城域網(wǎng)網(wǎng)絡流量監(jiān)測方法及實際應用場景

陳宏

【摘要】 隨著城域網(wǎng)規(guī)模的擴大以及上面加載的業(yè)務不斷增多，對城域網(wǎng)內流量進行監(jiān)測并管理勢在必行。本文對當前主流流量監(jiān)測方法進行介紹，并主要介紹不同監(jiān)測方法在本地城域網(wǎng)內的實際應用情況。

【關鍵詞】 城域網(wǎng) 流量監(jiān)測 實際應用

當前互聯(lián)網(wǎng)的不斷發(fā)展以及網(wǎng)內應用的不斷豐富，運營商的網(wǎng)絡結構日益復雜，同時網(wǎng)絡規(guī)模也不斷擴大，以本地為例今年來每年城域網(wǎng)出口流量的增幅均在60%以上，隨著流量的不斷增長運營商必將通過流量監(jiān)測來實現(xiàn)對網(wǎng)絡的管理、控制與運營。

一、城域網(wǎng)流量主要監(jiān)測方法

1.1 基于SNMP的流量監(jiān)測

SNMP是當前網(wǎng)絡設備普遍支持的一中監(jiān)控技術，是通過提取網(wǎng)絡設備Agent提供的MIB（管理對象信息庫）中收集設備諸如輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)等流量信息。Agent運行在被管對象上，將收集的網(wǎng)絡數(shù)據(jù)信息存儲在MIB庫中，MIB是對象的集合，它代表網(wǎng)絡中可以管理的資源和設備，每個對象基本上是一個數(shù)據(jù)變量，它代表被管對象某一方面的信息，如被管對象的接口流量等。Snmp流量監(jiān)測主要實現(xiàn)對網(wǎng)絡主干設備，例如路由器、交換機各接口的進出口原始流量數(shù)據(jù)的采集，并對其進行加工轉換，從而為管理員提供不同時間粒度的流量監(jiān)測視圖。除了采集流量信息，SNMP方法還可以采集設備信息，CPU利用率等信息。但snmp流量監(jiān)控主要集中在3層以下的信息和設備的消息，不能進行端到端的流量監(jiān)測，無法滿足網(wǎng)絡流量進一步的細化分析。

1.2基于Netflow的流量監(jiān)測

Netflow流量信息采集是基于網(wǎng)絡設備（Cisco）提供的Netflow機制實現(xiàn)的網(wǎng)絡流量信息采集。Netflow為Cisco之專屬協(xié)議，但目前已經(jīng)標準化， Juniper、extreme、華為等廠家也逐漸支持。Netflow是以網(wǎng)絡流量中的數(shù)據(jù)包為管理基礎的，其中數(shù)據(jù)包包含目的IP地址，源IP地址以及目的端口，源端口，IP協(xié)議類型“五元組”信息。當有新的數(shù)據(jù)流在邊緣路由器流過時，NetFlow會掃描這幾個字段來判斷數(shù)據(jù)包是否屬于一個存在的流，如果流已經(jīng)存在，進行字節(jié)和包數(shù)累加操作，如果流不存在，那么就會新建一個流實體記錄下諸如源、目的地址，源、目的端口等流的相關信息。和SNMP相比NetFlow技術提供了包括IP，端口，協(xié)議、服務類型等更多的信息，這些信息可用于網(wǎng)絡規(guī)劃、異常流量監(jiān)測以及NetFlow的數(shù)據(jù)存儲與挖掘。

1.3基于DPI監(jiān)測

DPI技術即Deep Packet Inspection深度報文檢測技術。所謂的“深度”報文檢測是相對于傳統(tǒng)的報文檢測技術而言。如圖1所示，傳統(tǒng)的報文檢測只是檢測L2-L4層的內容，也就是僅對報文的的“五元組”信息進行檢測，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。而DPI技術對整個L2-L7上的信息都進行檢測，對報文的分析擴充到了應用層對報文實際內容都有分析，實現(xiàn)了端到端的流量監(jiān)測。

二、不同流量監(jiān)測方法的實際應用

2.1 IP綜合網(wǎng)管

IP綜合網(wǎng)管用于管理城域網(wǎng)內從接入層到骨干層之間的各類設備，網(wǎng)管采集機采用SNMP協(xié)議和被管設備通信，獲取設備信息，端口流量信息等。

網(wǎng)管采集機使用SNMP協(xié)議和網(wǎng)絡設備進行通信，正常情況下，首先由Manager端發(fā)送請求，Agent端根據(jù)請求回復相應的MIB信息。而當被管設備發(fā)生異常時，會主動發(fā)送Trap信息給Manager以報告異常。

綜合網(wǎng)管實際應用場景：

1、端口流量監(jiān)控設備端口的流量監(jiān)控用來查看城域網(wǎng)設備或者用戶設備鏈路帶寬利用率情況，為網(wǎng)絡擴容或者調整提供依據(jù)。首先系統(tǒng)中要輸入設備IP地址以及正確的SNMP讀串來添加設備，系統(tǒng)通過SNMP協(xié)議獲取設備的接口，對有流量監(jiān)控需求的端口進行監(jiān)視任務的配置，這樣系統(tǒng)以5分鐘的時間間隔以輪詢的方式來采集設備各接口的流量數(shù)據(jù)。流量數(shù)據(jù)開始采集后，能夠查看到設備接口的實時流量，還可以查看周圖、月圖等不同時間粒度的流量圖。

