网络流量监测篇1
为了解决网络环境下管理系统和基础设施的协同工作以及管理集成问题,OASIS组织在IBM、HP、CA等著名公司的大力支持下,于2005年3月推出了Web服务分布式管理(Web services distributed manage-ment,WSDM)标准,对Web Service管理提供标准化的支持,通过使用Web Service来实现对不同平台的管理。
WSDM是一个用于描述特定设备、应用程序或者组件的管理信息和功能的标准。所有描述都是通过Web服务描述语言进行的。WSDM标准实际上是由两个不同的标准组成的,WSDM-MUWS标准以及WS-DM-MOWS标准。
图1是WSDM的工作模式,可管理用户发现这个Web Service端点,然后,通过与端点交换消息,从而获取信息、定制事件以及控制与端点相关联的可管理资源。WSDM规范侧重于提供对可管理资源的访问。管理是资源的一个可能具有的特性,可管理资源的实现是通过Web Service端点提供一组管理功能。WSDM架构不限制可管理资源的实现策略,实现方式包括直接访问资源、用非方法、用管理等,实现细节对于管理消费者来说都是透明的。
WSDM作为一种功能强大的分布式系统集成解决方案,其主要特点如下:
(1)面向资源。WSDM的关注点是资源,因为一个资源就代表了多个Web服务,因此在该标准中,对资源属性和功能的详细描述显得尤为重要。为此,WSDM采用了专门的Web标准(如WS-Resource)对资源相关信息进行定义。
(2)实现分离。由于采用与实现操作无关的WSDL语言定义接口,使得接口与服务实现了分离,所以无论Web服务其内在实现细节如何改变都不会对客户端的操作方式有任何影响。这样做不但较好地封装了管理方法的实现细节,而且实现了对已有资源的重用。
(3)服务的可组合性。WSDM能随着应用环境规模的变化而变化,首先,WSDM标准的自身实现只需定义较少的属性和操作,使得其在小规模的系统中可以得到稳定的应用:其次,对于大规模应用环境而言,WSDM可以随着应用需求的变化灵活地添加某些服务。从而在使用者和部署人员之间起很好的协调作用。
(4)模型的兼容性。主要表现在WSDM能描述和封装任何资源模型(如cIM、SM-NP、SID等),并为其提供相应的Web服务接口。
2 系统设计方案
网络流量采集使用了三种技术:
(1)基于网管设备MIB的SNMP模式;
(2)基于网络探针技术的IP流量数据捕获模式;
(3)基于NetFlow技术的数据流捕获模式。
针对基于SNMP模式,实现基于WSDM的SNMP网关,通过该网关收集SNMP设备上的MIB信息;针对基于网络探针技术模式,可实现基于WSDM的网络探针服务;针对基于NetFlow技术模式,流量数据是通过NetFlow的主动式数据推送机制获得的,网络设备中的NetFlow是通过规范的报文格式将流量数据送往指定主机,WSDM服务提供了接收和传输NetFlow流量数据的功能。
2.1 系统架构
流量监测系统结构可划分为三个层次,即资源层、管理服务层、展示层,如图2所示。
(1)资源层
资源层由提供流量采集服务的分布式流量采集器(WSDM Agent)组成,它们通过调用管理服务层的WSDM Agent注册服务实行自主注册,具备向管理服务层主动汇报、自主管理和主动服务等功能。
(2)管理服务层
管理服务层包括应用组件、服务组件、管理平台以及数据库。其中应用组件是对展示层提供支持的各种
管理服务,包括策略管理模块、WSDM Agent管理模块、流量数据管理模块以及流量分析模块等系统功能实现的模块。服务组件是对资源层的各种WSDMAgent资源的支持,包括安全审计、日志服务、异常服务、自主管理等,主要是管理服务器自主实现的一些功能。数据库部分是应用组件中各模块对应的数据存储。中间层的管理平台是管理服务层的核心,是对应用组件、服务组件以及数据库的支持,包括Web服务、WSDM服务的引擎和API等。
(3)展示层
展示层实现流量状态显示。可以从流量数据库中取得所要查询的网络流量历史信息,也可以调用管理服务层提供的服务触发流量信息更新采集实时的流量数据,还可以通过服务将合法用户的操作信息送到管理服务层。根据用户需求采用图形用户界面将流量态势分析的结果展示出来。可提供多种格式的流量报表。
2.2 流量分析系统设计
流量分析系统是整个流量监测系统的核心。如图3所示,该系统分为五个模块:流量采集模块、数据接收模块、数据传输模块、流量分析模块、数据存储与管理模块。对照流量监测系统架构,流量分析系统结构中的这五个功能模块分别位于总体架构的各个层次。
网络流量监测篇2
文献标识码:A
文章编号:1672-3198(2010)17-0348-01
1 网络流量的特征
1.1 数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
1.2 大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3 包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而,近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
1.4 网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
2 网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
2.1 基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
2.2 主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
2.3 在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
2.4 协议级分类
对于不同的协议,例如以太网(Ethernet)、帧中继(Frame Relay)、异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
3 网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
3.1 基于网络流量全镜像的监测技术
网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
3.2 基于Netflow的流量监测技术
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
网络流量监测篇3
随着电力行业的改革深入,行业竞争的日益激烈,如何在最短的时间里,以最好的服务质量、最低的服务成本提供给用户服务是电力行业企业信息化要实现的目标。在面对当前业务飞速发展、新服务不断出现和客户需求日益提高的情况下,网络系统的运维管理面临着很大的挑战:业务子系统复杂,故障查找难度大,网络时而缓慢,对网络业务的可视性、可控性降低。因此,建立一个网络流量分析系统十分重要【1】。
随着电力企业信息化的不断深入发展,信息化网络的规模越来越大, 网络应用也越来越广泛,对网络带宽资源、业务流量、用户访问量等方面都缺乏可见性和可控性。为了更好地管理网络运行状态,提高公司信息化网络的业务管理效率,降低运营成本,需要对信息网络从“流量”这个根本因素出发,进行精细化的监控管理。为整个网络的高效运行维护提供一个高可用性的管理平台,加强信息网络的业务优势,提高员工使用的满意度,本文就信息网络流量监测系统在电力企业的应用进行探讨。
2.网络流量监测系统在电力行业中的使用背景
2.1 使用网络流量监测系统的必要性
随着信息化技术在电力行业IT网络系统中的广泛运用,大量的网络流量产生,如何对网络流量进行有效管理,保障关键业务的正常运行,提高网络传输效率、可靠性、稳定性,以及安全性等,对电力企业整个计算机信息网络的IT环境健康、和谐的运营是至关重要的。
对电力网络进行全网流量流向分析,多维度地展现业务流量分布情况和网络带宽资源的使用情况,了解网络不同属性流量分布,预测流量变化趋势,找出网络瓶颈,为网络规划、优化调整提供基础依据;对网络应用进行深入分析,可以清晰地掌握网络的应用行为,为设计实施更好的用户服务及产品提供了可靠的基层数据【2】。
