企業(yè)網(wǎng)流量監(jiān)測系統(tǒng)的設計與實現(xiàn)

潘虎

摘要：企業(yè)網(wǎng)絡中經(jīng)常會有整體網(wǎng)絡速度下降或者部分網(wǎng)段和計算機無法上網(wǎng)的情況，為了分析網(wǎng)絡瓶頸和定位故障點，通過建設和使用網(wǎng)絡流量監(jiān)測系統(tǒng)網(wǎng)絡，管理人員可以收集網(wǎng)絡運行數(shù)據(jù)，分析網(wǎng)絡流量數(shù)據(jù)確定網(wǎng)絡內(nèi)數(shù)據(jù)傳遞情況，實施網(wǎng)絡改造和設備設置解決故障。本文通過在一個典型的企業(yè)網(wǎng)環(huán)境中使用Cacti監(jiān)控網(wǎng)絡設備端口流量，ManageEngine NetFlowAnalyzer監(jiān)測網(wǎng)內(nèi)動態(tài)數(shù)據(jù)流，從而建立了網(wǎng)絡監(jiān)測系統(tǒng)，可以有效監(jiān)控網(wǎng)絡的數(shù)據(jù)傳遞情況。網(wǎng)絡管理員可以方便的定位網(wǎng)絡瓶頸和故障點，具有推廣意義。

關鍵詞：網(wǎng)絡流量監(jiān)測系統(tǒng)；SNMP；Cacti；動態(tài)數(shù)據(jù)流；Netflow

中圖分類號：TP393.06 文獻標識碼：A 文章編號：1009-3044（2016）21-0039-02

網(wǎng)絡管理是監(jiān)督、組織和控制網(wǎng)絡通訊服務以及信息處理所必需的各種活動的總稱，是網(wǎng)絡系統(tǒng)持續(xù)高效穩(wěn)定安全運行的重要保障。網(wǎng)絡管理的任務主要包括：收集網(wǎng)絡中各設備和系統(tǒng)的工作數(shù)據(jù)，工作數(shù)據(jù)即時通知管理員，管理員根據(jù)工作數(shù)據(jù)調(diào)整網(wǎng)絡設備的設置和配置以保障網(wǎng)絡正常運行[1]。網(wǎng)絡流量監(jiān)控系統(tǒng)是收集、記錄和統(tǒng)計網(wǎng)絡設備端口流量數(shù)據(jù)、園區(qū)網(wǎng)內(nèi)數(shù)據(jù)流數(shù)據(jù)、網(wǎng)絡應用流量數(shù)據(jù)的軟硬件集合，是實施網(wǎng)絡管理的基礎。網(wǎng)絡管理員使用網(wǎng)絡流量監(jiān)控系統(tǒng)收集網(wǎng)絡運行數(shù)據(jù)，分析網(wǎng)絡歷史運行狀態(tài)和實時運行狀態(tài)，可以精確定位園區(qū)網(wǎng)的性能瓶頸，針對網(wǎng)絡瓶頸調(diào)整網(wǎng)絡結構和設備配置；在網(wǎng)絡運行異常時可以精確定位故障點，即時排除。在企業(yè)、事業(yè)單位建設計算機網(wǎng)絡時，為實施網(wǎng)絡管理，保證網(wǎng)絡持續(xù)高效穩(wěn)定安全運行，應該建立網(wǎng)絡流量監(jiān)測系統(tǒng)。

1 在企業(yè)網(wǎng)中部署網(wǎng)絡流量監(jiān)測系統(tǒng)

1.1 網(wǎng)絡環(huán)境和建設目標

圖一是某企業(yè)網(wǎng)絡結構拓撲：網(wǎng)絡的核心網(wǎng)絡交換機是Cisco Catalys 4506路由交換機，匯聚交換機是Cisco Catalyst 3750G-12S-S三層交換機， 各業(yè)務科室接入交換機是Cisco Catalyst2960交換機。左側的華為2403交換機是辦公室接入交換機，右側華為2403連接多個業(yè)務服務器，包括WWW服務器，數(shù)據(jù)庫服務器，郵件服務器等等。交換機IP地址范圍是172.17.7.0/24，計算機IP地址范圍是172.16.0.0/24；企業(yè)申請了4個外網(wǎng)IP地址，由路由器Cisco 2811完成PAT端口多路復用功能。

