网络流量监控系统-盘古文库

网络流量监控系统

资料大全

来源：火烈鸟

作者：开心麻花

2025-09-19

网络流量监控系统（精选11篇）

网络流量监控系统第1篇

1 流量无法监控的麻烦

对于大部分企业用户来说, 在建立内部网初期, 由于客户端和相关网络应用比较少, 所以内外网访问速度是非常快的。随着客户端数量的增加, 网络速度随之变慢, 很多企业用户打算通过提高出口带宽的办法来解决网络慢的问题。

不过当P2P技术诞生并飞速发展后, 这种通过增加出口带宽的方法来解决网络慢的办法已不再奏效。P2P软件和在线视频等网络应用的特点使得不管企业的出口带宽有多高, 如果不进行限制与优化的话, 所有有效带宽都将被这些应用占用, 这会大大影响其他网络应用的运行。也就是说当企业内部有人疯狂下载或频繁浏览在线视频的话, 正常的内部通信、在线办公系统应用以及常见的HTTP浏览等都将因“单线程抢线” (抢占带宽能力弱) 的特点而受到严重影响, 正常的网络通信也会基本处于瘫痪状态。

流量异常、无法监控对于企业管理者来说是个大问题, 如果企业对网络不进行流量监测控制与优化的话, 最终导致的结果将是员工频繁抱怨网络速度缓慢, 从而影响正常的工作效率;而一些内网应用也将不稳定, 一会正常一会中断的问题会频繁发生。流量异常、监控不当轻则影响企业员工的工作效率, 重则造成网络瘫痪。

2 流量监控不等于上网行为管理

那么什么是流量监控呢?众所周知, 网络通信是通过数据包来完成的, 所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”, 是借助发送与接收数据包来完成的。所谓流量监控, 实际上就是针对这些网络通信数据包进行管理与控制, 同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输, 禁止或限制非法数据包传输, 一保一限是流量监控的本质。

流量监控与上网行为管理有些功能是一样的, 但相互之间的差别还是比较大的。

2.1 功能上有差别

使用过上网行为管理系统的用户都知道, 通过上网行为管理系统, 管理员可以对网络客户端的上网行为进行管理, 禁止非法访问, 允许正常应用的通信。而流量监控系统则将此功能进一步发展, 管理员不但可以进行禁止访问与允许访问的设置, 还可以实现目的地的限制访问, 同时还能针对某种应用进行速度限制, 或者让一些应用的速度得到充分保证。更明白地说, 上网行为管理对网络访问只能够实现禁止与允许的操作, 而流量监控系统则能够对网络访问实现优化与限制的操作, 后者在方式上更加灵活。

2.2 对架构层次的监控上有差别

从功能上来讲, 单纯的上网行为管理系统对客户端的操作限制有限, 形式上也不太灵活, 最多可对网络访问源地址、目的地址、端口以及相关协议进行控制, 在架构体系中只是针对从第一层物理层到第四层传输层的限制。而流量监控系统的功能比较强大, 形式也很灵活, 在实际实施时可以针对从架构体系的第一层物理层到第七层应用层进行限制。

目前流行的上网行为管理系统有基于硬件设备的, 也有基于软件的。而流量监控系统则以硬件为主, 大部分设备安装在网络出口处, 针对企业网络的所有流量进行监控。在实际使用过程中, 很多上网行为管理系统也具备一定的流量监控功能, 不过功能上还是比监控系统差许多。

3 流量监控为企业带来价值

企业对网络流量的控制与管理是非常重要的, 这能够为企业带来很大的价值。因此流量监控在企业中的应用最近几年越来越广, 相比以前盲目增加出口带宽的手段来说, 监控网络的流量能够有效优化网络中的应用, 让企业有限的带宽发挥最大的价值。

3.1 节约带宽开销

对于企业来说, 出口带宽到底多高才够用?恐怕这个问题谁都难以回答, 特别是现在P2P类软件的疯狂特性, 如果不加以约束, 它可以占用企业全部带宽, 可以说, 出口带宽再高都无法满足P2P应用。“开源”无效只能进行节流, 而节流最有效地办法就是对内网上的流量进行监控。说到底, 更好的“优化节流”可以让企业省下不小的申请额外带宽的开销。

3.2 提高员工工作效率

网络是把双刃剑, 一方面可以方便企业业务的开展, 另一方面各种游戏和视频也吸引着员工的眼球。企业项目进展缓慢、员工工作效率低下的实际问题摆在了企业管理者的面前, 如何让员工安心工作, 高效率地完成任务呢?单纯地从规章制度方面下手是“治标不治本”的, 管理者可以利用流量监控系统来解决, 通过网络流量的管理、控制、优化、限制等, 让企业员工“收心”, 让工作高效率地完成。

3.3 限制或隔离非法应用

当然我们还可以利用流量监控手段来限制非法应用。所谓非法应用就是企业明令限制的访问, 如有些企业可能禁止员工在内网使用邮件向外发送信息, 或者希望隔离某些主机的外网访问功能, 只保留某些如VPN应用连接外网, 那么这时就可以利用流量监控系统来实现了。通过限制或隔离非法应用, 可以最大限度地保护企业隐私, 避免有价值的数据泄露。

3.4 保证企业正常运转

对于大部分企业来说, 不只会对内网发布各种应用, 还可能对外提供诸如网站、FTP服务器、视频点播等服务。如果企业内网应用“肆无忌惮”的话, 势必会影响对外服务的加载速度, 相信企业管理者都知道访问这些“对外窗口”速度缓慢带来的恶果, 也许不经意间就会失去一笔利润丰厚的业务。通过流量监控系统, 可以最大限度地保证对外服务等应用占用的带宽, 利用流量监控系统中的部分功能, 可以将有效带宽充分分配给这些对外关键服务。

4 结语

流量监控是企业网络管理的一项重要内容, 通过对网络各业务数据流量的有效管理和控制, 能够为企业带来很大的价值。在企业出口带宽一定的情况下, 有效利用带宽资源, 监控内网业务流量, 优化内网应用, 对于保障企业网络的正常和稳定运行具有促进作用。

参考文献

[1]刘芳.网络流量监测与控制[M].北京邮电大学出版社, 2009.

高效的企业网络流量管理系统第2篇

随着电子行业的不断变化与发展，网络安全已经成为企业办公不可或缺的一部分。而企业网络环境的日益复杂，简单的企业网络连网及安全方案，已经不能满足现代化企业。合理并易操作的网络管理成为企业迫在眉睫的需求。北京万任科技的UniERM网络流量综合管理设备正是企业网络管理最迫切需要的。

纵观市场上的网络安全管理软件，包括：智能路由、VPN、上网行为管理等操作方案，其中上网行为管理更为适用，得到企业网管、管理者的普遍认可。但随着互联网技术的复杂多变，企业网络应用更加复杂，E-Mail、ERP、OA、视频会议、即时通讯、网络游戏、电子商务、电子政务……，网络环境逐渐增加了无形的隐患，越来越多的企业需要对网络进行系统化、合理化的控制，进而达到合理化的分配网络带宽资源。以下，就向您介绍一款适合于现代企业需求的网络流量管理设备，帮助企业了解什么是真正的网络管理与安全。

推荐的该款产品，属于实用经济型，它真正帮助企业管理者解决了网络流量管理的问题，只需通过流量识别、流量监控、对象管理、流量分配等功能，就能轻松实现对网络流量的全面透析与管控，打造了一个高效、智能的网络。

该款产品系专业的内容和应用安全设备就是万任UniERM网络流量综合管理系统，UniERM系统通过流量识别、流量监控、对象管理、流量分配，为用户实现对网络流量的全面透析与管控，打造一个高效、智能的网络，真正协助用户实现了对互联网访问行为的全面管理。