网络流量监测系统可以提供基于电力行业业务应用(包括ERP、售电、生产管理、协同办公、邮件等系统的应用流量、SCADM/EMS、DTS、DMIS等电力调度系统的应用流量、基于SG186系统及其各关键业务子系统的应用流量)的分析;提供基于电力网络的用户分析;提供基于电力网络的访问行为分析;以及提供基于电力网络的异常流量监控分析。
2.2 网络流量监测系统的目标
电力企业信息网中部署流量监测分析管理系统,通过全网流量实时监测,对网络设备性能状态、吞吐量、带宽资源利用率、异常流量监控预警、业务应用流向分布等进行精细化的运维管理;提供全面的网络流量可视化、量化的运行数据报告;提供网络异常流量的监控分析,减少网络故障诊断、异常侦测分析的难度和时间;优化网络,减少因网络拥塞或异常而发生的延迟、中断,保障网络的运行效率。整体地提高信息网络的可靠性和可用性。
通过使用网络流量监测系统掌握网络流量的特性、了解用户的网络行为;透视网络流量状态,分析用户行为;量化网络承载能力,为网络服务优化提供辅助决策依据;检测分析异常流量,提升网络服务安全性。
使用流量分析管理系统,可以实现基于业务的流量流向和流量成分的分析性能,分析总体业务发展趋势和访问行为,为网络瓶颈排除和性能优化提供依据;可以对网络资源的使用情况进行精细化管理,避免因为资源使用过度或使用状况不明所导致的网络服务质量下降;可以实现性能统计和性能趋势分析,提供灵活的报表功能,提高网络运行维护水平;可以提供多样的历史资料条件查询和统计分析,便于指导网络的规划和资源优化,为网络业务发展提供数据依据;实现网络的统一调配【3】。可以加强网络的流量安全防范,建立系统化的流量管理体系,提高网络访问质量,增强用户的自御能力。
3.网络流量监测系统的性能
3.1全网流量流向分析
网络流量监测系统采用独立的硬件结构,独自完成流量的采集、过滤、分析和数据的存储。支持基于源IP、目的IP、源端口、目的端口进行详细流量查询;用户可以自定义特定子网范围,进行临时及长期的精确流量监控;通过NetFlow接收网络流量数据,同时结合SNMP协议对网络设备运行提供全面监控、分析;能监测端到端的网络流量;能够看到网络设备接口通断状态。
网络流量监测系统通过对全网流量流向分析,可以同时接受多种网络设备的NetFlow数据,并支持实时转发流量数据,使用者根据要求快速扩展并进行综合性的统计分析;具备流量排序功能,可做流量累积统计或实时流量分析,流量排序支持自动设定,可按时自动生成TOP N排序报表;通过集中分析管理系统对网络中流量情况进行汇总,定义监控对象时,用户可以定义源目的地址,传输协议,源目的端口,源目的AS,路由器物理端口等条件实现全网关联的关联性流量分析,满足对全网流量状况的整体把握。
3.2 异常流量分析
网络流量监测篇4
文献标识码:A
文章编号:1007-3973(2012)003-075-02
1 WinPcap的功能
Winpcap(windows packet capture)是Windows平台下一个免费的SDK,它为win32应用程序提供访问网络底层的能力。Winpcap不能阻塞、过滤或控制其他应用程序数据报的发收,它仅仅只是监听共享网络上传送的数据报。
它提供了以下的各项功能:
(1)捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;
(2)在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;
(3)在网络上发送原始的数据报;
(4)收集网络通信过程中的统计信息。
2 WPcap.dll
动态链接库wpcap.dll。它也是提供给开发者的API,它输出一组与系统有关的函数,用来捕获和分析网络流量。
3 主要设计与开发的内容
本系统实现的功能主要实现网络流量监测与统计分析。在用户方面,该系统实现了计算网络流量与网络协议分析等具体功能;在整个项目方面,该系统作为网络异常告警与智能分析的基础模块。
流量监测是以图形的方式实时显示出流量的大小。
流量统计分析包括ARP数据包统计、TCP数据包统计、UDP数据统计、ICMP数据包统计、广播数据包统计等。包括的子项有:
(1)每个数据包的时间、源IP地址、源MAC地址、目的IP地址、目的MAC地址、端口号、数据包大小。
(2)统计一段时间内某种协议的数据包个数及总大小。
(3)按源IP和目的IP统计某个IP地址到另一个目的IP的某种协议的数据包时间、源IP地址、源MAC地址、目的IP地址、目的MAC地址、端口号、大小。
(4)按源IP或者目的IP统计某个IP地址的某种协议的数据包总大小及总大小。
4 总体设计方案
整个软件分为三个子模块。三个模块为:数据包统计分析模块、流量监测模块、用户模块(界面模块)。
统计分析模块主要基于WinPcap捕包原理,通过截获整个网络的所有信息流量,根据信息源主机,目标主机,服务协议端口等信息按照ARP、TCP、UDP、ICMP、广播协议过滤分析、统计。
本模块要将网络中各种层次中的协议进行对比分析,对已知数据字段进行分析,这种分析是逐层进行的。因为数据包的结构都是自顶向下层层的添加数据包头,而且每层的包头都有固定的长度,所以根据特定位置来判断协议类型也就变得简单。在本系统中,采用的是网络中的OSI标准,即网络的七层结构。
流量监测是流量的短期分析。该模块主要实现如下功能:网络总流量的实时查看,网络输出流量的实时查看,网络输入流量的实时查看。
用户模块(界面模块)本系统主要采用Visual studio 2008平台来设计用户界面,使其界面与Windows保持最大的一致。
5 统计分析模块详细设计
编写WinPcap应用程序首先获得主机的所有网卡。WinPcap用函数pcap_findalldevs()来实现,该函数返回一个pcap_if的链表,链表中包含了每一个网卡的详细信息。
打开设备的函数是pcap_open(),它有三个参数snaplen、flags和to_ms。snaplen参数用来制定捕获包的特定部分。如果网卡设置成混杂模式,Winpcap能获得其他主机的数据包。to_ms 参数指定读数据的超时控制,超时以毫秒计算。当在超时时间内网卡上没有数据到来时,对网卡的读操作将返回。
当设备被打开,调用函数pcap_dispatch()来捕获数据包。pcap_dispatch()可以不被阻塞。这个函数都有返回的参数,一个指向某个函数的指针,Libpcap调用该函数对每个从网上到来的数据包进行处理和接收数据包。另一个参数带有时间戳和数据包长度等信息,最后一个是含有所有协议头部数据包的实际数据。MAC的冗余校验码一般不出现,因为当一个帧到达并被确认后网卡就将它删除。
当对网络数据包的分析的时候,必须先分析链路层,其次分析网络层,之后是传输层,最后分析应用层。
由于本程序只分析以太网的协议,所以去掉以太网协议的部分,剩下的就是IP协议的数据;IP协议部分包括 TCP和UDP协议的数据包;之后分析TCP和UDP等传输层的协议,将传输层协议部分舍去,留下来的是应用层协议;最后解析应用层协议。
基于以太网协议内容的进行分析,判断以太网类型的值:如果是0x0806,表示ARP协议,则分析ARP协议;如果是0x0800,表示协议为IP协议,则分析IP协议,在分析IP协议时,根据协议类型的值判断传输层协议类型:如果IP协议类型字段的值是6,表示协议为TCP协议,则分析TCP协议。
统计分析模块将分为五个功能的详细设计分别是ARP数据包统计、TCP数据包统计、UDP数据统计、ICMP数据包统计、广播数据包统计。
6 流量监测模块详细设计
网络流量监测的思想是:对流入和流出网卡的数据包进行检测并对数据包的长度进行累加,从而得到流量数据。由于Windows NT/2000/XP/7提供了一个系统性能的接口(注册表),所以需要做的就是访问这个接口,得到数据流量。
具体实现通过PDH和读取注册表中的系统性能数据来实现流量的监测模块。PDH是英文Performance Data Helper的缩写。随着PDH逐渐成熟,为了使该数据库的使用变得容易,Microsoft开发了一组Performance Data的API函数,包含在PDH.DLL文件中。使用PDH API基本上包括5个步骤。
创建一个查询;向查询中添加计数器;搜集性能数据;处理性能数据;关闭查询。
在本系统中将采用查询注册表的方式完成PD的查询。本系统中用到了一个注册表函数RegQueryValueEx,该函数根据一个开放的注册表键值和一个具体的名字值查找相关的类型和数据。
参考文献:
[1] 刘敏,过晓冰,伍卫国,等.针对网络扫描的监测系统[J].计算机工程,2002,28(2):77-78.省略/Class/winpcap/index.html.
