園區網網絡監測技術探析

摘要：園區網的結構和上面的應用正變得越來越復雜，并出現了對網絡性能要求敏感的應用。對網絡用戶和研究人員來說，網絡狀態監測越來越重要。文章闡述了園區網網絡監測的意義，并探討分析了當前主要的網絡監測理論和技術。

關鍵詞：網絡性能；網絡狀態監測；簡單網絡管理協議；NetFlow

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing，Beijing 100083，China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory，technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 園區網網絡監測的意義

近年來，隨著各單位計算機應用水平的整體提高、內部園區網網絡建設的日漸完善，以及實驗儀器設備的網絡自動化程度提高和發展，越來越多的日常學習、工作和科研、實驗活動依賴計算機和網絡來開展運行，這就要求各單位內部的園區網網絡環境有很高的穩定性和運行效率，并能針對不同網絡內部科研應用需求提供相應的網絡質量保障。園區網連接著各個計算機、服務器、網絡設備、存儲設備及系統設備、試驗裝置、儀器儀表，通過交換信息使之成為一個高效運行的有機整體，為確保各項依賴園區網的科研活動順利進行，必須保障園區網的正常運行和性能穩定。

同時，不斷進行的信息化建設使得各項商業、科研活動對園區網絡日漸依賴，這也帶來了新的信息安全隱患，如何保障網絡與信息系統的安全已經成為需要被高度重視的問題。隨著園區網內部網絡應用的迅速發展，越來越多的攻擊和安全隱患來自于園區網內部，使得傳統的基于網關的安全架構在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統的安全防護手段多屬于被動形式，只能簡單過濾或丟棄攻擊數據，而無法在攻擊源發起攻擊時或之后的較短時間內即時響應，將內部網絡中可疑的攻擊源主機斷開，使其無法通過內網連接進行攻擊。在這種情況下，主動對園區網內部的網絡運行狀態進行監控，并根據網絡流量異常信息采取相應的質量控制和防范乃至隔離控制，將可以成為傳統計算機安全技術(如網關防火墻)的有益補充。

2 園區網網絡狀態監測技術

2.1 網絡監測技術概述

網絡狀態監測是網絡管理和系統管理的一個重要組成部分，網絡狀態數據為園區網的運行和維護提供了重要信息，這些數據對調控網絡資源分布、規劃網絡容量、網絡服務質量分析、網絡故障檢測與隔離、網絡安全管理都非常重要。目前，根據對網絡流量的采集方式可將網絡監測技術分為：基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于NetFlow的監測技術三種常用技術。

2.2 基于網絡流量全鏡像的監測技術。

網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備，實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應用層信息。 但采用端口流量鏡像方式將增加網絡設備負擔，對網絡設備性能的影響較大。而若使用探針等附加設備實現流量鏡像，安裝時對網絡影響較大，安裝完成后雖對網絡設備的影響較小，但為網絡結構增加了新的單點失效點，在大型網絡環境下，可能會影響網絡的穩定性。故基于網絡流量全鏡像的監測技術較少用于園區網網絡監測中。

2.3 基于SNMP的流量監測技術

簡單網絡管理協議(SNMP)已經成為事實上的網絡管理標準，得到很大范圍的應用。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協議的網絡管理標準，它簡單明了，占用系統資源少，已成為事實上的工業標準。SNMP提供了從網絡設備收集網絡管理信息的方法，并為設備提供了向網絡管理端報告故障和錯誤的途徑。SNMP是協議和規范族，包括MIB（管理對象信息庫）、SMI（管理信息結構）和SNM協議。同時，SNMP被設計成與協議無關，所以它可以在IP，IPX，AppleTalk，OSI以及其他傳輸協議上被使用。

基于SNMP的流量信息采集，實質上是通過提取網絡設備Agent提供的MIB（管理對象信息庫）中收集一些與具體設備及流量信息有關的變量?；赟NMP收集的網絡流量信息包括：輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。 基于SNMP的網絡流量信息采集可以以極小的代價實現一定程度的網絡流量相關信息的收集，但其收集的信息多是出于網絡管理的需要，無法提供足夠豐富的網絡流量信息。利用其實現網絡總流量的定期監控、觀察網絡設備端口的流量和使用狀況可以滿足網絡管理的基本需求。

SNMP采用‘管理者—代理’模型來監測各種可管理的網絡設備，利用無連接的UDP協議在管理者和代理之間進行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP代理間的通信關系。一個SNMP管理者可以向SNMP代理發送請求，讀?。℅et）或設置（Set）一個或多個MIB變量數值。SNMP代理可以應答這些請求。除了這種交互式通信方式，SNMP代理還可以主動向SNMP管理者發送通知（Trap或Inform Request）以提示管理者一個設備或網絡的狀態。

■

圖1 SNMP管理者與SNMP代理間的通信示意圖

在園區網網絡監測中采用SNMP機制有以下優勢：1）可以隨時隨地收集網絡流量信息，及時獲取當前園區網絡的運行情況；2）能夠即時收集到網絡中大量設備的同步流量信息；3）采用方法基于IP層，不受底層網絡物理類型的限制；4）能夠收集到網絡設備自身的工作信息、端口狀態。并可根據需要遠程配置修改網絡設備的相關參數；5）基于SNMP的流量監測所需費用較少，對現有的網絡性能影響較小，且易于集成到各種網管系統中去。

