网络流量监控的常用方法
一.MRTG

MRTG是一个免费的软件,支持UNIX和NT操作系统,其安装过程非常简便,但由于其结果输出采用Web页面方式,因此需要在相应的平台上安装发布系统,如NT上需要安装IIS,UNIX则需要安装apache。MRTG通常被网络管理人员用来收集网络节点端口流量统计信息,是典型的监视网络链路流量负荷的工具。MRTG将真实流量数据统计信息通过HTML页面实时输出,使得维护人员可以迅速地发现网络的故障和可能发生故障的节点。MRTG的定制非常方便,一般可以在网络的重要节点端口和故障发生频繁的网络设备处利用MRTG进行监视,这些监视包括:

(1) 关键链路流量
可以对关键链路的流量进行监视,提供各种统计时间的统计图表,如一天(基本时长为5分钟)、一周(基本时长为30分钟)、一月(基本时长为2小时)等。统计的时间越长,就越能反映出网络的真实状况和网络流量的变化规律。短时间统计可以用来帮助维护和分析网络故障,长时间统计可以为规划设计提供科学可靠的数据。

(2) 关键节点性能状况
包括CPU利用率、空余内存等可以反应网络节点状况的信息。同样,关键节点性能状况的监视也包括小时/日/周/月的系统性能统计。

(3) 优缺点
MRTG的优点是安装、定制简单,结果采用Web方式输出方便实用,而且是免费产品,在世界各地有很多的开发人员不断对其升级和改进。
MRTG的缺点是功能较单一,分析功能不强,其收集到的流量信息是端口的统计信息,不能用于复杂的分析。


二.SnifferPortable

Sniffer Portable属于Network Associates公司的Sniffer产品系列。Sniffer包含很多产品,分别适用于不同的场合。Sniffer Portable可以安装在PC机、笔记本电脑上,不需要额外的硬件支持,其分析能力极其强大,是Sniffer产品系列中应用最广、知名度最高的产品。一般来说,用Sniffer Portable采集流量的过程是将安装了Sniffer的主机接入到交换机的某个端口(目的映射端口,Destination Span Port),然后将其它需要采集流量的交换机端口(可不在同一交换机上)流量映射到此端口,从而通过对一个端口的扫描就可以采集到多个端口的流量。

通过端口映射Sniffer Portable可以实时采集多种数据并保存到数据库中,同时可以通过其分析部件实时监视和显示这些数据的统计信息。

利用Sniffer Portable的数据捕捉(capture)功能可以在短的时间内对网络流量进行实时采集,这些采集到的流量数据可以包含整个包的信息,也可以只是包的一部分。利用捕获到的包可以进行协议分析、数据重组(如重组E-mail)等工作。对包的解码和分析是Sniffer工具的一个最有特色的,也是最强大的功能。

当不采用厂家的特殊硬件系统,Sniffer Portable只能用于100Mbit/s及以下速率链路;网络中可以安装多个Sniffer Portable,但它们都是相互独立的,分别有各自的数据库,收集到的数据独立存放,这对于整个网络的分析带来一定难度,因此它特别适合小范围内的性能维护和分析;Sniffer Portable分析能力特别强大,可以解析近370种协议。当要求对更高速(GE或POS 2.5Gbit/s)的链路采集流量,或者是全面收集大型网络的流量时,可以采用Sniffer的硬件产品及其分布式系统,但其价格昂贵,在这里我们建议采用NetFlow或流量探针等其他方式。


三. ROM II流量探针(ROM II Probe)

ROM II是标准RMON的扩展。标准RMON由Manager和Agent组成,Agent 通常是由物理上的硬件设备来实现。一个Agent按照RMON标准监视一个子网(通常是一条链路)的流量信息,Manager通过SNMP从Agent获得测量数据。ROM II在标准RMON的基础上增加了协议分布(ProtocolDist)、探针配置(probeConfig)等多个测量项目。流量探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息。
ROM II流量探针指的是该探针提供对ROM II的支持。流量探针提供对1000Mbit/s及以下速率链路的支持(POS 2.5Gbit/s暂无厂家宣布支持)。

流量探针价格昂贵,不适合大面积安装,因此流量探针比较适合在汇聚层或接入层的某些重要节点内部实施。流量探针安装非常方便,可以实时将RMON II的流量信息完全记录下来,这对分析网络的性能和故障很有价值。如果将流量探针串接到Catalyst系列交换机端口,开启端口映射(Span Port)功能,将各个端口的流量映射到安装了流量探针的端口,则仅通过对一个端口的监测就可以收集到多个端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列设备上都可以实现。其它厂商如Foundry公司的交换机也提供端口映射的功能,但现在还不支持跨交换机的映射。