針對這個園區(qū)網(wǎng)建立網(wǎng)絡監(jiān)測系統(tǒng)用于監(jiān)控網(wǎng)絡設備端口流量數(shù)據(jù)、園區(qū)網(wǎng)絡動態(tài)數(shù)據(jù)流數(shù)據(jù)、網(wǎng)絡應用流量數(shù)據(jù)。在X86架構服務器上使用虛擬機軟件創(chuàng)建兩個虛擬機S1、S2。S1安裝Cacti網(wǎng)絡監(jiān)控軟件監(jiān)測網(wǎng)絡設備的端口流量。Cacti是一套開源網(wǎng)絡檢測分析工具，用PHP網(wǎng)絡編程語言編寫，使用SNMP網(wǎng)絡管理協(xié)議管理網(wǎng)絡設備[2]。網(wǎng)絡管理員通過Cacti操作界面設置監(jiān)控內(nèi)容和顯示方式，查看監(jiān)控結果。它能實現(xiàn)對網(wǎng)絡設備狀態(tài)、設備端口流量數(shù)據(jù)實時圖像化顯示；可以預先設置網(wǎng)絡設備端口流量數(shù)據(jù)閥值、網(wǎng)絡設備硬件使用率閥值，當系統(tǒng)運行數(shù)據(jù)超過閥值時，Cacti網(wǎng)絡系統(tǒng)監(jiān)控軟件通過短信、郵件或聲音報警。

S2安裝ManageEngine NetFlowAnalyzer網(wǎng)絡流量監(jiān)控分析軟件監(jiān)測網(wǎng)內(nèi)動態(tài)數(shù)據(jù)流。園區(qū)網(wǎng)內(nèi)通過網(wǎng)絡設備的數(shù)據(jù)包按照源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型、服務類型、輸入/輸出接口特征分類，每個類別就是一個動態(tài)數(shù)據(jù)流，監(jiān)控每個動態(tài)數(shù)據(jù)流的特征數(shù)據(jù)可知數(shù)據(jù)的具體流向和流量信息。ManageEngine NetFlowAnalyzer網(wǎng)絡流量監(jiān)控分析軟件利用Netflow收集網(wǎng)絡中關于流量的信息，監(jiān)控分析軟件是NetFlow收集器，接受網(wǎng)絡設備即NetFlow代理發(fā)送的NetFlow記錄即動態(tài)數(shù)據(jù)流記錄存入Mysql數(shù)據(jù)庫，分析統(tǒng)計數(shù)據(jù)提供各種報表以確定數(shù)據(jù)流的時間、源目IP、業(yè)務類別[3]。

1.2 網(wǎng)絡流量監(jiān)測系統(tǒng)實施

1.2.1用Cacti建立園區(qū)網(wǎng)的網(wǎng)絡設備端口流量監(jiān)控系統(tǒng)

1）安裝軟件：設置S1的ip地址為172.16.1.66 ，在服務器S1上安裝centos 6.3，MySql，Apache，PHP，RRDTool，NET-SNMP，Cacti0.0.8a 。在瀏覽器地址欄輸入http：//172.16.1.66/cacti后進入Cacti管理界面。

2）為全部網(wǎng)絡交換機設置SNMP參數(shù)。以Cisco 2960交換機為例（其他交換機相同）：

Switch-C2960-1（config）#Interface vlan1

Switch-C2960-1（config）#ip address 172.17.7.1 255.255.255.0 設置本機管理IP地址；

Switch-C2960-1（config）#snmp-server community netmanage RO 開啟snmp-server功能，設置只讀community 為netmanage；

3）創(chuàng)建監(jiān)測項目：以Cisco 2960交換機為例，cacti管理界面有兩個選項卡， Console選項卡進行所有的配置操作；graphs選項卡查看在監(jiān)控項目的數(shù)據(jù)圖形。在console選項卡的device面板創(chuàng)建監(jiān)控項目設備，輸入description：Switch-C2960-1；Hostname：172.17.7.1；Host Templat：Generic SNMP-enabled Host；SNMP community：netmanage等信息后單擊Create添加成功。創(chuàng)建監(jiān)測項目圖形： device面板點擊Switch-C2960-1設備端口點擊Create完成創(chuàng)建。打開設備綜合信息窗口，單擊Create Graphs for this Host創(chuàng)建圖形，在設備屬性窗口選擇要監(jiān)控的設備

