摘 要 網(wǎng)絡流量的統(tǒng)計與分析技術在企業(yè)網(wǎng)絡故障的排除過程中是解決問題的開始，通過分析網(wǎng)絡中的數(shù)據(jù)流量和網(wǎng)絡協(xié)議的分布情況來分析故障的原因，為后續(xù)決策提供依據(jù)。本文主要探討了網(wǎng)絡流量統(tǒng)計與分析的對解決網(wǎng)絡故障的重要性及其實現(xiàn)的幾種方式。

【關鍵詞】網(wǎng)絡流量 流量統(tǒng)計 流量分析 Sniffer NetFlow

隨著互聯(lián)網(wǎng)業(yè)務的飛速發(fā)展，企業(yè)網(wǎng)絡面臨著各種各樣的威脅，企業(yè)的網(wǎng)絡性能也隨著用戶的行為和應用的多樣化變得難以控制，這使得網(wǎng)管理員頭痛不已。這時候?qū)ζ髽I(yè)的網(wǎng)絡進行流量統(tǒng)計與分析就顯得尤為重要，通過分析網(wǎng)絡管理員能夠了解網(wǎng)絡協(xié)議流量分布情況，了解應用運行的訪問量、響應等數(shù)據(jù)，對用戶的異常網(wǎng)絡行為如違規(guī)流量、攻擊流量能夠快速發(fā)現(xiàn)，為制定企業(yè)網(wǎng)絡的安全策略、進行流整形提供依據(jù)，進而解決企業(yè)網(wǎng)絡緩慢的現(xiàn)象?，F(xiàn)在的網(wǎng)絡流量統(tǒng)計與分析技術有基于網(wǎng)絡原始流量的統(tǒng)計與分析、基于網(wǎng)絡采樣數(shù)據(jù)的統(tǒng)計與分析和基于干路中橋接設備的流量統(tǒng)計與分析等方式，這幾種方式的實現(xiàn)有采用Sniffer軟件、采用cisco網(wǎng)絡設備內(nèi)置的NetFlow功能和在出口網(wǎng)路上橋接流量監(jiān)控設備等方式來實現(xiàn)統(tǒng)計與分析網(wǎng)絡流量。

1 基于網(wǎng)絡原始流量的統(tǒng)計與分析

1.1 Sniffer技術

Sniffer軟件就是基于網(wǎng)絡原始流量統(tǒng)計分析的一種技術，其原理是通過網(wǎng)絡設備的端口鏡像技術，實現(xiàn)采集網(wǎng)絡流量進行統(tǒng)計與分析。采用這種技術方式的好處是完全獲取了網(wǎng)絡的所有流量，其中包括了豐富的應用層信息，網(wǎng)絡管理員可以對其進行深度分析，甚至是用戶使用的搜索關鍵字都可以進行分析，這種方式實施最為簡單，幾乎不會對網(wǎng)絡中數(shù)據(jù)的傳輸產(chǎn)生額外的延時，但是因為使用基于網(wǎng)絡原始流量分析，需要收集所有數(shù)據(jù)幀，所以弊端就是數(shù)據(jù)量過于龐大，分析端的負載重，數(shù)據(jù)處理的工作任務繁重。

1.2 Sniffer技術的實現(xiàn)

Sniffer技術的實現(xiàn)，首先要在交換機上配置端口鏡像的功能，將網(wǎng)絡主干的鏈路接口鏡像到另一個接口上做統(tǒng)計與分析，配置如下：

S1（config）#monitor session 1 source interface fastEthernet 0/1

S1（config）#monitor session 1 destination interface fastEthernet 0/4

然后將裝有Sniffer的協(xié)議分析平臺接入到鏡像接口上，并啟動Sniffer軟件就可以對網(wǎng)絡的整體流量做完整的統(tǒng)計與分析了。

2 基于網(wǎng)絡采樣數(shù)據(jù)的統(tǒng)計與分析

2.1 NetFlow技術

NetFlow是Cisco公司提出的一種數(shù)據(jù)交換標準，在實際應用中都進行采樣的統(tǒng)計方式。其原理是開啟路由器和交換機中的NetFlow功能，動態(tài)地收集經(jīng)過路由器的流的信息記錄到設備的高速緩存中，再將滿足規(guī)則的流記錄上報到外部的收集平臺來進行分析。這樣做更有助于網(wǎng)絡管理員監(jiān)控網(wǎng)絡流量，識別具體流量類型、統(tǒng)計會話數(shù)并進行網(wǎng)絡流量的整形控制。NetFlow的優(yōu)點是在數(shù)據(jù)交換的同時對數(shù)據(jù)流信息進行統(tǒng)計，有著速度快、方便、高效的優(yōu)點，現(xiàn)在被很多的商家廣泛的使用，但它也有一定的弊端，如網(wǎng)絡設備要能夠支持NetFlow，另外還需要購置NetFlow的采集軟件，這對于資金不是很充足的企業(yè)客戶無疑是一筆額外的支出。

2.2 NetFlow技術實現(xiàn)

一個NetFlow流量統(tǒng)計與分析平臺包括3個主要的部份：探測器、采集器和報告系統(tǒng)。探測器的作用是監(jiān)聽網(wǎng)絡數(shù)據(jù)的，采集器是用來收集探測器傳來的數(shù)據(jù)的，報告系統(tǒng)是用來從采集器收集到的數(shù)據(jù)中產(chǎn)生易讀懂的報告。

