IP网络流量统计与分析的实现方式
摘 要 网络流量的统计与分析技术在企业网络故障的排除过程中是解决问题的开始,通过分析网络中的数据流量和网络协议的分布情况来分析故障的原因,为后续决策提供依据。本文主要探讨了网络流量统计与分析的对解决网络故障的重要性及其实现的几种方式。
【关键词】网络流量 流量统计 流量分析 Sniffer NetFlow
随着互联网业务的飞速发展,企业网络面临着各种各样的威胁,企业的网络性能也随着用户的行为和应用的多样化变得难以控制,这使得网管理员头痛不已。这时候对企业的网络进行流量统计与分析就显得尤为重要,通过分析网络管理员能够了解网络协议流量分布情况,了解应用运行的访问量、响应等数据,对用户的异常网络行为如违规流量、攻击流量能够快速发现,为制定企业网络的安全策略、进行流整形提供依据,进而解决企业网络缓慢的现象。现在的网络流量统计与分析技术有基于网络原始流量的统计与分析、基于网络采样数据的统计与分析和基于干路中桥接设备的流量统计与分析等方式,这几种方式的实现有采用Sniffer软件、采用cisco网络设备内置的NetFlow功能和在出口网路上桥接流量监控设备等方式来实现统计与分析网络流量。
1 基于网络原始流量的统计与分析
1.1 Sniffer技术
Sniffer软件就是基于网络原始流量统计分析的一种技术,其原理是通过网络设备的端口镜像技术,实现采集网络流量进行统计与分析。采用这种技术方式的好处是完全获取了网络的所有流量,其中包括了丰富的应用层信息,网络管理员可以对其进行深度分析,甚至是用户使用的搜索关键字都可以进行分析,这种方式实施最为简单,几乎不会对网络中数据的传输产生额外的延时,但是因为使用基于网络原始流量分析,需要收集所有数据帧,所以弊端就是数据量过于庞大,分析端的负载重,数据处理的工作任务繁重。
1.2 Sniffer技术的实现
Sniffer技术的实现,首先要在交换机上配置端口镜像的功能,将网络主干的链路接口镜像到另一个接口上做统计与分析,配置如下:
S1(config)#monitor session 1 source interface fastEthernet 0/1
S1(config)#monitor session 1 destination interface fastEthernet 0/4
然后将装有Sniffer的协议分析平台接入到镜像接口上,并啟动Sniffer软件就可以对网络的整体流量做完整的统计与分析了。
2 基于网络采样数据的统计与分析
2.1 NetFlow技术
NetFlow是Cisco公司提出的一种数据交换标准,在实际应用中都进行采样的统计方式。其原理是开启路由器和交换机中的NetFlow功能,动态地收集经过路由器的流的信息记录到设备的高速缓存中,再将满足规则的流记录上报到外部的收集平台来进行分析。这样做更有助于网络管理员监控网络流量,识别具体流量类型、统计会话数并进行网络流量的整形控制。NetFlow的优点是在数据交换的同时对数据流信息进行统计,有着速度快、方便、高效的优点,现在被很多的商家广泛的使用,但它也有一定的弊端,如网络设备要能够支持NetFlow,另外还需要购置NetFlow的采集软件,这对于资金不是很充足的企业客户无疑是一笔额外的支出。
2.2 NetFlow技术实现
一个NetFlow流量统计与分析平台包括3个主要的部份:探测器、采集器和报告系统。探测器的作用是监听网络数据的,采集器是用来收集探测器传来的数据的,报告系统是用来从采集器收集到的数据中产生易读懂的报告。
NetFlow技术的实现首先需要配置设备有一个统一的时钟源,以保证NetFlow的收集平台显示数据流量的时候提供正确的采集时间,配置命令如下:
R1#clock set 23:00:00 6 mar 2015 //设置时间
R1(config)#ntp master //设置R1作为时钟源
R1(config)#ntp e1/0 //设置时钟消息更新源接口
第二步、其它的网络设备需要利用ntp server 命令来获得时钟来源
R2(config)#ntp server 192.168.0.1 //192.168.0.1指的是时钟源的路由器接口IP
第三步、在连接路由器R2要启动NetFlow功能,以IP地址192.168.5.100为例,指令ip flow-export destination 192.168.5.100 9996指示NetFlow探测器要将收集到的流量发送到192.168.5.100,使用9996号端口进行发送。
R2(config)#ip flow-export destination 192.168.5.100 9996
R2(config)#ip flow-export version 5 //指定开启NetFlow的版本
R2(config)#interface e1/0 //指定接口
R2(config-if)ip flow ingress //对进入流量进行采集
R2(config-if)ip flow egress //对出站流量进行采集
第四步:在192.168.5.100的主机上安装NetFlow集中采集平台,最后在IE浏览器输入IP地址192.168.5.100:8080来登陆,在平台中进行流量的统计与分析。
3 基于干路中桥接设备的流量统计与分析
3.1 以DPI技术为核心的流量统计与分析
基于干路中桥接设备的流量统计与分析方法的原理是采用的是以DPI(Deep packet inspection,深度数据包检测)为核心的一种技术。DPI是一种基于应用层的流量检测和控制技术,DPI 技术在分析包头的基础上,增加了对应用层的分析,当TCP 、IP 数据包或UDP 数据流经过基于DPI 技术的网络设备时,DPI 引擎通过深入读取IP 包载荷的内容来对OSI 7 层中的应用层信息进行重组,从而识别出IP 包的应用层协议。
基于DPI技术的流量统计与分析方法需要维护一个应用特征码数据庫,当网络流量经过DPI技术的检测设备时,通过将解包后的应用信息与后台特征码数据库进行比对来确定应用类型;它像防病毒软件一样,应用特征码数据库也要更新才能具有对新型应用的识别和控制能力。它的优点是对数据的捕获能力强并具有强大的控制能力,可以捕获不同网段的数据,不需要主干交换设备支持,但是它对设备的处理能力要求高,容易造成网络瓶颈,价格昂贵。
3.2 基于干路中桥接设备技术实现
干路桥接设备通过是以透明网桥方式部署在企业网络的出口线路上,对线路上的进出流量进行统计、分析,同时还可以根据网络管理员制定的策略、规则进行流量整形。
4 结束语
无论是网络原始数据统计与分析、采样数据统计与分析还是DPI技术为核心的流量统计分析,都可以为网络和应用问题分析提供数据包级别的分析能力,NetFlow和Sniffer都采用软件来实现,因此成本低,但有漏捕的可能;基于干路桥接设备的DPI技术,应用识别率高,捕获数据全并且有强大的控制能力,但是设备的处理能力要求高,设备串联在网络的出口链路上成为网络瓶颈的可能性较大,设备也比较昂贵。企业的网络管理人员可以根据企业的网络结构与环境的不同,选择不同的方法进行网络流量的统计与分析。
参考文献
[1]张婧婧,陈福文.互联网流量分析技术及部署方案[J].情报理论与实践,2013,10(19):71-75.
[2]董晖.使用Netflow进行网络流量监管[J].计算机与网络,2007,06(11):38-39.
[3]孙蕊.一个面向IPv6的流量监测原型系统的设计与实现[D].东北大学,2010.
作者简介
彭锦(1982-),男,广东省惠州市人。大学本科学历。讲师。研究方向为网络信息安全。
作者单位
广东省技师学院 广东省惠州市 516100
