基于校园网的流量分析技术研究及应用

摘要：随着校园网络的建设和发展，对网络管理提出了更高的要求。该文对比分析了SNMP、RMON、NetFlow等三种网络流量管理技术，介绍了NetFlow在校园网络管理中的应用，阐明了它能很好的满足用户对网络流量的全面掌握、对异常流量的及时检测、对异常主机的追踪分析等，为校园网络流量管理提供了一个良好的解决方案。

关键词：网络管理；流量分析；NetFlow

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)22-5337-03

Research of Flow Analysis Technology and Application Based on Campus Network

LIU Chen-Guang1,3，LIU Wei-Hui2

(1.Information & Network Center, Xuzhou Normal University, Xuzhou 221116, China; 2.Xuzhou Normal University Library, Xuzhou 221116, China;; 3.School of Computer Science and Technology, China University of Mining and Technology, XuZhou 221000, China)

Abstract: Along with the construction and development of campus network, higher request for the network management are proposed. By contrast and analyzed three technique of SNMP, RMON, and NetFlow, and introduce the application of NetFlow management in campus, the conclusion was get that it is good to satisfy the user to overall control of network flow, monitor the abnormal flow in time, trace and analyze of the abnormal host, and provide a good solution for the campus network flow supervision.

Key words: network management; flow analysis; NetFlow

随着网络应用的普及和发展，校园网络建设的规模也在不断壮大，基于网络的教学与办公等应用也在不断增加，用户对网络的依赖也越来越强。用户数量的不断增加、网络流量的日益剧增、业务类型的复杂多样都给网络的安全、速度和稳定带来了很大的压力，而保障网络高效稳定的运行，则是现今网络管理的重要内容，了解网络带宽的利用情况、网络流量的内容以及用户的网络行为是网络管理的首要工作，为网络管理、网络升级与规划等提供重要依据。网络流量分析，可以提供大量详细的数据，供网管人员从多个方面进行分析，更好地维护、优化网络，提升网络的性能；也可作为网络安全管理的辅助手段，处理网络病毒等异常事件。因此，网络流量分析对于网络性能、异常监测、链路状态监测、升级规划等发挥着重要作用，为网络发展和网络优化提供更优质、更有效的技术支撑和服务。

1 常用网络流量监测技术介绍

1.1 简单网络管理协议SNMP技术

简单网络管理协议SNMP（Simple Network Management Protocol）是基于TCP／IP的网络管理管协议，它定义了传送管理信息的消息格式及管理设备和被管理设备之间进行消息传送的规程。它能对网络中不同类型的设备进行监控和管理，对网络中存在的问题进行定位。

完整的SNMP管理系统包括三个组成部分：⑴SNMP协议，包括理解SNMP操作、SNMP消息的格式以及在应用程序和设备之间交换信息的方式；⑵管理信息结构（Structure of Management Information，SMI），它是用于指定一个设备维护的管理信息的规则集；⑶管理信息库（Management Information Base，MIB），它是设备所维护的全部被管理对象的结构集合。SNMP的流量分析就是通过SNMP协议访问设备，并获取MIB库中的端口流量信息。使用该协议的软件有MRTG（Multi Router Traffic Grapher）、CACTI等。

CACTI是共享、开源和免费使用的软件，它使用SNMP协议、通过轮询设备的方法，获得流量信息，由服务器端软件生成PNG格式图片，并以WEB形式提供给用户查询。由于CACTI使用起来很方便，能够直观显示端口流量负载，所以是各类网管人员常用的网络监视工具。但CACTI收集到的流量信息仅是简单的端口流量的出、入统计信息，不能深入分析包的类型、流向等信息，但可以通过大量的插件，来扩充CACTI的其它各项功能。

1.2 远程监控RMON技术

远程监控RMON（Remote Monitoring）是由Internet工程任务组IETF（Internet Engineering Task Force）定义的一种远程监控标准，是对SNMP标准的扩展，包括RMON和RMONII两种标准。RMON定义了网管设备和远程监控设备之间的接口标准，使得监控设备和网管设备之间可以进行网络监控数据的交换，从而实现了对一个网段乃至整个网络的数据流量的监视功能。RMONII标准是IETF在RMON基础上提出的，它能将网络的监控层次提高到应用层。RMON的MIB数据库是由统计数据、分析数据和诊断数据等三个部分构成，有标准的数据格式，具有独立于设备供应商的远程网络分析功能。如思科、锐捷、Juniper、3COM、华为等网络设备都具有该功能。

1.3 NetFlow技术

NetFlow技术最早是在1996年由Cisco公司提出的，是Cisco IOS软件中内嵌的一种功能，用来将网络流量记录到设备的高速缓存中，以便进行精确的流量测量。其工作原理是 NetFlow利用标准的交换模式，处理数据流的第一个IP包数据，生成NetFlow缓存；随后，同样的数据基于缓存信息，在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。一个NetFlow流定义为在一个源IP地址和目的IP地址之间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。NetFlow流量统计数据项包括： ⑴数据流时间戳；⑵源和目的IP地址；⑶源和目的端口号；⑷ Input和Output接口号；⑸下一跳IP地址；⑹信息流中的总字节数；⑺信息流中的数据包数量；⑻信息流中的第一个和最后一个数据包时间戳；⑼源和目的AS号及PrefixMask；⑽Type ofService(TOS)等。

