校园网流量监控分析

校园网流量监测与分析
网络流量监测是获得第一手网络流量特征的直接手段。

传统的网络流量监测主要是通过集成在网络设备中的SNMP(Simple Network Management Protoc01)协议[RFCll57，SNMPv3】实现。

但是基于SNMP的方法无法获得高层协议的流量特征，并且为了减少对网络设备影响，MIB轮询问隔往往比较大，因此出现了基于数据包的流量分析。

基于数据包的流量分析方法是通过端口镜像等方式捕获链路所有数据包，通过协议分析的方法详细解析各协议层次流量，了解网络流量特征，建立网络模型。

但是PCI总线带宽、内存访问速度、磁盘阵列的访问速度、巨大的流量信息等都限制了数据包捕获，并且早先基于数据包的流量模型也逐渐不适合新的网络流量特征。

根据监测粒度的不同，可将目前所存在的流量监测方法分为：链路级监测，数据包级监测和业务流级监测。

其中以业务流级监测属于最新出现和最为热门的。

业务流级监测是一种更高层的流量监测方法，可以获取业务会话的行为特征。

网络监测可分为三个方面：流量描述，网络监控和流量控制。

流量描述的任务：1、识别流量的模式，尤其是峰值流量的模式和这些模式的变化，可以按一定的时
尺度对其进行分析，找出其中流量使用的一些特性，比如周期性，忙时流量
2、分析流量的网络分布，可基于流、网络接口、链接、节点、节点对、路径或
者目标节点进行分析
3、根据不同路由器和网络上不同服务类型数据的表现来预测未来的流量负载
网络监控的任务：1、监视网络目前运行的状态，找出错误的或者可能导致错误的设备或者操作
2、监视网络服务质量和连续性，从而保证服务质量或者服务等级得到有效的执行，
可监控每个特定的服务的性能
3、监测流量工程策略的有效性，同时可以在网络性能的参数到达阀值的时候激活相
应的策略
4、监视不同服务提供商之间的流量的任务，包括对网络内部和网络之间流量的交换
进行估计，以及为服务提供商之间各式各样的流量交换提供服务。

流量监测分析的方法和分类：
1、基于软件测量方法：最简单最快速的被动测量系统是运行Unix程序tcpdump，这个程序可在多种
Unix系统中运行。

它将在指定的网络接口上监听，捕获所有的数据流，记录所有源和到达指定接口的数据包，或与某个网络连接相关的TCP分组。

NetFlow：Cisco发展的流量统计协议。

对经过交换机的IP数据流(Flow)进行详细的测量和统计NetFlow是通过在交换机内部对流经设备的所有包进行捕捉，并依据“流(Flow)”进行
聚类。

NetFlow也是在交换机内部收集数据，可以用来捕获经过设备的所有数据流信息，
并把这些网络流量信息发给流量分析服务器。

MRTG：基于SNMP开发的监测网络链路流量负载的软件。

提供了一种形象的流量数据显示方式：即图形化流量数据显示，把一段时间内的流量数据以曲线图的方式绘制成PNG图像，方便管理员
查看。

但存在一些问题，比如，庞大的数据量与实时监测之间存在着矛盾，，MRTG的适
用范围有很大的限制，MRTG是使用一个文本配置文件来确定要监测对象的。

当网络设置改变
时，管理员不得不手工重新生成该配置文件。

2、基于硬件测试方法：基于硬件被动测量的一个例子是OCXmon监控器，它通过分光器打散光纤连接
器中的光束，收集数据包头信息。

硬件方案中同样有许多监控系统运行在用户接口中，并在系统
中存储数据。

网卡中运行的时间标记、时钟同步、丢包计数器、业务流过滤传送到主机前，时间
标记要尽可能接近于实际离线时间。

硬件系统中，任何缓冲区都要检查数据包丢失。

流量监测分析的基本内容：点和链路的流量，网络层的流量，传输层的流量，业务流量，特定服务器的流量，其他值得关注的流量。

由于现在大量桌面网络软件的应用，特别是P2P软件的广泛使用，使得校园网的应用层流量变得困难：大量带宽被非核心业务占用．而传统的基于端I3'和IP的流量管理难以满足要求．缺乏柔性。

本文针对上述问题，提出了一个系统构架方案：．该系统由流量检测识别、流量分类、流量整形和Web 交互4个模块构成流量的整形由Linux内核中自带的流量整形模块和防火墙完成。

该系统在数据采集方面．根据实际网络的需求采用多线程旁路监听和单线程旁路监听两种模式获取数据当网络负载较小时，流量检测识别模块采用单线程旁路监听模式．而当面临大流量网络环境时采用多线程旁路监听和数据缓存的方式保证分析结果的准确性。

在流量识别方面，对Subhabrata Sen提出应用协议特征方法的改进。

网络流量监控：系统的控制流量的方法是设置防火墙规则和流量控制命令流量控制的流程分为以下三步：1、在流量控制模块中添加流量分类；2、将符合要求的数据报文打上标记：3、将带有该标记的数据报文导入预先设定好的分类中，从而实现流量的控制。