NetFlow技術的實現(xiàn)首先需要配置設備有一個統(tǒng)一的時鐘源，以保證NetFlow的收集平臺顯示數(shù)據(jù)流量的時候提供正確的采集時間，配置命令如下：

R1#clock set 23：00：00 6 mar 2015 //設置時間

R1（config）#ntp master //設置R1作為時鐘源

R1（config）#ntp e1/0 //設置時鐘消息更新源接口

第二步、其它的網(wǎng)絡設備需要利用ntp server 命令來獲得時鐘來源

R2（config）#ntp server 192.168.0.1 //192.168.0.1指的是時鐘源的路由器接口IP

第三步、在連接路由器R2要啟動NetFlow功能，以IP地址192.168.5.100為例，指令ip flow-export destination 192.168.5.100 9996指示NetFlow探測器要將收集到的流量發(fā)送到192.168.5.100，使用9996號端口進行發(fā)送。

R2（config）#ip flow-export destination 192.168.5.100 9996

R2（config）#ip flow-export version 5 //指定開啟NetFlow的版本

R2（config）#interface e1/0 //指定接口

R2（config-if）ip flow ingress //對進入流量進行采集

R2（config-if）ip flow egress //對出站流量進行采集

第四步：在192.168.5.100的主機上安裝NetFlow集中采集平臺，最后在IE瀏覽器輸入IP地址192.168.5.100：8080來登陸，在平臺中進行流量的統(tǒng)計與分析。

3 基于干路中橋接設備的流量統(tǒng)計與分析

3.1 以DPI技術為核心的流量統(tǒng)計與分析

基于干路中橋接設備的流量統(tǒng)計與分析方法的原理是采用的是以DPI（Deep packet inspection，深度數(shù)據(jù)包檢測）為核心的一種技術。DPI是一種基于應用層的流量檢測和控制技術，DPI 技術在分析包頭的基礎上，增加了對應用層的分析，當TCP 、IP 數(shù)據(jù)包或UDP 數(shù)據(jù)流經(jīng)過基于DPI 技術的網(wǎng)絡設備時，DPI 引擎通過深入讀取IP 包載荷的內(nèi)容來對OSI 7 層中的應用層信息進行重組，從而識別出IP 包的應用層協(xié)議。

基于DPI技術的流量統(tǒng)計與分析方法需要維護一個應用特征碼數(shù)據(jù)庫，當網(wǎng)絡流量經(jīng)過DPI技術的檢測設備時，通過將解包后的應用信息與后臺特征碼數(shù)據(jù)庫進行比對來確定應用類型；它像防病毒軟件一樣，應用特征碼數(shù)據(jù)庫也要更新才能具有對新型應用的識別和控制能力。它的優(yōu)點是對數(shù)據(jù)的捕獲能力強并具有強大的控制能力，可以捕獲不同網(wǎng)段的數(shù)據(jù)，不需要主干交換設備支持，但是它對設備的處理能力要求高，容易造成網(wǎng)絡瓶頸，價格昂貴。

3.2 基于干路中橋接設備技術實現(xiàn)

干路橋接設備通過是以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡的出口線路上，對線路上的進出流量進行統(tǒng)計、分析，同時還可以根據(jù)網(wǎng)絡管理員制定的策略、規(guī)則進行流量整形。

4 結(jié)束語

無論是網(wǎng)絡原始數(shù)據(jù)統(tǒng)計與分析、采樣數(shù)據(jù)統(tǒng)計與分析還是DPI技術為核心的流量統(tǒng)計分析，都可以為網(wǎng)絡和應用問題分析提供數(shù)據(jù)包級別的分析能力，NetFlow和Sniffer都采用軟件來實現(xiàn)，因此成本低，但有漏捕的可能；基于干路橋接設備的DPI技術，應用識別率高，捕獲數(shù)據(jù)全并且有強大的控制能力，但是設備的處理能力要求高，設備串聯(lián)在網(wǎng)絡的出口鏈路上成為網(wǎng)絡瓶頸的可能性較大，設備也比較昂貴。企業(yè)的網(wǎng)絡管理人員可以根據(jù)企業(yè)的網(wǎng)絡結(jié)構(gòu)與環(huán)境的不同，選擇不同的方法進行網(wǎng)絡流量的統(tǒng)計與分析。

參考文獻

[1]張婧婧，陳福文.互聯(lián)網(wǎng)流量分析技術及部署方案[J].情報理論與實踐，2013，10（19）：71-75.

[2]董暉.使用Netflow進行網(wǎng)絡流量監(jiān)管[J].計算機與網(wǎng)絡，2007，06（11）：38-39.

[3]孫蕊.一個面向IPv6的流量監(jiān)測原型系統(tǒng)的設計與實現(xiàn)[D].東北大學，2010.

作者簡介

彭錦（1982-），男，廣東省惠州市人。大學本科學歷。講師。研究方向為網(wǎng)絡信息安全。

作者單位

廣東省技師學院 廣東省惠州市 516100