賀 靜

(太原理工大學(xué)信息化管理與建設(shè)中心，山西 太原 030024)

2017-06-30

賀 靜(1983- )，女，山西原平人，講師，碩士研究生,2007年畢業(yè)于太原理工大學(xué)。研究方向：網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)信息安全。

1674- 4578(2017)05- 0071- 03

基于sFlow的校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)研究

賀 靜

(太原理工大學(xué)信息化管理與建設(shè)中心，山西 太原 030024)

隨著校園網(wǎng)絡(luò)規(guī)模日益擴大與應(yīng)用日趨復(fù)雜，采用傳統(tǒng)方法對網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理變的越來越困難，本文介紹了目前流量監(jiān)控技術(shù)中較為主流的sFlow技術(shù),針對sFlow的特點，在校園網(wǎng)中部署了一個基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實驗達(dá)到了較理想的網(wǎng)絡(luò)監(jiān)控效果。

校園網(wǎng)；sFlow；網(wǎng)絡(luò)監(jiān)控

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷推廣，校園網(wǎng)規(guī)模日益擴大且網(wǎng)結(jié)構(gòu)與應(yīng)用日趨復(fù)雜，如何對校園網(wǎng)進(jìn)行全面有效的監(jiān)控是目前網(wǎng)絡(luò)管理面臨的巨大挑戰(zhàn)，這給校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)帶來了廣闊的研究領(lǐng)域，網(wǎng)絡(luò)監(jiān)控技術(shù)的核心技術(shù)就是對網(wǎng)絡(luò)中的流量進(jìn)行即時準(zhǔn)確的分析，本文首先對常用的流量分析技術(shù)進(jìn)行簡單的介紹。又重點介紹了sFlow技術(shù),針對sFlow的特點，在校園網(wǎng)中部署了一個基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，并對系統(tǒng)如何實現(xiàn)網(wǎng)絡(luò)監(jiān)控進(jìn)行了描述，此系統(tǒng)可實時有效的對校園網(wǎng)流量進(jìn)行分析，對校園網(wǎng)管理有很大的實用價值。

1 流量分析技術(shù)介紹

當(dāng)前能對網(wǎng)絡(luò)的流量進(jìn)行分析的類型主要有以下兩種：

1.1 點接觸型流量分析

點接觸型流量分析技術(shù)的原理為：在網(wǎng)絡(luò)中的某個接入點上，利用探針檢測該接入點的每個package，所利用的方法為逐個包拆分，并在檢測的同時完成統(tǒng)計。點接觸型流量分析的優(yōu)點為：此技術(shù)中流量的采集只依賴于探針的包處理機制，與網(wǎng)絡(luò)中使用何種類型的交換機沒有關(guān)聯(lián)；由于本技術(shù)采用逐個包拆分的方法，所以可自主制定策略來滿足用戶的需求。缺點為：接入點的個數(shù)有限，只能對有限的點進(jìn)行數(shù)據(jù)的采集，如果想在網(wǎng)絡(luò)的所有關(guān)鍵點布置接入點，成本較大；在關(guān)鍵接入點串入網(wǎng)絡(luò)流量采集設(shè)備，會增加網(wǎng)絡(luò)的故障點。

采用點接觸型流量分析的代表設(shè)備為：IDS，F(xiàn)LUKE測試等。

1.2 面接觸型流量分析

面接觸型流量分析技術(shù)的原理：利用交換機固有的流量采集代理來完成報文中關(guān)鍵信息的統(tǒng)計工作。面接觸型流量分析的優(yōu)點為：此技術(shù)不同于點接觸型流量分析，無需在網(wǎng)絡(luò)的關(guān)鍵接入點上布置探針，只需要布置一臺交換機設(shè)備用以流量采集統(tǒng)計，即可采集分析核心層流量，并不影響整個網(wǎng)絡(luò)的性能；此技術(shù)可在網(wǎng)絡(luò)的任一點上采集整個網(wǎng)絡(luò)的流量；整個校園網(wǎng)中，只需布置一套監(jiān)控系統(tǒng)，成本低。缺點為：此技術(shù)采集的數(shù)據(jù)只局限于某種類型的package的采樣值，而不是包的全部，相較于點接觸型流量分析來說，采集的數(shù)據(jù)較少。

采用面接觸型流量分析的代表設(shè)備為：NETFLOW監(jiān)控，sFlow監(jiān)控等。

當(dāng)前CERNET校園網(wǎng)都是萬兆核心層網(wǎng)絡(luò)平臺，根據(jù)前面對兩種流量分析技術(shù)的介紹可知，相較于點接觸型流量分析技術(shù)，面接觸型在采集與分析如此巨大網(wǎng)絡(luò)流量時，有顯而易見不比擬的優(yōu)勢。本文采用當(dāng)前較主流的sFlow監(jiān)控系統(tǒng)完成校園網(wǎng)網(wǎng)絡(luò)流量的采集與監(jiān)控。

