流量监测技术及在IP网络维护管理中的应用.docx
《流量监测技术及在IP网络维护管理中的应用.docx》由会员分享,可在线阅读,更多相关《流量监测技术及在IP网络维护管理中的应用.docx(5页珍藏版)》请在冰豆网上搜索。
流量监测技术及在IP网络维护管理中的应用
流量监测及其在IP网络
维护管理中的应用
摘要:
对IP网络的流量进行监测和分析,能够掌握并优化网络运行状况,增强网络运行的可靠性和安全性,有效地进行网络的规划和设计,了解用户使用网络的情况,应用业务的分布情况,为新的数据业务的开发提供依据。
同时,对现有基于SNMP/RMON协议,数据采集探针,协议分析仪表,NetFlow/sFlow的四种流量监测技术进行了分析和比较。
并对js综合信息网上应用的流量监测技术进行了介绍。
关键词:
IP网络流量分析流量监测技术js综合信息网
随着IP业务不断发展,网络规模不断扩张,网络结构日益复杂,如何有效地对网络进行管理使之高效、稳定运行,已成为IP网络管理日趋重要的工作内容。
目前网络上使用的管理手段主要是完成故障管理、配置管理、计费管理、性能管理及安全管理等传统网络管理系统的五大功能,而对于网络中流量分布、流量组成等有关流量的生成因素缺乏相应的管理手段,使得IP网络管理中的分析研究不能形成全方位、深层次的管理功能,不能很好地发挥网络管理作用,也就不能为IP网络发展和网络优化提供更优质、更有效的技术支撑和技术服务。
因而,我们有必要加强网络流量的管理和分析,有必要对网络维护管理中作用越来越大的流量分析加以积极应用,进而有效地提高IP网络管理的分析研究功能,进一步提高网络管理的地位和作用。
1 流量监测的目标
对网络整体流量的监测,目的是通过对流量的监视,保证IP网络能够长时间安全可靠的运行,不会因为某些突发的异常流量对网络正常运行造成严重的影响,甚至瘫痪。
对不同用户、不同业务的流量组成进行监测,可保证各类业务的顺利开展,可保证合法客户的网络带宽资源和通信质量。
对流量监测的需求主要体现在:
实时监测和统计网络流量、全面分析网络应用业务分布、异常流量的监测和告警等三个方面。
1.1 实时监测和统计网络流量
实施流量分析功能可以通过对网络中继链路流量的长期实时监测、统计,掌握各中继流量的变化趋势,对网络扩容提供数据依据;通过对流量的长期监测,形成流量分布的基线图;通过设定警戒线,及时发现捕捉异常流量,并进一步分析排除产生异常流量的根源。
1.2 全面分析网络应用业务分布
传统的网管系统只能取得设备接口的流量统计数据,仅能实现流量的量化功能,对于流量的组成、来源、目的地及应用等各种数据参数及其比例分析则无法得到。
而这些是提高网络性能、合理规划网络及业务决策等的重要数据依据。
通过对端到端网络层流量的详细分析,可以获知不同用户和不同网段的流量组成以及流量去向,掌握各种业务对网络带宽的占用情况,为重点用户或重要任务保障提供基础数据。
1.3 异常流量的监测和告警
对于网络运行维护来说,确保同络的安全是最重要的。
目前我们在广域网方面面临的主要威胁是拒绝服务DoS、分布式拒绝服务Ddos或蠕虫病毒等,这些网络攻击会造成网络设备CPU使用率上升,造成大量丢包,严重影响网络通信质量。
但通过对网络流量的实时监测,这些攻击所造成的网络异常流量就能被检测到,并且通过网络流量流向的分析能有效地确定攻击的来源和目标,进而可以通过切断攻击源等方法进行响应和排除。
2 流量监测技术
目前对网络流量监测的常用技术有四种,分别是:
基于SNMP/RMON协议的监测技术、基于数据采集探针的监测技术、基于协议分析仪表的监测技术、基于NetFlow/SFlow的监测技术。
2.1 基于SNMP/RMON协议的监测技术
SNMP(简单网络管理协议)是TCP/IP的标准网络管理协议。
基于SNMP的流量信息采集,实质上是通过提取网络设备代理提供的MIB(管理对象信息库)信息,收集一些具体设备及流量信息相关的变量。
MIB中定义了节点设备的对象标识树,每个对象表示设备的一种状态或数据(如接口发送、接收的报文数和字节数)。
基于SNMP收集的网络流量信息包括:
输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数等。
RMON协议是对SNMP标准的扩展,它定义了远程监视的标准功能以及远程监控代理的接口,主要对一个网段乃至整个网络的性能数据进行采集和测量。
RMON关注网络链路层的统计、分析和告警,而RMONⅡ关注网络层和应用层的性能监测,在RMON基础上增加了协议分布和探针配置等项目。