2、網(wǎng)元設備告警監(jiān)控：系統(tǒng)告警監(jiān)控分兩種方式：1、Polling告警（主動檢測方式）：采用定期調度（可根據(jù)設備的重要程度可設定不同的策略）對設備先進行SNMP連接測試，再進行ICMP PING測試。2、Snmp Trap告警（被動接收方式）：告警采集機在162端口監(jiān)聽并接收網(wǎng)元發(fā)送過來的TRAP通知，通過加載相應MIB里的TRAP定義或者廠家提供的TRAP告警翻譯規(guī)則，轉換為相應的告警記錄。

當整個網(wǎng)元中斷或者其中某一條鏈路中斷，系統(tǒng)通過監(jiān)控會自動彈出告警供維護人員處理。

2.2 GenieATM

GenieATM流量采集依據(jù)主要是FLOW，它是一款關于流量流向分析以及異常流量檢測的系統(tǒng)。

流量分析主要包括以下形式：

流量模型分析：內建智能網(wǎng)絡分析模型，可迅速準確地分出本網(wǎng)、鄰網(wǎng)、子網(wǎng)、骨干網(wǎng)、客戶網(wǎng)等各類流量，自動產生報表。

屬性分析：可針對應用、協(xié)議、協(xié)議+端口號、TOS值、或是封包大小等進行Top-N分析排名。

流量矩陣報告：可自動分析子網(wǎng)、鄰網(wǎng)之間的流量流向，做成流量矩陣報告。

本地GenieATM主要用于異常流量監(jiān)測：流量異常：在檢測網(wǎng)段內，如果突然產生了與往日不同的巨大持續(xù)流量，很可能是遭受不明的網(wǎng)絡攻擊，通過系統(tǒng)分析可以查看到攻擊的流量，持續(xù)的時間，源IP，目的IP，流經(jīng)的路由器端口等詳細信息。 目前系統(tǒng)監(jiān)測到的異常流量以DoS/DDoS攻擊為主。系統(tǒng)可進行黑洞路由的設定來對異常流量進行緩解。

2.3 華為SIG

華為SIG系統(tǒng)采用DPI（深度包檢測）技術，深入分析各種網(wǎng)絡應用的流量類型，用來分析網(wǎng)絡中的流量、協(xié)議及業(yè)務分布。

系統(tǒng)架構：

目前SIG系統(tǒng)部署在省骨干網(wǎng)出口，通過分光器將流量復制到系統(tǒng)，SIG系統(tǒng)進行業(yè)務識別，同時通過鏡像或分光監(jiān)控Radius服務器流量，這樣系統(tǒng)能夠識別寬帶用戶帳號和IP地址對應關系，也就能分析到不同用戶的上網(wǎng)行為了。

以下為某天系統(tǒng)檢測到的本地用戶使用的主要流量業(yè)務類別，以及常用的下載和視頻類應用

1、網(wǎng)頁瀏覽、視頻以及P2P下載為本地用戶消耗流量最大的主要業(yè)務類型。2、P2P下載業(yè)務類型中，使用迅雷的最多，其次為迅雷和QQ旋風。3、暴風盒子、PPSTREAM、PPTV、QQLIVE等視頻應用為本地用戶常用的視頻類應用。

通過對流量的細化分析，為運營商合理規(guī)劃網(wǎng)絡、制定流量控制策略、深度挖掘網(wǎng)絡商業(yè)價值提供依據(jù)。比如對P2P流量可以實施分時段、分區(qū)域、細粒度的運營控制策略，適當控制P2P流量，提高帶寬利用率，減輕網(wǎng)絡壓力，提升其他用戶的使用感知。比如對于經(jīng)常使用視頻類應用的用戶，可以進行寬帶提速的營銷等等。

三、結束語

不同的流量監(jiān)測方法有不同的側重，本文介紹了不同監(jiān)測方法的特點，并對基于不同監(jiān)測方法的流量監(jiān)測系統(tǒng)的實際應用進行了介紹。

參 考 文 獻

[1] RFC1157[OL]. A Simple Network Management Protocol （SNMP）.1990

[2] 潘鑫，網(wǎng)絡管理系統(tǒng)在SNMP協(xié)議上的設計與實現(xiàn)[J]，科技資訊，2010（18）：157

[3] 李興國，費玲玲。基于NetFlow 的流量分析技術研究[J].微計算機信息，2008年第24卷5-3期。

[4] 羅憶祖.DPI技術助力運營商精細化運營[J].電信網(wǎng)技術，2009（3）：22-24

[5] 米淑云.IP網(wǎng)絡流量監(jiān)控系統(tǒng)的研究與實現(xiàn)[D].北京：北京郵電大學，2009.