万任UniERM系统其主要功能包括：流量管理、网页分类过滤、网络应用封堵、内容监控审计、企业级路由、多WAN负载均衡、防火墙等。

万任UniERM系统配以先进的行为分析、控制引擎，灵活多样的管理控制策略，实时分析网络活动，匹配管控策略，并生成丰富的统计报表。能够满足企事业单位、政府机关、金融电信、石油能源、学校教育行业等各种Internet 互联网使用单位的网络行为监控需求。其最大的特性就在于——帮助您的企业网络将混乱的带宽变得有序，其价值体现在：

多维度流量管理系统，多种手段流量管理：从用户、时间、应用三维体系，通道、带宽、连接数多种角度进行流量管理。

用MRTG实现网络流量监控第3篇

最常用的管理协议就是简单的网络管理协议(sNMP，simple NetworkManagement Protoc01)。而我们用的MRTG(Multi Router Traffic Grapher)就是通过SNMP协议实现管理工作站与设备代理进程间的通讯，完成对设备的管理和运行状态的监视。

MRTG网络流量监视系统由WEB服务器、Active Perl、SNMP协议和MRTG流量采集四部分构成，由于MRTG系统的运行需要系统组件“管理和监视工具”，所以在安装MRTG系统前，请确认操作系统组件“管理和监视工具”已经安装。整个系统的安装配置步骤如下：

1安装WEB服务器

MRTG系统的流量信息是以网页的形式存放在管理工作站上，网上的任何机器都可以通过浏览器来查看网络的流量信息。所以在使用MRTG系统前，需安装一个WEB服务器，并将流量信息存放到WEB的主目录上或子目录上，以便进行WEB查看。本文中我们使用IIS5．0服务器作为WEB服务器，安装的平台为WindowsXP，大家可以根据自己的实际情况选择平台。

wEB服务器安装完成后，创建c：＼web＼mrtg(根据磁盘情况和个人喜好，自己确定目录位置和名称)目录，用于存放流控主页和MRTG产生的流量信息文件，并将该目录设为WEB服务器的主目录。

2安装Active PerIfor Windows

MRTG是用Perl语言编写的，它需要在Perl语言解释器环境下运行，所以在使用MRTG前需要安装Perl语言解释器Active Perl。我们使用Active Perl for Windows来运行MRTG系统。可以从http：／／www．activestate．com／Products／ActivePerl／处下载Active Perl的最新版本，当前版本为Active Perl 5．8．6．811。

3配置被监控设备的SNMP协议

要实现对设备的监控，需要在被监控的设备上设置SNMP协议。这里我们以常用的思科(cISCO)路由器为例进行说明。

配置如下：

snmp-server community NetCtrl01 R

snmp-server packetsize 2048

snmp－server enable traps snmpauthentication

snmp-server enable traps vtp

snmp-server enable traps config

snmp-server enable traps entity

snmp·server host 192．168．1．66NetCtrl01

如果你是单位的内联网系统管理员，其实，使用网络设备的现有SNMP配置就可以了，不需额外增加东西。

4安装MRTG网络监视

有了以上环境，就可以安装MRTG监视系统了，这是MRTG安装的核心。可以从http：||people．ee．ethz．ch／oetiker／webtools／mrtg／pub／下载，现在最新的版本是mrtg-2．11．1．zip。下载后解压到c：＼mrtg目录下。

具体安装步骤如下：

①从Windows中进入DOS环境下；

②进入目录c：＼mrtg＼bin

③使用perl mrtg命令测试MRTG是否正确，即输入perl mrtg后按回车，系统返回到DOS，无异常现象出现；

④生成相应网络设备的MRTG系统的配置文件，本例为4个设备Cisco 3662、Cisco 7206、Cisco 4006、Cisco 4506。在目录c：＼mrtg＼bin下，输入如下命令：

perl cfgmaker NetCtrl01@192．168．1．55。-global“WorkDir：c：＼web＼mrtg＼3662”--output“c：＼web＼mrtg＼3662＼cisc03662．cfg”

perl cfgmaker NetCtrl01@192．168．1．65-global“WorkDir：c：＼web＼mrtg＼7206”－－output“c：＼web＼mrtg＼7206＼cisc07206．cfg”

perl cfgmaker NetCtrl01@192．168.1．75-global“WorkDir：c：＼web＼mrtg＼4006”－－output“c：＼web＼mrtg＼4006＼cisc04006．cfg”

perl cfgmaker NetCtrl01@192．168．1．85-global“WorkDir：c：＼web＼mrtg＼4506”－－output“c：＼web＼mrtg＼4506＼cisc04506．cfg”

这样，在对应目录下，就生成了相应设备的MRTG配置文件了。

执行完成后，将绑定网络设备的所有端口，并在output指定的目录下生成指定的MRTG配置文件。

⑤运行下面的命令，生成设备当时的流量相关文件

c：＼m rtg＼bin>pe r1 m rtg c：＼web＼mrtg＼3662＼cisc03662．cfg

C：＼mrtg＼bin>pe r1 m rtg c：＼web＼mrtg＼7206＼cisc07206．cfg

C：＼m rtg＼bin>pe rl m rtg c：＼web＼mrtg＼4006＼cisc04006．cfg

C：＼m rtg＼bin>pe rl m rtg c：＼web＼mrtg＼4506＼cisc04506．cfg

命令执行后，在WorkDir指定的目录里生成以IP+端口命名的网页和一些png图片，这些图片就是网络当时的流量图。刚开始生成后很多都是空白的，需要让它自动运行一段时间后才可以有图形表现出来。

流量监控系统添翼广电网络改造第4篇

2010年, 三网融合成为备受关注的焦点, 电信运营商在去年不断追加宽带建设投资, 使各地的入户带宽都得到了较大提升, 试图扩大在宽带方面的领先优势;而广电则开启了NGB (下一代广播电视网) 网络建设, 在各省进行一省一网的整合, 并出现了多种发展较好的整改模式, 如杭州模式、上海模式等。掌握了内容播控权的广电运营商在重重困难之下, 也在探究适合自己的发展模式。

2010年6月份, 12个三网融合试点城市被确立, 以12个试点城市为中心的三网融合网络建设、业务推广迅速开展起来, 到目前为止, 北京、上海、深圳的三网融合电视已经安装到用户家中, 三网融合历经多年的讨论之后, 终于进入到业务推广阶段。

用户感知不容忽视

对于广电运营商而言, 三网融合带来的挑战尤为突出, 原有的体制模式不得不被打破, 一省一网的整改很难一蹴而就, 而且各地广电的网络基础相差甚大, 网络改造也需要逐步过渡。然而广电在12个试点城市中的网络改造进度仍然非常显著。

据悉, 青岛2010年完成有线分配网的无源化改造32.8万户, 累计完成80万户, 有线宽带用户达到10.8万户, 青岛广电成为青岛市第二大宽带业务运营商;武汉NGB覆盖用户达70万户, 省、市有线电视网络整合基本完成, 到2012年, NGB城乡覆盖率将达到90%以上;北京歌华有线将在今后3年中, 共完成260万户高清交互电视机顶盒推广工作, 并部分收回广泛使用的“标清机顶盒”。伴随广电双向化改造的顺利开展, 各种高清电视、IPTV等业务得到迅速推广, 然而对于广电而言, 其面临的另一大难题则是如何实现由传统的体制模式向市场化经营过渡, 其中重要的一点就是提高对用户感知的把控度。

对于电信运营商而言, 其非常重视用户感知, 服务类型更趋于多样化, 尤其是在数据流量高速增长的今天, 对于流量的把控更利于对用户类型、上网方式等内容的掌控。这对于广电运营商同样重要。而且, 广电的NGB管控平面特别强调内容可管、业务可控、网络可信和服务可靠, 其中流量管控系统也将扮演重要角色。

