緒論：寫(xiě)作既是個(gè)人情感的抒發(fā)，也是對(duì)學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)流量分析的方法范文，希望它們能為您的寫(xiě)作提供參考和啟發(fā)。

篇（1）

1 多媒體流量分析的基礎(chǔ)

多媒體在應(yīng)用層面對(duì)于用戶的強(qiáng)大支持，映射到其數(shù)據(jù)層面，必然是不容忽視的大量不同數(shù)據(jù)格式。而在這樣的環(huán)境之下，想要展開(kāi)有效的網(wǎng)絡(luò)流量分析，實(shí)現(xiàn)對(duì)于通信資源的優(yōu)化利用，首先必須展開(kāi)對(duì)于多媒體報(bào)文的有效分類。每一個(gè)報(bào)文都會(huì)在這個(gè)過(guò)程中被分類到對(duì)應(yīng)的類型，而后進(jìn)一步依據(jù)運(yùn)營(yíng)商制定的傳輸優(yōu)先策略對(duì)其展開(kāi)傳輸處理。

多媒體流分類問(wèn)題可抽象成從多媒體報(bào)文映射到流類型的過(guò)程，多媒體報(bào)文流經(jīng)流分類器，即展開(kāi)對(duì)于其的辨別并且添加相關(guān)的類型標(biāo)識(shí)，通常會(huì)將該標(biāo)志寫(xiě)入報(bào)文頭部字段中，便于后續(xù)識(shí)別和處理。在識(shí)別的過(guò)程中，可供識(shí)別多媒體流的方法主要有三種，即基于報(bào)文頭部信息的分類方法、基于數(shù)據(jù)包載荷內(nèi)容的分類方法以及基于流量統(tǒng)計(jì)模型的分類方法。其中基于報(bào)文頭部信息的分類方法，即依據(jù)報(bào)頭中的多元組信息展開(kāi)工作，將其與預(yù)先定義的規(guī)則集進(jìn)行比對(duì)匹配，并且確定出媒體流的對(duì)應(yīng)分類進(jìn)行標(biāo)識(shí)。此種工作方式相對(duì)簡(jiǎn)單，因此發(fā)展也趨于成熟，效率較高，但是在識(shí)別過(guò)程中由于多媒體應(yīng)用使用的端口通常并不固定，因此針對(duì)而言準(zhǔn)確率比較有限。而基于數(shù)據(jù)包載荷內(nèi)容的分類方法則面向報(bào)文載荷信息展開(kāi)識(shí)別和工作，進(jìn)一步又可以針對(duì)應(yīng)用層協(xié)議展開(kāi)解析或針對(duì)載荷內(nèi)容展開(kāi)特征解析。此種識(shí)別方式工作準(zhǔn)確率基本有所保證，但是對(duì)于某些私有協(xié)議以及加密數(shù)據(jù)流，會(huì)因?yàn)闊o(wú)法有效提取特征信息而導(dǎo)致識(shí)別失敗。最后，基于流量統(tǒng)計(jì)模型的分類方法主要是關(guān)注多媒體流量特征，通過(guò)流量來(lái)判斷多媒體數(shù)據(jù)的傳輸行為模式，諸如數(shù)據(jù)包的大小以及包與包之間的間隔時(shí)間等方面特征。此種方式能夠?qū)崿F(xiàn)系統(tǒng)的自主學(xué)習(xí)，但是會(huì)存在一定的分類延時(shí)。

2 網(wǎng)絡(luò)流量分析技術(shù)淺議

對(duì)多媒體進(jìn)行標(biāo)識(shí)之后，可以在網(wǎng)絡(luò)環(huán)境中展開(kāi)更為有效的網(wǎng)絡(luò)流量分析。已經(jīng)被標(biāo)記的信息流在傳輸過(guò)程中能夠表現(xiàn)出不同的對(duì)于資源的占用，以此作為依據(jù)展開(kāi)更具有針對(duì)性的網(wǎng)絡(luò)流量分析，對(duì)于整體網(wǎng)絡(luò)數(shù)據(jù)傳輸資源和功能的優(yōu)化都必然有著積極價(jià)值。

隨著計(jì)算機(jī)技術(shù)的不斷成熟，網(wǎng)絡(luò)流量分析技術(shù)也呈現(xiàn)出不斷發(fā)展的特征。當(dāng)前的流量分析技術(shù)，主要是在傳統(tǒng)的數(shù)據(jù)庫(kù)技術(shù)基礎(chǔ)之上，以一種開(kāi)放的態(tài)度構(gòu)建起支持自學(xué)習(xí)的網(wǎng)絡(luò)流量分析系統(tǒng)，從而實(shí)現(xiàn)整個(gè)體系的智能化。就目前的狀況看，常見(jiàn)的幾種流量分析技術(shù)有以下幾種。小學(xué)德育論文

1）SNMP技術(shù)。此種技術(shù)主要用于實(shí)現(xiàn)面向網(wǎng)絡(luò)環(huán)境中多種類型設(shè)備展開(kāi)監(jiān)控和管理，并且對(duì)既有問(wèn)題進(jìn)行定位。該技術(shù)系統(tǒng)包括SNMP協(xié)議、管理信息結(jié)構(gòu)以及管理信息庫(kù)三個(gè)部分構(gòu)成，其中SNMP協(xié)議用于實(shí)現(xiàn)在應(yīng)用程序和設(shè)備時(shí)間交換信息，而管理信息結(jié)構(gòu)用于指定一個(gè)設(shè)備維護(hù)的管理信息的規(guī)則集，最后管理信息庫(kù)用于明確設(shè)備所維護(hù)的全部被管理對(duì)象的結(jié)構(gòu)集合。

2）RMON技術(shù)。該項(xiàng)技術(shù)由IETF定義，本身是對(duì)于SNMP技術(shù)的一種深入。其對(duì)于標(biāo)準(zhǔn)功能以及網(wǎng)管站遠(yuǎn)程監(jiān)控器之間的接口進(jìn)行了重新定義，使得其能夠?qū)崿F(xiàn)更為順暢的數(shù)據(jù)交換，從而有助于展開(kāi)對(duì)于網(wǎng)絡(luò)環(huán)境數(shù)據(jù)流量的更為有效監(jiān)視。在RMON系統(tǒng)中，當(dāng)探測(cè)器發(fā)現(xiàn)了一個(gè)非正常態(tài)的網(wǎng)絡(luò)段之后，會(huì)主動(dòng)與網(wǎng)絡(luò)維護(hù)管理控制臺(tái)接通聯(lián)絡(luò)，并將對(duì)應(yīng)的網(wǎng)絡(luò)信息進(jìn)行發(fā)送，實(shí)現(xiàn)對(duì)于整體網(wǎng)絡(luò)流量的監(jiān)控和分析。

3）SFlow技術(shù)。此種技術(shù)以隨機(jī)采樣作為主要的研究方式，并且能夠提供從第二層到第四層的相對(duì)完整的網(wǎng)絡(luò)流量分析信息，這種分析甚至可以擴(kuò)展到整個(gè)網(wǎng)絡(luò)環(huán)境中，能夠?qū)崿F(xiàn)面向大數(shù)據(jù)流量的適應(yīng)，尤其是在面向以流媒體作為主要流量資源占用的網(wǎng)絡(luò)環(huán)境時(shí)，仍然能夠保持穩(wěn)定的表現(xiàn)。此種技術(shù)成本較低且不會(huì)因?yàn)橐肫浼夹g(shù)為網(wǎng)絡(luò)環(huán)境帶來(lái)新的沖突，同時(shí)數(shù)據(jù)信息量大，能夠?qū)崿F(xiàn)更為完善的網(wǎng)絡(luò)分析。

4）NetFlow技術(shù)。此種技術(shù)主要用于實(shí)現(xiàn)網(wǎng)絡(luò)層高性能交換，首先被用于對(duì)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)交換進(jìn)行加速。但是其核心是對(duì)于流緩存進(jìn)行進(jìn)一步的整理，因此在工作的過(guò)程中必然會(huì)能夠得到很多依據(jù)匯聚方法而統(tǒng)計(jì)的數(shù)據(jù)，其中包括諸如源IP、目的IP以及源端口和目的端口以及相關(guān)傳輸協(xié)議與包數(shù)量等，這些信息和統(tǒng)計(jì)數(shù)據(jù)對(duì)于深入展開(kāi)網(wǎng)絡(luò)流量分析有著不容忽視的積極價(jià)值。

3 結(jié)論

在多媒體應(yīng)用的網(wǎng)絡(luò)環(huán)境中，深入可靠的網(wǎng)絡(luò)流量分析系統(tǒng)，對(duì)于切實(shí)提升網(wǎng)絡(luò)自身的數(shù)據(jù)傳輸能力，為多媒體用戶提供更為穩(wěn)定的數(shù)據(jù)傳輸服務(wù)有著積極價(jià)值。實(shí)際工作中唯有不斷深入發(fā)現(xiàn)自身網(wǎng)絡(luò)環(huán)境特征，才能有的放矢展開(kāi)有效的流量分析，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境優(yōu)化。

篇（2）

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷推廣，校園網(wǎng)規(guī)模日益擴(kuò)大且網(wǎng)結(jié)構(gòu)與應(yīng)用日趨復(fù)雜，如何對(duì)校園網(wǎng)進(jìn)行全面有效的監(jiān)控是目前網(wǎng)絡(luò)管理面臨的巨大挑戰(zhàn)，這給校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)帶來(lái)了廣闊的研究領(lǐng)域，網(wǎng)絡(luò)監(jiān)控技術(shù)的核心技術(shù)就是對(duì)網(wǎng)絡(luò)中的流量進(jìn)行即時(shí)準(zhǔn)確的分析，本文首先對(duì)常用的流量分析技術(shù)進(jìn)行簡(jiǎn)單的介紹。又重點(diǎn)介紹了sFlow技術(shù)，針對(duì)sFlow的特點(diǎn)，在校園網(wǎng)中部署了一個(gè)基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，并對(duì)系統(tǒng)如何實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控進(jìn)行了描述，此系統(tǒng)可實(shí)時(shí)有效的對(duì)校園網(wǎng)流量進(jìn)行分析，對(duì)校園網(wǎng)管理有很大的實(shí)用價(jià)值。

1流量分析技術(shù)介紹

當(dāng)前能對(duì)網(wǎng)絡(luò)的流量進(jìn)行分析的類型主要有以下兩種:

1．1點(diǎn)接觸型流量分析

點(diǎn)接觸型流量分析技術(shù)的原理為:在網(wǎng)絡(luò)中的某個(gè)接入點(diǎn)上，利用探針檢測(cè)該接入點(diǎn)的每個(gè)pack-age，所利用的方法為逐個(gè)包拆分，并在檢測(cè)的同時(shí)完成統(tǒng)計(jì)。點(diǎn)接觸型流量分析的優(yōu)點(diǎn)為:此技術(shù)中流量的采集只依賴于探針的包處理機(jī)制，與網(wǎng)絡(luò)中使用何種類型的交換機(jī)沒(méi)有關(guān)聯(lián);由于本技術(shù)采用逐個(gè)包拆分的方法，所以可自主制定策略來(lái)滿足用戶的需求。缺點(diǎn)為:接入點(diǎn)的個(gè)數(shù)有限，只能對(duì)有限的點(diǎn)進(jìn)行數(shù)據(jù)的采集，如果想在網(wǎng)絡(luò)的所有關(guān)鍵點(diǎn)布置接入點(diǎn)，成本較大;在關(guān)鍵接入點(diǎn)串入網(wǎng)絡(luò)流量采集設(shè)備，會(huì)增加網(wǎng)絡(luò)的故障點(diǎn)。采用點(diǎn)接觸型流量分析的代表設(shè)備為:IDS，F(xiàn)LUKE測(cè)試等。

