网络流量采集在网络管理中的应用

网络流量采集在网络管理中的应用网络流量采集和分析网络流量的采集和分析一直是网络研究中重要的任务之一，网络计费、网络性能分析都离不开这项技术的支持。同时，网络流量的采集和分析也是网络管理中重要的环节，是网管员制定网络流量策略、平衡网络负载、定位网络故障位置的重要依据网络流量的采集方法智能交换节点+SNMP管理软件干路中桥接设备镜像端口+旁路监听智能交换节点+SNMP管理软件通过专用软件使用SNMP协议定时轮询开启了SNMP服务的智能交换节点，获得基于设备端口的流量统计优点：成本较低，能够较大限度保留原有投资缺点：不能针对具体节点或特定协议进行统计软件举例MRTG（MultiRouterTrafficGrapher）免费软件，可以通过Web实时向用户提供多种统计时长的统计图表及关键节点性能状况软件举例SolarWinds与MRTG功能相似，提供对流量进行分类统计、设备实时监控及报警等实用功能计算机学院限速实例通过观测，计算机学院研究生机房存在大量上行（BT）流量，因此采用限制上行速率的方法进行调整添加限速规则（Cisco4500）access-list111permitip202.207.152.00.0.0.255anyclass-mapmatch-all152-upmatchaccess-group111policy-map152-upclass152-uppolice10240000bpsconform-actiontransmitexceed-actiondrop应用的范围能对全网流量分布进行统计和描述，指导网管员适当的限速等对特定网络的流量进行按时间段统计，可以归纳出该网络中用户群使用网络的时间特征及偏好站点/软件等对于突然的、急剧的变化反映出网络中某些重要事件的发生，例如病毒发作、设备损坏等干路中桥接设备在网络的出口链路中，桥接具有数据过滤/转发功能的设备，例如：网关计费服务器、防火墙等优点：对数据的捕获能力强并具有控制能力，可以捕获不同网段的数据，不需要主干交换设备支持缺点：对设备的处理能力要求高，容易造成网络瓶颈，价格昂贵，不能用于底层网络内部数据流量的采集设备举例MaxNetIP5000IP5000是In-line（桥接）模式的专用硬件产品，以DPI（DeepPacketInspect，深度包检测）技术为核心，支持软/硬件Bypass，提供了基于七层应用的带宽管理和应用优化功能。应用的范围能对网络中特定IP流量进行统计，或对网络中特定协议流量进行统计，帮助网管员监测特定用户或特定协议的使用情况统计网络中部分病毒的特征，如病毒种类、中毒数量等，帮助网管为用户提出杀毒防毒建议镜像端口+旁路监听通过对设备端口进行镜像，然后使用专用设备或者安装有专用软件的PC进行监听优点：对数据的捕获能力强，在交换设备支持的情况下，既可以捕获不同网段的数据，又可以进行底层网络内部数据流量的采集，而且不会由于监听设备处理能力不足而造成网络瓶颈缺点：需要主干交换设备支持端口镜像的方法CiscoSetSpanPortmonitorQuidway访问控制列表设备举例FlukeOptiView协议分析仪OptiView是采用旁路监听技术的专用硬件产品，支持网络流量采集及分析，支持远程访问及管理，还可以作为流量发生器为网络测试产生负载。软件举例Sniffer利用Sniffer的数据捕捉（capture）功能可以在短的时间内对网络流量进行实时采集，这些采集到的流量数据可以包含整个包的信息，也可以只是包的一部分。利用捕获到的包可以进行协议分析、数据重组（如重组E-mail）等工作。对包的解码和分析是Sniffer工具的一个最有特色的，也是最强大的功能总结：三种常用方法的比较智能交换节点+SNMP干路中桥接设备镜像端口+旁路监听成本相对低高高跨越子网可以可以设备相关区别主机不能可以可以区别协议不能可以可以瓶颈风险低高低漏捕数据NA否是结束语流量采集的方法还应在具体实用环境中具体详细讨论，如网络速率、网络接口类型等可以基于RawSocket自行开发流量采集工具谢谢!