摘 要 網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析技術(shù)在企業(yè)網(wǎng)絡(luò)故障的排除過程中是解決問題的開始，通過分析網(wǎng)絡(luò)中的數(shù)據(jù)流量和網(wǎng)絡(luò)協(xié)議的分布情況來分析故障的原因，為后續(xù)決策提供依據(jù)。本文主要探討了網(wǎng)絡(luò)流量統(tǒng)計(jì)與分析的對解決網(wǎng)絡(luò)故障的重要性及其實(shí)現(xiàn)的幾種方式。

【關(guān)鍵詞】網(wǎng)絡(luò)流量 流量統(tǒng)計(jì) 流量分析 Sniffer NetFlow

隨著互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，企業(yè)網(wǎng)絡(luò)面臨著各種各樣的威脅，企業(yè)的網(wǎng)絡(luò)性能也隨著用戶的行為和應(yīng)用的多樣化變得難以控制，這使得網(wǎng)管理員頭痛不已。這時(shí)候?qū)ζ髽I(yè)的網(wǎng)絡(luò)進(jìn)行流量統(tǒng)計(jì)與分析就顯得尤為重要，通過分析網(wǎng)絡(luò)管理員能夠了解網(wǎng)絡(luò)協(xié)議流量分布情況，了解應(yīng)用運(yùn)行的訪問量、響應(yīng)等數(shù)據(jù)，對用戶的異常網(wǎng)絡(luò)行為如違規(guī)流量、攻擊流量能夠快速發(fā)現(xiàn)，為制定企業(yè)網(wǎng)絡(luò)的安全策略、進(jìn)行流整形提供依據(jù)，進(jìn)而解決企業(yè)網(wǎng)絡(luò)緩慢的現(xiàn)象?，F(xiàn)在的網(wǎng)絡(luò)流量統(tǒng)計(jì)與分析技術(shù)有基于網(wǎng)絡(luò)原始流量的統(tǒng)計(jì)與分析、基于網(wǎng)絡(luò)采樣數(shù)據(jù)的統(tǒng)計(jì)與分析和基于干路中橋接設(shè)備的流量統(tǒng)計(jì)與分析等方式，這幾種方式的實(shí)現(xiàn)有采用Sniffer軟件、采用cisco網(wǎng)絡(luò)設(shè)備內(nèi)置的NetFlow功能和在出口網(wǎng)路上橋接流量監(jiān)控設(shè)備等方式來實(shí)現(xiàn)統(tǒng)計(jì)與分析網(wǎng)絡(luò)流量。

1 基于網(wǎng)絡(luò)原始流量的統(tǒng)計(jì)與分析

1.1 Sniffer技術(shù)

Sniffer軟件就是基于網(wǎng)絡(luò)原始流量統(tǒng)計(jì)分析的一種技術(shù)，其原理是通過網(wǎng)絡(luò)設(shè)備的端口鏡像技術(shù)，實(shí)現(xiàn)采集網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)與分析。采用這種技術(shù)方式的好處是完全獲取了網(wǎng)絡(luò)的所有流量，其中包括了豐富的應(yīng)用層信息，網(wǎng)絡(luò)管理員可以對其進(jìn)行深度分析，甚至是用戶使用的搜索關(guān)鍵字都可以進(jìn)行分析，這種方式實(shí)施最為簡單，幾乎不會(huì)對網(wǎng)絡(luò)中數(shù)據(jù)的傳輸產(chǎn)生額外的延時(shí)，但是因?yàn)槭褂没诰W(wǎng)絡(luò)原始流量分析，需要收集所有數(shù)據(jù)幀，所以弊端就是數(shù)據(jù)量過于龐大，分析端的負(fù)載重，數(shù)據(jù)處理的工作任務(wù)繁重。

1.2 Sniffer技術(shù)的實(shí)現(xiàn)

Sniffer技術(shù)的實(shí)現(xiàn)，首先要在交換機(jī)上配置端口鏡像的功能，將網(wǎng)絡(luò)主干的鏈路接口鏡像到另一個(gè)接口上做統(tǒng)計(jì)與分析，配置如下：