1．2面接觸型流量分析

面接觸型流量分析技術(shù)的原理:利用交換機(jī)固有的流量采集來(lái)完成報(bào)文中關(guān)鍵信息的統(tǒng)計(jì)工作［1］。面接觸型流量分析的優(yōu)點(diǎn)為:此技術(shù)不同于點(diǎn)接觸型流量分析，無(wú)需在網(wǎng)絡(luò)的關(guān)鍵接入點(diǎn)上布置探針，只需要布置一臺(tái)交換機(jī)設(shè)備用以流量采集統(tǒng)計(jì)，即可采集分析核心層流量，并不影響整個(gè)網(wǎng)絡(luò)的性能;此技術(shù)可在網(wǎng)絡(luò)的任一點(diǎn)上采集整個(gè)網(wǎng)絡(luò)的流量;整個(gè)校園網(wǎng)中，只需布置一套監(jiān)控系統(tǒng)，成本低。缺點(diǎn)為:此技術(shù)采集的數(shù)據(jù)只局限于某種類型的package的采樣值，而不是包的全部，相較于點(diǎn)接觸型流量分析來(lái)說(shuō)，采集的數(shù)據(jù)較少。采用面接觸型流量分析的代表設(shè)備為:NET-FLOW監(jiān)控，sFlow監(jiān)控等。當(dāng)前CERNET校園網(wǎng)都是萬(wàn)兆核心層網(wǎng)絡(luò)平臺(tái)，根據(jù)前面對(duì)兩種流量分析技術(shù)的介紹可知，相較于點(diǎn)接觸型流量分析技術(shù)，面接觸型在采集與分析如此巨大網(wǎng)絡(luò)流量時(shí)，有顯而易見(jiàn)不比擬的優(yōu)勢(shì)。本文采用當(dāng)前較主流的sFlow監(jiān)控系統(tǒng)完成校園網(wǎng)網(wǎng)絡(luò)流量的采集與監(jiān)控。

2sFlow技術(shù)應(yīng)用

2．1sFlow技術(shù)介紹

sFlow，是由InMon公司于2001年提出的一種基于“統(tǒng)計(jì)采樣”的網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)［2］，以RFC3176［3］文件的形式進(jìn)行了。sFlow通過(guò)對(duì)校園網(wǎng)中網(wǎng)絡(luò)設(shè)備處理的package進(jìn)行采集來(lái)獲取網(wǎng)絡(luò)中流量的信息，之后把采集后的數(shù)據(jù)包發(fā)送給流量分析服務(wù)器進(jìn)行分析，讓用戶詳盡與實(shí)時(shí)地知道網(wǎng)絡(luò)的性能與安全等問(wèn)題［4］。目前，僅有Foundry和JuniperNetworks等廠商的部分型號(hào)的交換機(jī)支持sFlow。sFlow的主要優(yōu)勢(shì)在于:進(jìn)行整個(gè)網(wǎng)絡(luò)監(jiān)視成本更低;擁有的“一直在線技術(shù)”能夠?qū)W(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集與分析能力;嵌入到ASIC中的強(qiáng)勁技術(shù);全網(wǎng)的視圖都是可看見(jiàn)的;采樣的速率是可以自主配置的;整個(gè)網(wǎng)絡(luò)的交換性能不受影響;網(wǎng)絡(luò)帶寬基本不受影響;包頭的信息是完整的;第二到七層的詳細(xì)信息是完整的并且支持多種協(xié)議。

2．2實(shí)現(xiàn)原理

sFlow的網(wǎng)絡(luò)流量監(jiān)測(cè)實(shí)現(xiàn)一般由兩部分構(gòu)成:sFlow(Agent)和sFlow流量采集器(Collector)［2］。sFlow系統(tǒng)的基本原理為:分布在校園網(wǎng)的sFlow把sFlow報(bào)文發(fā)送到Collector。

2．3sFlow技術(shù)

在校園網(wǎng)中的布署本文以Juniper交換機(jī)和PRTG軟件為例部署系統(tǒng)。首先在校園網(wǎng)絡(luò)的各個(gè)層級(jí)交換機(jī)(Agent)啟用sFlow，通過(guò)收集設(shè)備上相關(guān)端口的流量轉(zhuǎn)況并實(shí)時(shí)將整個(gè)校園網(wǎng)絡(luò)的流量發(fā)送到服務(wù)器端(Collector)。服務(wù)器端部署PRTG軟件，由PRTG分析軟件來(lái)對(duì)從交換機(jī)收到的數(shù)據(jù)包進(jìn)行全面、實(shí)時(shí)、豐富的流量及統(tǒng)計(jì)分析。

3結(jié)語(yǔ)

要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)全面、實(shí)時(shí)的監(jiān)控分析必須依靠先進(jìn)有效的網(wǎng)絡(luò)監(jiān)控協(xié)議和技術(shù)來(lái)滿足業(yè)務(wù)日益增長(zhǎng)的需求。sFlow網(wǎng)絡(luò)技術(shù)的出現(xiàn)可以很大程度滿足當(dāng)前及未來(lái)幾年校園網(wǎng)絡(luò)發(fā)展規(guī)模，為我們網(wǎng)絡(luò)管理員的日常巡檢維護(hù)帶來(lái)了極大的方便，也為保障校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運(yùn)行提供了很好的依據(jù)。

參考文獻(xiàn)

篇（3）

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416(2012)02-0160-02

1、引言

隨著信息化建設(shè)的高速發(fā)展，校園網(wǎng)作為數(shù)字信息的基本載體在數(shù)字校園的建設(shè)中具有非常重要的作用。但是，由于各種網(wǎng)絡(luò)應(yīng)用的不斷涌現(xiàn)，消耗了大量網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁堵、性能降低，干擾了教學(xué)科研等關(guān)鍵業(yè)務(wù)的正常運(yùn)行。為了優(yōu)化網(wǎng)絡(luò)環(huán)境，保證數(shù)字校園的正常運(yùn)行，我們有必要對(duì)網(wǎng)絡(luò)流量進(jìn)行深入的分析與研究，對(duì)占用大量網(wǎng)絡(luò)帶寬的流量、環(huán)節(jié)采取針對(duì)性的手段進(jìn)行調(diào)整與控制，保障數(shù)字校園高效穩(wěn)定安全的運(yùn)行。

2、流量分析的常用方法

網(wǎng)絡(luò)流量分析指通過(guò)捕獲網(wǎng)絡(luò)流量數(shù)據(jù)對(duì)其進(jìn)行深入量測(cè)和分析，來(lái)掌握網(wǎng)絡(luò)的流量特性，例如某種協(xié)議、應(yīng)用服務(wù)的使用情況或者某些用戶的行為特征等，為精細(xì)化流量控制提供數(shù)據(jù)依據(jù)。目前采用的網(wǎng)絡(luò)流量分析方法按照分析的對(duì)象有：

2.1 基于地理位置的分析

基于地理位置的分析是通過(guò)獲取已知位置、用戶群的相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行情況來(lái)進(jìn)行分析。常見(jiàn)的是使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）來(lái)實(shí)現(xiàn)信息獲取，這種方法優(yōu)點(diǎn)在于需要的設(shè)備及人員較少，能夠獲得流量的相互關(guān)系。

2.2 基于數(shù)據(jù)包的分析

對(duì)數(shù)據(jù)包的分析一般可以分為：基于地址、端口的分析，基于特征碼的分析以及深度數(shù)據(jù)包檢測(cè)。

基于地址、端口的分析是通過(guò)識(shí)別IP、URL地址或者應(yīng)用服務(wù)的特定端口來(lái)檢測(cè)分類的方法。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來(lái)越多的應(yīng)用不再基于固定的地址、端口，使得這種方法的使用范圍不斷縮小。

基于特征碼的分析是通過(guò)檢測(cè)OSI模型中四層以下的內(nèi)容中是否含有某些應(yīng)用服務(wù)的特殊標(biāo)示或使用的特定協(xié)議來(lái)對(duì)數(shù)據(jù)包進(jìn)行分類的方法，是一種使用較多的分析方法。

深度數(shù)據(jù)包檢測(cè)（DPI）是一種對(duì)數(shù)據(jù)包深入到應(yīng)用層協(xié)議檢測(cè)分析的方法。它通過(guò)逐包分析、模式匹配，并且使用行為模式識(shí)別等技術(shù)，可以對(duì)流量中的具體應(yīng)用服務(wù)實(shí)現(xiàn)較為準(zhǔn)確的識(shí)別，例如鑒別P2P數(shù)據(jù)應(yīng)用，雖然它的分析速度較慢而且需要不斷的根據(jù)新的協(xié)議和新的應(yīng)用來(lái)升級(jí)后臺(tái)應(yīng)用數(shù)據(jù)庫(kù)，但仍不失為一種使用較為廣泛的方法。

2.3 基于流量行為的分析

目前較為常見(jiàn)的是深度流行為檢測(cè)（DFI），這是通過(guò)對(duì)數(shù)據(jù)流的數(shù)據(jù)包長(zhǎng)度、數(shù)據(jù)流持續(xù)時(shí)間、鏈接狀態(tài)、網(wǎng)絡(luò)層傳輸層信息等參數(shù)來(lái)對(duì)其進(jìn)行統(tǒng)計(jì)分析的檢測(cè)方法，速度快于深度數(shù)據(jù)包檢測(cè)方法，可以分析加密數(shù)據(jù)流，但僅能對(duì)數(shù)據(jù)進(jìn)行模糊分類，例如將滿足P2P流量模型的應(yīng)用統(tǒng)一識(shí)別為P2P流量，因?yàn)橐话阈滦蛻?yīng)用都是由某些舊應(yīng)用發(fā)展而來(lái)，其流量特征變化較小，所以不需要頻繁升級(jí)流量模型數(shù)據(jù)庫(kù)就可以較為準(zhǔn)確的分辨類別。

3、流量控制的常用方法

在對(duì)網(wǎng)絡(luò)流量進(jìn)行深入分析了解數(shù)據(jù)構(gòu)成后，就可以針對(duì)性的使用適當(dāng)?shù)姆椒▉?lái)控制網(wǎng)絡(luò)流量，常用方法有“限”、“封”、“分級(jí)”：

(1)限：指對(duì)帶寬、連接數(shù)等設(shè)置門限，是流量控制中最常用的方法，一般有基于用戶的帶寬限制、基于服務(wù)的帶寬限制、基于時(shí)間段的帶寬限制以及基于并發(fā)連接數(shù)的限制等。

(2)封：也就是通過(guò)封堵特定應(yīng)用、行為的IP地址、端口號(hào)的連接，來(lái)禁止使用的目的。但是隨著技術(shù)的發(fā)展，很多軟件可以自動(dòng)協(xié)商通訊端口甚至可以使用80端口，所以在單獨(dú)使用時(shí)效果并不理想。

(3)分級(jí)：也就是劃分應(yīng)用服務(wù)等級(jí)，讓關(guān)鍵應(yīng)用獲得最高級(jí)優(yōu)先權(quán)，讓重要應(yīng)用獲得較高優(yōu)先權(quán)，從而使網(wǎng)絡(luò)流量有序化。

4、校園網(wǎng)流量控制策略的實(shí)施

4.1 流控設(shè)備的部署

筆者所在學(xué)校是在外網(wǎng)防火墻和骨干網(wǎng)交換機(jī)之間部署銳捷ACE2000來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)至外網(wǎng)主干線路的流量控制。

ACE2000是銳捷專門針對(duì)國(guó)內(nèi)市場(chǎng)定制和優(yōu)化的流控設(shè)備，可以對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析，為用戶提供網(wǎng)絡(luò)應(yīng)用和流量趨勢(shì)報(bào)表，還運(yùn)用深度包檢測(cè)（DPI）和深度流檢測(cè)（DFI）技術(shù)，能夠全面識(shí)別和控制各種應(yīng)用，從而有效的檢測(cè)和防止某些應(yīng)用對(duì)帶寬資源的非正常消耗，保證關(guān)鍵應(yīng)用帶寬，保障整體網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。

