網(wǎng)絡(luò)管理中流量采集技術(shù)的應(yīng)用

馮雷　王鶴

摘要：對(duì)于一個(gè)合格的網(wǎng)絡(luò)管理員來(lái)說(shuō)，深入理解與領(lǐng)會(huì)網(wǎng)絡(luò)流量的特殊性是了解客戶網(wǎng)絡(luò)行為、更好開(kāi)展網(wǎng)絡(luò)管理工作的基礎(chǔ)，而行之有效的方式就是對(duì)網(wǎng)絡(luò)力量進(jìn)行采集與分析，這樣就能夠更為直觀的了解到各類網(wǎng)絡(luò)流量信息，其實(shí)際意義是巨大的。本文主要對(duì)幾種流量采集技術(shù)的優(yōu)缺點(diǎn)進(jìn)行了合理分析，并著重介紹了現(xiàn)階段實(shí)用性較強(qiáng)的NetFlow技術(shù)，并對(duì)其在網(wǎng)絡(luò)管理中的應(yīng)用進(jìn)行重點(diǎn)介紹。

關(guān)鍵詞：流量采集；網(wǎng)絡(luò)流量；NetFlow

一、現(xiàn)階段常用的網(wǎng)絡(luò)流量數(shù)據(jù)采集方法

現(xiàn)階段我們常用的網(wǎng)絡(luò)流量數(shù)據(jù)采集方式有以下幾種：

第一就是建立在路由器MIB庫(kù)基礎(chǔ)上的SNMP代理模式。SNMP的目標(biāo)就是為了對(duì)互聯(lián)網(wǎng)上的眾多生產(chǎn)所生產(chǎn)的軟硬件平臺(tái)進(jìn)行有效管理，其概念是簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議，由一組網(wǎng)絡(luò)管理標(biāo)準(zhǔn)所組成，其中含有數(shù)據(jù)庫(kù)模型、應(yīng)用層協(xié)議以及資料物件，從而達(dá)到檢驗(yàn)連接網(wǎng)絡(luò)設(shè)備是否存在異常的效果。這種網(wǎng)絡(luò)管理協(xié)議就是運(yùn)用SNMP嵌入到網(wǎng)絡(luò)代理軟件中來(lái)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)信息及網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)采集，代理軟件能夠不斷收集統(tǒng)計(jì)信息，并將這些信息存儲(chǔ)到MIB中，網(wǎng)絡(luò)管理人員可以向代理發(fā)出MIB查詢信號(hào)就能夠看到這些信息，這個(gè)過(guò)程稱之為輪詢。

第二是建立在監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包下的包分析模式，網(wǎng)絡(luò)監(jiān)聽(tīng)的含義是運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)接口來(lái)對(duì)目的地為第三方計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種技術(shù)，這種技術(shù)能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)的流量狀況進(jìn)行監(jiān)聽(tīng)，還可以對(duì)網(wǎng)絡(luò)程序的運(yùn)行以及非法竊取等行為進(jìn)行監(jiān)控。在以太網(wǎng)中，所有的通信都通過(guò)廣播，換句話說(shuō)，就是在同一網(wǎng)段上的所有網(wǎng)絡(luò)接口都可以訪問(wèn)物理媒體上的傳輸數(shù)據(jù)，由此靈活運(yùn)用網(wǎng)絡(luò)數(shù)據(jù)包的分析與捕獲技術(shù)能夠很好額保障網(wǎng)絡(luò)安全性與可靠性。

第三是建立在安插網(wǎng)絡(luò)探針（PROBE）技術(shù)下的IP流量數(shù)據(jù)捕獲。這種技術(shù)的發(fā)展時(shí)間比較少，是一種出現(xiàn)較晚的技術(shù)形式，所以這種技術(shù)較前兩種技術(shù)形式來(lái)說(shuō)有著很大程度上的改變，處理信息的能力也增強(qiáng)了很多。

最后就是建立在網(wǎng)絡(luò)數(shù)據(jù)流（NETFLOW）技術(shù)下的流量捕獲形式。這種技術(shù)是需要我們進(jìn)行詳細(xì)解釋的，由于是一種較為新穎的網(wǎng)絡(luò)數(shù)據(jù)采集方式，雖然發(fā)展時(shí)間較短，但已較為成熟，它也是一種基于網(wǎng)絡(luò)數(shù)據(jù)流技術(shù)的數(shù)據(jù)流捕獲手段，通過(guò)該核心關(guān)鍵點(diǎn)來(lái)的數(shù)據(jù)輸出UDP進(jìn)行網(wǎng)絡(luò)信息采集工作。

二、NetFlow技術(shù)

