賀 靜

(太原理工大學(xué)信息化管理與建設(shè)中心，山西 太原 030024)

2017-06-30

賀 靜(1983- )，女，山西原平人，講師，碩士研究生,2007年畢業(yè)于太原理工大學(xué)。研究方向：網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)信息安全。

1674- 4578(2017)05- 0071- 03

基于sFlow的校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)研究

賀 靜

(太原理工大學(xué)信息化管理與建設(shè)中心，山西 太原 030024)

隨著校園網(wǎng)絡(luò)規(guī)模日益擴(kuò)大與應(yīng)用日趨復(fù)雜，采用傳統(tǒng)方法對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理變的越來(lái)越困難，本文介紹了目前流量監(jiān)控技術(shù)中較為主流的sFlow技術(shù),針對(duì)sFlow的特點(diǎn)，在校園網(wǎng)中部署了一個(gè)基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實(shí)驗(yàn)達(dá)到了較理想的網(wǎng)絡(luò)監(jiān)控效果。

校園網(wǎng)；sFlow；網(wǎng)絡(luò)監(jiān)控

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷推廣，校園網(wǎng)規(guī)模日益擴(kuò)大且網(wǎng)結(jié)構(gòu)與應(yīng)用日趨復(fù)雜，如何對(duì)校園網(wǎng)進(jìn)行全面有效的監(jiān)控是目前網(wǎng)絡(luò)管理面臨的巨大挑戰(zhàn)，這給校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)帶來(lái)了廣闊的研究領(lǐng)域，網(wǎng)絡(luò)監(jiān)控技術(shù)的核心技術(shù)就是對(duì)網(wǎng)絡(luò)中的流量進(jìn)行即時(shí)準(zhǔn)確的分析，本文首先對(duì)常用的流量分析技術(shù)進(jìn)行簡(jiǎn)單的介紹。又重點(diǎn)介紹了sFlow技術(shù),針對(duì)sFlow的特點(diǎn)，在校園網(wǎng)中部署了一個(gè)基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，并對(duì)系統(tǒng)如何實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控進(jìn)行了描述，此系統(tǒng)可實(shí)時(shí)有效的對(duì)校園網(wǎng)流量進(jìn)行分析，對(duì)校園網(wǎng)管理有很大的實(shí)用價(jià)值。

1 流量分析技術(shù)介紹

當(dāng)前能對(duì)網(wǎng)絡(luò)的流量進(jìn)行分析的類型主要有以下兩種：

1.1 點(diǎn)接觸型流量分析

點(diǎn)接觸型流量分析技術(shù)的原理為：在網(wǎng)絡(luò)中的某個(gè)接入點(diǎn)上，利用探針檢測(cè)該接入點(diǎn)的每個(gè)package，所利用的方法為逐個(gè)包拆分，并在檢測(cè)的同時(shí)完成統(tǒng)計(jì)。點(diǎn)接觸型流量分析的優(yōu)點(diǎn)為：此技術(shù)中流量的采集只依賴于探針的包處理機(jī)制，與網(wǎng)絡(luò)中使用何種類型的交換機(jī)沒(méi)有關(guān)聯(lián)；由于本技術(shù)采用逐個(gè)包拆分的方法，所以可自主制定策略來(lái)滿足用戶的需求。缺點(diǎn)為：接入點(diǎn)的個(gè)數(shù)有限，只能對(duì)有限的點(diǎn)進(jìn)行數(shù)據(jù)的采集，如果想在網(wǎng)絡(luò)的所有關(guān)鍵點(diǎn)布置接入點(diǎn)，成本較大；在關(guān)鍵接入點(diǎn)串入網(wǎng)絡(luò)流量采集設(shè)備，會(huì)增加網(wǎng)絡(luò)的故障點(diǎn)。