网络流量监测篇5
1 分析计算机网络流量监控技术现状
传统的网络流量监控技术,是建立在某一区域内,点对点的直线传输和管理的,它的监控原理是:通过控制数据端口和输出端口的IP流量,来检测系统内的流量,分析网络资源。基于人们对现代网络技术的发展需求,开发设计新型网络流量监控系统,可高效、快捷的进行局域网络管理,调节网络流量资源,达到快速上网和减少病毒传播的目的,同时可借鉴传统流量监控技术,合理设计局域网络监控系统。这类设计应用的特点是:通讯流量大、种类繁多、无固定服务端口、特征变化迅速和可控制管理等。其监控系统应具有的技术功能:TCP/IP协议,建设网络的基础单元;数据采集和流量测量技术,网络监控管理的必备条件等。
2 计算机网络流量监控的设计与实现
2.1 计算机网络流量监控系统设计的技术构架
为满足人们日益增长的网络需求,实现快速、高效的网络链接,合理调节资源配置,有效防范病毒传播,进行可控的网络管理,对局域网络流量监控进行设计(如图1)。由图可知,局域网络流量监控系统是由系统管理、流量采集、实时性能监控、站点流量管理、P2P流量及分析统计模块组成,它们相互促进,协调管理,共同完成网络流量监控。
2.2 网络流量的测量与采集主要模块技术
在网络流量监控系统中,最为重要的功能模块:网络流量测量与采集技术,这也是基于Net-Flow网络流量监控设计的核心组成部件。网络流量测量在其形式上分为主动测量和被动测量两种方式。所谓的主动测量方式,是指通过向网络流量监控系统中,放入可探测流量的软件或数据包,通过数据反馈或数据入库跟踪等,得到有效测量流量的一种方式。例如,网络中综合对宽带信号进行定位和流程测量,具体措施就是通过植入探测流量器,来实现宽带网络的流量配置,它的链接方式就是通过主动测量方式进行的。被动测量,就是根据各个有效站点反馈的数据和记录,进行数据分析和统计,从而通过计算等方式得到的间接的流量获得方式。例如,P2P网络流量系统中经常通过交换机、路由器或其它监测设备,通过之路数据采集,从而得到网络流量。被动测量凭借不单独依附特殊设备运行、可避免系统的不兼容等特点,略优于主动测量方式。
网络流量采集技术,是按照系统所反馈的信息内容进行划分、重组的。一般分为四个类型:第一种实现了直接从一个端口到另一个端口的直线连接,即传统意义上的IP流量,其中包含了大量的数据信息;第二种用户链接网络所产生的流量信息,它的采集意义重大,可控制网络主要病毒的获取;第三种各个节点的网络流量,其信息量包括字节、数量、容积等,主要采用MRTG技术进行采集;第四种则是企业专用的业务层流量采集,主要应用Sniffer技术采集整理。
2.3 新型计算机网络流量监控的实现
基于Net-Flow网络流量监控系统,主要解决了传统P2P网络流量的端口、IP和通信限制,实现了点到面的综合流量监控,有效防范了外网的技术漏洞和安全隐患,是目前网络系统中应用较为广泛的流量监测技术。无论通过路由器还是交换机连接进入网络,最终都是通过流量采集模块和严格的监控管理,进行数据划分和测量,其中间环节加大了对信息流量的监控力度,有效的减少了网络病毒传播,促进了局域网的良性循环。
首先可通过系统结构运行原理,具体分析数据流量的来龙去脉,高效的掌握网络链接情况,并实时通过数据采集,快捷的确定数据包内容,包括源IP地址、端口信息、终点地址、协议类型等服务,来实现具体业务类型及传送方向等。其次,通过Net-Flow网络流量监控系统,可实施监控网络资源,如宽带高峰、低谷时间段,流量占用量,具体下载速度等,通过流量采集和网络测量模块,调节网络流量运行趋势,使之更高效、更快捷的提供数据反馈信息,强有力的控制网络病毒,为合理的使用网络资源提供有力的保证。
3 结束语
综上所述,基于Net-Flow网络流量监控系统设计,实现了局域网的流量链接管理,有效防范了外部网络的恶意攻击,对局域网络连接带来了新的突破和发展。同时网络运营商为全面扩宽网络业务,充分发挥网络流量监控方面的资源优势,必须整合网络科学技术,依靠先进的计算机理论,设计更为专业、高效的网络流量可控系统,综合提高网络运行速度和安全管理能力。
参考文献
[1]王继梅,金连普.基于JDBC的网络管理系统流量统计研究[J].计算机工程与设计,2009(8).
[2]梁鸿,刘芳.基于TCP/IP的网络流量监控系统模型的研究[J].计算机系统应用,2007(6).
[3]柯栋梁,万燕.基于SNMP协议的流量监控系统的设计与实现[J].微计算机信息广西教育,2009(4).
