数据采集采集.docxVIP

基于SNMP的流量分析SNMP（Simple Network Management Protocal,简单网络管理协议）是一种广为使用的网络协议，基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息。典型工具有MRTG（Multi Router Traffic Grapher），MRTG是一个实用的免费软件，MRTG使用起来很方便，能够非常直观地显示端口流量负载。但MRTG的功能比较单一，其收集到的流量信息仅是简单的端口出、入流量统计信息，不能用于深入的流量分析。RMONRMON（Remote Monitoring.远程控制）是由IETF定义的一种远程监控标准，RMON是对SNMP标准的扩展，它定义了标准功能以及网管站和远程监控器之间的接口实现对一个网段乃至整个网络的数据流量的监视功能。RMON监控器可用两种方法收集数据：一种是通过专用的RMON探针（Probe），流量探针安装方便，但是流量探针价格昂贵，不合适大面积部署。另一种方法是将RMON代理直接植入网络设备（路由器、交换机等），但这种方式受网络设备资源限制，一般不能获取RMON MIB的所有数据，大多数只收集统计量、历史、告警、事件等四个组的信息。3.NetStream技术NetStream是H3C基于‘流’的概念，定义的一种用于路由器/交换机输出网络流量的统计数据的方法。路由器/交换机对通过其的IP数据包进行统计和分析，并上报给数据采集机，采集机把搜集的数据包及统计数据传送到中心服务器，经合并处理后存入数据库，并进行进一步的分析处理。NetStream技术可以利用网络中数据流量创造价值，并可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息。4.sFlowsFlow（RFC3176）是2001年由lnMon公司提出来的技术，sFlow（RFC3176）是IEFE的一个开放标准，可提供完整的第二层到第四层、全网络范围内的流量信息。sFlow监控系统包括sFlow代理、sFlow数据采集器或sFlow分析器、sFlow代理通常为硬件芯片内嵌到路由器或交换机中，通过统计采样技术获取流量信息形成sFlow数据包，并立即发送给sFlow分析器进行流量分析。sFlow可以直接内建在边缘的二层或三层交换设备上提供覆盖全网、实时网络监控的功能，是一种能有发展前景的技术。SNMP 协议SNMP 协议是为了解决 TCP/IP 网络的管理问题提出来的, 是目前在计算机网络中应用最广泛的网络管理协议, 而且 SNMP 已成为事实上的工业标准。现在全球网络设备厂家绝大多数都支持 SNMP 协议。SNMP 是基于 TCP/IP 网络的网络管理标准。他使用传输层提供无连接服务的 UDP 协议来交换网络设备的管理信息, 包括协议自身、数据库的定义和相关概念。SNMP 管理模型具备典型的客户/服务器(Client/Server)体系结构, 由 4 部分组成:网络管理站、被管设备、管理信息库(MIB)、管理协议。管理者(manager)一般工作于一台主机之中, 代理(agent)则驻留于主机、路由器、网桥、集线器等网络设备上。被管设备上的代理一般以守护进程形式在后台运行。二者以客户/服务器的方式进行交互。管理站与被管设备间管理信息的交互遵循 SNMP 协议。管理者通过 SNMP 协议, 请求代理检索和改变网络设备的 MIB 信息, 而代理用 SNMP 协议向管理者主动报告网络设备的状态变化。数据采集的原理在目前的局域网系统中, 几乎所有的高端路由器都嵌入 SNMP 协议, 它规定了管理者(Manager)和管理代理(Agent)之间进行通信时的语法规则, 支持 SNMP 的设备将可被管理的信息以管理信息库 MIB 的形式组织起来。所以在 MIB 中, 存放着各种管理对象和管理参数, 网络流量数据的采集就是通过 SNMP 协议操作 MIB 中的管理对象来实施的。其采集模式如图 1 所示SNMP Manager 发送Get、GetNext 或 Set 消息来检索单个、多个对象变量或给一个、多个对象变量设置新值。SNMPAgent 在完成 Get、GetNext 或 Set 命令处理后返回一个响应消息 Response。当 SNMPAgent 发现被管理设备出现异常时, 将主动发送一个事件通知或陷阱(Trap)给 SNMP Manager。SNMP 协议使用 UDP 传输服务,在代理进程端使用 161 端口来接收 Get 或 Set 报文, 而在管理进程端则使用 162 端口来接受 Trap 报文。基于网络探针(probe)的流量采集网络探针的思想源于传统Ethernet总线结构。传统的Ethernet采用总线的形式进行网络连接，网络通信采用广播的形式，一台主机