采用點(diǎn)接觸型流量分析的代表設(shè)備為：IDS，F(xiàn)LUKE測(cè)試等。

1.2 面接觸型流量分析

面接觸型流量分析技術(shù)的原理：利用交換機(jī)固有的流量采集代理來(lái)完成報(bào)文中關(guān)鍵信息的統(tǒng)計(jì)工作。面接觸型流量分析的優(yōu)點(diǎn)為：此技術(shù)不同于點(diǎn)接觸型流量分析，無(wú)需在網(wǎng)絡(luò)的關(guān)鍵接入點(diǎn)上布置探針，只需要布置一臺(tái)交換機(jī)設(shè)備用以流量采集統(tǒng)計(jì)，即可采集分析核心層流量，并不影響整個(gè)網(wǎng)絡(luò)的性能；此技術(shù)可在網(wǎng)絡(luò)的任一點(diǎn)上采集整個(gè)網(wǎng)絡(luò)的流量；整個(gè)校園網(wǎng)中，只需布置一套監(jiān)控系統(tǒng)，成本低。缺點(diǎn)為：此技術(shù)采集的數(shù)據(jù)只局限于某種類型的package的采樣值，而不是包的全部，相較于點(diǎn)接觸型流量分析來(lái)說(shuō)，采集的數(shù)據(jù)較少。

采用面接觸型流量分析的代表設(shè)備為：NETFLOW監(jiān)控，sFlow監(jiān)控等。

當(dāng)前CERNET校園網(wǎng)都是萬(wàn)兆核心層網(wǎng)絡(luò)平臺(tái)，根據(jù)前面對(duì)兩種流量分析技術(shù)的介紹可知，相較于點(diǎn)接觸型流量分析技術(shù)，面接觸型在采集與分析如此巨大網(wǎng)絡(luò)流量時(shí)，有顯而易見(jiàn)不比擬的優(yōu)勢(shì)。本文采用當(dāng)前較主流的sFlow監(jiān)控系統(tǒng)完成校園網(wǎng)網(wǎng)絡(luò)流量的采集與監(jiān)控。

2 sFlow技術(shù)應(yīng)用

2.1 sFlow技術(shù)介紹

sFlow,是由InMon公司于2001年提出的一種基于“統(tǒng)計(jì)采樣”的網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù),以RFC3176文件的形式進(jìn)行了發(fā)布。sFlow通過(guò)對(duì)校園網(wǎng)中網(wǎng)絡(luò)設(shè)備處理的package進(jìn)行采集來(lái)獲取網(wǎng)絡(luò)中流量的信息,之后把采集后的數(shù)據(jù)包發(fā)送給流量分析服務(wù)器進(jìn)行分析,讓用戶詳盡與實(shí)時(shí)地知道網(wǎng)絡(luò)的性能與安全等問(wèn)題。目前，僅有Foundry和Juniper Networks等廠商的部分型號(hào)的交換機(jī)支持sFlow。

sFlow的主要優(yōu)勢(shì)在于:進(jìn)行整個(gè)網(wǎng)絡(luò)監(jiān)視成本更低；擁有的“一直在線技術(shù)”能夠?qū)W(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集與分析能力；嵌入到ASIC中的強(qiáng)勁技術(shù)；全網(wǎng)的視圖都是可看見(jiàn)的；采樣的速率是可以自主配置的；整個(gè)網(wǎng)絡(luò)的交換性能不受影響；網(wǎng)絡(luò)帶寬基本不受影響；包頭的信息是完整的；第二到七層的詳細(xì)信息是完整的并且支持多種協(xié)議。

