城域網(wǎng)網(wǎng)絡(luò)流量監(jiān)測(cè)方法及實(shí)際應(yīng)用場(chǎng)景

陳宏

【摘要】 隨著城域網(wǎng)規(guī)模的擴(kuò)大以及上面加載的業(yè)務(wù)不斷增多，對(duì)城域網(wǎng)內(nèi)流量進(jìn)行監(jiān)測(cè)并管理勢(shì)在必行。本文對(duì)當(dāng)前主流流量監(jiān)測(cè)方法進(jìn)行介紹，并主要介紹不同監(jiān)測(cè)方法在本地城域網(wǎng)內(nèi)的實(shí)際應(yīng)用情況。

【關(guān)鍵詞】 城域網(wǎng) 流量監(jiān)測(cè) 實(shí)際應(yīng)用

當(dāng)前互聯(lián)網(wǎng)的不斷發(fā)展以及網(wǎng)內(nèi)應(yīng)用的不斷豐富，運(yùn)營商的網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，同時(shí)網(wǎng)絡(luò)規(guī)模也不斷擴(kuò)大，以本地為例今年來每年城域網(wǎng)出口流量的增幅均在60%以上，隨著流量的不斷增長運(yùn)營商必將通過流量監(jiān)測(cè)來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理、控制與運(yùn)營。

一、城域網(wǎng)流量主要監(jiān)測(cè)方法

1.1 基于SNMP的流量監(jiān)測(cè)

SNMP是當(dāng)前網(wǎng)絡(luò)設(shè)備普遍支持的一中監(jiān)控技術(shù)，是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫）中收集設(shè)備諸如輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)等流量信息。Agent運(yùn)行在被管對(duì)象上，將收集的網(wǎng)絡(luò)數(shù)據(jù)信息存儲(chǔ)在MIB庫中，MIB是對(duì)象的集合，它代表網(wǎng)絡(luò)中可以管理的資源和設(shè)備，每個(gè)對(duì)象基本上是一個(gè)數(shù)據(jù)變量，它代表被管對(duì)象某一方面的信息，如被管對(duì)象的接口流量等。Snmp流量監(jiān)測(cè)主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)主干設(shè)備，例如路由器、交換機(jī)各接口的進(jìn)出口原始流量數(shù)據(jù)的采集，并對(duì)其進(jìn)行加工轉(zhuǎn)換，從而為管理員提供不同時(shí)間粒度的流量監(jiān)測(cè)視圖。除了采集流量信息，SNMP方法還可以采集設(shè)備信息，CPU利用率等信息。但snmp流量監(jiān)控主要集中在3層以下的信息和設(shè)備的消息，不能進(jìn)行端到端的流量監(jiān)測(cè)，無法滿足網(wǎng)絡(luò)流量進(jìn)一步的細(xì)化分析。

1.2基于Netflow的流量監(jiān)測(cè)

Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備（Cisco）提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。Netflow為Cisco之專屬協(xié)議，但目前已經(jīng)標(biāo)準(zhǔn)化， Juniper、extreme、華為等廠家也逐漸支持。Netflow是以網(wǎng)絡(luò)流量中的數(shù)據(jù)包為管理基礎(chǔ)的，其中數(shù)據(jù)包包含目的IP地址，源IP地址以及目的端口，源端口，IP協(xié)議類型“五元組”信息。當(dāng)有新的數(shù)據(jù)流在邊緣路由器流過時(shí)，NetFlow會(huì)掃描這幾個(gè)字段來判斷數(shù)據(jù)包是否屬于一個(gè)存在的流，如果流已經(jīng)存在，進(jìn)行字節(jié)和包數(shù)累加操作，如果流不存在，那么就會(huì)新建一個(gè)流實(shí)體記錄下諸如源、目的地址，源、目的端口等流的相關(guān)信息。和SNMP相比NetFlow技術(shù)提供了包括IP，端口，協(xié)議、服務(wù)類型等更多的信息，這些信息可用于網(wǎng)絡(luò)規(guī)劃、異常流量監(jiān)測(cè)以及NetFlow的數(shù)據(jù)存儲(chǔ)與挖掘。

1.3基于DPI監(jiān)測(cè)