摘要：計算機遠程監(jiān)控技術是世界上工業(yè)自動化發(fā)展到一定程度的重要技術，由于工業(yè)生產(chǎn)過程中的自動化和生產(chǎn)設備分散化，傳統(tǒng)的現(xiàn)場監(jiān)控措施已經(jīng)不能滿足當前的監(jiān)控需求，必須發(fā)展以計算機軟件為基礎的遠程監(jiān)控系統(tǒng)。本文從計算機軟件技術下的遠程監(jiān)控系統(tǒng)特點、重要性和架構出發(fā)，探討如何優(yōu)化當前工業(yè)中所需要的遠程監(jiān)控系統(tǒng)。

關鍵詞：計算機軟件技術；遠程監(jiān)控系統(tǒng)；系統(tǒng)構架；網(wǎng)絡系統(tǒng)

中圖分類：TP311 文獻標識碼：A 文章編號：1009-3044（2016）21-0035-02

遠程監(jiān)控系統(tǒng)不同于以往的現(xiàn)場監(jiān)控和直接監(jiān)控技術，是針對現(xiàn)代化大工業(yè)生產(chǎn)的適應性監(jiān)控技術?；谟嬎銠C的遠程監(jiān)控系統(tǒng)主要包括計算機軟件系統(tǒng)和網(wǎng)絡傳輸系統(tǒng)，其中網(wǎng)絡傳輸系統(tǒng)包括現(xiàn)場控制網(wǎng)絡系統(tǒng)、企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)以及互聯(lián)網(wǎng)通信系統(tǒng)，在這個網(wǎng)絡系統(tǒng)之上還需要具體的軟件系統(tǒng)提供相應的支持。

1 遠程監(jiān)控系統(tǒng)的計算機軟件設計思路

遠程監(jiān)控系統(tǒng)的計算機軟件設計要依托當前的互聯(lián)網(wǎng)技術發(fā)展，實現(xiàn)靈活的遠程監(jiān)控需要依靠良好的網(wǎng)絡建設和充分的軟件支持，遠程監(jiān)控系統(tǒng)的軟件設計要從底層架構的構建開始向上逐步攀升，以符合最終的監(jiān)控系統(tǒng)應用需求。

1.1 基于C/S結構的遠程監(jiān)控系統(tǒng)設計思路

C/S結構最早出現(xiàn)在上世紀末，即服務器和客戶端組成的聯(lián)通網(wǎng)絡，在這個網(wǎng)絡系統(tǒng)中，服務器通過數(shù)據(jù)庫管理客戶端之間的信息和聯(lián)結，允許或限制客戶端進行數(shù)據(jù)庫的讀寫，同時統(tǒng)籌整個數(shù)據(jù)網(wǎng)絡的信息傳輸情況，并對整體的數(shù)據(jù)安全進行防護措施更新。在C/S結構的監(jiān)控系統(tǒng)中，客戶端和服務器的正?；颖旧砭褪亲钪匾臄?shù)據(jù)傳輸行為，客戶端在申請相關信息的時候必須符合服務器的相關規(guī)則。這樣才能保證整個監(jiān)控系統(tǒng)的正常運轉。

1.2 基于B/S結構的遠程監(jiān)控系統(tǒng)設計思路

B/S結構系統(tǒng)即利用瀏覽器和服務器之間的聯(lián)結進行監(jiān)控系統(tǒng)信息處理的方式，和上文中提到的監(jiān)控系統(tǒng)設計方式不同，這種設計思路主要是利用Web瀏覽器來對服務器進行訪問，省略了專用的客戶端機構，通過URL定位來進行數(shù)據(jù)庫資源的訪問和讀寫。B/S結構的遠程監(jiān)控設計系統(tǒng)主要利用HTML語言進行軟件層面的構建，與C/S結構的遠程監(jiān)控系統(tǒng)設計相比，B/S結構系統(tǒng)比較符合當前系統(tǒng)移動化和智能化的發(fā)展趨勢。

在B/S結構系統(tǒng)的設計思路當中，對用戶操作的簡化處于一個相當重要的地位，要確保軟件系統(tǒng)的擴展性和易用性，同時由于使用web進行系統(tǒng)和用戶之間的交互，遠程監(jiān)控系統(tǒng)的維護與更新都只需要對服務器上的根程序進行調(diào)整，就可以實現(xiàn)系統(tǒng)的實時監(jiān)控與更新。

2 遠程監(jiān)控系統(tǒng)計算機軟件的設計流程簡析

2.1 遠程監(jiān)控系統(tǒng)計算機軟件的主要模塊

一般遠程監(jiān)控系統(tǒng)的計算機軟件可以分為兩個主要模塊，即服務器端的程序模塊和客戶端的程序模塊，在B/S結構設計思路的遠程監(jiān)控系統(tǒng)中，客戶端的程序模塊可以被簡化和省略，本文從兩種設計思路出發(fā)，所以服務器端程序模塊和客戶端程序模塊都需要做出一定分析。