为了配合广电削峰填谷, 保证网络平衡运行, 降低运营成本, 保障关键应用, 烽火网络推出了流量管理和控制系统, 对应用层协议进行分析, 提高广电城域网出口带宽的利用效率, 降低带宽成本, 保障关键应用, 打造畅通网络。

流量监控的多重功能

随着三网融合的进一步加速, 传统的电视节目将与互联网互联, 对于网络的监控将显得尤为重要。广电和电信的网络资源将会在一定程度上实现互通, 广电将可以通过电信网进行传输, 然而要想在未来网络中站稳脚跟, 广电仍需在现有有线网络的基础上, 进行更为有效的网络管理。流量管控系统的主要功能体现在以下几个方面。

识别病毒, 黑客攻击和带宽独占者;

根据第7层应用及其属性过滤有害的和不需要的信息;

限制非优先网络流量, 如P2P, 从而保证关键应用的安全性和服务质量;

优化转接/广域网 (WAN) 连接使用;

实现用户间的公平度;

报告带宽使用情况;

区分和为用户量身定做带宽服务。

烽火网络不仅致力于提供针对广电网络双向化改造的解决方案, 针对广电流量管控也提出了一体化的解决方案。根据目前广电宽带接入用户的规模, 流量管控设备一般集中部署在城域网出口。随着将来用户数大规模的增加, 可采用设备下移的分布式部署方式。流量管控系统还包括统计管理设备和账户管理设备 (可选) , 支持统计分析和用户感知功能。

流量管理设备部署在出口核心路由器与核心交换机之间, 链路类型可以同时为千兆链路和万兆链路, 并支持链路捆绑。流量管理设备主要实现对网络流量的实时监视、梳理和过滤、统计等功能。

统计管理设备与流量管理设备通过千兆以太网直连, 负责收集和存储网络流量的相关信息, 实现对网络流量数据历史统计、分析和图表呈现。

账户管理设备, 实现与DHCP服务器等BSS或者OSS系统对接, 并将制定的流控策略发布到流量管理设备上。

烽火网络DPI方案优势

烽火网络开发的流量管控系统同时涵盖了业界常见的DPI (Deep Packet Inspection, 深度数据包检查) 和DFI (Deep/Dynamic Flow Inspection, 深度/动态流检测) 两种技术。不仅可以识别出应用协议的具体名称, 还包括应用协议的第4层到第7层的属性, 如文件名, 聊天频道, SIP呼叫者ID, URL和指令等应用协议属性。系统主要特点包括以下几点。

支持将近2000种业务识别, 提供无与伦比的准确性。

流量和队列的同步, 适当的非对称流量支持和跨系统的流量整形策略。

BGP可见性, 可以根据目标地址, 下一跳或者路由设定策略或者保存状态。

大规模的流量整形 (VBS) , 管理实时的计数器和基于定量的策略设定。

实时监测, 可以提供从总览到具体的连接的视图。

用户体验质量的价值, 可以统计用户的体验质量。

流量行为标志, 基于应用监测的流量分类。

当今网络流量控制解决方案第5篇

关键词：流量控制华宇

流量控制面临的挑战

在Internet飞速发展的今天，,点对点传输（P2P）与实时通讯（IM）已经成为上网的主要应用。一般人浏览网页外，越来越多人在线游戏、电影、炒股、P2P下载等等，没有节制的上网行为带来的组织效率流失，无序的网络行为带来的严重的安全威胁。

然而P2P耗损巨大带宽，在有多少带宽就用多少的情况下，使得内网带宽、外网链路都面临了严峻的挑战。外网带宽被占用，导致内网用户之间带宽分配不公平。

传统网络设备的局限性

我们可以想到传统的方法有：  增加网络带宽。

许多IT用户在遇到P2P带宽问题时，都采用这种方法，但这种方法显然效果有限。这是种消极、被动的解决方法，虽然能够解决一时问题，但不能彻底解决P2P、在线电影等新网络应用技术冲击； P2P等新的非关键应用会大量吞噬新购买的带宽，用不了多久，用户就会发现带宽会再次紧张，关键应用的带宽还是有问题。同时，无限制的扩展带宽又会增加大量的投资，IT的ROI（投资回报率）无法保证。

 利用传统网络设备进行控制。

这种方案是直接利用数据链路层、网络层（IP层）甚至会话层（TCP层）的一些技术措施，来实现网络管理。如可以利用L2交换机基于802.1Q 和VLAN的控制，L3/L4交换机的访问控制列表进行过滤、通过防火墙进行阻断和控制等等。但，这种方法既复杂，效果也有限，并且提供的管理手段非常少。现在大量的软件（包括P2P、即时通讯、网络游戏等）都具备了跳跃端口、随机端口、自定义端口甚至包伪装等等功能，规避IT管理员的管理与控制。这些软件的端口随时可变，甚至可以在web浏览必须的80端口上进行自己的活动。因此传统的交换机、路由器和防火墙对此则毫无办法，形同虚设。 最积极有效的方案：应用专业的流控设备北京华宇讯通科技有限公司推出的流量控制管理系统（HY-FCS）（简称华宇流控）是在网络中部署专业的流量管理设备，这些流量管理设备必须能够有效的感知各种流量（尤其是P2P应用）、控制流量、提供应用差异化分级服务、有效抵抗各种网络威胁等。华宇流控（HY-FCS），是一款专业的流量管理设备，可以有效的针对带宽问题的挑战，特别是针对新型的P2P技术，（HY-FCS）的更具优秀的效果。

网络流量控制解决方案  流量限制

员工经常使用BT、迅雷等P2P软件，该类软件在使用过程中占用及其多的带宽,如果内网有大量用户使用BT之类的软件下载，大量的宝贵的带宽资源会被消耗，从而导致一些重要的正常应用，如视频会议系统，无法占用带宽，影响正常工作的开展。

解决方法：禁止P2P软件的流量，限制迅雷下载跟P2P流媒体的流量,这种做法是禁止P2P软件使用，同时常用的下载工具可以使用,但是限制它的使用的带宽，让它们占用尽可能小的带宽。 带宽保证

华宇流控提供了通道式的带宽管理策略，利用一种有别于传统采用固定带宽式的流量管理技术在流量较大时确保为指定的应用提供足够带宽，一旦这些应用停止或减少使用带宽，则自动把这些空闲带宽提供给其它有需要的应用，最大限度的保证了组织的网络利用率。

华宇流控产品的带宽策略非常丰富。例如组织的总出口带宽为100Mbps，可以将其中5Mbps的带宽以固定预留的方式分配给领导办公室，即使在其他95Mbps带宽非常紧张时仍然保证总裁办公室的带宽决不会低于5Mbps，此种方式我们称之为固定预留；也可以采取动态预留方式，如为财务部动态预留5Mbps的带宽，当财务部没有流量时，原本分配给财务部的5Mbps带宽将被其他应用占用，财务部有流量时会重新取得该5Mbps带宽的使用权，从而真正提升带宽使用价值。基于细化管理的需要，即便我们为某个用户组保留了足够的带宽，也有可能出现该组内个别用户占用了多大带宽而导致其他用户的不满，华宇流控产品能够对用户组内每用户进行带宽资源的分配策略，即能够平均分配也可以自由竞争，还能够控制单个用户的最大上下行带宽。我们通过对华宇流控产品在管理网络带宽这个方面来具体阐述其为用户带来的商用价值。

 管理网络带宽——网络流量管理

华宇流控产品通过审计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。

华宇流控产品对局域网发生的所有网络行为进行记录、分析和趋势报告。借助图形化的数据和报表，用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源，网页浏览，收发邮件，还是疯狂的P2P下载。同样，我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃，哪些部门在上班时间观看了最多的在线影片。通过对网络使用情况的深入了解，管理者能够制定出最适合自身组织机构情况和的互联网访问策略。