完整的NetFlow系统由收集器、存储器和分析器三个部分组成。收集器仅用来收集IP数据流的统计信息，数据分析由分析器来完成。数据存储由专门的数据库服务器来完成，如Sql server 或Mysql。NetFlow数据可以用于蠕虫、病毒、网络攻击或其他异常流量的检测，由于这些行为都涉及到特定的、有规律的端口、地址和数据长度等方面，所以我们可以充分利用NetFlow的数据检测及分析功能，以便尽早发现网络中的异常现象，及时解决。

2 NetFlow监控技术的应用

目前，NetFlow技术被大多数路由器和三层交换机支持。一般是在核心交换机或在边界路由器上进行数据采集。我校的校园网经过10多年的发展，目前覆盖4个校区，入网计算机超过10000台。目前的网络主要包括三个层次：边界网，主要负责校园网的出口，实施各种策略，如负载均衡、防火墙、流控、VPN、NAT等工作；核心网，主要负责各校区之间的数据交换；园区网，主要负责各园区内的数据接入工作。

2.1 NetFlow的布署

我校虽然有流控设备来管理整个校园网的出口流量，但对于校园内部互相访问的各种数据流是难以监控及管理的，为此，我校选用NetFlow来监控网络流量，在核心交换机6509上布署NetFlow，简单的拓扑结构如图1。

2.2 异常流量的监测及解决方案

通过定期对NetFlow流数据进行统计及分析，建立常规的网络流量模型，将此模型应用于网络流量的异常监测，对检测到的异常数据作进一步分析，综合判断异常流量的性质，并追踪定位到异常数据的来源，制定应急方案并实施，主要步骤如下：

1）常规模型的建立：定期对NetFlow数据做Top N统计，包括接口、IP的利用率和速率，及时掌握网络流量特征，建立常规的网络流量模型；

2）异常流量的检测：如果发现某时刻网络流量的统计值超出常规模型，则说明网络上出现异常情况；

3）异常流量分析：对异常流量的NetFlow数据进行分析，统计出相关的源/目的地址、端口、协议类型等数据；

4）异常主机的定位：根据统计出来的数据，综合判断异常流量的性质（如攻击、蠕虫病毒等），追踪、定位导致异常流量产生的主机来源（如IP地址）；

5）应急方案的制定：根据异常流量的情况，制定并实施防范措施（譬如安全策略、QoS、负载均衡等），防止所有来源对网络产生类似的威胁；

6）方案实施与改进：应急方案制定以后，根据常规模型对网络进行监测，并进一步验证及改进模型的性能，以便提升网络异常情况检测的准确性。。

3 流量监控结果分析

通过NetFlow的监控，对以下几个方面进行掌握：

1）了解当前网络的输入输出情况。通过NetFlow监控图可以直观的看出当前的网络总体运行状况，如网络端口的输入和输出数据量，全网的网络流量状况等，能及时的发现异常流量的爆发，并做进一步的定位与分析，如图2。

2）各协议应用分布情况

通过NetFlow可以对网络中正在运行的各种应用协议进行分析，对网络中带宽消耗大的应用协议进行筛选分析，并进一步对可疑端口进行跟踪追查，如图3。

3）查找异常主机

通过对占有用带宽严重的几种应用进行排序，可以追踪到应用了特定协议的主机。当网络中出现异常流量爆发时，通过对流量的筛选，可以定位到流量异常的主机,并对该主机的详细通讯情况做进一步的追查和分析。

4 结束语

将流量监控技术布署在校园网内，对网络中的流量数据进行采集分析，实现了对网络运行情况的实时掌握，出现异常网络流量时能够及时定位异常主机，为校园网络管理以及有关策略的制定提供了重要的参考依据。

参考文献：

[1] IEFT IPPM(IP Performance Metrics) Working Group./.

[2] Paxson V.End-to-End routing behavior in the Internet[J].IEEE/ACM Transactions on Networking,1997,5(5):601-615.

[3] 赵海.路由器级Internet拓扑特征量的对比分析[J].东北大学学报:自然科学版,2010,31(4):507-510.

[4] 张文杰,钱德沛.互联网应用性能测量系统的研究实现[J].计算机研究与发展,2003,40(1):60-67.

[5] Thottan M,Li L,Yao B,et,al.Distributed network monitoring for evolving IP networks[C].Proceedings of the 24th International Conference on Distributed Computing Systems (ICDCS);IEEE,2004:712-719.

[6] Sunil Kalidindi.Surveyor:An infrastructure for Internet performance measurements[J].INET 99,Stockholm Sweden,1999./inet99/.

[7] 孟晓蓓.基于NetFlow的网络流量采集技术和应用[J].武汉理工大学学报,2009,31(23):155-158.

[8] 陈宁,徐同阁.NetFlow流量采集与存储技术的研究实现[J].计算机应用研究,2008,25(2):559-564.

[9] 贾冠昕,杨波.基于NetFlow时间序列的网络异常检测[J].计算机工程与应用,2008,44(24):128-131.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文