2 sFlow技術(shù)應(yīng)用

2.1 sFlow技術(shù)介紹

sFlow,是由InMon公司于2001年提出的一種基于“統(tǒng)計采樣”的網(wǎng)絡(luò)流量監(jiān)測技術(shù),以RFC3176文件的形式進(jìn)行了發(fā)布。sFlow通過對校園網(wǎng)中網(wǎng)絡(luò)設(shè)備處理的package進(jìn)行采集來獲取網(wǎng)絡(luò)中流量的信息,之后把采集后的數(shù)據(jù)包發(fā)送給流量分析服務(wù)器進(jìn)行分析,讓用戶詳盡與實時地知道網(wǎng)絡(luò)的性能與安全等問題。目前，僅有Foundry和Juniper Networks等廠商的部分型號的交換機支持sFlow。

sFlow的主要優(yōu)勢在于:進(jìn)行整個網(wǎng)絡(luò)監(jiān)視成本更低；擁有的“一直在線技術(shù)”能夠?qū)W(wǎng)絡(luò)流量進(jìn)行實時采集與分析能力；嵌入到ASIC中的強勁技術(shù)；全網(wǎng)的視圖都是可看見的；采樣的速率是可以自主配置的；整個網(wǎng)絡(luò)的交換性能不受影響；網(wǎng)絡(luò)帶寬基本不受影響；包頭的信息是完整的；第二到七層的詳細(xì)信息是完整的并且支持多種協(xié)議。

2.2 實現(xiàn)原理

sFlow 的網(wǎng)絡(luò)流量監(jiān)測實現(xiàn)一般由兩部分構(gòu)成:sFlow代理(Agent)和sFlow流量采集器(Collector)。

sFlow系統(tǒng)的基本原理為：分布在校園網(wǎng)的sFlow代理把sFlow報文發(fā)送到Collector，如圖1所示，其中sFlow報文包含了原始報文、路由轉(zhuǎn)發(fā)表與端口計數(shù)三個數(shù)據(jù)源的信息。采集器接收到sFlowDatagram后，對數(shù)據(jù)包進(jìn)行分析并生成全校園網(wǎng)范圍的分析結(jié)果圖。

圖1 sFlow系統(tǒng)原理圖

2.3 sFlow技術(shù)在校園網(wǎng)中的布署

本文以Juniper交換機和PRTG軟件為例部署系統(tǒng)。

首先在校園網(wǎng)絡(luò)的各個層級交換機(Agent)啟用sFlow，通過收集設(shè)備上相關(guān)端口的流量轉(zhuǎn)發(fā)情況并實時將整個校園網(wǎng)絡(luò)的流量發(fā)送到服務(wù)器端(Collector)。

服務(wù)器端部署PRTG軟件，由PRTG分析軟件來對從交換機收到的數(shù)據(jù)包進(jìn)行全面、實時、豐富的流量及統(tǒng)計分析。基于sFlow技術(shù)的監(jiān)控效果示例各端口流量圖如圖2。

圖2 各端口流量圖

詳細(xì)日期及時間段流量顯示圖形界面和表格界面如圖3，圖4。

圖3 詳細(xì)時間段流量顯示圖形界面

Toplists顯示詳細(xì)的統(tǒng)計信息如圖5。

由上面實驗結(jié)果圖可知，基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)在校園網(wǎng)中達(dá)到了較為理想的監(jiān)控效果。

3 結(jié)語

要實現(xiàn)對網(wǎng)絡(luò)全面、實時的監(jiān)控分析必須依靠先進(jìn)有效的網(wǎng)絡(luò)監(jiān)控協(xié)議和技術(shù)來滿足業(yè)務(wù)日益增長的需求。sFlow網(wǎng)絡(luò)技術(shù)的出現(xiàn)可以很大程度滿足當(dāng)前及未來幾年校園網(wǎng)絡(luò)發(fā)展規(guī)模，為我們網(wǎng)絡(luò)管理員的日常巡檢維護(hù)帶來了極大的方便，也為保障校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運行提供了很好的依據(jù)。

圖4 詳細(xì)時間段流量顯示表格界面

圖5 Toplists顯示詳細(xì)的統(tǒng)計信息

[1] 李鑫,黃克寧.利用sFlow技術(shù)監(jiān)控網(wǎng)絡(luò)異常流量.網(wǎng)絡(luò)管理和維護(hù),2007(1)：81-83.

[2] 朱華鑫,陳宏聰.sFlow網(wǎng)絡(luò)流量監(jiān)測技術(shù)探析.計算機與數(shù)字工程,2010,38(2):110-113.

[3] RFC3176.http://www.ietf.org/rfc/rfc3176.txt.

[4] Phaal.InMon Corpo ration's sFlow:A Method for Monitoring Traffic in Switched and Routed Netw or k.2001(9).

ResearchonCampusNetworkMonitoringBasedonsFlow

He Jing

(CenterofInformationManagementandDevelopment,TaiyuanUniversityofTechnology，TaiyuanShanxi030024，China)

With the increasing scale and application of campus network, traditional methods of network monitoring and management become more and more difficult. This paper introduces the sFlow technology which is the current mainstream technology of traffic, and according to the characteristics of sFlow in the campus network, the deployment of a network monitoring system based on sFlow technology and Juniper network equipment on campus Network is made. The experiment achieves the ideal effect.

campus network; sFlow; network monitoring

TP393

A