網(wǎng)絡(luò)流量采集在網(wǎng)絡(luò)管理中的應(yīng)用

1、網(wǎng)絡(luò)流量采集在網(wǎng)絡(luò)管理中的應(yīng)用網(wǎng)絡(luò)流量采集和分析l網(wǎng)絡(luò)流量的采集和分析一直是網(wǎng)絡(luò)研究中網(wǎng)絡(luò)流量的采集和分析一直是網(wǎng)絡(luò)研究中重要的任務(wù)之一，網(wǎng)絡(luò)計費、網(wǎng)絡(luò)性能分重要的任務(wù)之一，網(wǎng)絡(luò)計費、網(wǎng)絡(luò)性能分析都離不開這項技術(shù)的支持。同時，網(wǎng)絡(luò)析都離不開這項技術(shù)的支持。同時，網(wǎng)絡(luò)流量的采集和分析也是網(wǎng)絡(luò)管理中重要的流量的采集和分析也是網(wǎng)絡(luò)管理中重要的環(huán)節(jié)，是網(wǎng)管員制定網(wǎng)絡(luò)流量策略、平衡環(huán)節(jié)，是網(wǎng)管員制定網(wǎng)絡(luò)流量策略、平衡網(wǎng)絡(luò)負載、定位網(wǎng)絡(luò)故障位置的重要依據(jù)網(wǎng)絡(luò)負載、定位網(wǎng)絡(luò)故障位置的重要依據(jù)網(wǎng)絡(luò)流量的采集方法l智能交換節(jié)點智能交換節(jié)點+ SNMP管理軟件管理軟件l干路中橋接設(shè)備干路中橋接設(shè)備l鏡像端口鏡像端

2、口+旁路監(jiān)聽旁路監(jiān)聽智能交換節(jié)點+ SNMP管理軟件l通過專用軟件使用通過專用軟件使用SNMP協(xié)議定時輪詢開協(xié)議定時輪詢開啟啟 了了SNMP服務(wù)的智能交換節(jié)點，獲得基服務(wù)的智能交換節(jié)點，獲得基于設(shè)備端口的流量統(tǒng)計于設(shè)備端口的流量統(tǒng)計l優(yōu)點：成本較低，能夠較大限度保留原有優(yōu)點：成本較低，能夠較大限度保留原有投資投資l缺點：不能針對具體節(jié)點或特定協(xié)議進行缺點：不能針對具體節(jié)點或特定協(xié)議進行統(tǒng)計統(tǒng)計軟件舉例lMRTG（Multi Router Traffic Grapher ）l免費軟件，可以通過免費軟件，可以通過Web實時向用戶提供多實時向用戶提供多種統(tǒng)計時長的統(tǒng)計圖表及關(guān)鍵節(jié)點性能狀況種統(tǒng)計時長

3、的統(tǒng)計圖表及關(guān)鍵節(jié)點性能狀況軟件舉例lSolarWindsl與與MRTG功能相似，提供對流量進行分類統(tǒng)功能相似，提供對流量進行分類統(tǒng)計、設(shè)備實時監(jiān)控及報警等實用功能計、設(shè)備實時監(jiān)控及報警等實用功能計算機學(xué)院限速實例l通過觀測，計算機學(xué)院研究生機房存在大通過觀測，計算機學(xué)院研究生機房存在大量上行（量上行（BT）流量，因此采用限制上行速）流量，因此采用限制上行速率的方法進行調(diào)整率的方法進行調(diào)整添加限速規(guī)則（Cisco4500）laccess-list 111 permit ip 202.207.152.0 0.0.0.255 anylclass-map match-all 152-upmatch

4、access-group 111lpolicy-map 152-upclass 152-uppolice 10240000 bps conform-action transmit exceed-action drop應(yīng)用的范圍l能對全網(wǎng)流量分布進行統(tǒng)計和描述，指導(dǎo)能對全網(wǎng)流量分布進行統(tǒng)計和描述，指導(dǎo)網(wǎng)管員適當?shù)南匏俚染W(wǎng)管員適當?shù)南匏俚萳對特定網(wǎng)絡(luò)的流量進行按時間段統(tǒng)計，可對特定網(wǎng)絡(luò)的流量進行按時間段統(tǒng)計，可以歸納出該網(wǎng)絡(luò)中用戶群使用網(wǎng)絡(luò)的時間以歸納出該網(wǎng)絡(luò)中用戶群使用網(wǎng)絡(luò)的時間特征及偏好站點特征及偏好站點/軟件等軟件等l對于突然的、急劇的變化反映出網(wǎng)絡(luò)中某對于突然的、急劇的變化反映出網(wǎng)絡(luò)中某些

5、重要事件的發(fā)生，例如病毒發(fā)作、設(shè)備些重要事件的發(fā)生，例如病毒發(fā)作、設(shè)備損壞等損壞等干路中橋接設(shè)備l在網(wǎng)絡(luò)的出口鏈路中，橋接具有數(shù)據(jù)過濾在網(wǎng)絡(luò)的出口鏈路中，橋接具有數(shù)據(jù)過濾/轉(zhuǎn)發(fā)功能的設(shè)備，例如：網(wǎng)關(guān)計費服務(wù)器、轉(zhuǎn)發(fā)功能的設(shè)備，例如：網(wǎng)關(guān)計費服務(wù)器、防火墻等防火墻等l優(yōu)點：對數(shù)據(jù)的捕獲能力強并具有控制能優(yōu)點：對數(shù)據(jù)的捕獲能力強并具有控制能力，可以捕獲不同網(wǎng)段的數(shù)據(jù)，不需要主力，可以捕獲不同網(wǎng)段的數(shù)據(jù)，不需要主干交換設(shè)備支持干交換設(shè)備支持l缺點：對設(shè)備的處理能力要求高，容易造缺點：對設(shè)備的處理能力要求高，容易造成網(wǎng)絡(luò)瓶頸，價格昂貴，不能用于底層網(wǎng)成網(wǎng)絡(luò)瓶頸，價格昂貴，不能用于底層網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流量的

