(jiān)視的要求，但其相對其它監(jiān)測技術(shù)而言，功能單一，信息量少，而且無法進行流向和業(yè)務(wù)類型的詳細分析和歷史分析。2.2基于數(shù)據(jù)采集探針的監(jiān)測技術(shù)數(shù)據(jù)采集探針是專門用于獲取網(wǎng)絡(luò)鏈路流量數(shù)據(jù)的硬件設(shè)備。按實現(xiàn)方式可

8、以分為軟件探針和硬件探針。使用時是通過分光分路設(shè)備、交換機流量鏡像端口或直接將其串接在待觀測的鏈路上，對鏈路上所有的數(shù)據(jù)報文進行處理，提取流量監(jiān)測所需的協(xié)議字段甚至全部報文內(nèi)容。流量探針可以實時對流量數(shù)據(jù)進行采集記錄，經(jīng)過匯聚和預(yù)處理將流量信息發(fā)送到后端數(shù)據(jù)庫。通過分析軟件可進行實時監(jiān)視，圖表顯示分析統(tǒng)計結(jié)果或?qū)С鰣蟊砦募?；?jīng)條件設(shè)置還能夠利用流量探針的數(shù)據(jù)捕獲功能對網(wǎng)絡(luò)流量進行實時采集或流量鏡像，進行報文的協(xié)議分析。硬件數(shù)據(jù)采集探針是為流量監(jiān)測目的專門設(shè)計的，能夠?qū)Ω咚俣丝诘牧髁窟M行采集。探針采用無源分光器或鏡像方式接入網(wǎng)絡(luò)，不影響原有設(shè)備的傳輸和性能。流量采集過程不需要網(wǎng)絡(luò)設(shè)備的參與，路由

9、器交換機可全力用于路由和轉(zhuǎn)發(fā)。探針技術(shù)不依賴于設(shè)備本身的流量統(tǒng)計功能，就能夠精確記錄所有報文的流量信息，還可根據(jù)用戶要求定制靈活高效的數(shù)據(jù)采集策略，最終滿足用戶對流量監(jiān)測的需求。流量探針的安裝很簡單，可以用于高速的網(wǎng)絡(luò)而不影響網(wǎng)絡(luò)性能；流量探針適合部署在匯聚層、骨干層或某些網(wǎng)間互連的重要或關(guān)鍵鏈路。由于探針必須放置在物理鏈路上，因此不同類型的端口需要不同接口的探針，目前主要有FE、GE、OC-3 POS/ATM、2.5G POS等。探針方法需要部署新的設(shè)備，并且一個探針同時只能監(jiān)測一條或幾條鏈路的流量信息。對于全網(wǎng)流量的監(jiān)測需要采用分布式方案，在每條鏈路部署一個探針，再通過后臺服務(wù)器和數(shù)據(jù)庫，

10、收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長期報告。與其他的3種方式相比，基于硬件探針的最大特點是能夠提供豐富的從物理層到應(yīng)用層的詳細信息。但是硬件探針的監(jiān)測方式受限于探針的接口速率，而且探針方式重點是單條鏈路的流量分析，Netflow更偏重全網(wǎng)流量的分析。2.3基于協(xié)議分析儀表的監(jiān)測技術(shù)協(xié)議分析儀表可以對網(wǎng)絡(luò)流量的全部數(shù)據(jù)進行短時的實時采集（數(shù)據(jù)量的多少與報文緩存的大小相關(guān)），既能捕獲整個數(shù)據(jù)報，又能捕獲數(shù)據(jù)報的片斷；既能進行實時解碼，又能離線分析。許多協(xié)議分析儀還支持設(shè)定條件的數(shù)據(jù)捕獲和后分析。通過捕獲的數(shù)據(jù)可以進行2至7層的協(xié)議解碼、報文或會話重組，并進行詳細的分析和診斷。協(xié)議分析已具有強大

