一、前言

隨著網(wǎng)絡(luò)的應(yīng)用越來越廣泛，網(wǎng)絡(luò)中承載的業(yè)務(wù)也越來越豐富。企業(yè)需要及時了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時掌握網(wǎng)絡(luò)流量特征，及時解決網(wǎng)絡(luò)性能問題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問題來看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時了解到詳細的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時洞察網(wǎng)絡(luò)運行狀況，及時了解網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。

二、流量分析的應(yīng)用

1.基于SNMP 的流量分析

SNMP(Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議)，是一種廣為使用的網(wǎng)絡(luò)協(xié)議，基于SNMP 的流量分析就是通過SNMP 協(xié)議訪問設(shè)備獲取MIB 庫中的端口流量信息。典型工具有MRTG(Multi Router Traffic Grapher)，MRTG 是一個實用的免費軟件，MRTG 使用起來很方便，能夠非常直觀地顯示端口流量負載。但MRTG 的功能比較單一，其收集到的流量信息僅是簡單的端口出、入流量統(tǒng)計信息，不能用于深入的流量分析。

2.RMON

RMON(Remote Monitoring，遠程監(jiān)控)，是由IETF定義的一種遠程監(jiān)控標準，RMON 是對SNMP 標準的擴展， 它定義了標準功能以及網(wǎng)管站和遠程監(jiān)控器之間的接口，實現(xiàn)對一個網(wǎng)段乃至整個網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。

RMON 監(jiān)控器可用兩種方法收集數(shù)據(jù):一種是通過專用的RMON 探針(Probe)，流量探針安裝方便，但是流量探針價格昂貴， 不適合大面積部署。另一種方法是將RMON 代理直接植入網(wǎng)絡(luò)設(shè)備(路由器、交換機等)，但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMON MIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計量、歷史、告警、事件等四個組的信息。

3.NetStream技術(shù)

NetStream是H3C基于“流”的概念，定義的一種用于路由器/交換機輸出網(wǎng)絡(luò)流量的統(tǒng)計數(shù)據(jù)的方法。路由器/交換機對通過其的IP數(shù)據(jù)包進行統(tǒng)計和分析，并上報給數(shù)據(jù)采集機，采集機把搜集的數(shù)據(jù)包及統(tǒng)計數(shù)據(jù)傳送到中心服務(wù)器，經(jīng)合并處理后存入數(shù)據(jù)庫，并進行進一步的分析處理。NetStream技術(shù)可利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價值，并可在最大限度減小對路由器/交換機性能的影響的前提下提供詳細的數(shù)據(jù)流統(tǒng)計信息。

4.sFlow

sFlow(RFC3176)是2001 年由InMon 公司提出來的技術(shù)，sFlow(RFC3176)是IETF 的一個開放標準，可提供完整的第二層到第四層、全網(wǎng)絡(luò)范圍內(nèi)的流量信息。

sFlow 監(jiān)控系統(tǒng)包括sFlow 代理、sFlow 數(shù)據(jù)采集器或sFlow 分析器，sFlow 代理通常為硬件芯片內(nèi)嵌到路由器或交換機中，通過統(tǒng)計采樣技術(shù)獲取流量信息形成sFlow 數(shù)據(jù)包， 并立即發(fā)送給sFlow 分析器進行流量分析。sFlow 可以直接內(nèi)建在邊緣的二層或三層交換設(shè)備上提供覆蓋全網(wǎng)、實時網(wǎng)絡(luò)監(jiān)控的功能，是一種很有發(fā)展前景的技術(shù)。

三、流量分析的應(yīng)用

NTE（NetTraffic Exporter）負責(zé)流量的采集和發(fā)送；NTC（NetTraffic Collector）設(shè)備負責(zé)收集和存儲NTE發(fā)來的流量統(tǒng)計數(shù)據(jù)信息；NTP（NetTraffic Processor）從數(shù)據(jù)庫中獲取收集到的數(shù)據(jù)，經(jīng)分析加工后以直觀的圖表、報表等方式為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢分析、異常檢測等提供直接的數(shù)據(jù)依據(jù)。