RMON通过两种方法收集数据:
一种是将RMON代理嵌入网络设备使其对外提供RMON功能;另一种是通过专用的RMON探针,网管直接从探针获取信息并控制网络设备。
一般而言,所有的网络设备都提供标准的SNMP功能。
通过通用的网管软件(如MRTG—MultiRouterTrafficGrapher)或专用网管系统(如厂家设备网管)都可以提供固定时长的流量曲线和重要数据,能够满足一般的端口链路流量监视的要求,但其相对其它监测技术而言,功能单一,信息量少,而且无法进行流向和业务类型的详细分析和历史分析。
2.2 基于数据采集探针的监测技术
数据采集探针是专门用于获取网络链路流量数据的硬件设备。
按实现方式可以分为软件探针和硬件探针。
使用时是通过分光分路设备、交换机流量镜像端口或直接将其串接在待观测的链路上,对链路上所有的数据报文进行处理,提取流量监测所需的协议字段甚至全部报文内容。
流量探针可以实时对流量数据进行采集记录,经过汇聚和预处理将流量信息发送到后端数据库。
通过分析软件可进行实时监视,图表显示分析统计结果或导出报表文件;经条件设置还能够利用流量探针的数据捕获功能对网络流量进行实时采集或流量镜像,进行报文的协议分析。
硬件数据采集探针是为流量监测目的专门设计的,能够对高速端口的流量进行采集。
探针采用无源分光器或镜像方式接入网络,不影响原有设备的传输和性能。
流量采集过程不需要网络设备的参与,路由器交换机可全力用于路由和转发。
探针技术不依赖于设备本身的流量统计功能,就能够精确记录所有报文的流量信息,还可根据用户要求定制灵活高效的数据采集策略,最终满足用户对流量监测的需求。
流量探针的安装很简单,可以用于高速的网络而不影响网络性能;流量探针适合部署在汇聚层、骨干层或某些网间互连的重要或关键链路。
由于探针必须放置在物理链路上,因此不同类型的端口需要不同接口的探针,目前主要有FE、GE、OC-3POS/ATM、2.5GPOS等。
探针方法需要部署新的设备,并且一个探针同时只能监测一条或几条链路的流量信息。
对于全网流量的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据,做全网的流量分析和长期报告。
与其他的3种方式相比,基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。
但是硬件探针的监测方式受限于探针的接口速率,而且探针方式重点是单条链路的流量分析,Netflow更偏重全网流量的分析。
2.3 基于协议分析仪表的监测技术
协议分析仪表可以对网络流量的全部数据进行短时的实时采集(数据量的多少与报文缓存的大小相关),既能捕获整个数据报,又能捕获数据报的片断;既能进行实时解码,又能离线分析。
许多协议分析仪还支持设定条件的数据捕获和后分析。
通过捕获的数据可以进行2至7层的协议解码、报文或会话重组,并进行详细的分析和诊断。
协议分析已具有强大的协议解析能力,能够提供非常详细的协议和信令交互分析,广泛地应用于网络调试诊断、故障定位和内容分析。
部分协议分析软件也能提供诸如排名分析、分类统计、关联分析等功能。
基于协议分析仪表的监测技术是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过七层协议解码对网络流量进行监测,多数情况下用于专用的分析和故障处理,也可用于对特定业务、网络拥塞和入侵的详细分析。
但是协议分析仪捕获的数据量相对较少,无法进行长期的监测和历史分析,而且价格相对昂贵,因此难以在网络上大规模应用。
同时,协议分析仪对操作人员的技术要求较高,需要精通各类协议细节和掌握复杂的使用分析方法。
与其他三种方式相比,协议分析是网络测试的最基本手段,特别适合网络故障分析。
2.4 基于NetFlow/sFlow的监测技术
NetFlow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
NetFlow以前是Cisco设备的专属协议,目前已经标准化,并且Juniper、华为等厂家也逐渐支持。
NetFlow由路由器、交换机自身对网络流量进行统计,并且把结果发送到第三方流量报告生成器和长期数据库。
一旦收集到路由器、交换机上的详细流量数据后,便可为网络流量统计、网络使用分析、网络规划、病毒流量分析、网络监测等应用提供技术依据。
同时,NetFlow也提供针对QoS的测量基准,能够捕捉到每个数据流的流量分类或优先级特性,进而根据QoS进行分级的资源分配。