11、的協(xié)議解析能力，能夠提供非常詳細的協(xié)議和信令交互分析，廣泛地應(yīng)用于網(wǎng)絡(luò)調(diào)試診斷、故障定位和內(nèi)容分析。部分協(xié)議分析軟件也能提供諸如排名分析、分類統(tǒng)計、關(guān)聯(lián)分析等功能?；趨f(xié)議分析儀表的監(jiān)測技術(shù)是把網(wǎng)絡(luò)設(shè)備的某個端口（鏈路）流量鏡像給協(xié)議分析儀，通過七層協(xié)議解碼對網(wǎng)絡(luò)流量進行監(jiān)測，多數(shù)情況下用于專用的分析和故障處理，也可用于對特定業(yè)務(wù)、網(wǎng)絡(luò)擁塞和入侵的詳細分析。但是協(xié)議分析儀捕獲的數(shù)據(jù)量相對較少，無法進行長期的監(jiān)測和歷史分析，而且價格相對昂貴，因此難以在網(wǎng)絡(luò)上大規(guī)模應(yīng)用。同時，協(xié)議分析儀對操作人員的技術(shù)要求較高，需要精通各類協(xié)議細節(jié)和掌握復雜的使用分析方法。與其他三種方式相比，協(xié)議分析是網(wǎng)絡(luò)測試的

12、最基本手段，特別適合網(wǎng)絡(luò)故障分析。2.4基于NetFlow/sFlow的監(jiān)測技術(shù)NetFlow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機制實現(xiàn)的網(wǎng)絡(luò)流量信息采集。NetFlow以前是Cisco設(shè)備的專屬協(xié)議，目前已經(jīng)標準化，并且Juniper、華為等廠家也逐漸支持。NetFlow由路由器、交換機自身對網(wǎng)絡(luò)流量進行統(tǒng)計，并且把結(jié)果發(fā)送到第三方流量報告生成器和長期數(shù)據(jù)庫。一旦收集到路由器、交換機上的詳細流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)使用分析、網(wǎng)絡(luò)規(guī)劃、病毒流量分析、網(wǎng)絡(luò)監(jiān)測等應(yīng)用提供技術(shù)依據(jù)。同時，NetFlow也提供針對QoS的測量基準，能夠捕捉到每個數(shù)據(jù)流的流量分類或優(yōu)先級特性，進

13、而根據(jù)QoS進行分級的資源分配。NetFlow是Cisco公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，它同時可用來記錄網(wǎng)絡(luò)流信息。一個網(wǎng)絡(luò)流是從給定的源到目的端的單向的一系列數(shù)據(jù)包，它使用源和目的端點的IP地址和傳輸層端口號、協(xié)議類型、服務(wù)類型（ToS）以及輸入接口等來標記網(wǎng)絡(luò)流。NetFlow采用三層體系結(jié)構(gòu)（數(shù)據(jù)輸出設(shè)備、數(shù)據(jù)收集器和數(shù)據(jù)分析器）完成流數(shù)據(jù)信息從采集、匯聚、輸出、接收、過濾、存儲到分析的過程。一般NetFlow采用集中的工作站或服務(wù)器同時收集多個路由設(shè)備的上報數(shù)據(jù)。NetFlow的數(shù)據(jù)輸出要求先在路由器和交換機上定制NetFlow流輸出，并選擇輸出流的版本、個數(shù)、緩沖區(qū)的大小等，配置相應(yīng)

14、NetFlow FlowCollector(流量收集器)的IP地址、端口等信息，此時路由器或交換機即可以以UDP的方式向外發(fā)送流信息，然后在NetFlow FlowCollector端配置接收端口號、設(shè)置匯聚、過濾策略、流量文件存放目錄、格式等等。與其他的方式相比，基于NetFlow的流量監(jiān)測技術(shù)屬于中央部署級方案，部署簡單、升級方便，重點是全網(wǎng)流量的采集，而不是某條具體鏈路；NetFlow流量信息采集效率高，網(wǎng)絡(luò)規(guī)模越大，成本越低，擁有很好的性價比和投資回報，但開啟NetFlow功能需要占用路由器的CPU存儲資源，對設(shè)備的轉(zhuǎn)發(fā)性能有一定的影響。而且基于連接上報的流數(shù)據(jù)量很大，給傳輸、處理和存

