城域网网络流量监测方法及实际应用场景

2014-04-29陈宏

中国新通信 2014年24期

关键词：城域网实际应用

陈宏

【摘要】随着城域网规模的扩大以及上面加载的业务不断增多，对城域网内流量进行监测并管理勢在必行。本文对当前主流流量监测方法进行介绍，并主要介绍不同监测方法在本地城域网内的实际应用情况。

【关键词】城域网流量监测实际应用

当前互联网的不断发展以及网内应用的不断丰富，运营商的网络结构日益复杂，同时网络规模也不断扩大，以本地为例今年来每年城域网出口流量的增幅均在60%以上，随着流量的不断增长运营商必将通过流量监测来实现对网络的管理、控制与运营。

一、城域网流量主要监测方法

1.1 基于SNMP的流量监测

SNMP是当前网络设备普遍支持的一中监控技术，是通过提取网络设备Agent提供的MIB（管理对象信息库）中收集设备诸如输入字节数、输入非广播包数、输入广播包数、输入包丢弃数等流量信息。Agent运行在被管对象上，将收集的网络数据信息存储在MIB库中，MIB是对象的集合，它代表网络中可以管理的资源和设备，每个对象基本上是一个数据变量，它代表被管对象某一方面的信息，如被管对象的接口流量等。Snmp流量监测主要实现对网络主干设备，例如路由器、交换机各接口的进出口原始流量数据的采集，并对其进行加工转换，从而为管理员提供不同时间粒度的流量监测视图。除了采集流量信息，SNMP方法还可以采集设备信息，CPU利用率等信息。但snmp流量监控主要集中在3层以下的信息和设备的消息，不能进行端到端的流量监测，无法满足网络流量进一步的细化分析。

1.2基于Netflow的流量监测

Netflow流量信息采集是基于网络设备（Cisco）提供的Netflow机制实现的网络流量信息采集。Netflow为Cisco之专属协议，但目前已经标准化， Juniper、extreme、华为等厂家也逐渐支持。Netflow是以网络流量中的数据包为管理基础的，其中数据包包含目的IP地址，源IP地址以及目的端口，源端口，IP协议类型“五元组”信息。当有新的数据流在边缘路由器流过时，NetFlow会扫描这几个字段来判断数据包是否属于一个存在的流，如果流已经存在，进行字节和包数累加操作，如果流不存在，那么就会新建一个流实体记录下诸如源、目的地址，源、目的端口等流的相关信息。和SNMP相比NetFlow技术提供了包括IP，端口，协议、服务类型等更多的信息，这些信息可用于网络规划、异常流量监测以及NetFlow的数据存储与挖掘。

1.3基于DPI监测

DPI技术即Deep Packet Inspection深度报文检测技术。所谓的“深度”报文检测是相对于传统的报文检测技术而言。如图1所示，传统的报文检测只是检测L2-L4层的内容，也就是仅对报文的的“五元组”信息进行检测，包括源地址、目的地址、源端口、目的端口以及协议类型。而DPI技术对整个L2-L7上的信息都进行检测，对报文的分析扩充到了应用层对报文实际内容都有分析，实现了端到端的流量监测。

二、不同流量监测方法的实际应用

2.1 IP综合网管

IP综合网管用于管理城域网内从接入层到骨干层之间的各类设备，网管采集机采用SNMP协议和被管设备通信，获取设备信息，端口流量信息等。

网管采集机使用SNMP协议和网络设备进行通信，正常情况下，首先由Manager端发送请求，Agent端根据请求回复相应的MIB信息。而当被管设备发生异常时，会主动发送Trap信息给Manager以报告异常。

综合网管实际应用场景：

1、端口流量监控设备端口的流量监控用来查看城域网设备或者用户设备链路带宽利用率情况，为网络扩容或者调整提供依据。首先系统中要输入设备IP地址以及正确的SNMP读串来添加设备，系统通过SNMP协议获取设备的接口，对有流量监控需求的端口进行监视任务的配置，这样系统以5分钟的时间间隔以轮询的方式来采集设备各接口的流量数据。流量数据开始采集后，能够查看到设备接口的实时流量，还可以查看周图、月图等不同时间粒度的流量图。

2、网元设备告警监控：系统告警监控分两种方式：1、Polling告警（主动检测方式）：采用定期调度（可根据设备的重要程度可设定不同的策略）对设备先进行SNMP连接测试，再进行ICMP PING测试。2、Snmp Trap告警（被动接收方式）：告警采集机在162端口监听并接收网元发送过来的TRAP通知，通过加载相应MIB里的TRAP定义或者厂家提供的TRAP告警翻译规则，转换为相应的告警记录。

当整个网元中断或者其中某一条链路中断，系统通过监控会自动弹出告警供维护人员处理。

2.2 GenieATM

GenieATM流量采集依据主要是FLOW，它是一款关于流量流向分析以及异常流量检测的系统。

流量分析主要包括以下形式：

流量模型分析：内建智能网络分析模型，可迅速准确地分出本网、邻网、子网、骨干网、客户网等各类流量，自动产生报表。

属性分析：可针对应用、协议、协议+端口号、TOS值、或是封包大小等进行Top-N分析排名。

流量矩阵报告：可自动分析子网、邻网之间的流量流向，做成流量矩阵报告。

本地GenieATM主要用于异常流量监测：流量异常：在检测网段内，如果突然产生了与往日不同的巨大持续流量，很可能是遭受不明的网络攻击，通过系统分析可以查看到攻击的流量，持续的时间，源IP，目的IP，流经的路由器端口等详细信息。目前系统监测到的异常流量以DoS/DDoS攻击为主。系统可进行黑洞路由的设定来对异常流量进行缓解。

2.3 华为SIG

华为SIG系统采用DPI（深度包检测）技术，深入分析各种网络应用的流量类型，用来分析网络中的流量、协议及业务分布。

系统架构：

目前SIG系统部署在省骨干网出口，通过分光器将流量复制到系统，SIG系统进行业务识别，同时通过镜像或分光监控Radius服务器流量，这样系统能够识别宽带用户帐号和IP地址对应关系，也就能分析到不同用户的上网行为了。

以下为某天系统检测到的本地用户使用的主要流量业务类别，以及常用的下载和视频类应用

1、网页浏览、视频以及P2P下载为本地用户消耗流量最大的主要业务类型。2、P2P下载业务类型中，使用迅雷的最多，其次为迅雷和QQ旋风。3、暴风盒子、PPSTREAM、PPTV、QQLIVE等视频应用为本地用户常用的视频类应用。

通过对流量的细化分析，为运营商合理规划网络、制定流量控制策略、深度挖掘网络商业价值提供依据。比如对P2P流量可以实施分时段、分区域、细粒度的运营控制策略，适当控制P2P流量，提高带宽利用率，减轻网络压力，提升其他用户的使用感知。比如对于经常使用视频类应用的用户，可以进行宽带提速的营销等等。

三、结束语

不同的流量监测方法有不同的侧重，本文介绍了不同监测方法的特点，并对基于不同监测方法的流量监测系统的实际应用进行了介绍。

参考文献

[1] RFC1157[OL]. A Simple Network Management Protocol （SNMP）.1990

[2] 潘鑫，网络管理系统在SNMP协议上的设计与实现[J]，科技资讯，2010（18）：157