在此基礎上，如果配合后臺數據庫記錄收集到的網絡流量、性能數據，就可以實現對整個園區網絡進行有效的監視，并能在網絡發生故障時及時發現并通知相關人員處理，從而提高網絡可靠運轉的時間，減少因網絡故障造成的中斷時間。

2.1.基于NetFlow的流量監測技術

NetFlow是Cisco公司提出的一項網絡數據流統計標準，利用NetFlow技術，路由器可以輸出流經路由的包的統計信息，從而監測網絡上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進行網絡規劃、網絡管理、流量計費和病毒檢測等等，NetFlow流量信息采集是基于網絡設備提供的NetFlow機制實現的網絡流量信息采集，在此基礎上實現的流量信息采集效率和效果均能夠滿足網絡流量異常監測的需求。它可以實時提取大量流量的特征，實現對流量的宏觀統計分析。目前，NetFlow技術已經成為網絡設備流量信息采集事實上的標準，一些大型的網絡設備廠商均在其主流的路由設備中實現了對NetFlow主要版本的支持。

表1主流廠商網絡流技術對比

■

NetFlow的實現由路由器、數據采集設備和流量分析工具三部分構成，如圖2所示。

路由器啟動NetFlow功能，負責抓取路由器上發生的流量信息，當Cache表超時后，網絡設備中的NetFlow Agent 將通過規范的報文格式將表項數據以UDP方式向NetFlow數據采集設備發送。NetFlow數據采集設備可以是商業系統或是采用開放源代碼的工作站，它負責實時處理收到的報文，提取出流量數據，進行過濾和聚合后記錄在數據庫中。NetFlow流量分析工具根據數據采集設備數據庫中記錄的網絡流量信息進行網絡規劃、流量計費和各種網絡管理應用，并產生各類報表等。

■

圖2NetFlow的工作原理示意圖

由于NetFlow技術所產生的信息詳盡且趨近于即時，可讓網管人員深入地了解數據包中的信息，獲得很多網絡運行情況的細節。依據NetFlow信息進行網絡規劃，將大大提高規劃的效率，減少盲目性。

（上接第671頁）

在園區網網絡監測中采用NetFlow機制有以下優勢：

1) 對源及目的業務端口號的統計、分析，可以科學地估算出各種業務在網絡總流量中所占的比重和在各條鏈路上的分布，對網絡業務流量進行精細化分析，包括網絡間數據流中各個具體業務的流量及百分比；同時，也可以根據應用層數據參數Protocol、Port、Bytes對各個網絡業務進行排行，進而科學地預測各類業務流量的增長規律。

2) 通過對整網流量的長期監測，可以建立園區網流量基線，了解網絡內各節點的即時與歷史網絡流量狀態，掌握網絡應用及發展趨勢，從而提高網絡的管理維護能力。

3) 通過統計分析，我們還可以獲知那些業務是目前網絡上最受歡迎的業務，進而對相關網絡應用業務的建設和規劃提供準確的基礎數據；對于業務流量大的端點，分析其增長規律，可以指導對其合理及時的擴容，從而提高整個網絡的運行質量。

4) 利用NetFlow產生的流量記錄與統計分析系統配合，還可以記錄網絡平常在不同時間的流量或服務器連接使用情況，當發現網絡或某服務器流量異常，或是服務器連接情況異常大量增加或減少時，在第一時間發出警報，讓網絡管理員可以立即采取相應措施，盡快確定異常流量源地址及目的地址、端口號等多種信息，針對不同的情況，分別利用切斷連接、ACL過濾、靜態空路由過濾、異常流量限定等多種手段，對異常流量進行有效控制、處理，從而在最短時間內恢復網絡的正常運行。這在防范病毒，尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時尤為有效。

3 結束語

當前，隨著信息化建設步伐的加快，各單位都在不斷地建設和改造內部的園區網絡，園區網絡的不斷擴展使得網絡的拓撲變得越來越復雜和不規則。而網絡新應用的涌現和網絡用戶的快速增長也使得網絡流量不斷增大、網絡應用日益復雜。采用一種或混合使用多種技術監測園區網網絡狀態的重要性和迫切性越來越突出。園區網網絡監測技術已經成為計算機網絡研究中一個重要的課題方向。

參考文獻：

[1] Cisco. System ， NetFlow Services Solutions Guide[S]， 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. http://www.packetfactory.net/papers/nsm/network_state_monitoring.txt， 2000

[3] 陳秀蘭，吳軍華.通用網絡流量監測報警系統的設計與實現[J]. 微計算機應用， 2006(4):47-50.

[4] 何豐，靳娜.基于NetFlow的IP網絡狀態監測系統的設計與實現[J] . 通信技術， 2007(8):36-38.

[5] 梁鴻，劉芳.基于TCP/IP的網絡流量監測系統模型的研究[J]. 計算機系統應用， 2006(6):30-33.

[6] 吳海峰，張月琳.校園骨干網流量監控系統設計與實現[J]. 計算機應用， 2006(12):42-44.