2.2 實(shí)現(xiàn)原理

sFlow 的網(wǎng)絡(luò)流量監(jiān)測(cè)實(shí)現(xiàn)一般由兩部分構(gòu)成:sFlow代理(Agent)和sFlow流量采集器(Collector)。

sFlow系統(tǒng)的基本原理為：分布在校園網(wǎng)的sFlow代理把sFlow報(bào)文發(fā)送到Collector，如圖1所示，其中sFlow報(bào)文包含了原始報(bào)文、路由轉(zhuǎn)發(fā)表與端口計(jì)數(shù)三個(gè)數(shù)據(jù)源的信息。采集器接收到sFlowDatagram后，對(duì)數(shù)據(jù)包進(jìn)行分析并生成全校園網(wǎng)范圍的分析結(jié)果圖。

圖1 sFlow系統(tǒng)原理圖

2.3 sFlow技術(shù)在校園網(wǎng)中的布署

本文以Juniper交換機(jī)和PRTG軟件為例部署系統(tǒng)。

首先在校園網(wǎng)絡(luò)的各個(gè)層級(jí)交換機(jī)(Agent)啟用sFlow，通過(guò)收集設(shè)備上相關(guān)端口的流量轉(zhuǎn)發(fā)情況并實(shí)時(shí)將整個(gè)校園網(wǎng)絡(luò)的流量發(fā)送到服務(wù)器端(Collector)。

服務(wù)器端部署PRTG軟件，由PRTG分析軟件來(lái)對(duì)從交換機(jī)收到的數(shù)據(jù)包進(jìn)行全面、實(shí)時(shí)、豐富的流量及統(tǒng)計(jì)分析?；趕Flow技術(shù)的監(jiān)控效果示例各端口流量圖如圖2。

圖2 各端口流量圖

詳細(xì)日期及時(shí)間段流量顯示圖形界面和表格界面如圖3，圖4。

圖3 詳細(xì)時(shí)間段流量顯示圖形界面

Toplists顯示詳細(xì)的統(tǒng)計(jì)信息如圖5。

由上面實(shí)驗(yàn)結(jié)果圖可知，基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)在校園網(wǎng)中達(dá)到了較為理想的監(jiān)控效果。

3 結(jié)語(yǔ)

要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)全面、實(shí)時(shí)的監(jiān)控分析必須依靠先進(jìn)有效的網(wǎng)絡(luò)監(jiān)控協(xié)議和技術(shù)來(lái)滿足業(yè)務(wù)日益增長(zhǎng)的需求。sFlow網(wǎng)絡(luò)技術(shù)的出現(xiàn)可以很大程度滿足當(dāng)前及未來(lái)幾年校園網(wǎng)絡(luò)發(fā)展規(guī)模，為我們網(wǎng)絡(luò)管理員的日常巡檢維護(hù)帶來(lái)了極大的方便，也為保障校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運(yùn)行提供了很好的依據(jù)。

圖4 詳細(xì)時(shí)間段流量顯示表格界面

圖5 Toplists顯示詳細(xì)的統(tǒng)計(jì)信息

[1] 李鑫,黃克寧.利用sFlow技術(shù)監(jiān)控網(wǎng)絡(luò)異常流量.網(wǎng)絡(luò)管理和維護(hù),2007(1)：81-83.

[2] 朱華鑫,陳宏聰.sFlow網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)探析.計(jì)算機(jī)與數(shù)字工程,2010,38(2):110-113.

[3] RFC3176.http://www.ietf.org/rfc/rfc3176.txt.

[4] Phaal.InMon Corpo ration's sFlow:A Method for Monitoring Traffic in Switched and Routed Netw or k.2001(9).

ResearchonCampusNetworkMonitoringBasedonsFlow

He Jing

(CenterofInformationManagementandDevelopment,TaiyuanUniversityofTechnology，TaiyuanShanxi030024，China)

With the increasing scale and application of campus network, traditional methods of network monitoring and management become more and more difficult. This paper introduces the sFlow technology which is the current mainstream technology of traffic, and according to the characteristics of sFlow in the campus network, the deployment of a network monitoring system based on sFlow technology and Juniper network equipment on campus Network is made. The experiment achieves the ideal effect.

campus network; sFlow; network monitoring

TP393

A