15、儲帶來困難。目前一般采用抽樣技術(shù)，針對不同的應(yīng)用采用100一1000的抽樣比，但同時也損失了流量的許多細節(jié)。sFlow也是一種嵌入在路由器或交換機內(nèi)的基于抽樣的流量監(jiān)測技術(shù)。sFlow的目標是為了實現(xiàn)高速網(wǎng)絡(luò)中多設(shè)備、多端口的基于應(yīng)用的流量測量。sFlow代理軟件采用數(shù)據(jù)采樣機制，將抽樣流的流量信息以sFlow報文格式發(fā)送給流量收集器進行流量分析，同時支持大量的sFlow代理。有些廠商開發(fā)專用的針對流數(shù)據(jù)的采集探針，接受NetFlow和sFlow的上報數(shù)據(jù)進行處理。主要功能是進行流數(shù)據(jù)的匯聚、壓縮和數(shù)據(jù)轉(zhuǎn)換，并將分析結(jié)果上傳給分析軟件。有的還直接將分析結(jié)果存儲在探針內(nèi)通過Web頁面提供用戶界面

16、進行查詢和分析。以上四種主流流量監(jiān)測技術(shù)，各有優(yōu)缺點和適用范圍，需要根據(jù)網(wǎng)絡(luò)的實際情況選擇合適的流量監(jiān)測技術(shù)，沒有一種單一的流量監(jiān)測技術(shù)能夠滿足流量分析所有的要求，根據(jù)不同技術(shù)的優(yōu)勢有目的地將其進行組合，建立全網(wǎng)集中監(jiān)視、重點控制的流量監(jiān)控體系，才能取得最佳的效果。3在js綜合信息網(wǎng)中應(yīng)用流量監(jiān)測技術(shù)js綜合信息網(wǎng)作為覆蓋全軍的IP網(wǎng)絡(luò)，具有拓撲復雜、承載業(yè)務(wù)多樣、用戶保障要求差異大等特點。要對其進行有效地管理和維護，不應(yīng)僅僅限于對網(wǎng)絡(luò)節(jié)點通阻的監(jiān)測或是對端到端丟包率、時延、時延抖動等用戶層面關(guān)注指標的測試，必須將網(wǎng)絡(luò)管理深入到對流量的監(jiān)測和分析，才能真正掌握網(wǎng)絡(luò)的應(yīng)用情況，在突發(fā)狀況下或重大

17、任務(wù)保障時，有針對性地對網(wǎng)絡(luò)流量進行引導，對網(wǎng)絡(luò)異常情況進行及時處置。目前js綜合信息網(wǎng)中已經(jīng)應(yīng)用的流量監(jiān)測手段主要是基于SNMP/RMON協(xié)議的監(jiān)測和基于協(xié)議分析儀表的監(jiān)測，基于NetFlow/SFlow的監(jiān)測設(shè)備正處于調(diào)試階段。這三種手段的結(jié)合使用，基本上可以掌握當前網(wǎng)絡(luò)的帶寬使用、應(yīng)用業(yè)務(wù)分布、各種業(yè)務(wù)對網(wǎng)絡(luò)帶寬的占用等情況。但是流量監(jiān)測技術(shù)要真正在網(wǎng)絡(luò)管理中發(fā)揮作用，不是一蹴而就的，應(yīng)該對監(jiān)測數(shù)據(jù)進行長期的累積和分析，形成網(wǎng)絡(luò)流量分布、應(yīng)用業(yè)務(wù)分布、用戶通信行為分布等統(tǒng)計數(shù)據(jù)，并通過當前數(shù)據(jù)與歷史數(shù)據(jù)的對比，進行網(wǎng)絡(luò)調(diào)整、新業(yè)務(wù)投入、QoS策略規(guī)劃、重要用戶重點時間重點方向的保障等工作。 同時，由于js通信網(wǎng)絡(luò)的特殊性，網(wǎng)絡(luò)所承載的用戶業(yè)務(wù)數(shù)據(jù)有相當一部分是經(jīng)過保密設(shè)備加密處理的。數(shù)據(jù)經(jīng)過加密后，數(shù)據(jù)包中的源和目的端點IP地址、應(yīng)用層協(xié)議類型、傳輸層端口號、服務(wù)類型（ToS）等信息都會被隱藏，給流量分析帶來困難。而這一部分用戶往往又是網(wǎng)絡(luò)通信保障的重點用戶。因此，如何