由于华宇流控产品提供对各种网络服务的拦截和管理，以往的拔网线、通报点名的强制性手段将成为过去，如何发挥华宇流控产品的强大功能只取决于你的决心。如果你在“彻底封杀某个服务”，还是“完全放开这项服务”的决定中摇摆不定（例如P2P下载，其吞噬带宽的同时也带给了我们丰富的信息资源），你也可以选择对应用的流量进行调整。 管理网络带宽——P2P软件的控制

P2P技术使人们可以高速获取海量的网络资源，而P2P软件对带宽的占用也使其招致种种恶言。一个2M以太网出口的局域网，只要有2个以上的员工不限速地使用BT，所有人的正常网络浏览都将成为不可完成的任务。每天，互联网上都会有人发布最新的P2P软件，这让大多数的P2P控制工具望尘莫及，它们往往只能封堵“昨天的BT软件”。

华宇流控产品改变了这一切。通过对P2P下载软件的智能检测，管理员甚至可以彻底封锁所有的P2P流量。如果你不想做的太绝，你可以选择针对特定用户和相应的P2P工具进行流量控制，只要不超出网络使用者的容忍程度，大多数用户还是可以允许内网中存在P2P下载。 管理网络带宽——带宽优化和多线路策略

网络流量监控和梳理研究应用第6篇

通过对流量进行检测和分析, 把流量解码、分类和统计后, 通过技术策略把流量进行梳理, 对危害流量进行限制优先级和阻隔, 更有效地保护关键应用流量, 使网络带宽资源得到更加合理的配置。

一、流量检测技术

目前流量控制设备采用的技术主要分为D P I、DFI以及这两种技术的综合:

1. DPI (Deep Packet Inspection) 基于深度包

检测技术, DPI技术在分析包头的基础上, 增加了对应用层的分析, 是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流经过基于DPI技术的流量管理系统时, 该系统通过深入读取I P包载荷的内容来对O S I7层协议中的应用层信息进行重组, 从而得到整个应用程序的内容, 然后按照系统定义的管理策略对流量进行整形操作。针对不同的协议类型, DPI识别技术可划分为以下三类:

(1) 基于“特征字”的识别技术:不同的应用通常依赖于不同的协议, 而不同的协议都有其特殊的“指纹”, 这些“指纹”可能是特定的端口、特定的字符串或者特定的Bit序列。

(2) 应用层网关识别技术:某些业务的控制流和业务流是分离的, 业务流没有任何特征。应用层网关需要先识别出控制流, 并根据控制流的协议通过特定的应用层网关对其进行解析, 从协议内容中识别出相应的业务流。

(3) 行为模式识别技术:行为模式识别技术基于对终端已经实施的行为进行分析, 判断出用户正在进行的动作或者即将实施的动作。

2. DFI (Deep/Dynamic Flow Inspection) 深度/

动态流检测, 与DPI进行应用层的载荷匹配不同, 采用的是一种基于流量行为的应用识别技术, 即不同的应用类型体现在会话连接或数据流上的状态各有不同。由于DPI技术与DFI技术实现机制不同, 故它们在实现效果上各有优点, 表现在如下几个方面:

(1) D F I处理速度相对快:采用D P I技术由于要逐包进行拆包操作, 并与后台数据库进行匹配对比;采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。

(2) DFI维护成本相对较低:基于DPI技术的带宽管理系统, 总是滞后新应用, 需要紧跟新协议和新型应用的产生而不断升级后台应用数据库, 否则就不能有效识别、管理新技术下的带宽, 提高模式匹配效率;而基于DFI技术的系统在管理维护上的工作量要少于DPI系统, 因为同一类型的新应用与旧应用的流量特征不会出现大的变化, 因此不需要频繁升级流量行为模型。

(3) 识别准确率方面各有千秋:由于D P I采用逐包分析、模式匹配技术, 因此, 可以对流量中的具体应用类型和协议做到比较准确的识别;而DFI仅对流量行为分析, 因此只能对应用类型进行笼统分类。如果数据包是经过加密传输的, 则采用DPI方式的流控技术则不能识别其具体应用, 而DFI方式的流控技术则不受影响, 因为应用流的状态行为特征不会因加密而根本改变。

3. 其他技术。

由于DPI和DFI技术各有优缺点, 因此有些流控产品采用的技术则结合了DPI和DFI两者的优点。

二、星海音乐学院校园网出口流量监控和梳理

1. 网络状况

目前网络出口带宽为100M, 平常在线人数为1000人左右, 高峰期在线人数为1600人左右, 按照平均分配带宽的方式计算, 就是用户平均分配到的网络流量为100k b p s～63k b p s之间。因此校园网的出口带宽在日常的使用情况下已经是很有限了, 而用户对带宽的需求却因P2P、视频流等软件的广泛使用而在无限的增长。这个矛盾最终会导致带宽不够分, 网速持续变慢, 网络服务质量下降。

要解决这种矛盾, 长期有效的方法就是对网络流量进行灵活的监测和梳理, 利用技术手段抑制不良应用对网络带宽的占用, 正确引导用户使用网络资源。

2. 流量监控和梳理应用

目前我校采用PROCERA公司的PacketLogic 7720流控设备, 该设备采用了厂家自行开发的D R D L流量识别和梳理技术, 该技术结合了DPI和DFI的优点, 能对流量进行精细识别和控制, 同时对流量转发速度影响极小。

(1) 流量梳理的实现

如图1所示是一个没有进行流量控制和梳理的网络边界。这种情况下, 用户流量会超出网络外部连接的可用带宽。网络边界设备 (如路由器) 通常会维护一个缓冲队列, 该队列保存了超出部分流量而未能转发出去的数据包。这个队列一般是先进先出队列, 而且队列的大小有限制, 当队列满了后, 就会出现丢包情况。

而下面谈的流量梳理的实现, 首要问题就是解决如何能采取有效的策略, 使流量能畅通无阻得到转发, 避免丢包的情况出现。

图2为网络在未有实现流量梳理时候的状况, 所有流量消耗着大量的可用带宽和连接资源。网络中的关键应用流量 (如图2黑色部分) 往往只占有可用带宽的很小比例, 即便如此, 关键应用流量依然得不到有效的转发。即使某些关键应用被成功转发了部分流量, 但某些延时敏感的关键应用 (如语音业务) 却由于延时的累积, 使实际应用往往不能得到有效的保证。

由此可见, 一种基于策略的流量梳理 (能够判断出哪些流量需要立即转发, 哪些流量可以延时转发) , 就变得很有必要了。

如图3, 通过在网络边界出口前增加多个流量梳理队列, 队列的数量和属性取决于流量管理策略。如图中的漏斗, 就相当于一个梳理实体队列 (梳理对象) 。通过流量的检测和识别, 把不同类型的流量分别转发到各个“漏斗”中。通过各个“漏斗”的优先级等属性设定对流量进行转发, 最终保证关键应用流量的带宽, 使带宽利用更加合理。

(2) 流量监控和梳理的应用

在对流量监控和梳理的策略制定时, 考虑到学校现有情况和流控设备的性能, 设定相关的网络对象、时间对象、服务对象、属性对象、梳理对象和规则等, 并通过各种对象的互相组合, 制定符合实际环境的流量控制策略, 以下是进行流量的控制和梳理的具体方法:

(1) 通过控制特定网络对象中每个个体的流量、包速率、连接数、延时、队列大小等属性, 达到在特定时间段内, 实现对该网络对象中的个体流量控制策略。如对学生和教师的个体流量控制, 使网络资源得到更公平的利用。

(2) 通过控制特定网络对象整体的流量、包速率、连接数、延时、队列大小等属性, 达到在特定时间段内, 实现对该网络对象的整体流量控制策略。如在教学办公时间段内, 对整个学生公寓区的流量进行整体控制, 可以更有效保证教学办公区的带宽。

(3) 通过控制特定服务对象中的某些服务的流量、包速率、连接数、延时、队列大小等属性, 达到在特定时间段内, 实现对某些特定服务和应用的流量控制策略。如在网络使用高峰期, 限制P2P下载业务的流量或连接数, 以保证其他正常网络应用的带宽。

(4) 通过梯度流量控制策略, 即对某一时间段内, 用户流量累计达到设定的上限值时, 采取流量控制变更的策略, 从而更有效地引导用户合理利用网络资源。

(5) 实现梳理队列的带宽借用技术。即在某一时间段内, 当优先级高的梳理队列中有带宽富裕的时候, 其他梳理队列可以向其借用带宽。使整体网络资源得到更加充分的利用。

流控设备作为透明网关的方式部署在网络出口上, 经过对校园网的使用情况研究和长期的测试调试, 制定了如下策略:

(1) 总体策略

校园网出口带宽:上/下行:100Mbps

控制教师区个体带宽:上/下行:512kbps

控制P2P下载业务:上/下行:6Mbps;

连接数:20k

控制学生区视频流业务带宽:上/下行:18Mbps

(2) 办公时间段

办公时间段为周一至五:9:00～17:00.