1.NetFlow交換

我們所說(shuō)的NetFlow交換技術(shù)是一家名為Cisco的公司為網(wǎng)絡(luò)管理員工作者提供的可以快速獲取數(shù)據(jù)網(wǎng)中IP flow信息的一種較為先進(jìn)的交換技術(shù)，這種技術(shù)實(shí)現(xiàn)交換的過(guò)程中，是在網(wǎng)絡(luò)層進(jìn)行的，是一種高性能的交換方式，它提供了一種全新的、高效的交換方式，通過(guò)這種方式我們可以對(duì)安全訪問(wèn)列表進(jìn)行處理，而不用向其他處理方式那樣付出高額的代價(jià)去完成有效的工作，這是一種節(jié)約、聰明的處理方式。NetFlow技術(shù)能夠?qū)崿F(xiàn)對(duì)主機(jī)網(wǎng)絡(luò)流量的交換識(shí)別，并且能夠在為其提供服務(wù)的同時(shí)，交換網(wǎng)絡(luò)流量分組，這種技術(shù)所達(dá)到的效果是前所未有的?？梢哉f(shuō)NetFlow這種技術(shù)對(duì)于現(xiàn)有的網(wǎng)絡(luò)來(lái)說(shuō)是完全透明的，它不僅能夠在單一的網(wǎng)絡(luò)設(shè)備中獨(dú)立運(yùn)轉(zhuǎn)，不用涉及到網(wǎng)絡(luò)中的每個(gè)路由器，大大降低了數(shù)據(jù)處理的負(fù)擔(dān)，而且更能夠讓網(wǎng)絡(luò)管理人員進(jìn)行有選擇的激活操作，從而實(shí)現(xiàn)在特定網(wǎng)絡(luò)位置上的數(shù)據(jù)控制、數(shù)據(jù)記錄以及數(shù)據(jù)分析等多種效果，其功能與應(yīng)用價(jià)值是顯而易見(jiàn)的。

2.NetFlow數(shù)據(jù)報(bào)文

將NetFlow配置在路由器之上后，我們可以通過(guò)NetFlow所統(tǒng)計(jì)的流量數(shù)據(jù)信息，將其以UDP的數(shù)據(jù)報(bào)文形式來(lái)進(jìn)行數(shù)據(jù)輸出，在這個(gè)過(guò)程中，我們運(yùn)用Cisco路由器選擇一個(gè)需要的NetFlow數(shù)據(jù)流量信息接受者?，F(xiàn)階段采用NetFlow技術(shù)進(jìn)行報(bào)文輸出一個(gè)有幾個(gè)不同的版本，即V1、V5、V7、V8等，版本號(hào)的主要決定因素就是Cisco路由器的不同型號(hào)以及IOS的版本，雖然版本號(hào)眾多，但是我們要知道，NetFlow的報(bào)文都是由兩大部分組成的，即報(bào)文的開(kāi)頭語(yǔ)與一或多的流信息記錄。

NetFlow報(bào)文頭的版本信息直接決定了數(shù)據(jù)報(bào)文的處理方法，二記錄個(gè)數(shù)則是一種體現(xiàn)該數(shù)據(jù)報(bào)文中包含信息記錄道德個(gè)數(shù)，它不僅僅擁有記錄功能，還可用來(lái)進(jìn)行檢索；序列號(hào)字段也有自己的作用，通過(guò)對(duì)序列號(hào)字段的分析，我們可以判斷NetFlow報(bào)文書(shū)否存在數(shù)據(jù)丟失的狀況，保障數(shù)據(jù)信息的完整性。

3.NetFlow交換統(tǒng)計(jì)數(shù)據(jù)的管理工作

管理NetFlow交換統(tǒng)計(jì)數(shù)據(jù)值得就是對(duì)NetFlow交換的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行清除或顯示，在NetFlow技術(shù)中，統(tǒng)計(jì)數(shù)據(jù)通常情況下包含IP流的交換緩存信息、IP包的大小以及協(xié)議、秒流量以及總流量等等，我們利用這些有效信息可以更好的對(duì)路由器信息進(jìn)行把控，其只領(lǐng)了如下：我們通過(guò)輸入show ip cache flow可以顯示NetFlow顯示數(shù)據(jù)，同樣也可以輸入指令clear ip flow stats來(lái)達(dá)到我們想要的效果。

綜上所述我們不難發(fā)現(xiàn)NetFlow技術(shù)的優(yōu)越性，我們可以通過(guò)實(shí)驗(yàn)的方式來(lái)驗(yàn)證這種新興技術(shù)與傳統(tǒng)網(wǎng)絡(luò)流量采集模式之間的差距，與傳統(tǒng)采集模式相比，很明顯的，NetFlow技術(shù)并沒(méi)有對(duì)所有的網(wǎng)絡(luò)包進(jìn)行記錄工作，它是通過(guò)對(duì)一條NetFlow記錄包進(jìn)行統(tǒng)一的歸納總結(jié)，如果說(shuō)傳統(tǒng)的流量采集模式是一種粗放的操作手法，則NetFlow就是一種現(xiàn)代化程度高的集約技術(shù)，它對(duì)數(shù)據(jù)實(shí)行的精細(xì)化管理是采集方法上的一次飛躍。通過(guò)各種方式NetFlow既能夠采取的有效的網(wǎng)絡(luò)數(shù)據(jù)信息，又可以對(duì)數(shù)據(jù)信息進(jìn)行處理，列出人們所需求、所滿意的答案，方便客戶開(kāi)展下一步工作，降低操作難度與操作量，能夠更好的進(jìn)行分析。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò). 大連理工大學(xué)出版社.

[2]譚思亮.監(jiān)聽(tīng)與隱藏—網(wǎng)絡(luò)偵聽(tīng)揭秘與數(shù)據(jù)保護(hù)技術(shù).求是科技.人民郵電出版社.