网络流量监测技术及方法的探讨

科技信息

一、网络流量监测的意义

网络流量监测主要为对网络数据进行连续的采集，通过连续采集网络数据监测网络的流量。获得网络流量数据后对其进行统计和计算，从而得到网络及其主要成分的性能指标。定期形成性能报表，并维护网络流量数据库或日志，存储网络及其主要成分的性能的历史数据，网络管理员根据当前的和历史的数据就可对网络及其主要成分的性能进行性能管理，通过数据分析获得性能的变化趋势。分析制约网络性能的瓶颈问题。此外，在网络性能异常的情况下网络流量监测系统还可向网络管理者进行告警，使故障及时得到处理。在网络流量监测的基础上，管理员可对感兴趣的网络管理对象设置阈值范围以配置网络阈值对象，阈值对象监控实时轮询网络获取定义对象的当前值。若超出阀值的上限和下限则报警，帮助管理员发现网络瓶颈，这样即可实现一定程度上的故障管理，而网络流量监测本身也涉及到安全管理方面的内容。

所以，网络流量监测是网络管理中一个非常基础也非常重要的一个环节，研究网络流量监测是非常有意义的。

二、网络流量的特性

通过对互联网通信量的测量，人们发现互联网通信量的主要特性有：

１、数据流是双向的，但通常是非对称的互联网上大部分的应用都是双向交换数据的，因此网络的流是双向的。但是两个方向上的数据率有很大的差异，这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

２、大部分ＴＣＰ会话是短期的，超过９０％的ＴＣＰ会话交换的数据量小于１０Ｋ字节，会话持续时间不超过几秒。虽然文件传输和远程登陆这些ＴＣＰ对话都不是短期的，但是由于８０％的ＷＷＷ文档传输都小于１０Ｋ字节，ＷＷＷ的巨大增长使其在这方面产生了决定性的影响。

３、包的到达过程不是泊松过程，大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程，即包到达的间断时间的分布是独立的指数分布。简单的说，泊松到达过程就是事件（例如地震，交通事故，电话等）按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布，而且不是独立分布的。大部分时候是多个包连续到达，即包的到达是有突发性的。很明显，泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性，从而促进了网络通信量模型的研究。

４、网络通信量具有局域性，互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上，从而显示出基于时间的相关（时间局域性）和基于空间的相关（空间局域性）。

三、网络流量的监测技术

１、基于流量镜像协议分析

流量镜像（在线ＴＡＰ）协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过７层协议解码对网络流量进行监测。与其他３种方式相比，协议分析是网络测试的最基本手段，特别适合网络故障分析。缺点是流量镜像（在线ＴＡＰ）协议分析方式只针对单条链路，不适合全网监测。

２、基于硬件探针的监测技术

硬件探针是一种用来获取网络流量的硬件设备，使用时将它串接在需要捕捉流量的链路中，通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网（通常是一条链路）的流量信息。对于全网流量的监测需要采用分布式方案，在每条链路部署一个探针，再通过后台服务器和数据库，收集所有探针的数据，做全网的流量分析和长期报告。与其他的３种方式相比，基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率，一般只针对１０００Ｍ以下的速率。而且探针方式重点是单条链路的流量分析，Ｎｅｔｆｌｏｗ更偏重全网流量的分析。

３、基于ＳＮＭＰ的流量监测技术

基于ＳＮＭＰ的流量信息采集，实质上是测试仪表通过提取网络设备Ａｇｅｎｔ提供的ＭＩＢ（管理对象信息库）中收集一些具体设备及流量信息有关的变量。基于ＳＮＭＰ收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。相似的方式还包括ＲＭＯＮ。与其他的方式相比，基于ＳＮＭＰ的流量监测技术受到设备厂家的广泛支持，使用方便，缺点是信息不够丰富和准确，分析集中在网络的２、３层的信息和设备的消息。ＳＮＭＰ方式经常集成在其他的３种方案中，如果单纯采用ＳＮＭＰ做长期的、大型的网络流量监控，在测试仪表的基础上，需要使用后台数据库。

４、基于Ｎｅｔｆｌｏｗ的流量监测技术

Ｎｅｔｆｌｏｗ流量信息采集是基于网络设备（Ｃｉｓｃｏ）提供的Ｎｅｔｆｌｏｗ机制实现的网络流量信息采集。Ｎｅｔｆｌｏｗ为Ｃｉｓｃｏ之专属协议，已经标准化，并且Ｊｕｎｉｐｅｒ、ｅｘｔｒｅｍｅ、华为等厂家也逐渐支持，Ｎｅｔｆｌｏｗ由路由器、交换机自身对网络流量进行统计，并且把结果发送到第３方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后，便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析，网络监测等应用提供计数根据。同时，Ｎｅｔｆｌｏｗ也提供针对ＱｏＳ（ＱｕａｌｉｔｙｏｆＳｅｒ－ｖｉｃｅ）的测量基准，能够捕捉到每笔数据流的流量分类或优先性特性，而能够进一步根据ＱｏＳ进行分级收费。与其他的方式相比，基于Ｎｅｔｆｌｏｗ的流量监测技术属于中央部署级方案，部署简单、升级方便，重点是全网流量的采集，而不是某条具体链路；Ｎｅｔｆｌｏｗ流量信息采集效率高，网络规模越大，成本越低，拥有很好的性价比和投资回报。缺点是没有分析网络物理层和数据链路层信息。Ｎｅｔｆｌｏｗ方式是网络流量统计方式的发展趋势。

在综合比较四种技术之后，不难得出以下结论：基于ＳＮＭＰ的流量监测技术能够满足网络流量分析的需要，且信息采集效率高，适合在各类网络中应用。

参考文献

［１］吕军，李星．网络测量分析及研究综述．计算机工程与应用，２００６．Ｐ：１９．

［２］张峰，雷振明．高速网络流测量及模型研究．计算机工程与应用，２００７Ｐ：２８．

［３］陈志松．Ｗｉｎｄｏｗｓ环境下网络流量监测与分析．计算机工程与应用，２００９．

［４］石志国．网络流量监测技术及流量抽样方法的研究．清华大学出版社，２００７．

网络流量监测技术及方法的探讨

湖南机电职业技术学院李玉林

［摘要］网络流量监测是网络管理的基础。为了更好地管理网络和改善网络的运行，网络管理者需要知道其网络的流量情况。比

如，当网络管理者发现某些设备的流量负载过重时，就可以考虑在更换新的设备或者改造线路；当网络管理者发现了网络中数据流

量变化的规律时，可以更好地调配设备，有效地利用资源。一个能够显示网络设备流量的工具，使网络管理者能够直观地监测设备

流量的变化，对网络设备进行有效管理是很有必要的。

［关键词］网络流量技术网络流量监测方法

计算机与网络

２１３

——