4.2 流量分析

通過(guò)ACE2000對(duì)校園網(wǎng)出口流量監(jiān)控分析發(fā)現(xiàn)在我校校園網(wǎng)內(nèi)主要是P2P數(shù)據(jù)流泛濫，導(dǎo)致關(guān)鍵網(wǎng)絡(luò)應(yīng)用延時(shí)較大、丟包較多。在工作時(shí)間以及晚上繁忙時(shí)段，P2P下載、P2P應(yīng)用占據(jù)了超過(guò)80%的網(wǎng)絡(luò)帶寬，流出流量超過(guò)流入流量，在線會(huì)話數(shù)遠(yuǎn)大于在線IP數(shù)，某些用戶數(shù)據(jù)流量異常。

4.3 管理策略

考慮到校園網(wǎng)需要滿足全校師生在日常辦公學(xué)習(xí)、實(shí)驗(yàn)教學(xué)、網(wǎng)絡(luò)視頻教學(xué)以及業(yè)余時(shí)間休閑娛樂(lè)等方面的需求，根據(jù)長(zhǎng)期流量分析數(shù)據(jù)，從以下四個(gè)方面制定控制策略：

(1)按IP段劃分：我校為辦公用戶、教學(xué)用戶、學(xué)生用戶、家屬用戶，分配了不同的IP段，根據(jù)各用戶群不同的功能定位來(lái)分配帶寬。

(2)按時(shí)間劃分：按節(jié)假日、工作日以及每天的高低峰時(shí)段分配帶寬。

(3)按應(yīng)用設(shè)置優(yōu)先級(jí)別：設(shè)定應(yīng)用服務(wù)等級(jí)，優(yōu)先保障關(guān)鍵應(yīng)用、關(guān)鍵區(qū)域的網(wǎng)絡(luò)資源。

(4)智能分配帶寬：在各個(gè)參數(shù)允許范圍內(nèi)，靈活分配最大帶寬，提高網(wǎng)絡(luò)帶寬利用率。

4.4 應(yīng)用策略后的效果

在出口部署的銳捷ACE2000上應(yīng)用策略后，出入口的流量下降近一半（如圖1），P2P下載、應(yīng)用等也減少近半（如圖2），在線會(huì)話數(shù)減為原來(lái)的0.65%，基于校園網(wǎng)的辦公、教學(xué)、遠(yuǎn)程等應(yīng)用可以流暢使用。(如圖1圖2)

5、結(jié)語(yǔ)

通過(guò)對(duì)網(wǎng)絡(luò)流量的分析，結(jié)合各個(gè)方面的需求，制定了具有針對(duì)性的網(wǎng)絡(luò)策略，初步獲得了顯著的效果。但是還有不足之處，主要是各類型用戶帶寬限制值、并發(fā)連接數(shù)的合適點(diǎn)不容易找，智能帶寬分配的各個(gè)參數(shù)的合適值不容易找。因此需要我們對(duì)網(wǎng)絡(luò)流量進(jìn)行長(zhǎng)期研究、深入分析，不斷調(diào)整網(wǎng)絡(luò)管理策略，合理利用網(wǎng)絡(luò)帶寬，滿足各種用戶、應(yīng)用的需求，確保網(wǎng)絡(luò)的通暢，營(yíng)造一個(gè)良好的數(shù)字校園。

參考文獻(xiàn)

[1]林維鏘.中小型校園網(wǎng)流量的控制方法,武漢工程大學(xué)學(xué)報(bào),2011(4):97-99.

篇（4）

DOIDOI：10.11907/rjdk.162346

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：16727800（2016）011018402

0 引言

異常流量相對(duì)于平穩(wěn)的網(wǎng)絡(luò)流量有著顯著變化，它來(lái)自于網(wǎng)絡(luò)中的擁塞和路由器上的資源過(guò)載。網(wǎng)絡(luò)運(yùn)營(yíng)商必須及時(shí)準(zhǔn)確地檢測(cè)異常流量，否則網(wǎng)絡(luò)無(wú)法有效、可靠地運(yùn)行[1]。研究人員采用了各種分析技術(shù)，從基于體積分布的分析到基于網(wǎng)絡(luò)流量分布的分析來(lái)研究流量異常檢測(cè)。而最近研究表明，基于熵的異常檢測(cè)具有更好的效果。該方法是在流量分布中捕捉細(xì)粒度的模式，使用熵來(lái)跟蹤流量分布的變化具有兩方面優(yōu)勢(shì)：①利用熵可以提高檢測(cè)靈敏度，異常事件的發(fā)生可能未表現(xiàn)出存儲(chǔ)量異常；②使用流量特征可以診斷信息異常事件的性質(zhì)（如區(qū)分蠕蟲(chóng)、DDoS攻擊或掃描）[2]。

一般而言，大多數(shù)研究者認(rèn)為Flow頭的功能（如IP地址、端口和流量大小）可作為基于熵的異常檢測(cè)的備用選擇[3]。然而，端口和地址分布的兩兩相關(guān)性大于0.95，異常檢測(cè)到的端口和地址分布明顯重疊，這是產(chǎn)生深層流量模式的本質(zhì)原因。此外，異常掃描、DoS和P2P事件都不能通過(guò)端口和地址分布進(jìn)行精確檢測(cè)，或只有在顯著的網(wǎng)絡(luò)流量異常事件發(fā)生時(shí)才能檢測(cè)出異常。考慮到端口和地址分布的有限作用，應(yīng)選擇流量分布作為基于熵的異常檢測(cè)指標(biāo)。

本文提出一種利用度分布提高端口和地址分布檢測(cè)能力的異常檢測(cè)機(jī)制。使用入度和出度分布來(lái)估算每個(gè)主機(jī)通信的目的/源IP地址，對(duì)于每個(gè)入度值（出度值），通過(guò)計(jì)算熵來(lái)診斷異常。其中，選擇目的/源IP地址作為唯一備用指標(biāo)，而不是兩個(gè)地址和端口，不需要使用具有相同底層屬性的不同分布來(lái)增加計(jì)算開(kāi)銷。同時(shí)，為了捕捉動(dòng)態(tài)網(wǎng)絡(luò)流量的本質(zhì)，引入了一個(gè)固定時(shí)間寬度的滑動(dòng)窗口機(jī)制。

1 相關(guān)研究

網(wǎng)絡(luò)流量的異常檢測(cè)是保證網(wǎng)絡(luò)正常有效運(yùn)行的重要手段。網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)自提出以來(lái)，經(jīng)過(guò)多年發(fā)展，誕生了多種檢測(cè)方法，但這些方法通常都存在一定缺陷。因此，如何進(jìn)一步提高檢測(cè)準(zhǔn)確性、減少誤報(bào)率仍然是國(guó)內(nèi)外學(xué)者的研究熱點(diǎn)。其中，許多方法都集中在使用流量分布來(lái)診斷異常，如Thottan[4]使用單獨(dú)的MIB變量的統(tǒng)計(jì)分布來(lái)檢測(cè)網(wǎng)絡(luò)流量的突然變化。在各種異常統(tǒng)計(jì)檢測(cè)技術(shù)中，基于熵的方法已被證明在檢測(cè)異常的流量矩陣時(shí)間序列中的準(zhǔn)確性和效率。張航等[5]利用最大值和相對(duì)熵建立了一種基于行為的異常檢測(cè)方法。以最大熵為基礎(chǔ)的基線分布由預(yù)先標(biāo)記的訓(xùn)練數(shù)據(jù)構(gòu)成，但該基線適應(yīng)網(wǎng)絡(luò)流量動(dòng)態(tài)變化的機(jī)制仍然不清楚。本文提出一個(gè)機(jī)制，根據(jù)動(dòng)態(tài)網(wǎng)絡(luò)流量在測(cè)量期間的變化來(lái)構(gòu)建自適應(yīng)基線，并調(diào)整基線在一個(gè)特定的時(shí)間跨度內(nèi)。

在線檢測(cè)異常受大流量數(shù)據(jù)的實(shí)時(shí)統(tǒng)計(jì)影響。吳靜等[6]采用五元組流分布（即源地址、目的地址、源端口、目的端口、協(xié)議）進(jìn)行流量分析，導(dǎo)致內(nèi)存和處理能力的高開(kāi)銷。一些網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，如FlowMatrix與Snort匹配數(shù)據(jù)包到一個(gè)預(yù)定義的規(guī)則集，使它們無(wú)法檢測(cè)未知異常[7]。本文認(rèn)為地址和端口具有高相關(guān)性，并使用地址作為獨(dú)特的度量來(lái)代替元組，用于檢測(cè)異常度分布的熵，不僅可減輕計(jì)算過(guò)程中在線分析階段的開(kāi)銷，而且在發(fā)現(xiàn)新的異常類型方面比常規(guī)方法效果更好。

2 基礎(chǔ)理論

大多數(shù)流量異常都有一個(gè)共同特點(diǎn)，它們誘導(dǎo)流量頭特征分布的異常變化，如源地址、目的地址與端口，一般顯示出分散或集中分布的現(xiàn)象[8]。

例如，圖1顯示了3種類型攻擊的流量特征分布。圖1（a）顯示了一個(gè)典型的分布式拒絕服務(wù)（DDoS）攻擊。在這種情況下，大量主機(jī)發(fā)送信息到一個(gè)特定主機(jī)。同樣，許多網(wǎng)絡(luò)蠕蟲(chóng)通過(guò)發(fā)送隨機(jī)探測(cè)，即到隨機(jī)區(qū)域產(chǎn)生大量目的地IP地址，從而使受感染的計(jì)算機(jī)繼續(xù)感染其它脆弱的計(jì)算機(jī)，如圖1（b）所示。在一些掃描事件中，一個(gè)源IP地址隨機(jī)掃描多個(gè)IP地址，如圖1（c）所示。

從以上分析得知，網(wǎng)絡(luò)流量發(fā)生異常時(shí)，會(huì)使源/目的地址、源/目的端口分布出現(xiàn)變化（見(jiàn)表1）。接下來(lái)需要研究：①采用什么指標(biāo)可以準(zhǔn)確配置這些異常流量特征，并明確表明上述攻擊的發(fā)生；②如何有效地量化異常大小，并揭示非正常的流量行為。

3 診斷方法

3.1 系統(tǒng)模型

總體架構(gòu)包括3個(gè)主要功能部分：處理引擎（后端）、數(shù)據(jù)庫(kù)和WebGUI（前端）。處理引擎執(zhí)行顯式算法WebGUI和數(shù)據(jù)庫(kù)之間的通信。引擎主要實(shí)現(xiàn)以下幾方面任務(wù)：①接收NetFlow記錄的數(shù)據(jù)，如路由器、交換機(jī)、防火墻等，并以一個(gè)特定方式將數(shù)據(jù)通過(guò)緩沖存儲(chǔ)到數(shù)據(jù)庫(kù)；②獲得相關(guān)參數(shù)后，可通過(guò)使用SQL查詢來(lái)計(jì)算熵值度分布的原始流量數(shù)據(jù)；③根據(jù)測(cè)量期間的網(wǎng)絡(luò)狀態(tài)自動(dòng)調(diào)整檢測(cè)閾值。流量統(tǒng)計(jì)數(shù)據(jù)庫(kù)提供了結(jié)構(gòu)化存儲(chǔ)，簡(jiǎn)化了熵值的分布程度計(jì)算。WebGUI前端可通過(guò)圖形方式顯示檢測(cè)結(jié)果。

3.2 算法設(shè)計(jì)

