对网络管理中网络流量监测的探讨

摘　要：网络流量监测是网络管理的基础。为了更好地管理网络和改善网络的运行，网络管理者需要知道其网络的流量情况。比如，当网络管理者发现某些设备的流量负载过重时，就可以考虑在更换新的设备或者改造线路;当网络管理者发现了网络中数据流量变化的规律时，可以更好地调配设备，有效地利用资源。一个能够显示网络设备流量的工具，使网络管理者能够直观地监测设备流量的变化，对网络设备进行有效管理是很有必要的。

关键词：网络流量；监测；网络管理
1、网络流量的特性

　　通过对互联网通信量的测量，人们发现互联网通信量的主要特性有:

1、数据流是双向的，但通常是非对称的

　　互联网上大部分的应用都是双向交换数据的，因此网络的流是双向的。但是两个方向上的数据率有很大的差异，这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

2、大部分TCP会话是短期的

　　超过90%的TCP会话交换的数据量小于10K字节，会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的，但是由于80%的WWW文档传输都小于10K字节，WWW的巨大增长使其在这方面产生了决定性的影响。

3、包的到达过程不是泊松过程

大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程，即包到达的间断时间的分布是独立的指数分布。简单的说，泊松到达过程就是事件(例如地震，交通事故，电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布，而且不是独立分布的。大部分时候是多个包连续到达，即包的到达是有突发性的。很明显，泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性，从而促进了网络通信量模型的研究。

4、网络通信量具有局域性

　　互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上，从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。

2、 网络流量的测量

　　网络流量的测量是人们研究互联网络的一个工具，通过采集和分析互联网的数据流，我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的，设备的一小点故障都有可能使整个网络瘫痪，或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:

1、基于硬件的测量和基于软件的测量

　　基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量，这些设备一般都比较昂贵，而且受网络接口数量，网络插件的类型，存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分，使其具备捕获网络数据包的功能。与基于硬件的方法比较，其费用比较低廉，但是性能比不上专用的网络流量分析器。

2、主动测量和被动测量

　　被动测量只是记录网络的数据流，不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。

3、在线分析和离线分析

　　有的网络流量分析器支持实时地收集和分析网络数据，使用可视化手段在线地显示流量数据和分析结果，大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据，把数据存储下来，并不对数据进行实时的分析。

4、协议级分类

　　对于不同的协议，例如以太网(Ethernet )，帧中继(Frame Relay )，异步传输模式( Asynchronous Transfer Mode )，需要使用不同的网络插件来收集网络数据，因此也就有了不同的通信量测试方法。

3、 网络流量的监测技术

    根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

　　1、基于网络流量全镜像的监测技术:网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。

    2、基于Netflow的流量监测技术:Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。

　　3、基于SNMP的流量监测技术:基于SNMP的流量信息采集，实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。在此基础上实现的流量信息采集效率和效果均能够满足网络流量监测的需求。

　　              表3-1三种流量监测技术比较",##隔### 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/238122.html