DPI技術(shù)即Deep Packet Inspection深度報(bào)文檢測(cè)技術(shù)。所謂的“深度”報(bào)文檢測(cè)是相對(duì)于傳統(tǒng)的報(bào)文檢測(cè)技術(shù)而言。如圖1所示，傳統(tǒng)的報(bào)文檢測(cè)只是檢測(cè)L2-L4層的內(nèi)容，也就是僅對(duì)報(bào)文的的“五元組”信息進(jìn)行檢測(cè)，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。而DPI技術(shù)對(duì)整個(gè)L2-L7上的信息都進(jìn)行檢測(cè)，對(duì)報(bào)文的分析擴(kuò)充到了應(yīng)用層對(duì)報(bào)文實(shí)際內(nèi)容都有分析，實(shí)現(xiàn)了端到端的流量監(jiān)測(cè)。

二、不同流量監(jiān)測(cè)方法的實(shí)際應(yīng)用

2.1 IP綜合網(wǎng)管

IP綜合網(wǎng)管用于管理城域網(wǎng)內(nèi)從接入層到骨干層之間的各類設(shè)備，網(wǎng)管采集機(jī)采用SNMP協(xié)議和被管設(shè)備通信，獲取設(shè)備信息，端口流量信息等。

網(wǎng)管采集機(jī)使用SNMP協(xié)議和網(wǎng)絡(luò)設(shè)備進(jìn)行通信，正常情況下，首先由Manager端發(fā)送請(qǐng)求，Agent端根據(jù)請(qǐng)求回復(fù)相應(yīng)的MIB信息。而當(dāng)被管設(shè)備發(fā)生異常時(shí)，會(huì)主動(dòng)發(fā)送Trap信息給Manager以報(bào)告異常。

綜合網(wǎng)管實(shí)際應(yīng)用場(chǎng)景：

1、端口流量監(jiān)控設(shè)備端口的流量監(jiān)控用來查看城域網(wǎng)設(shè)備或者用戶設(shè)備鏈路帶寬利用率情況，為網(wǎng)絡(luò)擴(kuò)容或者調(diào)整提供依據(jù)。首先系統(tǒng)中要輸入設(shè)備IP地址以及正確的SNMP讀串來添加設(shè)備，系統(tǒng)通過SNMP協(xié)議獲取設(shè)備的接口，對(duì)有流量監(jiān)控需求的端口進(jìn)行監(jiān)視任務(wù)的配置，這樣系統(tǒng)以5分鐘的時(shí)間間隔以輪詢的方式來采集設(shè)備各接口的流量數(shù)據(jù)。流量數(shù)據(jù)開始采集后，能夠查看到設(shè)備接口的實(shí)時(shí)流量，還可以查看周圖、月圖等不同時(shí)間粒度的流量圖。

2、網(wǎng)元設(shè)備告警監(jiān)控：系統(tǒng)告警監(jiān)控分兩種方式：1、Polling告警（主動(dòng)檢測(cè)方式）：采用定期調(diào)度（可根據(jù)設(shè)備的重要程度可設(shè)定不同的策略）對(duì)設(shè)備先進(jìn)行SNMP連接測(cè)試，再進(jìn)行ICMP PING測(cè)試。2、Snmp Trap告警（被動(dòng)接收方式）：告警采集機(jī)在162端口監(jiān)聽并接收網(wǎng)元發(fā)送過來的TRAP通知，通過加載相應(yīng)MIB里的TRAP定義或者廠家提供的TRAP告警翻譯規(guī)則，轉(zhuǎn)換為相應(yīng)的告警記錄。

當(dāng)整個(gè)網(wǎng)元中斷或者其中某一條鏈路中斷，系統(tǒng)通過監(jiān)控會(huì)自動(dòng)彈出告警供維護(hù)人員處理。

2.2 GenieATM

GenieATM流量采集依據(jù)主要是FLOW，它是一款關(guān)于流量流向分析以及異常流量檢測(cè)的系統(tǒng)。

流量分析主要包括以下形式：

流量模型分析：內(nèi)建智能網(wǎng)絡(luò)分析模型，可迅速準(zhǔn)確地分出本網(wǎng)、鄰網(wǎng)、子網(wǎng)、骨干網(wǎng)、客戶網(wǎng)等各類流量，自動(dòng)產(chǎn)生報(bào)表。