進(jìn)行在線流量分析時(shí)，要提高異常檢測(cè)精度，減少計(jì)算時(shí)的開(kāi)銷，異常檢測(cè)的流程與算法必須是輕量級(jí)的。首先，設(shè)計(jì)一個(gè)數(shù)據(jù)源和數(shù)據(jù)庫(kù)之間的緩沖區(qū)進(jìn)行存儲(chǔ)和檢索。其次，考慮到許多攻擊一般只有幾分鐘時(shí)間，如DDoS攻擊一般只持續(xù)兩分鐘，因此要設(shè)置一個(gè)有限的時(shí)間段作為一個(gè)基本測(cè)量時(shí)間窗口的度量單位。

從概念上講，該算法可以分為3個(gè)階段：在第一階段，配置Netflow在特定時(shí)間段內(nèi)的頁(yè)面流量統(tǒng)計(jì)，根據(jù)訓(xùn)練數(shù)據(jù)和預(yù)定義的閾值熵排除異常值，以便在測(cè)量期間準(zhǔn)確校準(zhǔn)基線。自適應(yīng)閾值在檢測(cè)過(guò)程中生效；第二階段為處理階段，滑動(dòng)時(shí)間窗口時(shí)，計(jì)算該窗口中流量特征的熵值；第三階段為后處理階段，設(shè)置閾值為下一個(gè)檢測(cè)過(guò)程的計(jì)算均值熵和方差。該算法的偽代碼如下：

4 結(jié)語(yǔ)

本文介紹了基于度分布的流量異常在線檢測(cè)方法，該方法具有以下優(yōu)點(diǎn)：①可以準(zhǔn)確、高效地使用流量頭特征捕捉細(xì)粒度的流量模式分布，不僅減少了在線處理時(shí)間，也提高了檢測(cè)能力；②利用熵可以提高檢測(cè)靈敏度的特點(diǎn)來(lái)發(fā)現(xiàn)已知或未知的流量異常，并將其量化；③具備一種可降低誤警率的自適應(yīng)閾值。下一步工作是進(jìn)一步分析流量異常特征，尋找診斷網(wǎng)絡(luò)異常的方法。此外，降低報(bào)警延遲也是需要考慮的問(wèn)題之一。

參考文獻(xiàn)：

[1] 王秀英，邵志清，陳麗瓊.異常流量檢測(cè)中的特征選擇[J].計(jì)算機(jī)工程與應(yīng)用，2010（28）：129131.

[2] 崔錫鑫，蘇偉，劉穎.基于熵的流量分析和異常檢測(cè)技術(shù)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013（5）：126129.

[3] 鄭黎明，鄒鵬，韓偉紅.基于多維熵值分類的骨干網(wǎng)流量異常檢測(cè)研究[J].計(jì)算機(jī)研究與發(fā)展，2012（9）：154163.

[4] THOTTAN M，JI C.Anomaly detection in IP networks[J].IEEE Transation on Signal Processing，2003，51（8）：21912204.

[5] 趙飛翔，張航，何小海.基于多層分塊的異常行為檢測(cè)算法[J].科學(xué)技術(shù)與工程，2015（10）：112116.

篇（5）

中圖分類號(hào):TP

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1672-3198(2010)17-0348-01

1 網(wǎng)絡(luò)流量的特征

1.1 數(shù)據(jù)流是雙向的,但通常是非對(duì)稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的,因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異,這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

1.2 大部分TCP會(huì)話是短期的

超過(guò)90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié),會(huì)話持續(xù)時(shí)間不超過(guò)幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節(jié),WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。1.3 包的到達(dá)過(guò)程不是泊松過(guò)程

大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過(guò)程是泊松過(guò)程,即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。簡(jiǎn)單的說(shuō),泊松到達(dá)過(guò)程就是事件(例如地震,交通事故,電話等)按照一定的概率獨(dú)立的發(fā)生。泊松模型因?yàn)橹笖?shù)分布的無(wú)記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡(jiǎn)單。然而,近年來(lái)對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過(guò)程不是泊松過(guò)程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布,而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá),即包的到達(dá)是有突發(fā)性的。很明顯,泊松過(guò)程不足以精確地描述包的到達(dá)過(guò)程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過(guò)程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性,從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

1.4 網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問(wèn)反映在包的時(shí)間和目的地址上,從而顯示出基于時(shí)間的相關(guān)(時(shí)間局域性)和基于空間的相關(guān)(空間局域性)。

2 網(wǎng)絡(luò)流量的測(cè)量

網(wǎng)絡(luò)流量的測(cè)量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具,通過(guò)采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會(huì)出錯(cuò)的,設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓,或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長(zhǎng)、錯(cuò)誤地址、安全攻擊等。對(duì)互聯(lián)網(wǎng)流量的測(cè)量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問(wèn)題。互聯(lián)網(wǎng)流量的測(cè)量從不同的方面可以分為:

2.1 基于硬件的測(cè)量和基于軟件的測(cè)量

基于硬件的測(cè)量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測(cè)量,這些設(shè)備一般都比較昂貴,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型,存儲(chǔ)能力和協(xié)議分析能力等諸多因素的限制。基于軟件的測(cè)量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較,其費(fèi)用比較低廉,但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

2.2 主動(dòng)測(cè)量和被動(dòng)測(cè)量

被動(dòng)測(cè)量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測(cè)量都是被動(dòng)的測(cè)量。主動(dòng)測(cè)量使用由測(cè)量設(shè)備產(chǎn)生的數(shù)據(jù)流來(lái)探測(cè)網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來(lái)估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。

2.3 在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù),使用可視化手段在線顯示流量數(shù)據(jù)和分析結(jié)果,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù),把數(shù)據(jù)存儲(chǔ)下來(lái),并不對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析。

2.4 協(xié)議級(jí)分類

對(duì)于不同的協(xié)議,例如以太網(wǎng)(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網(wǎng)絡(luò)插件來(lái)收集網(wǎng)絡(luò)數(shù)據(jù),因此也就有了不同的通信量測(cè)試方法。

3 網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)

根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于Netflow的監(jiān)測(cè)技術(shù)三種常用技術(shù)。

3.1 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過(guò)分光器、網(wǎng)絡(luò)探針等附加設(shè)備,實(shí)現(xiàn)網(wǎng)絡(luò)流量的無(wú)損復(fù)制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。

3.2 基于Netflow的流量監(jiān)測(cè)技術(shù)

Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。

篇（6）

一、現(xiàn)狀和問(wèn)題

油田公司提出“百兆到作業(yè)區(qū)，十兆到井站”的網(wǎng)絡(luò)架構(gòu)，但現(xiàn)在很多井站都實(shí)現(xiàn)了百兆接入，同時(shí)計(jì)算機(jī)主干網(wǎng)頁(yè)實(shí)現(xiàn)了廣域網(wǎng)雙2.5G，核心萬(wàn)兆互聯(lián)，帶寬的快速增加加快了業(yè)務(wù)數(shù)據(jù)傳送的速度，從公司管理角度出發(fā)很多很多應(yīng)用從井站直接到公司管理部門的核心網(wǎng)絡(luò)，業(yè)務(wù)的可靠傳輸是對(duì)網(wǎng)絡(luò)運(yùn)維部門提出的新的要求。公司主干網(wǎng)流量組成，對(duì)于各個(gè)方向的網(wǎng)絡(luò)流量大小，公司應(yīng)用系統(tǒng)如視頻會(huì)議、生產(chǎn)指揮、應(yīng)急預(yù)警、財(cái)務(wù)系統(tǒng)、OA辦公系統(tǒng)、A1A2系統(tǒng)，集團(tuán)公司的應(yīng)用系統(tǒng)的流量情況，需要對(duì)業(yè)務(wù)進(jìn)行深入分析，獲取相關(guān)流量。二級(jí)單位從井站到單位核心，數(shù)字化應(yīng)用系統(tǒng)占有大量的網(wǎng)絡(luò)鏈路流量，但管理者不能掌握，具體各類應(yīng)用系統(tǒng)流量的大小、流向以及各類網(wǎng)絡(luò)接口流量組成，需要采集網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)流量，進(jìn)而對(duì)應(yīng)用系統(tǒng)進(jìn)行詳細(xì)的分析，將流量與應(yīng)用系統(tǒng)進(jìn)行有效結(jié)合，達(dá)到應(yīng)用系統(tǒng)流量的深度分析。

二、流量分析技術(shù)應(yīng)用

2.1流量分析技術(shù)

2.1.1基于SNMP

該方法僅能對(duì)網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，可以獲得設(shè)備端口的實(shí)時(shí)或者歷史的流入/流出帶寬、丟包、誤包等性能指標(biāo)，但無(wú)法分析具體的用戶流量和協(xié)議組成。因其具有實(shí)現(xiàn)簡(jiǎn)單、標(biāo)準(zhǔn)統(tǒng)一、接口開(kāi)放的特點(diǎn)，被業(yè)界廣泛采用。

2.1.2基于網(wǎng)絡(luò)探針

該方法的數(shù)據(jù)抓包、分析和統(tǒng)計(jì)等功能一般都在網(wǎng)絡(luò)“探針”上以硬件方式實(shí)現(xiàn)，分析的結(jié)果存儲(chǔ)在探針的內(nèi)存或磁盤(pán)之中，具體的前端展現(xiàn)依賴與之對(duì)應(yīng)的專門軟件。因此具有效率高、可靠性高、高速運(yùn)行不丟包的特點(diǎn)。

2.1.3基于網(wǎng)絡(luò)流

相對(duì)于會(huì)話（Session）而言，流（Flow）具備更細(xì)致的標(biāo)識(shí)特征，在傳統(tǒng)的 TCP/IP 五元組的基礎(chǔ)上增加了一些新的域值，至少包括以下幾個(gè)字段：源IP地址、目的IP地址、源端口、目的端口、IP層協(xié)議類型、ToS服務(wù)類型、輸入物理端口。以上七個(gè)字段可以唯一地確定任意一個(gè)數(shù)據(jù)包屬于哪個(gè)特定的流，換言之任何一個(gè)字段出現(xiàn)了差異都意味著一個(gè)新的流產(chǎn)生。sFlow是基于端口的流量分析：按照一定的采樣比從特定端口上采集報(bào)文，由Agent設(shè)備對(duì)報(bào)文進(jìn)行分析（包括報(bào)文內(nèi)容、報(bào)文轉(zhuǎn)發(fā)規(guī)則信息等等），并將分析結(jié)果以及原始報(bào)文通告給Collector進(jìn)行統(tǒng)一分析（Flow采樣）；并且支持周期性統(tǒng)計(jì)端口的流量計(jì)數(shù)以及設(shè)備CPU、內(nèi)存等信息（Counter采樣）。sFlow關(guān)注的是接口的流量情況、轉(zhuǎn)況以及設(shè)備整體運(yùn)行狀況，因此適合于網(wǎng)絡(luò)異常監(jiān)控以及網(wǎng)絡(luò)異常定位，通過(guò)Collector可以以報(bào)表的方式將情況反應(yīng)出來(lái)，極大的方便了網(wǎng)絡(luò)管理人員日常巡檢維護(hù)，保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行。

2.2部署方式

利用公司網(wǎng)絡(luò)監(jiān)控平臺(tái)系統(tǒng)，結(jié)合交換機(jī)及路由器的FLOW流量采集功能，對(duì)油田主干網(wǎng)及試點(diǎn)二級(jí)單位的網(wǎng)絡(luò)流量進(jìn)行采集，其中計(jì)算機(jī)主干網(wǎng)，主要采集核心交換機(jī)8905和核心路由器t1200設(shè)備的流量情況，試點(diǎn)二級(jí)單位通過(guò)核心交換機(jī)軟件升級(jí)，及試點(diǎn)作業(yè)區(qū)井站的設(shè)備替換，采集內(nèi)網(wǎng)的流量情況。

