城域網網絡流量監測方法及實際應用場景

陳宏

【摘要】 隨著城域網規模的擴大以及上面加載的業務不斷增多，對城域網內流量進行監測并管理勢在必行。本文對當前主流流量監測方法進行介紹，并主要介紹不同監測方法在本地城域網內的實際應用情況。

【關鍵詞】 城域網 流量監測 實際應用

當前互聯網的不斷發展以及網內應用的不斷豐富，運營商的網絡結構日益復雜，同時網絡規模也不斷擴大，以本地為例今年來每年城域網出口流量的增幅均在60%以上，隨著流量的不斷增長運營商必將通過流量監測來實現對網絡的管理、控制與運營。

一、城域網流量主要監測方法

1.1 基于SNMP的流量監測

SNMP是當前網絡設備普遍支持的一中監控技術，是通過提取網絡設備Agent提供的MIB（管理對象信息庫）中收集設備諸如輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數等流量信息。Agent運行在被管對象上，將收集的網絡數據信息存儲在MIB庫中，MIB是對象的集合，它代表網絡中可以管理的資源和設備，每個對象基本上是一個數據變量，它代表被管對象某一方面的信息，如被管對象的接口流量等。Snmp流量監測主要實現對網絡主干設備，例如路由器、交換機各接口的進出口原始流量數據的采集，并對其進行加工轉換，從而為管理員提供不同時間粒度的流量監測視圖。除了采集流量信息，SNMP方法還可以采集設備信息，CPU利用率等信息。但snmp流量監控主要集中在3層以下的信息和設備的消息，不能進行端到端的流量監測，無法滿足網絡流量進一步的細化分析。

1.2基于Netflow的流量監測

Netflow流量信息采集是基于網絡設備（Cisco）提供的Netflow機制實現的網絡流量信息采集。Netflow為Cisco之專屬協議，但目前已經標準化， Juniper、extreme、華為等廠家也逐漸支持。Netflow是以網絡流量中的數據包為管理基礎的，其中數據包包含目的IP地址，源IP地址以及目的端口，源端口，IP協議類型“五元組”信息。當有新的數據流在邊緣路由器流過時，NetFlow會掃描這幾個字段來判斷數據包是否屬于一個存在的流，如果流已經存在，進行字節和包數累加操作，如果流不存在，那么就會新建一個流實體記錄下諸如源、目的地址，源、目的端口等流的相關信息。和SNMP相比NetFlow技術提供了包括IP，端口，協議、服務類型等更多的信息，這些信息可用于網絡規劃、異常流量監測以及NetFlow的數據存儲與挖掘。

1.3基于DPI監測

DPI技術即Deep Packet Inspection深度報文檢測技術。所謂的“深度”報文檢測是相對于傳統的報文檢測技術而言。如圖1所示，傳統的報文檢測只是檢測L2-L4層的內容，也就是僅對報文的的“五元組”信息進行檢測，包括源地址、目的地址、源端口、目的端口以及協議類型。而DPI技術對整個L2-L7上的信息都進行檢測，對報文的分析擴充到了應用層對報文實際內容都有分析，實現了端到端的流量監測。

二、不同流量監測方法的實際應用

2.1 IP綜合網管

IP綜合網管用于管理城域網內從接入層到骨干層之間的各類設備，網管采集機采用SNMP協議和被管設備通信，獲取設備信息，端口流量信息等。

網管采集機使用SNMP協議和網絡設備進行通信，正常情況下，首先由Manager端發送請求，Agent端根據請求回復相應的MIB信息。而當被管設備發生異常時，會主動發送Trap信息給Manager以報告異常。

綜合網管實際應用場景：

1、端口流量監控設備端口的流量監控用來查看城域網設備或者用戶設備鏈路帶寬利用率情況，為網絡擴容或者調整提供依據。首先系統中要輸入設備IP地址以及正確的SNMP讀串來添加設備，系統通過SNMP協議獲取設備的接口，對有流量監控需求的端口進行監視任務的配置，這樣系統以5分鐘的時間間隔以輪詢的方式來采集設備各接口的流量數據。流量數據開始采集后，能夠查看到設備接口的實時流量，還可以查看周圖、月圖等不同時間粒度的流量圖。