控制学生个体带宽:上/下行:256kbps

控制学生公寓总带宽:下行:85Mbp

(3) 拥塞时间段

拥塞时间段为周一至五:21:30～23:59

控制学生个体带宽:上/下行:128kbps

(4) 低峰时间段

拥塞时间段为周六、日:0:00～13:00、

周一至五:8:00～10:00

控制学生个体带宽:下行:1Mbps;

上行:512kbps

三、结束语

通过梳理和策略应用之后, 校园网在不同时间段, 针对不同用户对象做出不同的流量梳理策略, 使带宽资源得到更充分和合理的利用;通过对个体带宽的合理限制, 使带宽资源得到更加公平的分配;通过对危害流量的限制和阻隔, 有效保证了关键应用和其他常用应用的带宽使用;通过流量的统计和各种技术指标的视图展示, 能便捷地掌握整个校园网的网络状况, 从而更好地对网络和流控梳理策略的调整和优化。最终整个校园网用户的上网行为意识将得到更正确的引导, 在不增加带宽成本的情况下, 带宽资源利用率将得到不断的提高。

摘要：本文通过介绍网络流量检测的主要方法, 分析威胁当前网络重要应用的危害流量, 介绍一种网络流量梳理的应用, 并以星海音乐学院校园网为例, 介绍关于网络流量监控和梳理技术的应用情况。

关键词：TCP,UDP,P2P,DPI,DFI,网络流量,流量梳理

参考文献

[1]Piero A.Bonatti, Daniel Olmedilla.Driving and Monitoring Provisional Trust Negotiation with Metapolicies[A].IEEE POLICY2005[C].Stockholm, Sweden, 2005:123～135

[2]BONATTI P, VIMERCATI S, S AMARATI P.An Algebra for Composing Access Control Policies[J].ACM Trans on Information and System Security, 2002, 5 (1) :1～35

网络流量监控系统第7篇

1.1 SNMP计算机网络流量监控系统定义

SNMP (简单网络管理协议) 计算机网络流量监控系统从监控审计的角度上来说, 指的是利用相关的计算机网络技术, 对网络活动进行相关的监视活动, 审计计算机网络系统在配置以及安全漏洞方面所存在的问题, 通过一些列的技术手段对广大的网络用户以及用户在使用计算机网络系统时所产生的相关行为进行监督和管理, 并定期将计算机网络内部所产生的相关数据进行统计、分析, 进而来评估计算机网络在使用过程中的安全性以及相关重要资料的完整性, 确保及时发现计算机网络在使用过程中的潜在的计算机网络安全威胁, 及时识别计算机网络中的攻击行为, 并及时的对计算机网络中所出现的异常行为进行系统的统计工作, 对已经违反计算机网络安全法规的行为进行举报, 帮助广大的计算机网络系统管理员有效的对SNMP计算机网络流量监控系统进行管理以及相应的评估系统工作。

1.2 SNMP计算机网络流量监控系统工作原理

SNMP (简单网络管理协议) 计算机网络流量监控系统主要是由四个基本的文件共同组成。RFC1155定义主要利用SMI, 即管理信息结构对SNMP计算机网络流量监控系统的语法以及语义进行系统定义, 充分说明SNMP计算机网络流量监控系统的定义以及相关的访问管理对象;RFC1212主要负责MIB模块中的相关管理方法;RFC1213通过对MIB-2进行系统定义, 集合管理对象的核心问题;RFC1157则是SNMPv1协议中的规范性文件。

2 SNMP计算机网络流量监控系统研究与探索

2.1 SNMP计算机网络流量监控系统的网络流量分类

计算机网络中的网络流量在类型分布方面比较复杂, 因此SNMP计算机网络流量监控系统为了更为方便的对计算机网络的运行进行相应的监控以及综合管理, 就必须把不同种类型的网络流量进行综合分类, 并将网络流量进行组合。首先, 将网络系统中的源节点, 例如:路由器、计算机系统的交换机以及服务器等进行分类, 将每一个IP层均作为每一个设备中的源以及目的节点, 通过这样的计算机网络类别, 不仅可以对实际网络中所产生的流量数据进行系统测量, 同时还可以帮助计算机网络管理人员对网络链路的运行以及繁忙状况进行监督和管理工作。其次, SNMP计算机网络流量监控系统可以将发生在网络系统中的各个节点之间的应用层中的业务流量进行系统分类, 将每一种业务, 例如:视频、Hppt等用于之相对应的网络系统参数进行综合表述, 并将上述的综合数据进行系统归纳和组合, 进而形成计算机网络管理中所需要的具体流量信息。

2.2 SNMP计算机网络流量监控系统的测量方式

SNMP计算机网络流量监控系统中的流量测量的方式主要分为两种类型。首先, SNMP计算机网络流量监控系统中专门用于计算机网络的侦听系统, 也就是我们所俗称的“嗅控器”的Sniffer网络工具。这种工具在使用的过程中, 由于一些物理因素的控制和影响, 对到达对象的流量在监控方面不能够完全保证都监听到。以路由器为例, 在计算机网络监听的过程中, 必须保证路由器以及计算机侦听设备之间的配合, 也就是两种设备必须在同一个物理网段, 才能够保证监听质量。其次, 通过SNMP计算机网络流量监控系统的协议, 相关的管理人员可以利用该系统直接从计算机网络中的对象处获得流量, 并对整个MIB数据库中的表进行数据分析和研究, 并通过一些列的数据分析和研究得出所需要的计算机网络流量的信息。例如:METG就是SNMP计算机网络流量监控系统中常用到的一种分析工具, 这种工具可以将监控得到的结果转化为GIF或者PNG等形式的图片, 并通过这种文件对计算机网络中的数据进行系统分析和处理工作, 进而将转化成功的图形文件植入到所要的标准化的HTML的网络页面中。

摘要：随着第三次科技革命的爆发, 世界各国在通讯科技领域已经得到了长足的发展和进步, 网络应用已经遍布到了我们生活中的各个方面。计算机网络的流量形式已经变得更为复杂化, 其中涉及到的相关网络内容也已经变得更为充实。对此, SNMP计算机网络流量监控系统就显得尤为必要了。SNMP计算机网络流量监控系统可以更为详尽邪恶对计算机网络流量进行系统监控以及综合管理, 帮助广大网络用户在使用计算机网络时候更为便利。本文主要从SNMP计算机网络流量监控系统的基本原理进行阐述, 并根据SNMP计算机网络流量监控系统的实际情况与用户所需相结合, 对SNMP计算机网络流量监控系统的发展展开系统研究和探索。

关键词：SNMP (简单网络管理协议) ,计算机网络流量,监控系统,研究与探索

参考文献

[1]黄晓波.基于“Cacti+RrdTool+Mysql+Net-Snmp”的IP城域网流量分析系统[A].武汉市第二届学术年会通信学会2006年学术年会论文集[C], 2006.