2.3流量分析

2.3.1主干網(wǎng)流量分析

通過(guò)對(duì)流量采集和分析技術(shù)進(jìn)行研究搭建流量分析系統(tǒng)，實(shí)現(xiàn)對(duì)主要生產(chǎn)辦公業(yè)務(wù)流量分析，重要應(yīng)用性能追蹤。并開(kāi)展油田計(jì)算機(jī)終端應(yīng)用的自動(dòng)化監(jiān)控。具體研究?jī)?nèi)容主要包括一下幾點(diǎn)：

通過(guò)s-flow、netflow等技術(shù)搭建流量分析系統(tǒng)，對(duì)區(qū)域中心出口、生產(chǎn)指揮中心、應(yīng)急預(yù)警中心、公司視頻會(huì)議系統(tǒng)及蘇里格大廈數(shù)信部等重要業(yè)務(wù)和部門實(shí)現(xiàn)業(yè)務(wù)流量集中統(tǒng)計(jì)分析；

通過(guò)定制業(yè)務(wù)模型對(duì)主要生產(chǎn)辦公流量進(jìn)行全面分析，包括：視頻會(huì)議，辦公OA系統(tǒng)，生產(chǎn)網(wǎng)中的三端二系統(tǒng)等網(wǎng)絡(luò)業(yè)務(wù)；

平均流入速率：450～465Mbps，平均流出速率：30～40Mbps，應(yīng)用構(gòu)成為：上網(wǎng)占77%，未知應(yīng)用占13%，HTTP應(yīng)用占2%。

2.3.2生產(chǎn)指揮流量分析

公司生產(chǎn)指揮系統(tǒng)流量很小，基本沒(méi)有流入流量，只有流出流量，平均流出速率為1.08Mbps，平均流出速率波動(dòng)較大，HTTP應(yīng)用為主包含codasrv和raventbs等生產(chǎn)系統(tǒng)流量。

三、總結(jié)

篇（7）

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）05（b）-0249-02

隨著高等教育信息化的發(fā)展，高等教育對(duì)于網(wǎng)絡(luò)的依賴日漸增加，同時(shí)高校校園網(wǎng)的出口帶寬要求也越來(lái)越高。但是受到資金、出口建設(shè)成本和網(wǎng)絡(luò)技術(shù)等方面的限制，高校校園網(wǎng)出口帶寬不可能無(wú)限提高，由此導(dǎo)致了高校校內(nèi)用戶日益增長(zhǎng)的網(wǎng)絡(luò)需求與出口帶寬限制網(wǎng)絡(luò)流量之間的矛盾。而通過(guò)對(duì)出口網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深層次應(yīng)用分析制定相關(guān)策略能夠在一定程度上緩解這一矛盾。

1 網(wǎng)絡(luò)流量分析及控制的關(guān)鍵技術(shù)

網(wǎng)絡(luò)流量分析及控制是指對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，并通過(guò)制定的策略對(duì)網(wǎng)絡(luò)應(yīng)用實(shí)現(xiàn)放行、限制或阻塞的技術(shù)。現(xiàn)今P2P類下載應(yīng)用占用了大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁堵和服務(wù)質(zhì)量的下降。為了保證用戶能夠平等的使用網(wǎng)絡(luò)帶寬，需要采取必要的技術(shù)對(duì)P2P等應(yīng)用進(jìn)行一定程度的檢測(cè)與調(diào)控。目前主要的分析控制技術(shù)如下。

1.1 傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)流量的分析及控制

傳統(tǒng)防火墻都工作在OSI參考模型的第2、3、4層，通過(guò)對(duì)TCP/UDP端口、數(shù)據(jù)包的源/目的IP地址、MAC地址等進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的監(jiān)視。一般都是對(duì)數(shù)據(jù)包的包頭來(lái)做策略，并不關(guān)心整個(gè)數(shù)據(jù)包的信息。傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)流量的處理方法一般都是阻塞某種協(xié)議常用端口，或者阻斷客戶端與服務(wù)器的連接等。由于不能有效的分析數(shù)據(jù)包內(nèi)部信息，不能有效的了解用戶應(yīng)用層的信息，也就不能有效的限制用戶的應(yīng)用。采用傳統(tǒng)防火墻阻斷服務(wù)器與客戶端連接的方法也已經(jīng)不能準(zhǔn)確的識(shí)別與控制。

1.2 DPI技術(shù)

深度報(bào)文檢測(cè)技術(shù)DPI（Deep Packet Inspectio）是在分析數(shù)據(jù)包包頭的基礎(chǔ)上，增加了對(duì)OSI參考模型第七層即應(yīng)用層的分析。當(dāng)IP數(shù)據(jù)包、TCP、UDP數(shù)據(jù)流經(jīng)過(guò)基于DPI技術(shù)的流量控制系統(tǒng)時(shí)，通過(guò)深入讀取數(shù)據(jù)包的內(nèi)容來(lái)對(duì)應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。DPI技術(shù)可以分為兩大類：（1）使用特征字與掩碼相結(jié)合進(jìn)行協(xié)議識(shí)別的DPI技術(shù)；（2）使用正則表達(dá)式庫(kù)進(jìn)行協(xié)議識(shí)別的DPI技術(shù)。

2 高校校園網(wǎng)絡(luò)的現(xiàn)狀

目前大部分高校都已建成完善的園區(qū)網(wǎng)，普遍采用傳統(tǒng)的三層結(jié)構(gòu)（核心層、匯聚層和接入層），并租用運(yùn)營(yíng)商電路實(shí)現(xiàn)與互聯(lián)網(wǎng)的高速對(duì)接。

校園網(wǎng)的主要特點(diǎn)是學(xué)生是網(wǎng)絡(luò)的主要用戶。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，學(xué)生作為社會(huì)最活躍的團(tuán)體，對(duì)于網(wǎng)絡(luò)新興服務(wù)需求迫切，尤其是視頻服務(wù)。造成的結(jié)果是對(duì)網(wǎng)絡(luò)帶寬的占用比例極高，造成傳統(tǒng)服務(wù)的服務(wù)質(zhì)量下降。

以我院為例，我院校園網(wǎng)絡(luò)始建于2008年，網(wǎng)絡(luò)已覆蓋教學(xué)、辦公、生活等區(qū)域，其中學(xué)生宿舍網(wǎng)絡(luò)出口帶寬所占比例達(dá)到80%以上，其中多以視頻、P2P應(yīng)用為主。

3 采用流量控制技術(shù)調(diào)整出口應(yīng)用

在具體實(shí)現(xiàn)方面，采用了Panabit軟件。Panabit是北京派網(wǎng)軟件公司開(kāi)發(fā)的免費(fèi)的應(yīng)用層流量控制系統(tǒng)，是基于穩(wěn)定性極高的FreeBSD開(kāi)發(fā)的。可在瀏覽器中對(duì)系統(tǒng)進(jìn)行圖形化管理，界面友好，操作簡(jiǎn)便。

3.1 Panabit流量控制系統(tǒng)的部署

（1）安裝。

Panabit需要獨(dú)立安裝在一臺(tái)計(jì)算機(jī)中，硬件配置要求如表1。

由表1可見(jiàn)，對(duì)于目前PC的硬件水平完全可以滿足安裝需要，只需要在計(jì)算機(jī)中多加裝兩塊網(wǎng)卡即可。

Panabit的硬件部署在網(wǎng)絡(luò)出口上。配置的3塊網(wǎng)卡，1塊用于管理Panabit管理系統(tǒng)，另外2塊分別用于采集上傳和下載流量的數(shù)據(jù)。

（2）Panabit系統(tǒng)的初始化配置。

①首先配置系統(tǒng)的IP地址等基礎(chǔ)信息（在此全部都采用校園網(wǎng)內(nèi)部私有地址），以便遠(yuǎn)程管理（采用HTTPS協(xié)議）。

②選擇網(wǎng)絡(luò)配置下的“數(shù)據(jù)接口”選項(xiàng)，兩塊網(wǎng)卡的“應(yīng)用模式”均選擇為“透明網(wǎng)橋”。

3.2 Panabit系統(tǒng)的流量控制策略的配置

（1）分配帶寬。

Panabit對(duì)帶寬的分配有三種模式：即帶寬限制，帶寬保證，帶寬預(yù)留。根據(jù)我院對(duì)網(wǎng)絡(luò)需求的實(shí)際情況，采用了帶寬保證模式。下面對(duì)帶寬保證模式進(jìn)行詳細(xì)的說(shuō)明：首先，帶寬保證模式也具有帶寬預(yù)留模式的功能，即對(duì)特定IP組、特定協(xié)議預(yù)留出足夠的帶寬。例如教學(xué)、辦公I(xiàn)P組，教務(wù)系統(tǒng)的ITSP協(xié)議等。在此基礎(chǔ)上，帶寬保證在其預(yù)留的帶寬不能滿足應(yīng)用要求的時(shí)候，會(huì)從剩余的總帶寬里借用所需帶寬。例如每學(xué)期開(kāi)學(xué)和學(xué)期末，學(xué)生大量選課，可以對(duì)選課系統(tǒng)的SSL等協(xié)議進(jìn)行帶寬保證設(shè)置。

（2）建立策略組。

可以根據(jù)數(shù)據(jù)包的源地址、目的地址、應(yīng)用協(xié)議等建立策略組。

3.3 系統(tǒng)測(cè)試與分析

4 結(jié)語(yǔ)

為了提高網(wǎng)絡(luò)帶寬的利用率，使高校校園網(wǎng)絡(luò)的使用更趨合理，網(wǎng)絡(luò)流量分析及控制勢(shì)在必行，同時(shí)也是非常有效的手段。互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)絡(luò)流量分析及控制也隨之快速發(fā)展，為高校的教學(xué)等工作提供了穩(wěn)定的網(wǎng)絡(luò)基礎(chǔ)，使教學(xué)信息管理系統(tǒng)和教學(xué)資源共享平臺(tái)的搭建更為安全、高效。為高校的信息化教學(xué)做出了貢獻(xiàn)。

參考文獻(xiàn)

[1] 劉劍鋒.部署運(yùn)維管理平臺(tái)提高校園網(wǎng)運(yùn)維水平[J].中國(guó)教育技術(shù)裝備，2011（10）.