6、采集絡(luò)內(nèi)部數(shù)據(jù)流量的采集設(shè)備舉例lMaxNet IP5000lIP5000是是In-line（橋接）模式的專用硬件產(chǎn)（橋接）模式的專用硬件產(chǎn)品，以品，以DPI（Deep Packet Inspect，深度包，深度包檢測）技術(shù)為核心，支持軟檢測）技術(shù)為核心，支持軟/硬件硬件Bypass，提，提供了基于七層應(yīng)用的帶寬管理和應(yīng)用優(yōu)化功供了基于七層應(yīng)用的帶寬管理和應(yīng)用優(yōu)化功能。能。應(yīng)用的范圍l能對網(wǎng)絡(luò)中特定能對網(wǎng)絡(luò)中特定IP流量進行統(tǒng)計，或?qū)W(wǎng)流量進行統(tǒng)計，或?qū)W(wǎng)絡(luò)中特定協(xié)議流量進行統(tǒng)計，幫助網(wǎng)管員絡(luò)中特定協(xié)議流量進行統(tǒng)計，幫助網(wǎng)管員監(jiān)測特定用戶或特定協(xié)議的使用情況監(jiān)測特定用戶或特定協(xié)議的使用情況l統(tǒng)

7、計網(wǎng)絡(luò)中部分病毒的特征，如病毒種類、統(tǒng)計網(wǎng)絡(luò)中部分病毒的特征，如病毒種類、中毒數(shù)量等，幫助網(wǎng)管為用戶提出殺毒防中毒數(shù)量等，幫助網(wǎng)管為用戶提出殺毒防毒建議毒建議鏡像端口+旁路監(jiān)聽l通過對設(shè)備端口進行鏡像，然后使用專用通過對設(shè)備端口進行鏡像，然后使用專用設(shè)備或者安裝有專用軟件的設(shè)備或者安裝有專用軟件的PC進行監(jiān)聽進行監(jiān)聽l優(yōu)點：對數(shù)據(jù)的捕獲能力強，在交換設(shè)備優(yōu)點：對數(shù)據(jù)的捕獲能力強，在交換設(shè)備支持的情況下，既可以捕獲不同網(wǎng)段的數(shù)支持的情況下，既可以捕獲不同網(wǎng)段的數(shù)據(jù)，又可以進行底層網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流量的據(jù)，又可以進行底層網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流量的采集，而且不會由于監(jiān)聽設(shè)備處理能力不采集，而且不會由于監(jiān)聽設(shè)備處

8、理能力不足而造成網(wǎng)絡(luò)瓶頸足而造成網(wǎng)絡(luò)瓶頸l缺點：需要主干交換設(shè)備支持缺點：需要主干交換設(shè)備支持端口鏡像的方法lCiscolSet Span lPort monitorlQuidwayl訪問控制列表訪問控制列表設(shè)備舉例lFluke OptiView 協(xié)議分析儀協(xié)議分析儀lOptiView是采用旁路監(jiān)聽技術(shù)的專用硬件產(chǎn)是采用旁路監(jiān)聽技術(shù)的專用硬件產(chǎn)品，支持網(wǎng)絡(luò)流量采集及分析，支持遠程訪品，支持網(wǎng)絡(luò)流量采集及分析，支持遠程訪問及管理，還可以作為流量發(fā)生器為網(wǎng)絡(luò)測問及管理，還可以作為流量發(fā)生器為網(wǎng)絡(luò)測試產(chǎn)生負載。試產(chǎn)生負載。軟件舉例lSnifferl利用利用Sniffer 的數(shù)據(jù)捕捉（的數(shù)據(jù)捕捉（ca

9、pture）功能可）功能可以在短的時間內(nèi)對網(wǎng)絡(luò)流量進行實時采集，以在短的時間內(nèi)對網(wǎng)絡(luò)流量進行實時采集，這些采集到的流量數(shù)據(jù)可以包含整個包的信這些采集到的流量數(shù)據(jù)可以包含整個包的信息，也可以只是包的一部分。利用捕獲到的息，也可以只是包的一部分。利用捕獲到的包可以進行協(xié)議分析、數(shù)據(jù)重組（如重組包可以進行協(xié)議分析、數(shù)據(jù)重組（如重組E-mail）等工作。對包的解碼和分析是）等工作。對包的解碼和分析是Sniffer工具的一個最有特色的，也是最強大的功能工具的一個最有特色的，也是最強大的功能總結(jié)：三種常用方法的比較智能交換節(jié)智能交換節(jié)點點+ SNMP干路中橋接干路中橋接設(shè)備設(shè)備鏡像端口鏡像端口+旁路監(jiān)聽旁路監(jiān)聽成本成本相對低相對低高高高高跨越子網(wǎng)跨越子網(wǎng)可以可以可以可以設(shè)備相關(guān)設(shè)備相關(guān)區(qū)別主機區(qū)別主機不能不能可以可以可以可以區(qū)別協(xié)議區(qū)別協(xié)議不能不能可以可以可以可以瓶頸風(fēng)