作者简介
网络流量监测篇6
现阶段的网络结构更加复杂,其异构性也越来越高,网络系统平台也来越多,这对网络要保持稳定的运行提出了更高的要求。网络流量的监控是网络管理中的一个重要组成部分,到目前为止,根据网络流量的不同采集方式出现了三种不同的网络流量监控技术。第一种是基于Netflow的流量监控技术,这种监控技术能够对高速转发IP数据流量进行测量和统计的同时对网络设备的数据交换具有一定的加速作用。第二种是基于网络流量全镜像的一种流量监控技术,这种监控技术是IDS主要的网络流量监控技术,其监控的原理是对镜像流量进行分析,对网络流量的分布状况进行探测,能够为网路的管理提供参考。第三种是基于SNMP的流量监控技术,其监控的实质是收集网络设备Agent中所提供的管理对象信息库中与流量信息相关的一些变量,这些流量信息包括了输入字节数、输入非广播包数等,其主要的不足之处在于这种监控技术的监控范围和对象十分有限。
目前最为有效的反映网络真实状态的一个指标就是网络流量,对网络流量进行检测具有以下几个方面的作用。①满足了复杂网络维护的需要,随着网络用户规模的不断扩大和网络结构的日益复杂,网络设备的数量逐渐增加使得网络的维护难度也随之增加,要维护网络稳定的运行状况,对网络流量进行检测是最重要的手段之一;②随着网络用户的增加和越来越广泛的网络覆盖范围,不同地区和不同网络用户对带宽需求各不相同,进行网络流量的检测能够对用户网络的使用行为进行分析,对网络的改善具有十分重要的意义;③为网络运营商进行网络的改造和扩大容量提供依据,网络用户数量和规模的不断扩大使得网络各个端口的流量需求也越来越大,从而极大的增加了网络设备的压力,通过流量监测能够对现有的中继容量进行分析,从而确定如何进行网络的改造与扩容;④由于不同网络用户的使用习惯,不同的网络带宽需求和不同的网络安全保障需求,通过流量的检测对用户的习惯和需求进行分析,从而使得运营商可以根据用户的需求发展针对性的业务。
2 网络流量的采集与测量
网络流量的采集主要有四种方式:①从一个端口到另一个端口的IP流量,这个IP流量中包含了大量的信息,主要的采集方法有NetFlow;②完整的用户业务数据流量,可以采用Net Detector进行采集;③网络节点端口的流量,这个流量中包含着个数、字节数、包的大小和分布状况等信息,可以采用MRTG 进行采集和监控;④业务层流量,可以采用Sniffer进行采集。对于网络流量的测量
对计算机网络的流量进行测量主要有主动测量和被动测量。主动测量主要是通过向被测流量网络中注入附加的“探测流量”,并采集其返回数据的一种测量方式。被动测量,就是在网络的某一点对网络的流量信息进行采集、记录与分析。被动测量的优势在于能够将附加的“探测流量”以及Heisenburg效应完全的消除,其不足之处在于对用户的隐私和网络安全具有一定的影响。
3 网络流量监控的设计与实现
3.1 系统设计
一般来讲,网络流量的监控必须要对路由器、交换器等各种网络主干设备接口的进出口原始流量进行采集和监控,为网络管理员和监控部门提供不同时间段的流量情况,要求网络流量的监控系统需要有数据采集子系统和Web管理子系统两个部分。首先对网络流量采集子系统进行分析和设计。该网络流量监控系统是建立在SNMP协议的基础之上的,因此,获取不同类型的变量值时通过网络设备中的SNMP响应报文来实现。在这个监控系统中,流量采集子系统拥有包括配置信息在内的各个网络物理层接口的信息,对各个接口的进出口流量统计方式如公式1和公式2所示。
公式1:入口实时网络流量=(ifInOctetsy-ifInOctetsx)÷(y-x)
公式2:出口实时网络流量=(ifOutOctetsy-ifOutOctetsx)÷(y-x)
网络流量监测篇7
一、现阶段宽带网络的要求
(一)拓扑设计
高速链路通过自身性能连接汇集点而促成宽带网骨干网络,汇集点间的流量交换矩阵,从而确定了连接链路的形成,而流量矩阵指标对汇聚点间业务流的获得具有极大的促动作用。就一般情况来说,根据各个链路流量的路由信息可预测出网络的流量矩阵。另外,指标流量包括测量间力度、不同级别汇聚链路是设计中的关键性因素。
(二)容量规划
有效的容量规划包含了流量测量与精确的流量增长预测,可见流量监测与路由信息高效容量规划的保证。根据对以往经验的总结,对流量数据的统计是达到精准流量增长的保障。
(三)网络管理
1.流量工程
流量工程可优化传输资源的利用率、提高应用性能。在实际的应用中,网络管理员需对不期望传输的流量进行准确的分辨:在正常模式下网络处在正常的流量波动时,网络管理员可通过流量波动模式来进行牵涉控制;在流量非预期且不可变动时,网络管理员导向负载拥塞电路的流量。
2.故障
对于网络管理员而言,对网络故障进行鉴别、诊断和修复,对网络运行状态进行合理测试并为故障采取相应措施是其工作的主要职责。现许多网络管理员工作缺乏主动能动性,其应对链路中的数据包进行跟踪,以在客户发现故障之前采取前摄性的动作。
(四)业务增值
主要指网络管理员通过sLA业务、攻击阻断与流量工程实施上促使网络性能进一步提高。
二、现阶段网络监测的指标
(一)指标
为了满足用户各方面的需求,运营商需根据实际情况采取不同的指标。
1. 数据包级(packet―leve1):通过高效的协议分析,对数据进行精准的监测,以获取数据包中准确的时间戳。
2. 流级(flow-leve1)n J:通过“源地址-目标地址-源端口号-目标”五元祖来对相同属性的数据包进行分析。
3. 路由(routing):通过对路由信息的采集与整合,来判断路由行为的异常与否。
(二)监测
1.对大刻度的汇聚统计指标开展全国范围的采集,包括链路利用率、路由CUP负载等。进一步保证了全网性能、监测了网路的异常,为管理员提供了宏观管理上的视图。
2.在特定的网元中对指标进行高密度的采集:主要通过数据包数据与协议分析信息,对网络故障全面、深入分析。
三、电信级IP宽带网络的构建
(一)监测系统
1.合理运用SNMP技术,实现网络管理拓扑发现的自主性并进行直观的显示,便于网络管理员对拓扑结构、网元位置的掌握。2.监测多级别化,可从数据包级、流级、路径级和网员级等多个层次开展监测。3.测试技术多样化,可从被动测试、业务仿真测试和主动测试等多个形式开展测试。4.对网络运行信息作出全面、准确的分析:(1)数据包级的协议分析。(2)流级的指标分析。通过数据包内间隔、延迟、延迟抖动等指标,全面监测业务的质量。(3)路径分析。包括对路径本身信息的分析与路径服务质量的分析。(4)网元级分析。通过SUMP技术,分析网络中网元的相关指标。(5)当网络在运行时出现障碍时,系统全面分析故障原因并给出可行性方案。(6)当网络中管理员设置的阀值过低限制了设备的使用、链路的连接状态或者设备出现故障时,系统可发出警告、找出异常源并提出方案。(7)建立了合理的用户业务监测,摒弃了以往以网络设备为主要管理对象的落后模式。(8)支持分布式的测试,使得信息的采集极具便利性。(9)采用了高性能的网络处理器,为客户提供各种高速接口。(10)分析系统性能稳定,容错能力与可靠性较高。
(二)监测系统的部署
IP宽带网监测系统的构架是分布式采集、集中式分析,主要由网络探针与网络控制分析中心两部分组成:就探针来说,其主要包含三个功能即在信息网网元处采集实时的流量信息、从网管系统手机网管数据以及进行端到端的性能测试,从实现实时流量的监视和测量。网管探针属于网管系统内的模块,主要职能是负责对各种数据的上传,另外,探针可根据实际情况有选择性地向控制分析中心传送测试结果的相关数据,并可对数据进行存储与分析。集中控制分析中心的主要功能是促使网络操作与监视平台数据、信心的全面性。网络探针分布广阔,因此,可对各级网络情况进行全面、准确、及时的采集。