篇（8）

面向服務(wù)架構(gòu)(SOA)將應(yīng)用程序的不同功能單元包裝成“服務(wù)(Service)”，通過(guò)這些服務(wù)之間定義良好的接口和協(xié)議聯(lián)系起來(lái)。接口采用中立的方式定義，獨(dú)立于具體實(shí)現(xiàn)服務(wù)的硬件平臺(tái)、操作系統(tǒng)和編程語(yǔ)言，使得構(gòu)建在各種這樣系統(tǒng)中的服務(wù)可以使用統(tǒng)一和通用的方式進(jìn)行通信。這種具有中立接口定義的特征稱為服務(wù)之間的松耦合。面向服務(wù)架構(gòu)是一種軟件體系結(jié)構(gòu)的思想，它需要依賴具體的實(shí)現(xiàn)技術(shù)。本文采用Web服務(wù)分布式管理(WSDM)標(biāo)準(zhǔn)來(lái)支持面向服務(wù)架構(gòu)的實(shí)現(xiàn)。

為了解決網(wǎng)絡(luò)環(huán)境下管理系統(tǒng)和基礎(chǔ)設(shè)施的協(xié)同工作以及管理集成問(wèn)題，OASIS組織在IBM、HP、CA等著名公司的大力支持下，于2005年3月推出了Web服務(wù)分布式管理(Web services distributed manage-ment，WSDM)標(biāo)準(zhǔn)，對(duì)Web Service管理提供標(biāo)準(zhǔn)化的支持，通過(guò)使用Web Service來(lái)實(shí)現(xiàn)對(duì)不同平臺(tái)的管理。

WSDM是一個(gè)用于描述特定設(shè)備、應(yīng)用程序或者組件的管理信息和功能的標(biāo)準(zhǔn)。所有描述都是通過(guò)Web服務(wù)描述語(yǔ)言進(jìn)行的。WSDM標(biāo)準(zhǔn)實(shí)際上是由兩個(gè)不同的標(biāo)準(zhǔn)組成的，WSDM-MUWS標(biāo)準(zhǔn)以及WS-DM-MOWS標(biāo)準(zhǔn)。

圖1是WSDM的工作模式，可管理用戶發(fā)現(xiàn)這個(gè)Web Service端點(diǎn)，然后，通過(guò)與端點(diǎn)交換消息，從而獲取信息、定制事件以及控制與端點(diǎn)相關(guān)聯(lián)的可管理資源。WSDM規(guī)范側(cè)重于提供對(duì)可管理資源的訪問(wèn)。管理是資源的一個(gè)可能具有的特性，可管理資源的實(shí)現(xiàn)是通過(guò)Web Service端點(diǎn)提供一組管理功能。WSDM架構(gòu)不限制可管理資源的實(shí)現(xiàn)策略，實(shí)現(xiàn)方式包括直接訪問(wèn)資源、用非方法、用管理等，實(shí)現(xiàn)細(xì)節(jié)對(duì)于管理消費(fèi)者來(lái)說(shuō)都是透明的。

WSDM作為一種功能強(qiáng)大的分布式系統(tǒng)集成解決方案，其主要特點(diǎn)如下：

(1)面向資源。WSDM的關(guān)注點(diǎn)是資源，因?yàn)橐粋€(gè)資源就代表了多個(gè)Web服務(wù)，因此在該標(biāo)準(zhǔn)中，對(duì)資源屬性和功能的詳細(xì)描述顯得尤為重要。為此，WSDM采用了專門的Web標(biāo)準(zhǔn)(如WS-Resource)對(duì)資源相關(guān)信息進(jìn)行定義。

(2)實(shí)現(xiàn)分離。由于采用與實(shí)現(xiàn)操作無(wú)關(guān)的WSDL語(yǔ)言定義接口，使得接口與服務(wù)實(shí)現(xiàn)了分離，所以無(wú)論Web服務(wù)其內(nèi)在實(shí)現(xiàn)細(xì)節(jié)如何改變都不會(huì)對(duì)客戶端的操作方式有任何影響。這樣做不但較好地封裝了管理方法的實(shí)現(xiàn)細(xì)節(jié)，而且實(shí)現(xiàn)了對(duì)已有資源的重用。

(3)服務(wù)的可組合性。WSDM能隨著應(yīng)用環(huán)境規(guī)模的變化而變化，首先，WSDM標(biāo)準(zhǔn)的自身實(shí)現(xiàn)只需定義較少的屬性和操作，使得其在小規(guī)模的系統(tǒng)中可以得到穩(wěn)定的應(yīng)用：其次，對(duì)于大規(guī)模應(yīng)用環(huán)境而言，WSDM可以隨著應(yīng)用需求的變化靈活地添加某些服務(wù)。從而在使用者和部署人員之間起很好的協(xié)調(diào)作用。

(4)模型的兼容性。主要表現(xiàn)在WSDM能描述和封裝任何資源模型(如cIM、SM-NP、SID等)，并為其提供相應(yīng)的Web服務(wù)接口。

2　系統(tǒng)設(shè)計(jì)方案

網(wǎng)絡(luò)流量采集使用了三種技術(shù)：

(1)基于網(wǎng)管設(shè)備MIB的SNMP模式；

(2)基于網(wǎng)絡(luò)探針技術(shù)的IP流量數(shù)據(jù)捕獲模式；

(3)基于NetFlow技術(shù)的數(shù)據(jù)流捕獲模式。

針對(duì)基于SNMP模式，實(shí)現(xiàn)基于WSDM的SNMP網(wǎng)關(guān)，通過(guò)該網(wǎng)關(guān)收集SNMP設(shè)備上的MIB信息；針對(duì)基于網(wǎng)絡(luò)探針技術(shù)模式，可實(shí)現(xiàn)基于WSDM的網(wǎng)絡(luò)探針?lè)?wù)；針對(duì)基于NetFlow技術(shù)模式，流量數(shù)據(jù)是通過(guò)NetFlow的主動(dòng)式數(shù)據(jù)推送機(jī)制獲得的，網(wǎng)絡(luò)設(shè)備中的NetFlow是通過(guò)規(guī)范的報(bào)文格式將流量數(shù)據(jù)送往指定主機(jī)，WSDM服務(wù)提供了接收和傳輸NetFlow流量數(shù)據(jù)的功能。

2.1　系統(tǒng)架構(gòu)

流量監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)可劃分為三個(gè)層次，即資源層、管理服務(wù)層、展示層，如圖2所示。

(1)資源層

資源層由提供流量采集服務(wù)的分布式流量采集器(WSDM Agent)組成，它們通過(guò)調(diào)用管理服務(wù)層的WSDM Agent注冊(cè)服務(wù)實(shí)行自主注冊(cè)，具備向管理服務(wù)層主動(dòng)匯報(bào)、自主管理和主動(dòng)服務(wù)等功能。

(2)管理服務(wù)層

管理服務(wù)層包括應(yīng)用組件、服務(wù)組件、管理平臺(tái)以及數(shù)據(jù)庫(kù)。其中應(yīng)用組件是對(duì)展示層提供支持的各種

管理服務(wù)，包括策略管理模塊、WSDM Agent管理模塊、流量數(shù)據(jù)管理模塊以及流量分析模塊等系統(tǒng)功能實(shí)現(xiàn)的模塊。服務(wù)組件是對(duì)資源層的各種WSDMAgent資源的支持，包括安全審計(jì)、日志服務(wù)、異常服務(wù)、自主管理等，主要是管理服務(wù)器自主實(shí)現(xiàn)的一些功能。數(shù)據(jù)庫(kù)部分是應(yīng)用組件中各模塊對(duì)應(yīng)的數(shù)據(jù)存儲(chǔ)。中間層的管理平臺(tái)是管理服務(wù)層的核心，是對(duì)應(yīng)用組件、服務(wù)組件以及數(shù)據(jù)庫(kù)的支持，包括Web服務(wù)、WSDM服務(wù)的引擎和API等。

(3)展示層

展示層實(shí)現(xiàn)流量狀態(tài)顯示。可以從流量數(shù)據(jù)庫(kù)中取得所要查詢的網(wǎng)絡(luò)流量歷史信息，也可以調(diào)用管理服務(wù)層提供的服務(wù)觸發(fā)流量信息更新采集實(shí)時(shí)的流量數(shù)據(jù)，還可以通過(guò)服務(wù)將合法用戶的操作信息送到管理服務(wù)層。根據(jù)用戶需求采用圖形用戶界面將流量態(tài)勢(shì)分析的結(jié)果展示出來(lái)。可提供多種格式的流量報(bào)表。

2.2　流量分析系統(tǒng)設(shè)計(jì)

流量分析系統(tǒng)是整個(gè)流量監(jiān)測(cè)系統(tǒng)的核心。如圖3所示，該系統(tǒng)分為五個(gè)模塊：流量采集模塊、數(shù)據(jù)接收模塊、數(shù)據(jù)傳輸模塊、流量分析模塊、數(shù)據(jù)存儲(chǔ)與管理模塊。對(duì)照流量監(jiān)測(cè)系統(tǒng)架構(gòu)，流量分析系統(tǒng)結(jié)構(gòu)中的這五個(gè)功能模塊分別位于總體架構(gòu)的各個(gè)層次。

篇（9）

0.引言

空管信息網(wǎng)絡(luò)承擔(dān)著包括OA系統(tǒng)、共享服務(wù)以及相關(guān)業(yè)務(wù)系統(tǒng)在內(nèi)的重要網(wǎng)絡(luò)業(yè)務(wù)，提供信息化的同時(shí)，給技術(shù)保障維護(hù)人員帶來(lái)一定的保障壓力。根據(jù)相關(guān)工作經(jīng)驗(yàn)及實(shí)際實(shí)驗(yàn)數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備端口流量異常是導(dǎo)致故障發(fā)生的重要原因，因此，對(duì)于網(wǎng)絡(luò)流量的監(jiān)控顯得更加重要。隨著空管信息化要求的逐日提高，網(wǎng)絡(luò)規(guī)模也日益變大，對(duì)于網(wǎng)絡(luò)流量監(jiān)控的工作也更加繁重。本文從空管網(wǎng)絡(luò)流量監(jiān)控的實(shí)際情況出發(fā)，提出一種基于C#的網(wǎng)絡(luò)流量監(jiān)控，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取、流量記錄與分析。系統(tǒng)在實(shí)際運(yùn)行中效果良好，可以為相關(guān)網(wǎng)絡(luò)監(jiān)控設(shè)計(jì)提供一種可行的借鑒。

1.總體設(shè)計(jì)

SNMP即網(wǎng)絡(luò)管理協(xié)議（Simple Network Management），在TCP/IP協(xié)議族中可以對(duì)網(wǎng)絡(luò)進(jìn)行管理，這種管理既可以是本地的也可以是遠(yuǎn)程的。而基于SNMP網(wǎng)絡(luò)協(xié)議的本系統(tǒng)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的獲取與實(shí)時(shí)監(jiān)控的功能，實(shí)現(xiàn)上具有通用、實(shí)時(shí)、多線程、維護(hù)性強(qiáng)及擴(kuò)展性強(qiáng)的特點(diǎn)。實(shí)現(xiàn)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上任意節(jié)點(diǎn)的數(shù)據(jù)獲取。加之記錄功能的輔助，系統(tǒng)能實(shí)現(xiàn)在應(yīng)用層的數(shù)據(jù)回放，以滿足空管安全事件調(diào)查以及系統(tǒng)維護(hù)對(duì)歷史工作狀況的評(píng)估。

SNMP協(xié)議中，一個(gè)網(wǎng)管基站可以實(shí)現(xiàn)對(duì)所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備的監(jiān)控（隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，目前絕大部分網(wǎng)絡(luò)設(shè)備是可支持的），包括監(jiān)視網(wǎng)絡(luò)狀態(tài)、修改網(wǎng)絡(luò)配置、接收網(wǎng)絡(luò)事件告警等等網(wǎng)絡(luò)監(jiān)控功能。在實(shí)現(xiàn)上主要包括遠(yuǎn)程文件訪問(wèn)、流量數(shù)據(jù)記錄、流量監(jiān)視以及系統(tǒng)的IP定位。其中流量監(jiān)視是系統(tǒng)實(shí)現(xiàn)的核心，將在下一部分進(jìn)行介紹。另外，系統(tǒng)還提供了日志文件記錄實(shí)現(xiàn)對(duì)系統(tǒng)操作、監(jiān)控?cái)?shù)據(jù)以及告警信息的記錄。

2.C#的實(shí)現(xiàn)

對(duì)于系統(tǒng)的C#實(shí)現(xiàn)，主要采用的C/S模式，因此在系統(tǒng)的實(shí)現(xiàn)上盡量簡(jiǎn)單、快捷、高效為主。因此自定義相關(guān)函數(shù)與類，在記錄數(shù)據(jù)和日志方面采用文本文件記錄。

2.1網(wǎng)絡(luò)監(jiān)控類與網(wǎng)絡(luò)適配類的設(shè)計(jì)

為了提高系統(tǒng)的模塊化程度及軟件的封裝性，系統(tǒng)在實(shí)現(xiàn)過(guò)程中定義了兩個(gè)主要的類。分別是用于網(wǎng)絡(luò)監(jiān)控的NetWorkMonitorClass以及網(wǎng)絡(luò)適配類NetWorkMatch，網(wǎng)絡(luò)監(jiān)控類主要實(shí)現(xiàn)系統(tǒng)的網(wǎng)絡(luò)監(jiān)控功能，而網(wǎng)絡(luò)適配類則提供了一個(gè)安裝在計(jì)算機(jī)上的網(wǎng)絡(luò)適配器，該類可用于獲取網(wǎng)絡(luò)中的流量。兩者功能及結(jié)構(gòu)如下：