[2]赵万平, 卢清, 李春生.基于SNMP的校园网络监控系统的设计与实现[J].陕西理工学院学报 (自然科学版) , 2006 (4) .

[3]丁浩, 钟求喜.基于CIM的安全管理框架设计与实现[A].中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集 (下册) [C], 2008.

网络流量监控系统第8篇

关键词：SNMP,RRDTOOL,CACTI,流量监控系统

0引言

随着校园网络规模的扩大, 网络基础设备的不断完善以及应用的普及, 各高校开始把工作重心由网络提速转向增加网络的应用, 如综合教务管理、电子校务、校园一卡通、VOD视频点播、网上电视、远程教育、多媒体网上教学等。网络流量扩大, 网络负担加重, 可能使网络设备超负荷运转, 从而导致网络性能下降。这就需要功能更完善的网络管理来保证网络的可靠运行, 网络管理特别是网络性能的监控越来越受到人们的重视。在日常网络管理维护的工作中, 经常需要我们查看路由器、交换机等网络设态和端口流量, 以便判断链路状态, 发现问题及时处理。虽然大多数网络设备厂商考虑到这一点, 我们可以登录到路由器或者交换机上, 输入一些命令进行查看, 但通常命令的输出结果不能实时地反映网络流量, 不够直观。在这种情况下, 建立一个实时直观的监控系统对网络参数进行测量和收集, 对网络系统管理、运行以及规划具有重要的意义。

1系统的建立

1.1系统的组成结构

系统借助CACTI软件来实现, CACTI是一套基于PHP, MyS QL, SNMP及RRDtool开发的网络流量监测图形分析工具, 系统结构组成如下图。

1.2系统的工作原理

系统以CACTI为核心负责调度其他模块进行工作并实现与用户的接口, 它的主要功能是用Net-SNMP服务定时采集获取数据, 然后用RRDtool储存和更新数据, 当用户需要查看数据的时候用RRDtool生成图表呈现给用户。因此, SNMP和RRDtool是CACTI的关键。SNMP关系着数据的收集, RRDtoo是一环形数据库, 关系着数据存储和图表的生成。MyS QL配合PHP程序存储一些变量数据并对变量数据进行调用, 如:主机名、主机ip、SNMP团体名、端口号、模板信息等变量。SNMP抓到数据不是存储在MyS QL中, 而是存在RRDtool生成的rrd文件中 (在CACTI根目录的rra文件夹下) 。RRDtool对数据的更新和存储就是对rrd文件的处理, rrd文件是大小固定的档案文件 (Round Robin Archive) , 它能够存储的数据笔数在创建时就已经定义。系统工作过程如下图。

SNMP (简单网络管理协议) 是Internet工程任务组 (IETF) 在SGMP基础上开发的, SNMP是由一系列协议组和规范组成的, SNMP的体系结构包括SNMP管理者 (SNMPManager) 、SNMP代理者 (SNMPAgent) 和管理信息库 (MIB) 。每个支持SNMP的网络设备中都包含一个代理, 不断地收集统计数据, 并把这些数据记录到一个管理信息库 (MIB) 中, 网络维护管理程序再通过SNMP通信协议查询或修改代理所纪录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。SNMP最大的特点是简单性, 容易实现且成本低, 利用SNMP协议能够对被监视的各个网络端口输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等进行采集。

1.3系统的安装部署

(1) 配置路由器和交换机:

4利用CACTI进行绘图管理。

首先要对监测的网络及设备进行良好的规划、设计与配置, 包括配置设备互联地址、网管地址及路由, 保证流量监测计算机可以与被监测设备网络层的互通;配置SNMP通信字符串和端口号, 掌握需要的监测对象号 (SNMP OID) , 确保流量监测计算机可以获取正确的SNMP信息。在路由器和交换机上启动SNMP代理, 并设置只读团体名。命令如下:

3利用CACTI进行设备的添加;

(config) # SNMP server enable traps

(config) # SNMP server community test ro

(2) 安装配置RRDtool:

我们以Debian平台来安装配置RRDTOOL系统, 在安装RRDTOOL前首先要安装支持RRDTOOL运行的环境:

Zlib、libart_lgpl、cgilib、Libpng、freetype软件包。

1安装apache、MyS QL、PHP:aptget install apache2 PHP4MyS QLserver PHP4一MyS QL;安装成功后通过浏览器访问客户器, 可以得到“It works!”的提示;利用MyS QLadmin工具给MyS QL添加好管理员密码。

2安装RRDTOOL:aptget install RRDtool。

3安装NET-SNMP:aptget install SNMP。

4安装CACTI:aptget install CACTI, 在安装过程中会提示你输入MyS QL管理员密码和CACTI数据库管理员密码。

(3) 系统配置:

安装好系统后就要进行简单的初始化和配置, 步骤如下:

1访问http//x.x.x.x/CACTI, 按照向导提示进行CACTI的初始化安装;

2利用crontabe添加计划任务:

2结束语

本文介绍的监控系统将通过收集网络上路由器、交换机或者专用被监测设备上的状态数据来实现.这是一种不干涉网络运行的被用户动监测方式, 也就是说对网络参数的测量几乎不会影响到网络的正常运行。在众多影响网络性能的因素中网络流量是最为重要的因素之一, 它包含了用户利用网络进行活动的所有的信息。通过对网络流量的监测分析, 可以为网络的运行和维护提供重要信息, 对于网络性能分析、异常监测、链路状态监测、容量规划等发挥着重要作用。

参考文献

[1]http://blog.sina.com.cn/s/blog_4e424e2101000b5x.html

使用MRTG监控校园网络流量第9篇

随着计算机网络技术的高速发展, 校园网的发展也是日新月异, 各种网络应用也是层出不穷, 对网络的性能和可靠性也提出了更高的要求。面对日益复杂的网络连接和逐渐增加的网络流量, 作为校园网管理员需要花费相当多的时间和精力来了解这些网络设备运行状况, 以维持网络系统的正常运作。这就需要一个有效率的流量监控系统, 来对网络流量进行有效监控, 及时了解网络的运行状态, 并能够对网络出现的问题做出及时的调整和排除, 同时网络流量监控也对将来的网络设备和结构进行升级提供理论依据和技术资料。MRTG是一款在SNMP协议基础上实现的流量监测的绿色软件, 能满足校园中网络流量监控的需要。

2 MRTG&SNMP简介

MRTG是一个监控网络链路流量负载的工具软件, 它通过SNMP协议从设备得到流量信息, 并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户, 以非常直观的形式显示流量负载。SNMP是专门设计用于在IP网络管理网络节点 (服务器、工作站、路由器、交换机等) 的一种标准协议, 它是一种应用层协议。SNMP可以提高网络管理员管理网络的效率, 发现并解决网络问题, 以及规划网络增长。通过SNMP接收随机消息及事件报告, 网络管理系统获知网络出现问题。

3 安装配置MRTG

3.1 设置SNMP网络管理协议

要监控设备的网络流量, 要先设置一下您需要监控流量的设备, 它可能是路由器、交换机, 服务器。只要其支持SNMP的traps, 都可以使用来作为被监控的对象。

3.1.1 安装Perl

本文中用来接收数据流量的计算机A是Windows2003 Server操作系统, 在Windows系统上安装MRTG需要Perl的支持, 所以我们需要先安装Perl插件。

3.1.2 安装IIS, 因为数据流量将以网页的形式体现出来, 所以需要在计算机A上安装IIS服务。

3.1.3 以H3C8508三层交换机为例说明一下交换机的设置过程。

snmp-agent community read softer设置团体名为softer, 属性为只读。

Snmp-agent target-host trap address 125.223.63.9 securityname softer设置管理机的IP地址为125.223.63.9, 而且“securityname”要与上面的设置一致。