综上所述,IP宽带网络监测系统在信息采集的准确性与网络运行的效益性上都有很大改善。虽然基于网络监测技术的电信级IP宽带网络在实践中存在发展的局限性,但也不能忽视其在发展过程中的诸多可取之处。
参考文献:
网络流量监测篇8
1.在IP网络中采用网络性能监测技术,可以实现
1.1 合理规划和优化网络性能
为更好的管理和改善网络的运行,网络管理者需要知道其网络的流量情况和尽量多的流量信息。通过对网络流量的监测、数据采集和分析,给出详细的链路和节点流量分析报告,获得流量分布和流向分布、报文特性和协议分布特性,为网络规划、路由策略、资源和容量升级提供依据。
1.2 基于流量的计费
现在lSP对网络用户提供服务绝大多数还是采用固定租费的形式,这对一般用户和ISP来说,都不是一个好的选择。采用这一形式的很大原因就是网络提供者不能够统计全部用户的准确流量情况。这就需要有方便的手段对用户的流量进行检测。通过对用户上网时长、上网流量、网络业务以及目的网站数据分析,摆脱目前单一的包月制,实现基于时间段、带宽、应用、服务质量等更加灵活的交费标准。
1.3 网络应用状况监测与分析
了解网络的应用状况,对研究者和网络提供者都很重要。通过网络应用监测,可以了解网络上各种协议的使用情况(如www,pop3,ftp,rtp等协议),以及网络应用的使用情况,研究者可以据此研究新的协议与应用,网络提供者也可以据此更好的规划网络。
1.4 实时监测网络状况
针对网络流量变化的突发性特性,通过实时监测网络状况,能实时获得网络的当前运行状况,减轻维护人员的工作负担。能在网络出现故障或拥塞时发出自动告警,在网络即将出现瓶颈前给出分析和预测。现在随着Internet网络不断扩大,网络中也经常会出现黑客攻击、病毒泛滥的情况。而这些网络突发事件从设备和网管的角度看却很难发现,经常让网络管理员感到棘手。因此,针对网络中突发性的异常流量分析将有助于网络管理员发现和解决问题。
1.5 网络用户行为监测与分析
这对于网络提供者来说非常重要,通过监测访问网络的用户的行为,可以了解到:
1)某一段时间有多少用户在访问我的网络。
2)访问我的网络最多的用户是哪些。
3)这些用户停留了多长时间。
4)他们来自什么地方。
5)他们到过我的网络的哪些部分。
通过这些信息,网络提供者可以更好的为用户提供服务,从而也获得更大的收益。
2.网络流量测量有5个要素:
测量时间、测量对象、测量目的、测量位置和测量方法。网络流量的测量实体,即性能指标主要包括以下几项。 2.1 连接性
连接性也称可用性、连通性或可达性,严格说应该是网络的基本能力或属性,不能称为性能,但ITU-T建议可以用一些方法进行定量的测量。
2.2 延迟
对于单向延迟测量要求时钟严格同步,这在实际的测量中很难做到,许多测量方案都采用往返延迟,以避开时钟同步问题。
2.3 丢包率
为了评估网络的丢包率,一般采用直接发送测量包来进行测量。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等。
2.4 带宽
带宽一股分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其他背景流量时,网络能够提供的最大的吞吐量。
2.5 流量参数
ITU-T提出两种流量参数作为参考:一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP包数量除以时间间隔,即包吞吐量;另一种是基于字节吞吐量:用传输成功的IP包中总字节数除以时间间隔。
3.测量方法
Internet流量数据有三种形式:被动数据(指定链路数据)、主动数据(端至端数据)和BGP路由数据,由此涉及两种测量方法:被动测量方法和主动测量方法然而,近几年来,主动测量技术被网络用户或网络研究人员用来分析指定网络路径的流量行为。
3.1 主动测量
主动测量的方法是指主动发送数据包去探测被测量的对象。以被测对象的响应作为性能评分的结果来分析。测量者一般采用模拟现实的流量(如Web Server的请求、FTP下载、DNS反应时间等)来测量一个应用的性能或者网络的性能。由于测量点一般都靠近终究端,所以这种方法能够代表从监测者的角度反映的性能。
3.2 被动测量
被动测量是在网络中的一点收集流量信息,如使用路由器或交换机收渠数据或者一个独立的设备被动地监测网络链路的流量。被动测量可以完全取消附加流量和Heisenberg效应,这些优点使人们更愿意使用被动测量技术。有些测度使用被动测量获得相当困难:如决定分缩手缩脚一所经过的路由。但被动测量的优点使得决定测量之前应该首先考虑被动测量。被动测量技术遇到的另一个重要问题是目前提出的要求确保隐私和安全问题。
3.3 网络流量抽样测量技术
选择部分报文,当采样时间间隔较大时,细微的网络行为变化就无法精确探测到。反之,抽样间隔过小时,又会占用过多的带宽及需要更大的存储能力。采样方法随采样策略的不同而不同,如系统采样或随机采样;也随触发采样事件的不同而不同。如由报文到达时间触发(基于时间采样),由报文在流中所处的位置触发(基于数目采样)或由报文的内容触发(基于内容采样)。为了在减少采样样本和获取更精确的流量数据之间达到平衡。
网络流量监测篇9
2、智能网络监控系统的业务流程
智能网络监控系统的业务流程,主要包括3部分,通过不同的分工合作,实现质量检测的目的。第一部分是见证取样过程,需要在进行见证取样的时候,进行身份验证,主要是通过指纹或者IC卡的方式进行;第二部分是数据上传的过程,在质量检测的过程中,需要从数据的样收登记到报告上传的各个环节,进行收样、审核、委托、检测和报告等流程,实现信息数据和检测报告的及时上传;第三部分是信息的管理过程,主要是在质量的监督中心,实现对数据信息和上传报告的整合、统计和监管。
二:智能网络监控系统的作用
1、信息采集系统
智能网络监控运行的基础是信息采集系统,在水利工程的质量检测过程中,发挥了重要的作用,实现了不同工作流程中的数据信息采集、上传和处理,是水利质量工程质量监控中心,对各个检测组织机构进行监督管理的有效途径。根据力学作用,实现检测设备的智能监控可以通过以下方法进行:
(1)改造检测设备:在原来的力学检测设备上,进行智能化的改造,发挥更好的智能化和信息采集功能。例如,在原来的设备中,加入控制器,提高检测数据的准确性。
(2)开发传感系统:水利工程信息采集系统中传感系统的开发,是结合后信息设备实际的改造情况,选择合适的的传感器,保证传感器符合质量检测的需求,具有准确性和可靠性,可以实现信息数据的智能上传和获取。
(3)开发信息数据采集软件:保证质量检测的数据船速协议,以改造后的检测设备数据信息作为基础,开发监控软件,实现质量检测信息数据的采集、传输和处理。
2、计算机网络系统
计算机网络系统,是智能网络监控系统运行的基础条件,实现了质量检测部门之间的信息沟通、传输和资源共享,是水利工程有效监督实施的保障,主要包括局域网和广域网两部分。
(1)局域网计算机网络系统的内部局域网,是检测机构通过常规的方式构建的。在智能网络的监控系统中,需要通过计算机系统进行检测设备监控的接入,通过计算机的服务器构成了信息数据的传输和存储环境,由它们共同承担工程质量的检测工作。
(2)广域网通过计算机系统的广域网,实现对水利工程质量的监控,可以通过结合水利信息网络和租用网络,对主流网络公网专线的重新租用和网络光缆的自行铺设的方法进行。对这些方法进行对比和分析,发现结合水利信息网络和租用网络的方法更加适合在水利工程质量检测中使用。因为,它具有较好的安全性、稳定性和保密性,防止重复建设、建设费用较少和维护工作量少等优点。
