对网络监控系统解析.docVIP

对网络监控系统解析 　　摘要：本笔者主要根据网络监控的不同模型，分析了具体实现中的网络监控系统对网络性能以及系统负载的影响情况。对工程实现网络监控系统，特别是在千兆网络中实现监控系统提出了建议方案，可供同行参考。 　　关键词：网络性能；监控器；防火墙；过滤 　　 　　1. 背景 　　在当今社会Internet日益流行，已迅速的渗透到人们的生产生活中的时候，如何对其进行监控也就成为一个很自然的问题。为了能够保证内部网络的安全，很多公司采用了防火墙进行安全控制；为了能够对不同的用户访问Internet的权限进行控制，需要使用透明网关或者Proxy等产品……出于各种各样不同的目的，网络监控系统已得到了广泛的应用。 　　2. 基本模型 　　各式各样的监控系统可以分成两种类型，对应于两种基本模型：监听和过滤。 　　2.1 监听模型 　　监听模型中，一个网络监视设备处于内/外网络中间，但是却独立于两者。内/外网络通讯的所有数据都被网络监视器接收到，然后就可以进行分析、判别、统计等必要的操作。该模型最大的优点是不会对网络正常通讯产生任何影响，所有的数据传输就如同没有该监视系统一样正常进行，所以它的网络性能是最好的。但是它天生的缺点是不能进行控制，也就是不能允许或者禁止内/外某两个特定节点之间的通讯，从而存在很多安全问题。 　　2.2 过滤模型 　　一个过滤器存在于内/外网络之间，可以被认为是连接内部网络和外部网络的透明网关。与监听模型相同的是，内/外网络通讯的所有数据都被过滤器接收，所以过滤器可以实现网络监视器的所有功能；但是内/外网络不能直接通讯，而必须通过过滤器转发，所以过滤器就可以对网络通讯进行控制，来允许或者禁止内/外节点之间的互访。但是由于数据被过滤器首先缓存下来，然后进行分析，最后转发出去，不可避免会影响网络性能。 　　3. 网络性能分析 　　在监听模型中由于没有对实际的通讯产生任何影响，所以不存在影响网络性能的问题。该问题主要存在于过滤模型中，过滤模型处理的基本流程可以用图1表示。 　　 　　 　　图1 过滤模型处理流程 　　在现在大部分??于过滤模型的监控系统中，过滤器使用的是PC机，例如大多数防火墙使用的是工控机主板加上电子盘组成Intel结构的微机。通过双网卡实现接收帧、转发帧的过程，用CPU 来分析帧的合法性等等，其处理流程可以用图2来描述。 　　 　　 　　图2 微机实现过滤模型 　　首先，网卡将数据帧接收下来(A)，然后将该数据帧通过PCI总线传输到内存中(B)。监控程序将数据帧从网卡的缓冲区读取到应用缓冲区(c)，CPU 分析该数据帧决定是否转发(D)，当需要转发的时候再将数据帧转到网卡缓冲区(E)，通过PCI总线传输到另一块网卡(F)，最后网卡将该数据帧发送出去(G)。 　　考虑常见情况，内/外网络都是以太网，根据802.3(IEEE．1985a)的帧结构，可以知道一个MAC 帧不是一个固定长度的信元，而是从64字节到l564字节不等。假设帧长度为w字节，网络传输速率为SMb/s，那么A产生的时间延迟为微秒，B产生的时间延迟为(假设收到MAC帧后立刻开始向内存传输，PCI总线时钟为33MHz，32bit微秒，C产生的时间延迟为(假设J00MHz内部总线时钟，32位总线)微秒，D产生的时间延迟为x(因为不论MAC帧长度。该部分时间消耗是基本固定的，只与CPU 的处理能力相关)。E、F、G 与C、B、A 类似，所以总的时间消耗为，而总的时间延迟为。 　　由于在实际中，网卡并非接收到一个帧以后立刻将其数据转到内存中，网卡中存在帧缓冲以及帧描述符，通常是缓冲半满或者描述符半满的情况下才会引发一个中断。请求系统将数据转移到内存中去，所以在这里应该有一个不定长的延迟，它有可能长达几个甚至十几个帧的接收时间，也就是。如果网卡实现中缓冲较大，就会导致n值较大；当缓冲较小时．就会导致中断频率过高。所以n值与网卡参数紧密相关，例如一块含有l6K 字节缓冲和】6个帧描述符的百兆网卡，n的统计值在l左右；含有128K字节缓冲的千兆网卡，n的统计值在32左右。由于必须在接收一个帧的时间内将一个帧处理完，否则必然导致严重的丢包，所以x 应该小于帧的接收时间，为了简化起见．在这里假设处理时间远小于接收一个帧的时间，所以最后对Td的修正结果是：。 　　所以，在l0Mb/s的环境下（设n=32）。在l00Mb/s环境下(设n=4)，在1000Mb/s环境下是(设n= 32)。从上面计算可以有看出，当处理帧的时间很短时，影响网络性能的主要因素是网卡。这是由于网卡本身是实现一个端设备而不是中继设备，不可避免产生了很大的延迟，所以导致网络性能下降。 　　4. 监控器负载分析 　　对于微机实现的监控