基于NetFlw的IP网络状态监测系统的设计与实现.docVIP

基于NetFlow的IP网络状态监测系统的设计与实现 2008年06月05日 - 关键字： 双绞线分类 数据采集仪 NetFlow 智能综合布线 综合布线技术 高性能线缆 内容摘要：本文对网络状态监测技术进行了详细的介绍，具体讲述了一种网络状态监测工具NetFlow技术。根据这些理论，作者设计了一个基于NetFlow技术的IP网络监测系统。本文对该系统的设计框图及详细的模块功能做了分析，并给出了部分实际网络中监测得到的数据。 　　随着IP网的普及和壮大，IP业务得到了迅速的发展。然而，由于IP协议固有的无连接特性和“尽力而为”的服务原则，使得当前基于IP的互联网无法向用户提供有效的服务质量（QoS），也不能实现网络资源的有效监控和管理。所以，IP业务就非常需要对整个网络进行监测，得到网络性能和服务质量参数，从而合理规划网络，为IP语音服务提供服务质量保障。这样，对IP网络性能的监控就成了管理IP网络的重要内容。 　　目前，存在的网络监测工具主要有：MRTG、SnifferPortable、ROMIIProbe、NetDetector和NetFlow等。其中，NetFlow成本最低，实施最方便，而且不受速率的限制，是IP网络监测的发展方向。 　　一、网络状态监测技术 　　网络状态监测是网络管理和系统管理的一个重要组成部分，网络状态数据为网络的运行和维护提供了重要信息。这些数据对网络的资源分布、容量规划、服务质量分析、错误监测与隔离、安全管理都十分重要。网络状态监测包括两部分内容：网络流量的采集和网络数据的分析。一般的工具均同时具备这两个功能。 　　1.网络流量的分类 　　网络流量按照其包含信息内容的不同可以分为以下四类： 　　（1）网络节点端口流量指的是网络节点设备端口流入和流出的数据包的信息统计。包括数据包的个数、字节数、包大小分布、丢包数等多种统计信息。 　　（2）端到端的IP流量 指的是在网络层从一个源到一个目的IP包的统计信息。相对于网络节点端口流量而言，端到端的IP流量包含了更为丰富的信息，通过对其分析，可以了解到网络中的用户都访问了哪些目的网络，是网络分析、规划、设计和优化的重要依据。 　　（3）业务层流量它除了包含端到端IP流量的信息之外，还包含了第四层（TCP层）的端口信息。显而易见，它包含了应用服务的种类信息，利用这些信息可以做更详细的分析。 （4）完整的用户业务数据它对于安全、性能等方面的分析非常有效。例如，捕捉黑客的来访数据包，可以制止某些犯罪行为，搜集重要的证据。 　　2.NETFLOW交换技术 　　NetFlow技术是基于网流而发展起来的。所谓网流，就是在高速数据交换过程中，一定时间段内，给定的源端（Source end Point）和目的端（Destination end Point）所发生的具有相同属性的连续的数据包的集合。网流端点可以由IP地址来定义，也可以由传输层的应用端口号来定义，同样，也可以利用IP协议、业务类型（ToS）及输入接口等来标识网流。也就是说，只有在一定时间段内发生，且具有相同属性的连续的数据包才形成一条网流。例如，1min内，从地址为的主机通过FTP向地址为的主机上传输了一个文件，则可以把这样一个过程中所发生的包定义为从到的一个网流。正常情况下，路由器进行包转发时，对流入的每个包（Packet）都进行路由、安全、服务的处理。而NetFlow交换技术仅对一个网流的第1个包进行处理。第1个包的信息记录在缓冲器中，其他包则由一个单独的高效的进程进行转发，同时进行相应数据统计。 　　NetFlow数据格式有多个版本。目前的最新版本是版本9。但是常用的是版本1和版本5。NetFlow数据报采用UDP协议发送，因此，有可能在传输过程中丢失，这样就在版本5中增加了信息流的顺序号。通过检查信息流的顺序号可以了解NetFlow数据报是否丢失。另外，版本5中还增加了边界网关协议（BGP-Border Gateway Protocol）的自治系统（AS）信息。一个NetFlow数据报由一个报头和1-30个流记录组成。NetFlow数据报的报头和流记录的格式分别列于表1和表2。 　　表1　NetFlow版本5报头格式 表2　NetFlow版本5流记录格式 　　路由器送出的数据，通过2种方式进行采集。 　　（1）利用数据采集软件（如Cisco NetFlow Collector）进行采集并存储到服务器上，以便利用各种数据分析工具进一步处理。 　　以NFC2.0采集的网络流量数据为例，22|93|4837|0|23|3|1216|1128|17|2|261|1。数据中各字段的含义为：源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数