在實(shí)際工作中網(wǎng)絡(luò)監(jiān)控類NetWorkMonitorClass通過(guò)定義一個(gè)Timer計(jì)時(shí)器進(jìn)行計(jì)時(shí)器時(shí)間執(zhí)行，以每隔2S刷新適配器，并與此同時(shí)刷新上傳下載速度。與此同時(shí)通過(guò)ArryList列表定義了所監(jiān)控設(shè)備的適配器以及當(dāng)前控制的適配器。在構(gòu)造函數(shù)NetWorkMonitorClass（）中則通過(guò)，定義兩個(gè)ArrayList（），其中一個(gè)（adapterlist）來(lái)保存獲取到的計(jì)算機(jī)的適配器列表，一個(gè)（monitoradapters）代表有效的運(yùn)行的適配器列表。

NetAdapterShow （）；

Timer = new System.Timers.Timer（2000）；

Timer.Elapsed += new ElapsedEventHandler（timer_ElapsedClick）；

其中，NetAdapterShow （）為列舉出安裝在該計(jì)算機(jī)上面的適配器，具體實(shí)現(xiàn)可以通過(guò)C#的foreach（）語(yǔ)句進(jìn)行編寫(xiě)如下：

PerformanceCounterCategoryPCCCategory=new PerformanceCounterCategory（"Network Interface"）；

foreach （string InstanceName in PCCCategory.GetInstanceNames（））

{

if （InstanceName == "MS TCP Loopback interface"）

continue；

// 創(chuàng)建一個(gè)實(shí)例Net workAdapter類別，并創(chuàng)建性能計(jì)數(shù)器它

MyNetWorkMatchClassmyMNWMadapter=new MyNetWorkMatch

Class（InstanceName）；myMNWMadapter.m_Performance_Down=new PerformanceCounter（"Network Interface"， "Bytes Received/sec"， InstanceName）；

myMNWMadapter.m_Performance_Up=newPerformanceCounter（"Network Interface"， "Bytes Sent/sec"， InstanceName）；

m_AdaptersList.Add（myMNWMadapter）；

}

當(dāng)然，在類中也定義了StartWorking以及StopWorking等控制函數(shù)對(duì)類的工作狀態(tài)進(jìn)行控制。另外timer事件也通過(guò)構(gòu)造函數(shù)進(jìn)行加入，如上所述。

網(wǎng)絡(luò)適配類NetWorkMatch則主要計(jì)算網(wǎng)絡(luò)的各種數(shù)據(jù)，如計(jì)算上傳速度、下載速度、控制適配器等函數(shù)的封裝，減少網(wǎng)絡(luò)監(jiān)控類的功能耦合度。

2.2具體實(shí)現(xiàn)

在窗體加載函數(shù)中，系統(tǒng)首先做自我初始化如下：首先定義上述設(shè)計(jì)的網(wǎng)絡(luò)監(jiān)控類，并實(shí)例化monitor = new NetWorkMonitorClass（）；與此同時(shí)通過(guò)類函數(shù)遍歷獲取所有計(jì)算機(jī)適配列表，m_MNWMadapters = monitor.Adapters； ，Adapters（）為網(wǎng)絡(luò)監(jiān)控類封裝好的函數(shù)。并將函數(shù)返回結(jié)果通過(guò)Items.AddRange（）函數(shù)將其顯示在listbox控件中，以實(shí)現(xiàn)友好的人機(jī)交互界面。其次，在timer定時(shí)器中對(duì)選中監(jiān)控的適配器進(jìn)行獨(dú)立監(jiān)控。至此，系統(tǒng)實(shí)現(xiàn)了獨(dú)立監(jiān)控與全面監(jiān)控的所有設(shè)計(jì)。

3.結(jié)語(yǔ)

本文提出一種基于SNMP協(xié)議分析的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，該系統(tǒng)應(yīng)用于空管信息網(wǎng)絡(luò)。在實(shí)現(xiàn)過(guò)程，主要采用C#進(jìn)行開(kāi)發(fā)，通過(guò)編寫(xiě)自我的網(wǎng)絡(luò)監(jiān)控類和網(wǎng)絡(luò)適配類進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的流量監(jiān)控，可以推廣應(yīng)用于信息網(wǎng)絡(luò)維護(hù)工作較為繁重的行業(yè)，提供一種智能網(wǎng)絡(luò)流量監(jiān)控手段。

【參考文獻(xiàn)】

[1]宮婧，孫知信，陳二運(yùn).一種基于流量行為分析的P2P流媒體識(shí)別方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2009（09）.

篇（10）

網(wǎng)絡(luò)流量性能測(cè)量和分析涉及許多關(guān)鍵技術(shù)，如單向測(cè)量中的時(shí)鐘同步新問(wèn)題，主動(dòng)測(cè)量和被動(dòng)測(cè)量的抽樣算法探究，多種測(cè)量工具之間的協(xié)同工作，網(wǎng)絡(luò)測(cè)量體系結(jié)構(gòu)的搭建，性能指標(biāo)的量化，性能指標(biāo)的模型化分析，對(duì)網(wǎng)絡(luò)未來(lái)狀態(tài)進(jìn)行趨向猜測(cè)，對(duì)海量測(cè)量數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘或者利用已有的模型（petri網(wǎng)、自相似性、排隊(duì)論）探究其自相似特征，測(cè)量和分析結(jié)果的可視化，以及由測(cè)量所引起的平安性新問(wèn)題等等。

1.在IP網(wǎng)絡(luò)中采用網(wǎng)絡(luò)性能監(jiān)測(cè)技術(shù)，可以實(shí)現(xiàn)

1.1合理規(guī)劃和優(yōu)化網(wǎng)絡(luò)性能

為更好的管理和改善網(wǎng)絡(luò)的運(yùn)行，網(wǎng)絡(luò)管理者需要知道其網(wǎng)絡(luò)的流量情況和盡量多的流量信息。通過(guò)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)、數(shù)據(jù)采集和分析，給出具體的鏈路和節(jié)點(diǎn)流量分析報(bào)告，獲得流量分布和流向分布、報(bào)文特性和協(xié)議分布特性，為網(wǎng)絡(luò)規(guī)劃、路由策略、資源和容量升級(jí)提供依據(jù)。

1.2基于流量的計(jì)費(fèi)

現(xiàn)在lSP對(duì)網(wǎng)絡(luò)用戶提供服務(wù)絕大多數(shù)還是采用固定租費(fèi)的形式，這對(duì)一般用戶和ISP來(lái)說(shuō)，都不是一個(gè)好的選擇。采用這一形式的很大原因就是網(wǎng)絡(luò)提供者不能夠統(tǒng)計(jì)全部用戶的準(zhǔn)確流量情況。這就需要有方便的手段對(duì)用戶的流量進(jìn)行檢測(cè)。通過(guò)對(duì)用戶上網(wǎng)時(shí)長(zhǎng)、上網(wǎng)流量、網(wǎng)絡(luò)業(yè)務(wù)以及目的網(wǎng)站數(shù)據(jù)分析，擺脫目前單一的包月制，實(shí)現(xiàn)基于時(shí)間段、帶寬、應(yīng)用、服務(wù)質(zhì)量等更加靈活的交費(fèi)標(biāo)準(zhǔn)。

1.3網(wǎng)絡(luò)應(yīng)用狀況監(jiān)測(cè)和分析

了解網(wǎng)絡(luò)的應(yīng)用狀況，對(duì)探究者和網(wǎng)絡(luò)提供者都很重要。通過(guò)網(wǎng)絡(luò)應(yīng)用監(jiān)測(cè)，可以了解網(wǎng)絡(luò)上各種協(xié)議的使用情況（如www，pop3，ftp，rtp等協(xié)議），以及網(wǎng)絡(luò)應(yīng)用的使用情況，探究者可以據(jù)此探究新的協(xié)議和應(yīng)用，網(wǎng)絡(luò)提供者也可以據(jù)此更好的規(guī)劃網(wǎng)絡(luò)。

1.4實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)狀況

針對(duì)網(wǎng)絡(luò)流量變化的突發(fā)性特性，通過(guò)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)狀況，能實(shí)時(shí)獲得網(wǎng)絡(luò)的當(dāng)前運(yùn)行狀況，減輕維護(hù)人員的工作負(fù)擔(dān)。能在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時(shí)發(fā)出自動(dòng)告警，在網(wǎng)絡(luò)即將出現(xiàn)瓶頸前給出分析和猜測(cè)。現(xiàn)在隨著Internet網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)絡(luò)中也經(jīng)常會(huì)出現(xiàn)黑客攻擊、病毒泛濫的情況。而這些網(wǎng)絡(luò)突發(fā)事件從設(shè)備和網(wǎng)管的角度看卻很難發(fā)現(xiàn)，經(jīng)常讓網(wǎng)絡(luò)管理員感到棘手。因此，針對(duì)網(wǎng)絡(luò)中突發(fā)性的異常流量分析將有助于網(wǎng)絡(luò)管理員發(fā)現(xiàn)和解決新問(wèn)題。

1.5網(wǎng)絡(luò)用戶行為監(jiān)測(cè)和分析

這對(duì)于網(wǎng)絡(luò)提供者來(lái)說(shuō)非常重要，通過(guò)監(jiān)測(cè)訪問(wèn)網(wǎng)絡(luò)的用戶的行為，可以了解到摘要：

1）某一段時(shí)間有多少用戶在訪問(wèn)我的網(wǎng)絡(luò)。

2）訪問(wèn)我的網(wǎng)絡(luò)最多的用戶是哪些。

3）這些用戶停留了多長(zhǎng)時(shí)間。

4）他們來(lái)自什么地方。

5）他們到過(guò)我的網(wǎng)絡(luò)的哪些部分。

通過(guò)這些信息，網(wǎng)絡(luò)提供者可以更好的為用戶提供服務(wù)，從而也獲得更大的收益。

2.網(wǎng)絡(luò)流量測(cè)量有5個(gè)要素摘要：

測(cè)量時(shí)間、測(cè)量對(duì)象、測(cè)量目的、測(cè)量位置和測(cè)量方法。網(wǎng)絡(luò)流量的測(cè)量實(shí)體，即性能指標(biāo)主要包括以下幾項(xiàng)。2.1連接性

連接性也稱可用性、連通性或可達(dá)性，嚴(yán)格說(shuō)應(yīng)該是網(wǎng)絡(luò)的基本能力或?qū)傩裕荒芊Q為性能，但I(xiàn)TU-T建議可以用一些方法進(jìn)行定量的測(cè)量。

2.2延遲

對(duì)于單向延遲測(cè)量要求時(shí)鐘嚴(yán)格同步，這在實(shí)際的測(cè)量中很難做到，許多測(cè)量方案都采用往返延遲，以避開(kāi)時(shí)鐘同步新問(wèn)題。

2.3丟包率

為了評(píng)估網(wǎng)絡(luò)的丟包率，一般采用直接發(fā)送測(cè)量包來(lái)進(jìn)行測(cè)量。目前評(píng)估網(wǎng)絡(luò)丟包率的模型主要有貝努利模型、馬爾可夫模型和隱馬爾可夫模型等等。

2.4帶寬

帶寬一股分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當(dāng)一條路徑（通路）中沒(méi)有其他背景流量時(shí)，網(wǎng)絡(luò)能夠提供的最大的吞吐量。

2.5流量參數(shù)

