一种网络流量监控系统的设计方案.docVIP

一种网络流量监控系统的设计方案 1 引言 随着武警部队指挥信息网的建设，网络结构日趋复杂，各种网络业务也迅猛发展，对网络的可靠性与可用性的依赖程度也越来越高，微小的网络流量变化都可能对网络关键应用造成重大的影响。因此，网络的流量分析尤显重要，直接分析网络实时流量，将具有非常重要的意义。它可以直接指导网络管理员分析网络应用、规划流量；对网络以及网络所承载的各类业务进行及时、准确地流量和流向分析，进而挖掘网络资源潜力；提供立即的安全审计，病毒预警等功能；并为网络规划、优化调整和业务发展提供基础依据。 网络监控的基本手段是简单网络管理协议（SNMP），它很好地满足了网元性能监控需要，但在流量方面，只能提供粗糙、简略的流量统计资料。网络探针（sniffer）或是类似的监听工具可以弥补SNMP的缺陷，但它的问题是数据庞大，对CPU、内存等资源消耗过大，难以适应高速网络的要求。Cisco公司于1996年开发的NetFlow技术，现在有很多路由器支持，它利用路由器上提供高层的IP流量统计信息，其特性是通常基于软件架构，对主机间流量的描述精确性接近100%，但问题是当数据包流量很大时，可能会给采集器带来负担。sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很多问题。可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全网络监视解决方案成为可能，其不足是对网络传输流的描述不如NetFlow精确。本方案采用NetFlow与MRTG相结合的方式，构建一个多层次的网络流量监控系统。 系统结构及功能 基于Web方式的网络流量监控系统结构如图2.1所示。按功能分为三层：设备层、数据处理层、Web管理层，用户可以通过Web进行网络信息查询和管理。 该网络流量监控系统支持以图形方式或数据表提供实时数据流分析。 在数据源上，系统支持通过设定数据流特征，在海量数据中实时滤取特定数据流，数据特征可以是： 1、流出或流入指定设备端口的数据。 2、源或目的IP地址指定的数据（IP地址、地址范围或网段）。 3、IP包内高层协议指定的数据。 4、TCP / UDP / RIP / OSPF等等。 5、指定高层协议端口的数据。 6、Telnet / Http / ICMP / Smtp / Ftp /NetBIOS / SMB等等。 7、指定数据包大小的数据。 8、在数据的图形输出上，系统支持按时间展开数据流，或按TopN排序方式展示 各数据分量的即时比特流、帧流量。 9、在数据的表格输出方式上支持将某时刻原始数据进行全面展示，允许在原始数据基础上进行排序、归类、过滤等分析操作。 10、系统保留所有原始数据以供事后分析，避免了异常事件转瞬即逝的困境，可以进行“数据回放”分析。 SNMP AGENT SNMP AGENT MIB 设备层 NetFlow Cisco 数据处理层 定期采集 数据过滤 数据归并 Web管理层 网络状态 流量分析 业务统计 内部IP地址 异常报警 图形绘制 TXT 或 Oracle数据库 图2.1 网络流量监控系统模型 该系统支持事件的预警处理，通过事前定义数据滤取规则，即时数据门限，在指定的时间段中，系统不断地实时监测原始数据流，分析数据流，一旦数据门限被触发，系统将提出事件告警，以明确的信息一方面进行屏幕提示，另一方面将警示信息用邮件发送到引发事件的数据源处或网络管理员处。 系统设计与实现 网络流量监控系统分两部分监测网络，并将监测数据送到监控器进行处理和图形显示（如图3.1所示）： 利用MRTG工具监测内网服务器的流量。 利用内部、边界路由器的NetFlow技术，实现内、外网流量监控。 图3.1 网络流量监控过程 3.1 MRTG在流量监测中的应用 MRTG（Multi Router Traffic Grapher）是一个跨平台的监控网络链路流量负载的工具软件，它利用SNMP协议从设备取得流量统计数据。MRTG利用的是UDP协议的161端口，该端口被设备代理监听，等待接受管理者进程发送的管理信息查询请求消息。 MRTG通过MIB管理信息库取回被监视设备的输入或输出流量值信息（如图2.1）。经计算后写入内部的日志文件，并生成反映流量情况的GIF / PNG曲线图及包含流量图的HTML页面。由于MRTG可以监控任意支持SNMP的网络设备，因此使用该工具可以方便地查明设备和网络的性能问题，另外MRTG还可监视主要服务器CPU、DNS、IIS6.0的工作情况. 根据日志或图表，还可以帮助进行预测网络。可以预测网络使用的峰值，从而避免网络饱和可能带来的低性能。另外，还可以用来