3、智能网络监控系统
在水利工程质量的检测体系中,智能网络监控系统是整个水利工程质量监测体系的核心,通过对数据信息的采集和分析研究,实现了对质量检测机构工作流程的有效监管。智能网络监控系统的主要开发模式是B/S和C/S结合的模式。
(1)业务信息管理系统检测机构中的信息化支持,可以实现检测机构中的不同工作,实现从样品检测到报告生成中全部环节的网络化管理,对水利工程质量检测的业务流程进行了规范化管理。相对于人工作业来说,智能网络检测系统具有高效、可靠和准确的信息化优点,可以提高水利质量工程检测的工作效率和质量检测的管理水平,有利于水利工程的实施。
(2)智能监控中心智能网络监控系统的中心平台,主要的作用是实现对检测数据和报告的全面监督管理,形成统一的,具有宏观调控功能的信息共享数据交换平台,保证工程质量检测数据和报告的及时反馈,避免检测数据和报告出现虚假化的现象,保证了检测信息的真实性,有利于全面信息化管理体系的形成。
(3)综合数据库综合数据库,是根据智能网络监控系统建设的需求,实现对检测信息、设备、流程和报告等的统一管理和维护,分类进行静态和动态数据的储存。保证综合数据库的稳定性、可靠性和安全性,可以为智能网络监控系统提供真实的信息和数据支持。
三:智能网络监控系统的质量检测特点
智能网络监控系统的质量检测,具有直观的空间展示、可靠的系统架构、强大的数据存储和备份、独立的规程标准模型库、完善的质量监管体系和安全的验证技术等特点,在水利工程的质量检测中,发挥了重要的作用,具有重要的意义。简述直观的空间展示和可靠的系统架构特点:
1、直观的空间展示
智能网络检测系统具有直观的空间展示功能,主要是通过对地理信息系统和三维仿真技术的应用,实现对水利工程质量检测的信息化和数字化管理。应用智能网络检测系统,可以直观的对水利工程的地理位置和工程规模等作出真实的反映。三维仿真技术的应用,对水利工程的质量进行了可视化操作和动态模拟,降低了工程质量检测的难度,提高了检测数据的真实性和可靠性。
2、可靠的系统架构
智能网络监控系统,应用的开发模式主要是B/S和C/S结合的模式,分类了业务管理系统和智能网络监控系统,保证了系统的稳定运行,统一了智能网络系统的易操作性和专业性。信息共享和业务的流转,需要通过智能网络监控系统实现,有利于相关系统的应用和推广。
网络流量监测篇10
在数字地震观测系统建设中,人们研究某一地区的地震活动,需要布置一个区域台网,网络由几十个至百余个地震台组成,各台相距数公里、几十公里、上百公里不等,台点检测到的地震信号通过有线网络或无线电方法迅速传至中心记录站,并进行记录处理。
以上海为例:作为国际化大都市,上海建有崇明、佘山两大地震基准台,另有三十多个无人值守台点分布于各区县及周边海岛,其共同组成了上海观测台网。由于各台点都配备了多种地震观测设备及网络交换设备,如何保障台站的网络通讯质量就显得尤为重要,其中最为关键的三要素为准确性、连贯性和实时性。
目前,上海地震观测主要以测震、强震、预报数据为主,以SDH光纤通讯、3G无线网传输以及卫星传输为通讯手段。上海地震路由交换设备管理平台通过Cacti开源软件对崇明地震观测台、佘山地震观测台及三十多个无人值守台站的网络交换设备(路由器、交换机)工作状态、实时流量进行远程监控,并通过Web页面实时显示、统一管理。其配合上海市地震局原有的基于Nagios的地震监测设备统一监控平台,对整个地震观测系统进行全面监控。
Cacti工作流程
Cacti是一套基于PHP、MySQL、SNMP和RRDTool开发的网络流量监测图形分析工具,其通过PHP语言实现,主要功能是用SNMP服务获取数据,然后用RRDTool储存和更新数据。SNMP是简单网络管理协议,通过固定协议运行方式、以OID格式提供系统运行状态的全面信息,然后通过SNMP Agent去获取这些信息并绘制流量;RRDTool是指Round Robin Database 工具(环状数据库),简单来说就是一种数据绘图工具,当用户需要查看数据的时候,即可通过RRDTool生成图表予以呈现。
综上所述,SNMP和RRDTool是Cacti的关键――SNMP关系着数据的收集,而RRDTool则关系着数据存储和图表的生成。
Cacti的工作流程主要包括三方面:一是定时采集数据:Cacti会定时运行数据采集脚本,使用“snmpget”命令或其他自定义的方式进行数据采集;二是存储数据:用RRDTool的“update”指令将采集到的数据储存到RRD文件中;三是用户要查看某台设备的流量:在Cacti的PHP页面上点击该设备,Cacti在数据库中寻找该设备对应的RRD文件的名称,并运行命令让RRDTool进行绘图。
Cacti助力地震监测
在诸多的工具软件和解决方案中,上海地震局为何选择Cacti开源软件作为地震监测系统的核心架构?
首先,Cacti具有低廉的成本和强大的监测能力。与众所周知的开放源代码操作系统Linux一样,Cacti也是一款可以被视为“Free”的开源软件。其在提供强大网络管理功能的同时,极大地降低了地震监测网络管理的研发成本,减少了资金风险。此外,任何一个管理工作人员都无需了解RRDTool的复杂参数,通过友好的界面、强大的图形化监测能力,即可了解各台站的设备流量情况。
其次,Cacti作为开源软件,具有良好的可扩展性。上海市地震路由交换设备管理平台可以在满足现有功能情况下,针对业务需求进行二次开发。中国数字测震台网技术规范中有明确规定:任何一个区域数字测震台站,都必须配有宽频带数字地震观测系统、数据采集器和各网路传输设备。地震路由交换设备管理平台通过配合Nagios强力的故障分析能力及报警能力,其所能够检测的对象除了现有网络接口(流量、转发速度、丢包率等),还包括服务器资源(CPU、内存、进程等)、台站设备运行状态(风扇、温度、电源等)、机房运行环境(电流、电压、温湿度等)、安全设备性能、连接数、攻击数。未来,根据地震观测业务的实际需求,配合Cacti软件的相关插件及后续升级,平台可以对各类所需业务信息进行进一步收集,并提供实时图形化监测管理,可以为我国大量的数字无人值守台站资源维护及管理水平带来巨大的潜在优势。
Cacti软件可以实现地震数据实时流量图形动态化。众所周知,在任何数字化管理系统中,图形是最直观、有效的数据表示方式之一。对地震网络设备进行管理时,工作人员只要点击所需的网络设备就能在Web页面直接显示该设备的实时流量,并可以查询任意历史时段的网络数据信息。基于RRDTool存储的监控数据,在查询指定时间段的监测数据时不用浏览整个数据文件,而是通过RRDTool提供的图片生成工具使,用PHP脚本生成动态web图片。同时,通过简单的Web操作,即可对任一时段的数据流量进行查询分析,界面简单而友善。
Cacti软件实现了监测数据曲线图多样化。由于每一个台站功能与监测环境不同,数据会产生多样化及时段性,日常管理中需要对其进行统一分配规划。工作人员发现RRDTool的图片生成提供了多种参数,人们可以将若干个监控项目集中显示在一张图片中,如部分地震台站同时配备了卫星通讯网络和3G无线通讯网,观测数据中既有强震烈度数据,也包括测震数据,管理平台可以同时将不同传输流量、不同业务数据,同时显示在一张图中,方便工作人员进行资源分配及网络规划。
台站资源运维