Snmp trap enable启动监控

3.2 计算机A上的配置

现在我们就需要在计算机A上设置MRTG让它接收8508交换机的SNMP信息, 并将这些信息制作成网页的形式进行发布。在计算机A上配置好IIS的发布目录并正确安装Perl和MRTG程序后, 重新启动计算机并进行如下操作。

3.2.1 打开计算机A的命令提示符窗口, 然后进入默认安装路径C:mrtgbin目录。

3.2.2输入perl cfgmaker softer@125.223.63.9-global“Work Dir:c:wwwmrtg”-output mrtg.cfg“。其中, “softer”是团体名, “125.223.63.9”是8508设备上的端口IP地址。

3.2.3 输入“perl indexmaker mrtg.cfg>c:www-rootmrtgindex.htm”后即可生成index.htm文件。

3.2.4 输入“perl mrtg-logging=mrtg.log mrtg.cfg”启动MRTG进行监控。从mrtg.cfg中读取配置并启动MRTG程序, 同时记录日志信息到mrtg.log中。

完成以上设置工作后, 我们就可以通过浏览器访问“125.223.63.9”, 查看通过8508各个端口的流量。如果你希望每5分钟刷新一次流量统计, 则可以用记事本编辑mrtg.cfg, 在最后加上“runasdaemon:yes”和“interval:5” (interval后的5表示每5分钟刷新一次, 可根据实际情况进行修改) 。

3.3 自动开启MRTG

每次启动MRTG都要进入命令行模式输入“perl mrtg-logging=public.log public.cdg”指令, 用于启动MRTG读取public.cfg文件中的端口信息然后对设备进行监视。这种方法对于需要24小时监控的设备不太实用。一旦系统因故障重新启动, 极有可能造成MRTG不能运行, 是监控出现中断, 为此我们需要把MRTG添加为系统服务。

把应用程序添加为服务需要Instsrv.exe和Srvany.exe。Instsrv.exe可以给系统安装和删除服务, Srvany.exe可以让程序以服务的方式运行。实验环境下Perl安装在c:perl目录, MRTG安装在c:mrtg目录。

3.3.1 将Instsrv.exe和Srvany.exe复制到mrtg安装目录的bin目录下 (c:mrtgbin) 。

3.3.2 进入命令行模式, 在mrtgbin目录下执行“instsrv mrtg”c:mrtgbinsrvany.exe“”命令使MRTG成为系统服务。

3.3.3 配置Srvany, 在注册表hkey_local_ma-chinesystemcurrentcontrolsetservicesmrtg中添加一个parameters项, 并在parameters子键中添加以下项目:

application内容为c:perlbinperl.exe

appdirectory内容为c:mrtgbin

appparameters内容为mrtg-logging=public.

log public.cfg

3.3.4 进入“服务”窗口, 找到mrtg服务, 将它设置为自动启动后, MRTG即可全天候监视网络流量, 即使系统重新启动后程序也将以服务的形式进行加载。

4 利用MRTG解决具体网络故障

某办公室打电话来说突然问上不了网了, 接着不断有其他办公室也报告有同样的情况。用MRTG根据上述的配置方法, 打开连接办公室的交换机, 我们发现, 在各个办公室打电话时刻 (中午1点左右) , MRTG流量图上显示F0/10端口有一个极不正常的峰值, 根据以往的经验, 这有可能是网络环路。我们先在交换机上把F0/10这个端口停用, 然后再打电话问办公室是否可以上网了, 答复是可以的。我们再把F0/10端口启用, 网络马上又断了。由此我们断定是此端口有问题。根据此端口所接网线的标签, 我们实地去该办公室排查, 发现原来是有个老师带了笔记本到办公室上网, 多接了一根网线到办公室内的小交换机上, 用完后把网线放在桌面, 其他老师不知道情况, 就把网线的另一头又接回交换机, 造成了网络环路, 从而产生大量的异常流量, 使得其他办公室也无法上网, 把网线拔掉后网络恢复了正常。

结束语

网络的流量监控在日常的网络运行维护当中是一个非常重要的内容, 通过在路由器、交换机等设备上配置MRTG, 我们可以直观地了解网络中各个部分的带宽使用情况, 第一时间发现异常网络流量, 有效防范黑客和病毒的攻击。同时, 还可以根据各个端口使用带宽的情况对网络带宽进行合理划分, 大大提高网络的运行效率。

摘要：日益增长的网络应用对校园网的性能和可靠性提出了更高的要求, 作为网络管理员需要实时掌握网络运行的情况, 在此提出了一个基于MRTG的网络流量监控方案, 对其具体实施过程进行了详细的描述。

关键词：MRTG,PERL,流量监控,校园网

参考文献

[1]邵泽云.基于MRTG的网络流量监测研究与应用[J].安庆师范学院学报 (自然科学版) .

网络流量监控系统第10篇

关键词：网络监控　WinPcap　嗅探　PDH

中图分类号：TP39　　　　　文献标识码：A　　　　　文章编号：1007-3973（2012）003-075-02

1 WinPcap的功能

Winpcap(windows packet capture)是Windows平台下一个免费的SDK，它为win32应用程序提供访问网络底层的能力。Winpcap不能阻塞、过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报。

它提供了以下的各项功能：

(1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；

(2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；

(3)在网络上发送原始的数据报；

(4)收集网络通信过程中的统计信息。

2 WPcap.dll

动态链接库wpcap.dll。它也是提供给开发者的API，它输出一组与系统有关的函数，用来捕获和分析网络流量。

3 主要设计与开发的内容

本系统实现的功能主要实现网络流量监测与统计分析。在用户方面，该系统实现了计算网络流量与网络协议分析等具体功能；在整个项目方面，该系统作为网络异常告警与智能分析的基础模块。

流量监测是以图形的方式实时显示出流量的大小。

流量统计分析包括ARP数据包统计、TCP数据包统计、UDP数据统计、ICMP数据包统计、广播数据包统计等。包括的子项有：

(1)每个数据包的时间、源IP地址、源MAC地址、目的IP地址、目的MAC地址、端口号、数据包大小。

(2)统计一段时间内某种协议的数据包个数及总大小。

(3)按源IP和目的IP统计某个IP地址到另一个目的IP的某种协议的数据包时间、源IP地址、源MAC地址、目的IP地址、目的MAC地址、端口号、大小。

(4)按源IP或者目的IP统计某个IP地址的某种协议的数据包总大小及总大小。

4 总体设计方案

整个软件分为三个子模块。三个模块为：数据包统计分析模块、流量监测模块、用户模块(界面模块)。

统计分析模块主要基于WinPcap捕包原理，通过截获整个网络的所有信息流量，根据信息源主机，目标主机，服务协议端口等信息按照ARP、TCP、UDP、ICMP、广播协议过滤分析、统计。

本模块要将网络中各种层次中的协议进行对比分析，对已知数据字段进行分析，这种分析是逐层进行的。因为数据包的结构都是自顶向下层层的添加数据包头，而且每层的包头都有固定的长度，所以根据特定位置来判断协议类型也就变得简单。在本系统中，采用的是网络中的OSI标准，即网络的七层结构。

流量监测是流量的短期分析。该模块主要实现如下功能：网络总流量的实时查看，网络输出流量的实时查看，网络输入流量的实时查看。

用户模块（界面模块）本系统主要采用Visual studio 2008平台来设计用户界面，使其界面与Windows保持最大的一致。

5 统计分析模块详细设计

编写WinPcap应用程序首先获得主机的所有网卡。WinPcap用函数pcap_findalldevs()来实现，该函数返回一个pcap_if的链表，链表中包含了每一个网卡的详细信息。

