IP网络流量统计与分析实现方式.docVIP

IP网络流量统计与分析实现方式 　　摘 要 网络流量的统计与分析技术在企业网络故障的排除过程中是解决问题的开始，通过分析网络中的数据流量和网络协议的分布情况来分析故障的原因，为后续决策提供依据。本文主要探讨了网络流量统计与分析的对解决网络故障的重要性及其实现的几种方式。 　　【关键词】网络流量 流量统计 流量分析 Sniffer NetFlow 　　随着互联网业务的飞速发展，企业网络面临着各种各样的威胁，企业的网络性能也随着用户的行为和应用的多样化变得难以控制，这使得网管理员头痛不已。这时候对企业的网络进行流量统计与分析就显得尤为重要，通过分析网络管理员能够了解网络协议流量分布情况，了解应用运行的访问量、响应等数据，对用户的异常网络行为如违规流量、攻击流量能够快速发现，为制定企业网络的安全策略、进行流整形提供依据，进而解决企业网络缓慢的现象。现在的网络流量统计与分析技术有基于网络原始流量的统计与分析、基于网络采样数据的统计与分析和基于干路中桥接设备的流量统计与分析等方式，这几种方式的实现有采用Sniffer软件、采用cisco网络设备内置的NetFlow功能和在出口网路上桥接流量监控设备等方式来实现统计与分析网络流量。 　　1 基于网络原始流量的统计与分析 　　1.1 Sniffer技术 　　Sniffer软件就是基于网络原始流量统计分析的一种技术，其原理是通过网络设备的端口镜像技术，实现采集网络流量进行统计与分析。采用这种技术方式的好处是完全获取了网络的所有流量，其中包括了丰富的应用层信息，网络管理员可以对其进行深度分析，甚至是用户使用的搜索关键字都可以进行分析，这种方式实施最为简单，几乎不会对网络中数据的传输产生额外的延时，但是因为使用基于网络原始流量分析，需要收集所有数据帧，所以弊端就是数据量过于庞大，分析端的负载重，数据处理的工作任务繁重。 　　1.2 Sniffer技术的实现 　　Sniffer技术的实现，首先要在交换机上配置端口镜像的功能，将网络主干的链路接口镜像到另一个接口上做统计与分析，配置如下： 　　S1（config）#monitor session 1 source interface fastEthernet 0/1 　　S1（config）#monitor session 1 destination interface fastEthernet 0/4 　　然后将装有Sniffer的协议分析平台接入到镜像接口上，并?⒍?Sniffer软件就可以对网络的整体流量做完整的统计与分析了。 　　2 基于网络采样数据的统计与分析 　　2.1 NetFlow技术 　　NetFlow是Cisco公司提出的一种数据交换标准，在实际应用中都进行采样的统计方式。其原理是开启路由器和交换机中的NetFlow功能，动态地收集经过路由器的流的信息记录到设备的高速缓存中，再将满足规则的流记录上报到外部的收集平台来进行分析。这样做更有助于网络管理员监控网络流量，识别具体流量类型、统计会话数并进行网络流量的整形控制。NetFlow的优点是在数据交换的同时对数据流信息进行统计，有着速度快、方便、高效的优点，现在被很多的商家广泛的使用，但它也有一定的弊端，如网络设备要能够支持NetFlow，另外还需要购置NetFlow的采集软件，这对于资金不是很充足的企业客户无疑是一笔额外的支出。 　　2.2 NetFlow技术实现 　　一个NetFlow流量统计与分析平台包括3个主要的部份：探测器、采集器和报告系统。探测器的作用是监听网络数据的，采集器是用来收集探测器传来的数据的，报告系统是用来从采集器收集到的数据中产生易读懂的报告。 　　NetFlow技术的实现首先需要配置设备有一个统一的时钟源，以保证NetFlow的收集平台显示数据流量的时候提供正确的采集时间，配置命令如下： 　　R1#clock set 23：00：00 6 mar 2015 //设置时间 　　R1（config）#ntp master //设置R1作为时钟源 　　R1（config）#ntp e1/0 //设置时钟消息更新源接口 　　第二步、其它的网络设备需要利用ntp server 命令来获得时钟来源 　　R2（config）#ntp server 192.168.0.1 //192.168.0.1指的是时钟源的路由器接口IP 　　第三步、在连接路由器R2要启动NetFlow功能，以IP地址192.168.5.100为例，指令ip flow-export destination 192.168.5.100 9996指示NetFlow探测器要将收集到的流量发送到192.168.5.100，使用9996号端口进行发送。 　　R2