自中国数字化地震台网建设以来,台站资源的日常维护一直是各省市地震局的“远、怕、难”问题。在大量的台站维护经验中,工作人员发现台站维护前期的网络监测在日常地震观测运维中逐渐成为重要角色,其重要性表现在台站网络的故障管理、资源规划和安全需要等诸多方面。
台站网络故障管理:当台站故障发生时,网络管理人员可以通过平台提供的各统计时间的统计图表、定时时间段的曲线图来分析网络监测数据,及时、准确地发现故障成因,并进行硬件方面的故障排除,提出解决方案,避免不必要的人力和物力资源浪费。
网络流量监测篇11
不久前,有一份美国调查机构的报告称,网络运维管理人员将面临更为头疼的管理难题,这些难题来自与日俱增的监视和监测设备。
该报告称,目前监测设备对于维持企业IT网络系统正常运作是至关重要的,但问题是网络运维管理人员往往面对很多复杂而又相对独立的监测设备,这些监测工具与设备通常包括嗅探器、 VoIP分析器、入侵检测和防御系统、网络监视器和数据记录器等。
监控市场是比较新兴的一个领域,现在这部分市场一直在不断增长,但是截止到目前还没有相关的市场价值预估数字出炉。随着网络用途的增多、工具的增多,网络管理会出现不少的问题,这就是网络监控市场兴起的另一个原因。当然,这也是时展必须要面临和解决的问题。
由于所有流经网络的流量都将穿越核心,很多网络运维管理人员认为网络核心是安装网络监控设备的最佳位置。由于核心位置的数据传输速率不断加快,现有的监控设备都要筛选大容量的数据来找出与特殊监控设备有关的流量,从而让处理资源的消耗也更加快速。
随着网络拓扑在速度上不断增长、融合和提升,现有的网络监控设备由于无法和网络相连接而逐渐被淘汰。问题的实质是网络不仅是一个监控工具在发挥作用,而是很多高水平的工具和核心关联在一起,每个工具都必须访问通过同一个高速通道的核心网络的一小部分流量。因此,没有哪个工具能达到它们的峰值性能水平。
让数据更完整
同时,很多网络运维管理人员面临的挑战是如何通过使用SPAN端口或者光学TAP访问网络核心,来实现网络的监控。虽然他们都从融合通道接收了大部分流量,但不是全部。
SPAN作为一种网络流量监控的方法,它将原端口或特定的VLAN的流复制到一个目的端口进行分析。而网络设备往往没有提供足够可分配的SPAN端口,这导致在一定程度上,增加了网络运维管理人员的日常工作,也不利于及时发现问题并解决问题。这是一道令他们头痛的难题。网络运维管理人员必须做出选择:是使用新的监控设备来重新改进网络、分配流量,还是剔除不感兴趣的流量。
不过,Gigamon系统公司就能够解决SPAN端口不足的问题。这家公司主打的高密度数据接入交换机产品GigaVUE-2404,将使现在的 10G(万兆)网络监控工作变得更加易于管理。实际上,此类产品的技术原理很简单,通过对来自10G网络的数据包进行过滤,用户可以利用现有的1G(千兆)设备,轻松实现有选择性地复制数据包,并能有效地克服带宽限制。
其实Gigamon提供的产品是一种能够在不打断通信流的情况下,收集并发送数据流的一种设备,而接收端往往是目前网络中的各种监视监测设备。
网络流量监测篇12
随着消防信息化建设的深入,近年来消防信息网络基础设施建设呈现蓬勃发展的趋势。省总队及各市消防支队都构建起了本地的局域网,辖区各大(中)队也通过租用专线的方式接入支队局域网。同时,依托于公安内网,总队至各支队间广域网也已构建完毕。网络基础环境的搭建为各类消防业务系统的应用提供了基础平台,良好的网络环境也是各类业务应用系统得以发挥效用的前提。
公安内网虽然隔离于互联网,但病毒入侵、网络攻击等破坏网络性能的行为却也是频频发生,如何有效的维护局域网络性能成为任何一个网管人员不得不面对的一个严肃课题。安装杀毒软件、开启防火墙、及时升级操作系统补丁是有效维护网络性能的必要手段。除此以外,作为网络管理员更需要研究如何在网络性能下降时,快速定位影响网络性能的原因,及时排除故障使网络恢复正常。网络性能严重下降最直观的表现就是网络流量骤涨,网络速度变慢。因此,监测网络流量成为监测网络性能的最直接方法。而对于局域网的流量管理又可以将流量监测的注意力放在对重点网络设备流量的监测上,也即是可以把流量监测的重点放在局域网中路由设备端口及楼层汇聚交换机级联端口的流量监测上。
2MRTG初探
目前,市面上的流量监测工具很多,如PRTG、华为的TrafficView等,它们中的大多数都是在MRTG(MultiRouterTrafficGrapher)多路由器流量图示器基础上进行二次开发的产物,而MRTG是基于SNMP(简单网络管理协议)构建。
SNMP是简单网络管理协议的简称,该协议目前已经发展到了三代,现在的版本是SNMPv3,以前的版本有SNMPv1和SNMPv2,其中SNMPv2又有多个版本,以SNMPv2c最为常见。SNMP三个版本的变化并不太大,许多特性也都做到了向后兼容。SNMP协议定义了网络管理的“管理端”与“”(agent),同时,它通过“管理信息库”(ManagentInformationBase,MIB)定义被管设备必须要保存的数据项,如被管设备为路由器则需要保存有关其网络接口状态、传来和发出的分组通信量、丢失的数据报以及产生的差错报文等等;“管理端”通过发送get或set命令读取或修改(AGENT)的MIB值。
目前,市面上流行的网络路由交换设备如华为AR4640、思科7600等路由器都能做到同时兼容SNMP协议的几个版本。基于SNMP的MRTG工具通过SNMP中的get命令获取被管设备Mib树中的流量值(MIB是一个按照层次结构组织的树状结构,管理对象为定义于树中的相应叶子节点)。比之于其他的流量监测工具,MRTG还具有平台无关性(可以运行于大多数Unix系统或Windows系统之上)、源码开放、占用资源小、完全免费等优点。所有支持SNMP的网络设备(交换机、路由器、服务器等)都可以用MRTG进行流量监测。同时,MRTG是一个完全免费且公开源码的软件,该软件是用Perl和C语言编写的,由于其采用了独特的数据合并算法,因而由MRTG产生的流量记录日志不会随着时间的增长而变成很大。
3MRTG应用经验
要利用MRTG对交换路由设备进行监控,首先要选取一台机器作为流量监控的SERVER端,安装了任何支持SNMP协议的操作系统(如Linux、Windows2000、WinXP等)的服务器都可以胜任。以Windows2000系统为例,默认安装下SNMP协议是处于未启用状态的,如果这台安装了Windows2000操作系统的服务器要作为MRTG流量监控服务器,首先要在该服务器上启用SNMP协议。启用方法为在windows2000的控制面板中选择“添加删除程序”,点击“添加/删除windows组件”,双击“管理和监视工具”,选中“简单网络管理程序”,确定后点击“下一步”完成安装。安装好SNMP协议后,就可以进行MRTG软件的安装了。因为MRTG是用Perl语言编写的,因此,在监控服务器端还需安装ActivatePerl。
同时,在被管设备端也需要开启对SNMP协议的支持。目前,市面上绝大多数的网络路由器都默认的支持SNMPv3,而老版本的MRTG程序只能支持SNMPv1。在使用较早版本的MRTG程序进行流量采集时,要首先查看被测结点是否对所有版本的SNMP协议都能支持。如果仅默认支持SNMPv3,则还需对被测结点做相应设置,否则MRTG可能无法正确获取被测结点流量。如笔者所在单位使用的华为QuaidWayAR4640路由器,默认设置只提供对SNMPv3的支持,要开放对SNMPv1的支持,则必须在路由器上执行SNMP-AGENTSYSINFOversionv1v2cv3,否则当使用较早版本的MRTG对该路由设备进行流量监测时,管理端会无法正常获取路由设备的流量,图1所示为华为-4640路由器作为被管端的设置图。此外,采用了SNMP授权机制的设备严格限制了对其MIB值进行访问的管理员对象,只有经过被管设备端授权的管理设备才可进行读取或设置该设备MIB值的操作,如笔者单位所用的美国网件楼层交换机即有如此限制,必须登陆至交换机管理界面进行相应SNMP访问授权设置才可进行SNMP流量采集,如图2所示。作为流量采集端,在安装MRTG后,需要执行相应的命令操作才可以进行对被管对象(agent)的流量进行采集。MRTG的命令操作设置方法在网站上可以查到详细的操作说明,这里不再赘述。