S1（config）#monitor session 1 source interface fastEthernet 0/1

S1（config）#monitor session 1 destination interface fastEthernet 0/4

然后將裝有Sniffer的協(xié)議分析平臺接入到鏡像接口上，并啟動(dòng)Sniffer軟件就可以對網(wǎng)絡(luò)的整體流量做完整的統(tǒng)計(jì)與分析了。

2 基于網(wǎng)絡(luò)采樣數(shù)據(jù)的統(tǒng)計(jì)與分析

2.1 NetFlow技術(shù)

NetFlow是Cisco公司提出的一種數(shù)據(jù)交換標(biāo)準(zhǔn)，在實(shí)際應(yīng)用中都進(jìn)行采樣的統(tǒng)計(jì)方式。其原理是開啟路由器和交換機(jī)中的NetFlow功能，動(dòng)態(tài)地收集經(jīng)過路由器的流的信息記錄到設(shè)備的高速緩存中，再將滿足規(guī)則的流記錄上報(bào)到外部的收集平臺來進(jìn)行分析。這樣做更有助于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)流量，識別具體流量類型、統(tǒng)計(jì)會(huì)話數(shù)并進(jìn)行網(wǎng)絡(luò)流量的整形控制。NetFlow的優(yōu)點(diǎn)是在數(shù)據(jù)交換的同時(shí)對數(shù)據(jù)流信息進(jìn)行統(tǒng)計(jì)，有著速度快、方便、高效的優(yōu)點(diǎn)，現(xiàn)在被很多的商家廣泛的使用，但它也有一定的弊端，如網(wǎng)絡(luò)設(shè)備要能夠支持NetFlow，另外還需要購置NetFlow的采集軟件，這對于資金不是很充足的企業(yè)客戶無疑是一筆額外的支出。

2.2 NetFlow技術(shù)實(shí)現(xiàn)

一個(gè)NetFlow流量統(tǒng)計(jì)與分析平臺包括3個(gè)主要的部份：探測器、采集器和報(bào)告系統(tǒng)。探測器的作用是監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)的，采集器是用來收集探測器傳來的數(shù)據(jù)的，報(bào)告系統(tǒng)是用來從采集器收集到的數(shù)據(jù)中產(chǎn)生易讀懂的報(bào)告。

NetFlow技術(shù)的實(shí)現(xiàn)首先需要配置設(shè)備有一個(gè)統(tǒng)一的時(shí)鐘源，以保證NetFlow的收集平臺顯示數(shù)據(jù)流量的時(shí)候提供正確的采集時(shí)間，配置命令如下：

R1#clock set 23：00：00 6 mar 2015 //設(shè)置時(shí)間

R1（config）#ntp master //設(shè)置R1作為時(shí)鐘源

R1（config）#ntp e1/0 //設(shè)置時(shí)鐘消息更新源接口

第二步、其它的網(wǎng)絡(luò)設(shè)備需要利用ntp server 命令來獲得時(shí)鐘來源

R2（config）#ntp server 192.168.0.1 //192.168.0.1指的是時(shí)鐘源的路由器接口IP

第三步、在連接路由器R2要啟動(dòng)NetFlow功能，以IP地址192.168.5.100為例，指令ip flow-export destination 192.168.5.100 9996指示NetFlow探測器要將收集到的流量發(fā)送到192.168.5.100，使用9996號端口進(jìn)行發(fā)送。

R2（config）#ip flow-export destination 192.168.5.100 9996

R2（config）#ip flow-export version 5 //指定開啟NetFlow的版本

R2（config）#interface e1/0 //指定接口

R2（config-if）ip flow ingress //對進(jìn)入流量進(jìn)行采集

R2（config-if）ip flow egress //對出站流量進(jìn)行采集

第四步：在192.168.5.100的主機(jī)上安裝NetFlow集中采集平臺，最后在IE瀏覽器輸入IP地址192.168.5.100：8080來登陸，在平臺中進(jìn)行流量的統(tǒng)計(jì)與分析。