NetFlow是Cisco公司提出的网络数据包交换技术,它同时可用来记录网络流信息。
一个网络流是从给定的源到目的端的单向的一系列数据包,它使用源和目的端点的IP地址和传输层端口号、协议类型、服务类型(ToS)以及输入接口等来标记网络流。
NetFlow采用三层体系结构(数据输出设备、数据收集器和数据分析器)完成流数据信息从采集、汇聚、输出、接收、过滤、存储到分析的过程。
一般NetFlow采用集中的工作站或服务器同时收集多个路由设备的上报数据。
NetFlow的数据输出要求先在路由器和交换机上定制NetFlow流输出,并选择输出流的版本、个数、缓冲区的大小等,配置相应NetFlowFlowCollector(流量收集器)的IP地址、端口等信息,此时路由器或交换机即可以以UDP的方式向外发送流信息,然后在NetFlowFlowCollector端配置接收端口号、设置汇聚、过滤策略、流量文件存放目录、格式等等。
与其他的方式相比,基于NetFlow的流量监测技术属于中央部署级方案,部署简单、升级方便,重点是全网流量的采集,而不是某条具体链路;NetFlow流量信息采集效率高,网络规模越大,成本越低,拥有很好的性价比和投资回报,但开启NetFlow功能需要占用路由器的CPU存储资源,对设备的转发性能有一定的影响。
而且基于连接上报的流数据量很大,给传输、处理和存储带来困难。
目前一般采用抽样技术,针对不同的应用采用100一1000的抽样比,但同时也损失了流量的许多细节。
sFlow也是一种嵌入在路由器或交换机内的基于抽样的流量监测技术。
sFlow的目标是为了实现高速网络中多设备、多端口的基于应用的流量测量。
sFlow代理软件采用数据采样机制,将抽样流的流量信息以sFlow报文格式发送给流量收集器进行流量分析,同时支持大量的sFlow代理。
有些厂商开发专用的针对流数据的采集探针,接受NetFlow和sFlow的上报数据进行处理。
主要功能是进行流数据的汇聚、压缩和数据转换,并将分析结果上传给分析软件。
有的还直接将分析结果存储在探针内通过Web页面提供用户界面进行查询和分析。
以上四种主流流量监测技术,各有优缺点和适用范围,需要根据网络的实际情况选择合适的流量监测技术,没有一种单一的流量监测技术能够满足流量分析所有的要求,根据不同技术的优势有目的地将其进行组合,建立全网集中监视、重点控制的流量监控体系,才能取得最佳的效果。
3 在js综合信息网中应用流量监测技术
js综合信息网作为覆盖全军的IP网络,具有拓扑复杂、承载业务多样、用户保障要求差异大等特点。
要对其进行有效地管理和维护,不应仅仅限于对网络节点通阻的监测或是对端到端丢包率、时延、时延抖动等用户层面关注指标的测试,必须将网络管理深入到对流量的监测和分析,才能真正掌握网络的应用情况,在突发状况下或重大任务保障时,有针对性地对网络流量进行引导,对网络异常情况进行及时处置。
目前js综合信息网中已经应用的流量监测手段主要是基于SNMP/RMON协议的监测和基于协议分析仪表的监测,基于NetFlow/SFlow的监测设备正处于调试阶段。
这三种手段的结合使用,基本上可以掌握当前网络的带宽使用、应用业务分布、各种业务对网络带宽的占用等情况。
但是流量监测技术要真正在网络管理中发挥作用,不是一蹴而就的,应该对监测数据进行长期的累积和分析,形成网络流量分布、应用业务分布、用户通信行为分布等统计数据,并通过当前数据与历史数据的对比,进行网络调整、新业务投入、QoS策略规划、重要用户重点时间重点方向的保障等工作。
同时,由于js通信网络的特殊性,网络所承载的用户业务数据有相当一部分是经过保密设备加密处理的。
数据经过加密后,数据包中的源和目的端点IP地址、应用层协议类型、传输层端口号、服务类型(ToS)等信息都会被隐藏,给流量分析带来困难。
而这一部分用户往往又是网络通信保障的重点用户。
因此,如何使用流量监测技术对加密用户的通信进行分析,获得网络管理和业务分析的基础数据,还需要进一步研究。
4 结束语
随着IP网络维护管理的进一步深化,建立一套实时网络性能监控与流量统计分析高度融合的网络运行管理体系必要性已经十分明显。
而且通过该体系的建立健全,我们不仅能够有效监控网络性能状况,实现对IP网络的集中统一管理,更能够利用网络流量的统计分析,由网管人员依据实际网络环境自行设定的各种分析条件,进行短期的实时分析、中期的流量分析和长期的流量统计,全面掌握网络流量的业务类型、用户来源、流向、路由等各种有用信息,真正实现网络的可控、可管目标。
升级会员 