各組成部分的關(guān)系如下圖所示：

1.流量監(jiān)控

網(wǎng)管人員可按照系統(tǒng)提供的參數(shù)來設(shè)定監(jiān)控條件，系統(tǒng)根據(jù)設(shè)定的監(jiān)控條件過濾得來流量記錄(Flow Record)并將符合監(jiān)控條件的統(tǒng)計資料存入系統(tǒng)數(shù)據(jù)庫中。最后，系統(tǒng)便可以從數(shù)據(jù)庫里讀取數(shù)據(jù)做成各種圖表(Report)。因此，網(wǎng)絡(luò)管理員可針對網(wǎng)絡(luò)的重要鏈路進行流量監(jiān)控， 掌握不同鏈路的流量基線，及時了解鏈路的負載和發(fā)現(xiàn)問題。

2.流量分析

網(wǎng)管人員可以開啟實時監(jiān)控功能， 針對所設(shè)定的范圍做流量數(shù)據(jù)的收集與分析。在同一時間里，可以開啟多個實時監(jiān)控窗口，每一窗口獨立監(jiān)控一項設(shè)定，并根據(jù)搜集得來的資料自動排序，做成各種報表。

例如：網(wǎng)絡(luò)中近期BT 下載開使流行，這是一種多點下載的源碼公開的P2P 軟件， 它的特點是下載的人越多，下載速度越快，但網(wǎng)絡(luò)資源占用大，目前網(wǎng)絡(luò)中監(jiān)控到的BT 下載流量加起來已超過流媒體應(yīng)用， 給網(wǎng)絡(luò)造成一定壓力。通過定期對網(wǎng)絡(luò)中一些重要的特定流量進行排名分析，將幫助網(wǎng)管管理員了解所轄網(wǎng)絡(luò)中的流入流向信息，以及應(yīng)用協(xié)議的分布狀況，有助于網(wǎng)絡(luò)管理員建立自己網(wǎng)絡(luò)的流量模型，在網(wǎng)絡(luò)維護或擴容決策時，提供重要的參考。

3.異常流量分析

現(xiàn)在隨著IP 網(wǎng)絡(luò)不斷擴大， 網(wǎng)絡(luò)中也經(jīng)常會出現(xiàn)黑客攻擊、病毒泛濫的情況，而這些網(wǎng)絡(luò)突發(fā)事件從設(shè)備和網(wǎng)管的角度看卻很難發(fā)現(xiàn)問題，經(jīng)常也讓網(wǎng)絡(luò)管理員感到棘手，因此，針對網(wǎng)絡(luò)中突發(fā)性的異常流量分析將有助于網(wǎng)絡(luò)管理員發(fā)現(xiàn)和解決問題。（如下圖例）

分析：

10.153.120.51：個人設(shè)備S05947，3月8日晚19：00左右開始，每10s向同網(wǎng)段多個IP地址發(fā)送UDP廣播報文，長度為固定的65字節(jié)，源端口、目的端口均為7777，總流量不大，僅為0.25GB。進一步查看該IP地址流量發(fā)現(xiàn)大量25000以上連續(xù)動態(tài)端口，TCP協(xié)議流量，1小時內(nèi)總流量達到1GB。從報文特征判斷，初步懷疑該員工使用PPLive連接外網(wǎng)服務(wù)器下載觀看網(wǎng)絡(luò)電視，經(jīng)聯(lián)系信息安全部門人員查證核實，確知該員工非法安裝PPLive軟件，違反公司相關(guān)規(guī)定，及時對該員工進行了處理。

四、結(jié)束語

通過以上應(yīng)用可以看出，IP 網(wǎng)絡(luò)流量分析可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從多個方面更好地維護、優(yōu)化IP 網(wǎng)絡(luò)，提升IP 網(wǎng)絡(luò)的性能;同時還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶提供流量分析服務(wù)，比如網(wǎng)站流量統(tǒng)計分析等;也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。因此，可以預(yù)見，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

參考文獻

[1] 謝希仁.計算機網(wǎng)絡(luò)（第4版）.電子工業(yè)出版社，2003.

[2] W.Richard Stevens.任守奎，等，譯.TCP/IP詳解（第一卷 協(xié)議）.北京大學(xué)出版社，1999.

[3]網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書.2005.

[4] 吳禮發(fā)，謝希仁.網(wǎng)絡(luò)原理與技術(shù)教程.北京希望電子出版社，2002.