打开设备的函数是pcap_open()，它有三个参数snaplen、flags和to_ms。snaplen参数用来制定捕获包的特定部分。如果网卡设置成混杂模式，Winpcap能获得其他主机的数据包。to_ms 参数指定读数据的超时控制，超时以毫秒计算。当在超时时间内网卡上没有数据到来时，对网卡的读操作将返回。

当设备被打开，调用函数pcap_dispatch()来捕获数据包。pcap_dispatch()可以不被阻塞。这个函数都有返回的参数，一个指向某个函数的指针，Libpcap调用该函数对每个从网上到来的数据包进行处理和接收数据包。另一个参数带有时间戳和数据包长度等信息，最后一个是含有所有协议头部数据包的实际数据。MAC的冗余校验码一般不出现，因为当一个帧到达并被确认后网卡就将它删除。

当对网络数据包的分析的时候，必须先分析链路层，其次分析网络层，之后是传输层，最后分析应用层。

由于本程序只分析以太网的协议，所以去掉以太网协议的部分，剩下的就是IP协议的数据；IP协议部分包括 TCP和UDP协议的数据包；之后分析TCP和UDP等传输层的协议，将传输层协议部分舍去，留下来的是应用层协议；最后解析应用层协议。

基于以太网协议内容的进行分析，判断以太网类型的值：如果是0x0806，表示ARP协议，则分析ARP协议；如果是0x0800，表示协议为IP协议，则分析IP协议,在分析IP协议时，根据协议类型的值判断传输层协议类型：如果IP协议类型字段的值是6，表示协议为TCP协议，则分析TCP协议。

统计分析模块将分为五个功能的详细设计分别是ARP数据包统计、TCP数据包统计、UDP数据统计、ICMP数据包统计、广播数据包统计。

6 流量监测模块详细设计

网络流量监测的思想是：对流入和流出网卡的数据包进行检测并对数据包的长度进行累加，从而得到流量数据。由于Windows NT/2000/XP/7提供了一个系统性能的接口（注册表），所以需要做的就是访问这个接口，得到数据流量。

具体实现通过PDH和读取注册表中的系统性能数据来实现流量的监测模块。PDH是英文Performance Data Helper的缩写。随着PDH逐渐成熟，为了使该数据库的使用变得容易，Microsoft开发了一组Performance Data的API函数，包含在PDH.DLL文件中。使用PDH API基本上包括5个步骤。

创建一个查询；向查询中添加计数器；搜集性能数据；处理性能数据；关闭查询。

在本系统中将采用查询注册表的方式完成PD的查询。本系统中用到了一个注册表函数RegQueryValueEx，该函数根据一个开放的注册表键值和一个具体的名字值查找相关的类型和数据。

参考文献：

[1]　刘敏,过晓冰,伍卫国,等.针对网络扫描的监测系统[J].计算机工程,2002,28(2):77-78.

[2]　循序渐进学习使用WINPCAP．http://www.cnpaf.net/Class/winpcap/index.html.

[3]　Joao B.D. Cabrera,Lundy Lewis,Raman K.Mehra.Compositive Detection and Classification of Intrusions and Faults using,2002.

[4]　张宏莉,方滨兴,胡铭曾,等.Internet测量与分析综述[J].软件学报,2003,14(1).

网络数据流量图形化分析系统实现第11篇

随着互联网络的迅速发展, 网络数据流量特征的研究近年来引起了人们广泛关注。网络数据流量分析系统的定位重点在对网络流量的流量、流向、协议的细节监视和分析, 网络安全监视。在容量规划、入侵检测和路由优化时, 网络管理员需要知道网络的数据流量情况和尽量多的测量信息。

2 关键技术

⑴数据流。数据流是指输入数据a1, a2, ..按顺序到达。这些数据描述了一个信号A。A是一个一维函数A:[1...N]R2。模型取决于ai如何描述A。本文把数据流技术和传统的网络管理技术相结合, 取得了较好的应用效果。

⑵流量监测原理。网络流量监测有主动监测和被动监测两种不同的实现方法。主动测量方法是向被测网络中注入附加的“探测流量”并进行返回数据的采集来实现监测的方法, 该如果处理不当, 也会给网络增加额外的负荷, 影响测量结果的客观性, 甚至使测量结果不准确, 产生Heisenburg效应。而被动测量方法是在网络的某点采集、记录并且分析网络的流量信息来实现测量的方法。被动测量可以完全消除附加的“探测流量”和Heisenbutg效应, 这是被动测量的优点, 但存在可能会涉及隐私和安全问题的不足。由于Internet上大多数数据传输是不加密的, 鉴于被动监测的优点, 本系统采用基于数据包捕获的被动监测技术。

⑶winpcap。在网络管理与安全防护中, 对网络数据流量进行分析, 是非常重要的一个任务, 从防火墙到攻击检测系统, 都会用到类似功能。开发此类软件过程相当复杂。而winpcap (indows packet capture) 是windows平台下一个免费公共的网络访问系统。它提供了以下的各项功能:

1>捕获原始数据报;2>按照自定义的规则将某些特殊的数据报过滤掉;3>在网络上发送原始的数据报;4>收集网络通信过程中的统计信息。

3 系统架构

无论是基于网络安全, 还是基于网络计费系统的改进, 网络数据流量分析无疑是必要的, 人们对网络依赖很强。网络数据流量系统的架构包括三层:数据层 (浏览统计、数据库管理) 、访问应用层、展现层 (在线统计器、流量统计器、网络速度监视器) 。

4 系统设计

⑴网络监视器。网络监视器是监视网络通信的, 其主要工作有三项:winpcap捕捉包、包分析、记录。

1) winpcap捕捉包。在网络包捕获系统的实现中, 采用的是WINPCAP包捕获应用系统框架。网络监听模块将网络接口设置为混乱模式, 将网络上传输的数据包截取下来, 供协议分析模块使用。由于效率的需要, 有时要根据设置过滤网络上的一些数据包, 如特定IP, 特定MAC地址、特定协议的数据包等。网络监听模块的过滤功能的效率是该网络监听的关键, 因为对于网络上的每一数据包都会使用该模块过滤, 判断是否符合过滤条件。

为提高效率, 数据包过滤应该在系统内核里来实现。获得数据包之后, 如果在捕获过程结束后创建了两个线程实现对捕获数据的实时性处理。

2) 包分析。包分析指将捕捉来的数据报进行分析。由于要进行流量统计需要很多必要的信息, 作为统计依据, 如IP地址、协议类型等。其中, 数据长度可由函数调用返回的内容得到而且此时得到的是实际在网上的包长度。

3) 记录。通过包的分析后, 将有用的信息记录到文件中去。其中包括目的IP、源IP, 数据长度、协议类型、以及为了统计方便需要的时间信息。

⑵流量统计器。流量统计器, 是对流量监视器的记录结果进行统计, 将网络监视器的记录文件内容读出, 并根据网址分割标准及源和目的地分别统计出流向网外的国内和国外流量, 并将结果按照日期分别存储在数据中。

5 系统实现

⑴捕捉包的实现。包捕捉作为一个独立的应用程序运行, 它从网上截获包, 并以文件形式将有用信息记录下来, 为流量统计准备统计的原始依据。

⑵在线统计的实现。ping利用了原始套接口技术发送ICMP回射请求, 并接收工CMP回射应答。Socket是CP/IP编程的底层API (网络编程接口) 。在实现ping后可以将其作为一个函数调用, 就很容易实现在线统计。

⑶图形界面的实现。采用Visual C++.NET实现流量图形化界面, 主要是使用GDI函数画图, 首先要得到一个设备描述句柄或一个可用的CDC设备描述表对象, WIN32API提供了Begin Paint () 和Get DC两个函数, 用于获得指定窗口的设备描述句柄。MFC的窗口类CWnd类也提供了两个当前窗口的CDC对象的函数Begin Pin () 和GETDC () ;也可以在窗口处理函数中直接用CDC的派生类, 最终实现流量图形化。

6 总结