2.1.1 計算機遠程監(jiān)控系統(tǒng)當中服務器端的軟件模塊

在遠程監(jiān)控系統(tǒng)當中，服務器端的程序起到總領全體數(shù)據(jù)的作用，一般有以下幾個重要模塊需要在軟件設計的過程中進行著重考慮。首先是網(wǎng)絡模塊，就是指對客戶端連接進行監(jiān)聽的模塊，，負責網(wǎng)絡層之間數(shù)據(jù)傳輸?shù)暮侠磉\行。其次是數(shù)據(jù)編碼模塊，使用行程編碼或者霍夫曼編碼模式進行圖片傳輸?shù)膲嚎s編碼，在遠程監(jiān)控系統(tǒng)當中圖片和視頻的傳輸十分重要，因此編碼技術在程序中所占的比重很大。最后是主框架模塊，負責服務器的信息處理以及傳輸，一般使用合理的架構能夠提高服務器處理信息的效率。

2.1.2 計算機遠程監(jiān)控系統(tǒng)當中客戶端的軟件模塊

和傳統(tǒng)的C/S結構計算機遠程監(jiān)控系統(tǒng)軟件不同，B/S結構的計算機遠程監(jiān)控系統(tǒng)軟件不需要專門的客戶端軟件模塊，只需要在服務器端利用HTML語言編寫一個用戶界面就可以對遠程監(jiān)控系統(tǒng)進行操作和數(shù)據(jù)存取，因此客戶端軟件模塊這一項主要是針對C/S結構下正常運轉所使用和編制的。

在計算機遠程監(jiān)控系統(tǒng)的客戶端軟件中，有以下幾個部分需要特別關注。首先是接收服務器信息與上傳信息的網(wǎng)絡模塊，與服務器端不同，這里的網(wǎng)絡模塊重點在于數(shù)據(jù)的接收和發(fā)送，對網(wǎng)絡正常運轉和處理方面的功能有所弱化，同時也要注重正常連接的維持。其次，數(shù)據(jù)解碼模塊也是要和服務器端的數(shù)據(jù)編碼模塊配套，可以根據(jù)不同的編碼解碼語言設計多套數(shù)據(jù)編碼解碼模塊以便操作。另外，在B/S結構下，編碼和解碼模塊都是整合在服務器端模塊當中的。最重要的是用戶的操作模塊，為用戶提供簡單易懂的操作界面以及相關的系統(tǒng)使用參考，在操作模塊設計的過程中應該注重操作的便捷性和易用性。

2.2 遠程監(jiān)控系統(tǒng)計算機軟件設計的主要過程

計算機遠程監(jiān)控系統(tǒng)主要包括客戶端軟件和服務器端軟件，在軟件設計的過程中要首先對這兩個模塊進行分別設計。然而在使用的過程中要通過客戶端的軟件對服務器端的數(shù)據(jù)進行調(diào)動，因此兩者之間的連接和傳輸功能要優(yōu)先落實，也就是遠程控制系統(tǒng)的實現(xiàn)。遠程控制系統(tǒng)需要有專門的口令傳輸通道，并且可以根據(jù)各項命令對服務器端進行各種操作。當遠程控制系統(tǒng)順利地將客戶端與服務器端連接起來的時候，整個計算機軟件系統(tǒng)就基本成型了。

3 計算機遠程監(jiān)控系統(tǒng)的安全問題分析

遠程監(jiān)控系統(tǒng)在未來會越來越多地運用于工業(yè)生產(chǎn)的各個流程之中，而且隨著網(wǎng)絡技術的發(fā)展，遠程監(jiān)控系統(tǒng)的作用范圍半徑也會不斷增強，這樣遠程監(jiān)控系統(tǒng)的安全問題就必須得到重視。遠程監(jiān)控系統(tǒng)的主要作用是現(xiàn)場信息的測控以及遠程對信息的查看，在傳輸過程中如果不保證數(shù)據(jù)的安全性，就很容易被別有用心的人利用，導致數(shù)據(jù)傳輸不完整或者數(shù)據(jù)傳說過程中出現(xiàn)的數(shù)據(jù)泄露。計算機遠程監(jiān)控系統(tǒng)的安全問題主要應該從以下幾個方面考慮：