2、網元設備告警監控：系統告警監控分兩種方式：1、Polling告警（主動檢測方式）：采用定期調度（可根據設備的重要程度可設定不同的策略）對設備先進行SNMP連接測試，再進行ICMP PING測試。2、Snmp Trap告警（被動接收方式）：告警采集機在162端口監聽并接收網元發送過來的TRAP通知，通過加載相應MIB里的TRAP定義或者廠家提供的TRAP告警翻譯規則，轉換為相應的告警記錄。

當整個網元中斷或者其中某一條鏈路中斷，系統通過監控會自動彈出告警供維護人員處理。

2.2 GenieATM

GenieATM流量采集依據主要是FLOW，它是一款關于流量流向分析以及異常流量檢測的系統。

流量分析主要包括以下形式：

流量模型分析：內建智能網絡分析模型，可迅速準確地分出本網、鄰網、子網、骨干網、客戶網等各類流量，自動產生報表。

屬性分析：可針對應用、協議、協議+端口號、TOS值、或是封包大小等進行Top-N分析排名。

流量矩陣報告：可自動分析子網、鄰網之間的流量流向，做成流量矩陣報告。

本地GenieATM主要用于異常流量監測：流量異常：在檢測網段內，如果突然產生了與往日不同的巨大持續流量，很可能是遭受不明的網絡攻擊，通過系統分析可以查看到攻擊的流量，持續的時間，源IP，目的IP，流經的路由器端口等詳細信息。 目前系統監測到的異常流量以DoS/DDoS攻擊為主。系統可進行黑洞路由的設定來對異常流量進行緩解。

2.3 華為SIG

華為SIG系統采用DPI（深度包檢測）技術，深入分析各種網絡應用的流量類型，用來分析網絡中的流量、協議及業務分布。

系統架構：

目前SIG系統部署在省骨干網出口，通過分光器將流量復制到系統，SIG系統進行業務識別，同時通過鏡像或分光監控Radius服務器流量，這樣系統能夠識別寬帶用戶帳號和IP地址對應關系，也就能分析到不同用戶的上網行為了。

以下為某天系統檢測到的本地用戶使用的主要流量業務類別，以及常用的下載和視頻類應用

1、網頁瀏覽、視頻以及P2P下載為本地用戶消耗流量最大的主要業務類型。2、P2P下載業務類型中，使用迅雷的最多，其次為迅雷和QQ旋風。3、暴風盒子、PPSTREAM、PPTV、QQLIVE等視頻應用為本地用戶常用的視頻類應用。

通過對流量的細化分析，為運營商合理規劃網絡、制定流量控制策略、深度挖掘網絡商業價值提供依據。比如對P2P流量可以實施分時段、分區域、細粒度的運營控制策略，適當控制P2P流量，提高帶寬利用率，減輕網絡壓力，提升其他用戶的使用感知。比如對于經常使用視頻類應用的用戶，可以進行寬帶提速的營銷等等。

三、結束語

不同的流量監測方法有不同的側重，本文介紹了不同監測方法的特點，并對基于不同監測方法的流量監測系統的實際應用進行了介紹。

參 考 文 獻

[1] RFC1157[OL]. A Simple Network Management Protocol （SNMP）.1990

[2] 潘鑫，網絡管理系統在SNMP協議上的設計與實現[J]，科技資訊，2010（18）：157

[3] 李興國，費玲玲。基于NetFlow 的流量分析技術研究[J].微計算機信息，2008年第24卷5-3期。

[4] 羅憶祖.DPI技術助力運營商精細化運營[J].電信網技術，2009（3）：22-24

[5] 米淑云.IP網絡流量監控系統的研究與實現[D].北京：北京郵電大學，2009.