3 基于干路中橋接設(shè)備的流量統(tǒng)計(jì)與分析

3.1 以DPI技術(shù)為核心的流量統(tǒng)計(jì)與分析

基于干路中橋接設(shè)備的流量統(tǒng)計(jì)與分析方法的原理是采用的是以DPI（Deep packet inspection，深度數(shù)據(jù)包檢測）為核心的一種技術(shù)。DPI是一種基于應(yīng)用層的流量檢測和控制技術(shù)，DPI 技術(shù)在分析包頭的基礎(chǔ)上，增加了對應(yīng)用層的分析，當(dāng)TCP 、IP 數(shù)據(jù)包或UDP 數(shù)據(jù)流經(jīng)過基于DPI 技術(shù)的網(wǎng)絡(luò)設(shè)備時(shí)，DPI 引擎通過深入讀取IP 包載荷的內(nèi)容來對OSI 7 層中的應(yīng)用層信息進(jìn)行重組，從而識別出IP 包的應(yīng)用層協(xié)議。

基于DPI技術(shù)的流量統(tǒng)計(jì)與分析方法需要維護(hù)一個(gè)應(yīng)用特征碼數(shù)據(jù)庫，當(dāng)網(wǎng)絡(luò)流量經(jīng)過DPI技術(shù)的檢測設(shè)備時(shí)，通過將解包后的應(yīng)用信息與后臺特征碼數(shù)據(jù)庫進(jìn)行比對來確定應(yīng)用類型；它像防病毒軟件一樣，應(yīng)用特征碼數(shù)據(jù)庫也要更新才能具有對新型應(yīng)用的識別和控制能力。它的優(yōu)點(diǎn)是對數(shù)據(jù)的捕獲能力強(qiáng)并具有強(qiáng)大的控制能力，可以捕獲不同網(wǎng)段的數(shù)據(jù)，不需要主干交換設(shè)備支持，但是它對設(shè)備的處理能力要求高，容易造成網(wǎng)絡(luò)瓶頸，價(jià)格昂貴。

3.2 基于干路中橋接設(shè)備技術(shù)實(shí)現(xiàn)

干路橋接設(shè)備通過是以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡(luò)的出口線路上，對線路上的進(jìn)出流量進(jìn)行統(tǒng)計(jì)、分析，同時(shí)還可以根據(jù)網(wǎng)絡(luò)管理員制定的策略、規(guī)則進(jìn)行流量整形。

4 結(jié)束語

無論是網(wǎng)絡(luò)原始數(shù)據(jù)統(tǒng)計(jì)與分析、采樣數(shù)據(jù)統(tǒng)計(jì)與分析還是DPI技術(shù)為核心的流量統(tǒng)計(jì)分析，都可以為網(wǎng)絡(luò)和應(yīng)用問題分析提供數(shù)據(jù)包級別的分析能力，NetFlow和Sniffer都采用軟件來實(shí)現(xiàn)，因此成本低，但有漏捕的可能；基于干路橋接設(shè)備的DPI技術(shù)，應(yīng)用識別率高，捕獲數(shù)據(jù)全并且有強(qiáng)大的控制能力，但是設(shè)備的處理能力要求高，設(shè)備串聯(lián)在網(wǎng)絡(luò)的出口鏈路上成為網(wǎng)絡(luò)瓶頸的可能性較大，設(shè)備也比較昂貴。企業(yè)的網(wǎng)絡(luò)管理人員可以根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)與環(huán)境的不同，選擇不同的方法進(jìn)行網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析。

參考文獻(xiàn)

[1]張婧婧，陳福文.互聯(lián)網(wǎng)流量分析技術(shù)及部署方案[J].情報(bào)理論與實(shí)踐，2013，10（19）：71-75.

[2]董暉.使用Netflow進(jìn)行網(wǎng)絡(luò)流量監(jiān)管[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2007，06（11）：38-39.

[3]孫蕊.一個(gè)面向IPv6的流量監(jiān)測原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].東北大學(xué)，2010.

作者簡介

彭錦（1982-），男，廣東省惠州市人。大學(xué)本科學(xué)歷。講師。研究方向?yàn)榫W(wǎng)絡(luò)信息安全。

作者單位

廣東省技師學(xué)院 廣東省惠州市 516100