◆陈斯智

（福建省泉州市气象局 福建 362000）

1 引言

随着计算机技术的不断发展和成熟，随着网络应用的不断扩展，网络上的业务类型越来越多，例如视频、图像等，网络上传输的数据类型增加，网络拥塞的频率比以前大大提高。由于海量数据流的传输，对网络带宽和通信质量的要求更高。当网络受特洛伊木马、蠕虫等病毒的影响时，问题就会变得越来越严重。当网络中出现不安全因素时，网络流量就会产生相应的变化，并且会出现流量异常的现象，因此如何准确检测网络异常流量，并采取相应的对策以确保网络正常运行就显得非常重要了[1-3]。网络流量的大小是网络运行过程中检测网络流量异常的重要指标，当然网络流量异常检测问题的研究一直没有停止过，当前有着大量的网络流量异常检测模型和方法。网络流量异常检测可以认为是一种网络流量分类问题，即将网络状态划分为正常和异常两种情况，当处于异常状态时，就对其进行相应的处理；如果是正常状态，那么就不用制定相应防范措施[4]。气象雷达站全天候运行，大量的数据往省局的服务器上传，流量出现异常将会影响数据上传的及时率，严重的话会导致数据的缺测，影响考核指标。所以如何准确快速地找出流量异常的方法就至关重要了。

2 网络流量的概况

网络在运行的过程中，会产生数据流，网络流量就是网络的数据量。在运行网络流量的过程中，网络运行故障或网络操作有异常的情况下，会导致网络流量异常。在网络流量运行过程中，由于网络设备的变化，尤其是网关等设备的变化，将影响网络流量的变化。如果原始网络设备出现故障，则需要更换网络设备，添加新的网络设备会在一定程度上影响网络流量的大小。在网络运行的初始阶段，网络运行不正常等导致的网络流量异常尤其明显，流量变化也相对剧烈，但是在非网络流量异常的情况下，网络流量已恢复稳定，即使有发生变化，其变化也是很小，相对稳定，不容易直观地发现[5]。

当某个网络信息或内容具有更高的热点时，则网站流量会突然增加。对于许多网站，他们的网络容量受到限制，网络带宽和处理能力也受到限制。当服务器繁忙或网络阻塞时，网站的性能将会下降。网络突发流量的特征是指它们会在网络中存在一定的时限，在限制范围内，新的网络用户继续进入网络系统，从而导致网络流量有着明显的变化[5]。

泉州气象雷达站采用电信移动双链路冗余的方式接入，如图 1所示。电信带宽为 4Mbps，理论上传下载速度为500KB/s，移动带宽为8Mbps，理论上传下载数据为1000KB/s。通过路由器的 VRRP 协议，移动路由器设置成高优先级，为主用路由器，电信路由器设置成低优先级，为备用路由器。默认情况下，业务数据首选移动线路传输，而在移动线路出现故障时，会自动切换到电信线路。

图 1 雷达站网络拓扑

3 网络流量异常的发现及处理过程

泉州雷达站与市气象局为站局分离模式，在雷达站使用内网访问市局业务平台时，发现操作异常卡顿。进行 ping 包测试，延时严重，都在 100ms 以上，并且会断续出现丢包现象。利用 Tracert 命令，进行路由节点追踪，发现数据默认走了电信线路。雷达实时数据传输流量约为350KB/s，此大小传输速率，无论是电信线路，还是移动线路带宽都是满足的。首先怀疑是电信线路开通的带宽不足而造成堵塞。经电信运营商方面确认后，线路带宽正常为4Mbps，但是发现通过电信线路出口数据流量峰值高达5Mbps，带宽不足导致数据堵塞延时。为不影响雷达数据传输的时效性，须先排查默认线路变化的原因。分别登入移动、电信路由器查看配置，发现电信路由的 VRRP 优先级比移动路由的优先级高，导致数据默认走电信线路。解决方法为：

在电信路由器上 G0/0 删除默认为 100 的优先级，命令如下：

在移动路由器上设置 G0/0 优先级的优先级为 120，命令如下：

配置完成后，分别重新查看 VRRP 配置，移动线路状态显示为“Master”，图 2所示，电信线路状态显示为“Backup”图 3所示。

图 2 移动路由器 VRRP 正确配置信息

图 3 电信路由器 VRRP 正确配置信息

通过 tracert 命令，追踪省局目的 IP 地址，此时数据已经正常优先通过移动线路传输。再访问市局其他业务平台，网速也有明显提升。分析造成路由器主备线路对调的原因，可能是当初配置路由时未及时保存信息，重启路由操作后，导致配置信息丢失。故在路由器配置操作完成后，需及时保存配置，并导出路由器配置，以便后续设备出现故障能够及时导入还原。默认线路调整后，出口数据流量还是很大。因此必须找出异常流量的设备，排查是否由于电脑中毒导致对外攻击或者是遭到攻击。如果关闭所有电脑，逐一排查是否有异常流量的方法显然不太现实，因为有多台业务机在实时传输数据。但是，如果通过对交换机数据流量进行抓包分析，就可以无须关闭设备，且明确判断出流量异常的设备。数据抓包的方法步骤如下：

首先设置交换机的映像端口，一个端口镜像（SPAN）会话只能有一个目的端口（监控端口），但是可以有多个源端口（被监控端口）。我们设置移动和电信路由接入交换机的 G0/1 和 G0/2 口为被监视的端口，命令为

端口镜像使用结束后，可以使用以下命令删除。

ZMS-QZ（config）#no monitor session 1

如果对锐捷交换机命令不熟悉的，也可以通过交换机的 WEB 管理平台进行配置。用管理员账号密码登录 WEB 页面，左侧列表选择“系统管理”下的“端口镜像”，端口镜像设置中，选择 G0/18 为监控端口，勾选 G0/1 和 G0/2 为被监控端口，保存。

页面配置完成，我们可以输入 show monitor 来验证命令，得出如下信息为配置成功。

交换机镜像配置完成后，在笔记本上安装 wireshark 抓包软件，装好后笔记本网口直连到交换机 G0/18。wireshark 是捕获机器上的某一块网卡的网络包，当你的笔记本上有多块网卡的时候，你需要选择直连到交换机的那块网卡。

点击“Start”，就可开始抓包。通过分析抓包软件抓取的数据包信息，雷达站有一台电脑与市局一台服务器有大量 TCP 链接，而且请求的数据包都比较大。确定好是哪台电脑流量异常，就可以针对那台电脑做出检查。经查，雷达站电脑上开启了天气实景监控系统的控制客户端，对全市8 个站的实景做出实时监控。因实时监控需占用大量的流量带宽。关闭该控制客户端后，发现流量明显回归正常，故障排除。

4 结论

对于复杂或故障特征并不明确的网络故障，可以采用抓包软件在关键故障点进行抓包的方法，通过获取的网络数据包，结合 TCP/IP 协议簇的工作原理，分析数据包的收发、重传、丢包等情况，则可以迅速的缩小故障源的范围，甚至获得故障原因的直接信息。利用抓包软件实现网络安全，防止网上病毒传播并排查网络故障有重大意义。