需要注明的是在流量采集端使用perlcfgmaker命令可以同时对多个被管设备(AGENT)端的流量进行监控,直接使用该命令生成的配置文件中默认包含了对所有被管设备所有端口流量的监测配置,如果我们不对自动生成的CFG文件进行手动修改的话,那么应用该配置文件进行监测后显示的流量页面结果将会包含所有被管端口的流量图。而在实际应用过程中,网管人员可能只关心重点设备的重点端口的流量,如我们只关心楼层交换机上联端口的流量,而无须对每个接入桌面端口的流量进行监控。要实现流量显示页面中只出现网管人员关注端口的流量图,这就需要网管人员对命令自动生成的CFG配置文件进行手动修改。在CFG文件中很容易区分出哪一段是对某一个网络设备的某一个端口的流量采集配置,我们在CFG中只需要删除无关部分,保留我们所关注的设备端口的流量配置即可,这样就可以把我们所关注所有端口流量图形显示在同一个WEB页面中,方便我们对流量的实时监测(如图3)。同时,通过对CFG文件的手动修改,还可把流量监测图WEB页面的显示中的默认英文显示修改为中文显示,使显示页面更简单易懂。
同时,由于MRTG除了提供端口的实时流量图外,还可提供日、月、年流量统计图,从这些流量显示粒度更粗的统计图中,可以很容易寻找出设备端口的流量趋势,如单位外联端口流量图呈泊松分布,在每天非上班时间网络流量较为平稳,而从上班时间开始流量则逐渐会呈现出上升趋势。一旦网络中有异常流量的出现,有经验的网管员可以很容易的从每日的流量图中发现问题并及时做出反应。同时,使用MRTG流量分析工作通过长时间的流量采集绘制出来的流量监测图形对评价网络带宽瓶颈也有一定的作用。如笔者单位与省厅间的原出口网络带宽仅为2M,而总队与各支队间的业务流量都需经由这个出口进行交互,在总队与下级支队间的各种业务应用明显增多的前提下,通过MRTG采集后生成的图象会发现流量采集的峰值经常在接近于2M左右的位置,根据网络带宽扩容的原理,这种接近于的满载的网络带宽利用率已经明显的提出了网络需扩容的警示。由此,本单位提出了网络扩容的需求,并将网络带宽由原有2M扩展于百M,极大的提升了各种网络应用的效率。
同时,利用MRTG除了可获取网络设备流量信息外,只要能获取被控网络设备的MIB树中对应的OID值,MRTG还可以对被管网络设备的CPU利用率、内存利用率等等涉及网络性能监控的数据进行提取显示。因而,其在局域网性能监测中起着举足轻重的作用。
当然用MRTG进行流量监测也有其局限之处,与PRTG相比,它不能提供对每次采集流量的具体数值,而只能从流量显示图中进行端口流量的大致估计。不过,这一问题也并非不可解决,网管人员可以自己编程从MRTG日志(LOG)文件中提取流量值将每次的流量采集数值显示出来。另外,用MRTG进行流量监测也存在一定的滞后性,往往会是在网络问题出现一段时间后这种异常现象才能通过流量显示图直观的显示出来,同时,网络中的异常流量也不一定是由于病毒引起的,如局域网中用户在进行大容量的数据下载或上传也会引起网络流量的骤增。因此,宜将MRTG与etheral等实时流量分析工具配合使用,进一步对网络中异常流量的构成进行分析,以便确定这种异常的流量行为是否由病毒引起,方能有针对性的寻找解决办法。
4结论
总之,对于网管人员而言,免费的MRTG流量采集工具以图形化的方式实时给网管员呈现出实时局域网流量的负载图,对更好的进行局域网性能监测提供了一个有效的途径。如能在MRTG基础上根据本单位的需求进行有针对性的二次开发,更能使其在局域网性能监测中起到事半功倍的效果。
参考文献
网络流量监测篇13
随着校园网的发展,网络管理已成为数字校园信息化建设中的重要一环,作为网络管理和维护人员首要任务就是随时了解网络的运行状况,对网络的运行状况进行流量监控和流量分析,是整个网络合理化的重要环节,它能在最短的时间内发现安全威胁,在第一时间进行分析,通过流量分析来确定异常并发出预警,快速采取相应措施[1]。因此,为了更好地管理校园网络,需引进专业的的网络监测软件cacti,对校园网络进行实时监控。
1 Cacti架构及功能
Cacti架构Cacti系统由五个部分组成,如图1所示。
包括数据定时采集、图像绘画与显示、树状的主机和图像管理、RRDTool信息管理、用户和权限管理和模板导入导出。定时采集数据:Cacti会定时运行,使用“snmpget”命令或脚本执行的方式进行数据的采集;存储数据:使用RRDTool的“update”命令将采集到的数据储存到rrd文件中;用户查看某台设备的流量:在Cacti的PHP页面上点击该设备,Cacti在数据库中寻找该设备对应的rrd文件名称。Cacti运行命令让RRDTool进行绘图。
2 Cacti在网络流量监控的应用
Cacti是一种开源式监控软件,它是通过SNMP抓取所监控的数据,把相关数据存储到RRDtool绘画引擎中,分布式的管理模式使得Cacti能够同时监控各个节点的数据信息。下面以学生区域的网络流量监控图,分析研究Cacti在网络流量监控的作用。
从图1中我们可以看出,每天上午的流量波动在7∶00左右被检测到,学生白天上网高峰出现在10:00~14:00左右,从8:00~23:30网络流量呈现一种上升的趋势,21:30~23:00左右达到最高值。这与我们学校的作息时间有关。学校每天早上7∶00来网,8:00上课。10:00一、二节课下课,部分同学回宿舍上网,至下午14:30上课期间,达到一个上网小高峰,下午18:00左右至23:00左右上是上网的高峰时期,23:00至次日7点监测到的流量几乎为零,是因为学校为了不影响学生休息和第二天的学习,每天23:00准时断网,Cacti的监测图准确地反映了实际网络状况。
从图3我们看出每周流入流出的大体趋势相差不大,总体的流量走势处于正常。从每天的流量波动趋势大体相差不大。周五至周日流量比平时稍多,反映了休息日学生上网人数增加,是学生利用休息日来放松自己,上上网,听听音乐,玩玩游戏等。但是,周四的下午6:00左右出现过短时间的断网事故,我们可以清晰地观测到在Cacti监控图上,周四中间地段出现流量异常剧降为零,然后迅速恢复的过程。正是由于Cacti的直观性,分布式管理的优势使得我们能够迅速的找到问题所在,快速使网络恢复正常。
通过以上实时监测表明,Cacti能够很直观的反应出流量的分布情况,可以很直观的发现异常的流量波动,进而对于网络故障做出快速反应,及时排除,恢复网络正常。是校园网有效管理和监测的重要手段之一。
3 结论
校园网络的流量监控是网络管理中的重要内容,Cacti对网络监控提供了一个直观可行的方案,我们通过它非常迅速的了解网络各个部分的流量情况,第一时间发现网络中的异常流量,及时发现黑客和病毒的攻击,并能根据各网络设备端口的使用情况对网络进行合理划分,大大提高网络的安全和运行效率,同时该系统实现了网络状态的图像化显示、故障报警、监测数据存储、温度湿度传感器信息采集等功能。使用该软件进行网络管理具有通用性高,通知及时,成本低,直观;非常适合校园网使用。