屬性分析：可針對(duì)應(yīng)用、協(xié)議、協(xié)議+端口號(hào)、TOS值、或是封包大小等進(jìn)行Top-N分析排名。

流量矩陣報(bào)告：可自動(dòng)分析子網(wǎng)、鄰網(wǎng)之間的流量流向，做成流量矩陣報(bào)告。

本地GenieATM主要用于異常流量監(jiān)測(cè)：流量異常：在檢測(cè)網(wǎng)段內(nèi)，如果突然產(chǎn)生了與往日不同的巨大持續(xù)流量，很可能是遭受不明的網(wǎng)絡(luò)攻擊，通過系統(tǒng)分析可以查看到攻擊的流量，持續(xù)的時(shí)間，源IP，目的IP，流經(jīng)的路由器端口等詳細(xì)信息。 目前系統(tǒng)監(jiān)測(cè)到的異常流量以DoS/DDoS攻擊為主。系統(tǒng)可進(jìn)行黑洞路由的設(shè)定來對(duì)異常流量進(jìn)行緩解。

2.3 華為SIG

華為SIG系統(tǒng)采用DPI（深度包檢測(cè)）技術(shù)，深入分析各種網(wǎng)絡(luò)應(yīng)用的流量類型，用來分析網(wǎng)絡(luò)中的流量、協(xié)議及業(yè)務(wù)分布。

系統(tǒng)架構(gòu)：

目前SIG系統(tǒng)部署在省骨干網(wǎng)出口，通過分光器將流量復(fù)制到系統(tǒng)，SIG系統(tǒng)進(jìn)行業(yè)務(wù)識(shí)別，同時(shí)通過鏡像或分光監(jiān)控Radius服務(wù)器流量，這樣系統(tǒng)能夠識(shí)別寬帶用戶帳號(hào)和IP地址對(duì)應(yīng)關(guān)系，也就能分析到不同用戶的上網(wǎng)行為了。

以下為某天系統(tǒng)檢測(cè)到的本地用戶使用的主要流量業(yè)務(wù)類別，以及常用的下載和視頻類應(yīng)用

1、網(wǎng)頁瀏覽、視頻以及P2P下載為本地用戶消耗流量最大的主要業(yè)務(wù)類型。2、P2P下載業(yè)務(wù)類型中，使用迅雷的最多，其次為迅雷和QQ旋風(fēng)。3、暴風(fēng)盒子、PPSTREAM、PPTV、QQLIVE等視頻應(yīng)用為本地用戶常用的視頻類應(yīng)用。

通過對(duì)流量的細(xì)化分析，為運(yùn)營商合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略、深度挖掘網(wǎng)絡(luò)商業(yè)價(jià)值提供依據(jù)。比如對(duì)P2P流量可以實(shí)施分時(shí)段、分區(qū)域、細(xì)粒度的運(yùn)營控制策略，適當(dāng)控制P2P流量，提高帶寬利用率，減輕網(wǎng)絡(luò)壓力，提升其他用戶的使用感知。比如對(duì)于經(jīng)常使用視頻類應(yīng)用的用戶，可以進(jìn)行寬帶提速的營銷等等。

三、結(jié)束語

不同的流量監(jiān)測(cè)方法有不同的側(cè)重，本文介紹了不同監(jiān)測(cè)方法的特點(diǎn)，并對(duì)基于不同監(jiān)測(cè)方法的流量監(jiān)測(cè)系統(tǒng)的實(shí)際應(yīng)用進(jìn)行了介紹。

參 考 文 獻(xiàn)

[1] RFC1157[OL]. A Simple Network Management Protocol （SNMP）.1990

[2] 潘鑫，網(wǎng)絡(luò)管理系統(tǒng)在SNMP協(xié)議上的設(shè)計(jì)與實(shí)現(xiàn)[J]，科技資訊，2010（18）：157

[3] 李興國，費(fèi)玲玲。基于NetFlow 的流量分析技術(shù)研究[J].微計(jì)算機(jī)信息，2008年第24卷5-3期。

[4] 羅憶祖.DPI技術(shù)助力運(yùn)營商精細(xì)化運(yùn)營[J].電信網(wǎng)技術(shù)，2009（3）：22-24

[5] 米淑云.IP網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2009.