ITU－T提出兩種流量參數(shù)作為參考摘要：一種是以一段時(shí)間間隔內(nèi)在測(cè)量點(diǎn)上觀測(cè)到的所有傳輸成功的IP包數(shù)量除以時(shí)間間隔，即包吞吐量；另一種是基于字節(jié)吞吐量摘要：用傳輸成功的IP包中總字節(jié)數(shù)除以時(shí)間間隔。

3.測(cè)量方法

Internet流量數(shù)據(jù)有三種形式摘要：被動(dòng)數(shù)據(jù)（指定鏈路數(shù)據(jù)）、主動(dòng)數(shù)據(jù)（端至端數(shù)據(jù)）和BGP路由數(shù)據(jù)，由此涉及兩種測(cè)量方法摘要：被動(dòng)測(cè)量方法和主動(dòng)測(cè)量方法然而，近幾年來(lái)，主動(dòng)測(cè)量技術(shù)被網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)探究人員用來(lái)分析指定網(wǎng)絡(luò)路徑的流量行為。

3.1主動(dòng)測(cè)量

主動(dòng)測(cè)量的方法是指主動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)被測(cè)量的對(duì)象。以被測(cè)對(duì)象的響應(yīng)作為性能評(píng)分的結(jié)果來(lái)分析。測(cè)量者一般采用模擬現(xiàn)實(shí)的流量（如WebServer的請(qǐng)求、FTP下載、DNS反應(yīng)時(shí)間等）來(lái)測(cè)量一個(gè)應(yīng)用的性能或者網(wǎng)絡(luò)的性能。由于測(cè)量點(diǎn)一般都靠近終究端，所以這種方法能夠代表從監(jiān)測(cè)者的角度反映的性能。

3.2被動(dòng)測(cè)量

被動(dòng)測(cè)量是在網(wǎng)絡(luò)中的一點(diǎn)收集流量信息，如使用路由器或交換機(jī)收渠數(shù)據(jù)或者一個(gè)獨(dú)立的設(shè)備被動(dòng)地監(jiān)測(cè)網(wǎng)絡(luò)鏈路的流量。被動(dòng)測(cè)量可以完全取消附加流量和Heisenberg效應(yīng)，這些優(yōu)點(diǎn)使人們更愿意使用被動(dòng)測(cè)量技術(shù)。有些測(cè)度使用被動(dòng)測(cè)量獲得相當(dāng)困難摘要：如決定分縮手縮腳一所經(jīng)過(guò)的路由。但被動(dòng)測(cè)量的優(yōu)點(diǎn)使得決定測(cè)量之前應(yīng)該首先考慮被動(dòng)測(cè)量。被動(dòng)測(cè)量技術(shù)碰到的另一個(gè)重要新問(wèn)題是目前提出的要求確保隱私和平安新問(wèn)題。

3.3網(wǎng)絡(luò)流量抽樣測(cè)量技術(shù)

篇（11）

流量統(tǒng)計(jì)和分析是網(wǎng)絡(luò)管理中的一個(gè)重要內(nèi)容，它不但可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量的過(guò)載，攻擊等異常情況，還可以對(duì)正常流量進(jìn)行分析，幫助網(wǎng)絡(luò)管理者了解各種級(jí)別的用戶對(duì)于網(wǎng)絡(luò)的使用情況，為采用合適的商業(yè)模式提供決策依據(jù)。

流量透明化的現(xiàn)狀分析

隨著校園網(wǎng)的規(guī)模越來(lái)越大，IT服務(wù)的完善，網(wǎng)絡(luò)管理者也會(huì)提出以下問(wèn)題。

一、當(dāng)前的上網(wǎng)流量占用多大帶寬?這些帶寬主要誰(shuí)在占用?這些占用是允許的嗎?在WWW訪問(wèn)之外，是不是有大量的FTP等下載?是允許的嗎?

二、DMZ區(qū)的服務(wù)器有多少是內(nèi)網(wǎng)用戶在訪問(wèn)，有多少是外網(wǎng)用戶在訪問(wèn)?如果是內(nèi)網(wǎng)用戶訪問(wèn)多，是不是考慮將其遷移到服務(wù)器區(qū)?外網(wǎng)用戶的訪問(wèn)有時(shí)間規(guī)律嗎?

三、外聯(lián)的服務(wù)器是提供特定用戶訪問(wèn)嗎?哪個(gè)訪問(wèn)流量最大?最大流量占用的用戶是合法的嗎?服務(wù)器是否該擴(kuò)容了?有非法用戶訪問(wèn)這些服務(wù)器嗎?

四、這些關(guān)鍵的業(yè)務(wù)服務(wù)器的帶寬夠用嗎?是不是考慮一臺(tái)服務(wù)器提供多個(gè)業(yè)務(wù)服務(wù)或多臺(tái)服務(wù)器提供一個(gè)業(yè)務(wù)服務(wù)?除生產(chǎn)業(yè)務(wù)外，這些服務(wù)器是不是還提供其它無(wú)關(guān)的業(yè)務(wù)，導(dǎo)致影響性能?誰(shuí)訪問(wèn)這些服務(wù)器更多一些?這些服務(wù)器哪個(gè)時(shí)間段最繁忙?

五、教職工和學(xué)生用于的流量分別有多大?用于上網(wǎng)的流量有多大?誰(shuí)更多地使用互聯(lián)網(wǎng)?是必要的嗎?誰(shuí)占用的網(wǎng)絡(luò)帶寬最大?這些占用是必要的嗎?哪個(gè)用戶在非法掃描網(wǎng)絡(luò)?是否有用戶提供非法的下載(WWW／FTP)服務(wù)?

要解決這些流量問(wèn)題，不是一件容易的事情，常規(guī)的方法有以下幾種。

其中一種是網(wǎng)管方式。網(wǎng)管方式通過(guò)啟動(dòng)SNMP來(lái)獲取流量信息。但SNMP只能獲取流量的字節(jié)數(shù)，無(wú)法獲取字節(jié)的構(gòu)成，更無(wú)法獲取流量的發(fā)起方。該方法可解決流量的分布問(wèn)題，無(wú)法解決流量的構(gòu)成問(wèn)題。該方式主要用于設(shè)備的管理，而不適用于精細(xì)的流量分析。

另外一種是數(shù)據(jù)包監(jiān)聽(tīng)方式。該方法是將關(guān)注的流量串聯(lián)到或鏡像到分析儀器；通過(guò)分析儀器來(lái)獲取流量的構(gòu)成和細(xì)節(jié)。該方法可做到流量的精細(xì)化分析，做到2～7層的流量分析，但缺點(diǎn)也很明顯，只有在部署分析儀器的地方進(jìn)行流量分析，如果做到全網(wǎng)多節(jié)點(diǎn)流量監(jiān)控，必須部署多個(gè)分析儀器，導(dǎo)致部署成本急劇上升。該

方式可很好解決流量的構(gòu)成問(wèn)題，但幾乎無(wú)法解決流量的分布問(wèn)題。該方式適用于對(duì)少量關(guān)鍵點(diǎn)的監(jiān)控，不適合大規(guī)模日常使用。

最后一種是基于流技術(shù)的方式。該方式是讓網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)流量的同時(shí)，生成特定的流量信息，然后將流量信息發(fā)送到特定的分析模塊，進(jìn)而實(shí)現(xiàn)對(duì)流量的分析。理想情況下，如果讓網(wǎng)絡(luò)中的每臺(tái)網(wǎng)絡(luò)設(shè)備均發(fā)出流量信息，那么就可以輕松解決流量的分布問(wèn)題，同時(shí)解決流量的構(gòu)成問(wèn)題。缺點(diǎn)是各廠商提供的流分析技術(shù)都是私有技術(shù)無(wú)法通用。

網(wǎng)管方式無(wú)法進(jìn)行流量構(gòu)成分析，不再討論。由于分析儀器的昂貴，監(jiān)聽(tīng)方式不適用于大規(guī)模部署，而且分析到7層應(yīng)用后，容易使用戶隱私受到侵犯。而流技術(shù)的分析方式功能均衡而強(qiáng)大，對(duì)流量的分析只到業(yè)務(wù)字節(jié)，不涉及應(yīng)用級(jí)，無(wú)隱私顧慮。

流技術(shù)方式更適合網(wǎng)絡(luò)流量分析。但由于各廠商之間流技術(shù)方式大多采用的是廠商的私有協(xié)議，就導(dǎo)致了不同廠商設(shè)備在組網(wǎng)后流技術(shù)方式不兼容的問(wèn)題。正是由于這個(gè)原因國(guó)際化流量監(jiān)控標(biāo)準(zhǔn)技術(shù)IPFIX(IP Information flowExport)應(yīng)運(yùn)而生。

校園網(wǎng)流量透明化管理

我校在進(jìn)行流量透明化管理之前，整個(gè)網(wǎng)絡(luò)接入用戶的類型比較復(fù)雜，本來(lái)就不富裕的網(wǎng)絡(luò)流量常被消

耗殆盡。在經(jīng)過(guò)幾次互聯(lián)網(wǎng)出口和校園網(wǎng)骨干帶寬進(jìn)行擴(kuò)容后，情況仍得不到解決，為了搞清楚這些流量都被哪些用戶和哪些應(yīng)用占用了，我們引進(jìn)了銳捷網(wǎng)絡(luò)的校園網(wǎng)解決方案，根據(jù)國(guó)際化流量監(jiān)控標(biāo)準(zhǔn)技術(shù)IPFIX來(lái)對(duì)校園網(wǎng)的流量使用情況進(jìn)行審計(jì)和評(píng)估。

網(wǎng)絡(luò)透明化解決方案包括流量采樣設(shè)備、流量采集設(shè)備、數(shù)據(jù)分析處理設(shè)備(如圖1)。利用IPFIX日志，網(wǎng)絡(luò)透明化解決方案提供了一種網(wǎng)絡(luò)監(jiān)測(cè)、分析的方式，直接從支持IPFIX功能的路由器和交換機(jī)中收集流量信息，可以靈活啟動(dòng)不同層面(接人層、匯聚層、核心層)的網(wǎng)絡(luò)設(shè)備進(jìn)行IPFIX流量日志收集，并將收集的內(nèi)容以IPFIX格式的日志輸出給Collerctor設(shè)備分析。管理員使用Analyser的分析功能，可做網(wǎng)絡(luò)使用狀況監(jiān)控、用戶行為追蹤、異常流量檢測(cè)等，同時(shí)基于功能豐富的報(bào)表，可做網(wǎng)絡(luò)規(guī)劃方面的決策。(如圖3)

主要實(shí)現(xiàn)了以下功能。首先是網(wǎng)絡(luò)得到優(yōu)化。可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，對(duì)核心網(wǎng)絡(luò)的重點(diǎn)鏈路進(jìn)行統(tǒng)計(jì)，各類TOP應(yīng)用百分比，使用各類應(yīng)用的網(wǎng)內(nèi)用戶、服務(wù)器的流量趨勢(shì)

及統(tǒng)計(jì)值，迅速發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)前的使用狀況和不同鏈路的使用率變化趨勢(shì)，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理或網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，最終實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化使用。

其次是網(wǎng)絡(luò)規(guī)劃參考方面。利用IPFIX流日志以及網(wǎng)絡(luò)透明化長(zhǎng)期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢(shì)報(bào)表，如基于設(shè)備接口的長(zhǎng)期流量入出趨勢(shì)，長(zhǎng)期流量入出趨勢(shì)分析，各類應(yīng)用百分比，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測(cè)網(wǎng)絡(luò)鏈路流量的增長(zhǎng)，從而能有效的規(guī)劃網(wǎng)絡(luò)升級(jí)。

第三是網(wǎng)絡(luò)流量異常監(jiān)測(cè)方面。利用網(wǎng)絡(luò)透明化解決方案提供的某段時(shí)間內(nèi)的流量、應(yīng)用趨勢(shì)分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長(zhǎng)或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問(wèn)題。