典型的流量探针设备有Netscout公司的Netscout和Agilent公司的NetMetrix系列产品,都是基于RMON II。现有探针种类包括OC-3 ATM 探针、半/全双工以太网探针、E1广域网探针、GE探针等,其收集的流量信息都包括以下部分:源IP地址、目的IP地址、时间、包个数、字节数。

流量探针可以实时对以上数据进行记录并保存到数据库中,同时通过其管理软件实时监视和图形显示这些数据的统计信息。和Sniffer一样,利用流量探针的数据捕捉(capture)功能可以在很短的时间内对网络流量进行实时采集,这些采集到的流量数据可以包含整个包的信息,也可以只是包的一部分。利用捕获到的包也可以进行协议分析,但其功能不如Sniffer强大。

流量探针的安装很简单,可以用于高速(千兆)的网络而不影响网络性能;流量探针可以实时捕捉包;但其成本高,不同的物理链路,因其采样方法也不同,而需要使用不同种探针;POS 2.5Gbit/s暂无厂家支持。

四. 开启NetFlow来获取RMON II 流量

NetFlow是Cisco公司提出的网络数据包交换技术,它同时可用来记录网络流信息。一个网络流是从给定的源到目的端的单向的一系列数据包,它使用源和目的端点的IP地址和传输层端口号、协议类型、服务类型(ToS)以及输入接口等来标记网络流。

NetFlow记录的流包含了丰富的信息,非常适合于网络性能分析。NetFlow不需要其它硬件流量设备的支持,开启和关闭都非常方便,因此在国外已有很多运营商用它来收集流量,服务于网络规划、设计和优化等领域。除了Cisco公司的产品外,现还有Foundry公司的BigIron系列三层交换机和NetIron系列路由器提供对NetFlow的支持。图2是NetFlow 流量典型收集流程。

NetFlow的数据输出要求先在路由器和交换机上定制NetFlow流输出,并选择输出流的版本、个数、缓冲区的大小等,配置相应NetFlow FlowCollector(流量收集器)的IP 地址、端口等信息,此时路由器或交换机即可以以UDP的方式向外发送流信息,然后在NetFlow FlowCollector端,配置接收端口号、设置汇聚、过滤策略、流量文件存放目录、格式等等。一般来说,NetFlow FlowCollector都选用UNIX工作站来收集数据,NetFlow FlowCollector收集的数据将存放在本地磁盘中(路径由用户定义)。同时,它也可以通过网关以SOCKET方式发送信息到其它网管分析软件,如Cisco公司的NetFlow FlowAnalyzer流量分析软件。也可以直接读取存放在NetFlow FlowCollector工作站中的数据文件,对其进行分析处理。例如将这些数据应用到网络仿真中,仿真出实际网络运行的性能参数,为网络设计和规划、运营维护等广泛领域服务。

NetFlow的配置非常方便、安装简单,除了需要在路由器上配置之外,只需要一台UNIX工作站作为流的收集工作站,所有路由器或交换机上发送的NetFlow流都将送到此工作站集中,方便处理和分析。NetFlow流信息量特别丰富,可以为流量分布、业务分布等性能分析提供最充足的数据,但需要消耗一定的路由器资源(CPU和内存)且不能实时捕捉数据包。

根据NetFlow的特点可知,其非常适用于大型的网络,和流量探针、Sniffer等比较,NetFlow成本最低,实施最方便,而且不受速率的限制,是数据流量采集的发展方向。

五. NetDetector

Niksun公司的NetDetector为IP网络提供实时、连续的流量记录和分析。与以上工具不同的是,NetDetector可以实时、连续地将整个数据包捕捉并实时存储到内部或外部存储器上,其存储容量达到T字节。由于完全捕捉了链路的流量,NetDetector可以回放经过某端口的流的过程,像一个摄像机,监视着网络资源被使用的安全状况。另外,NetDetector可以重建IP流,可以将捕获到的Web、E-mail、Telnet、FTP等应用数据还原为发送前的状态,因此非常适用于保障网络安全。目前,NetDetector已被用于美国Internet骨干网,用于收集犯罪证据,打击恐怖主意,维护国家安全。

5种流量采集工具的比较

                             MRTG              Sniffer               流量探针                   NetFlow              NetDetector

采集完整用户业务流量              否                  是,短时间      是短时间                     否                      是,长时间

消耗路由器或交换机资源        否                   否                  否                      是                 否

工程规模                     最简单           较简单                较简单                    最简单             复杂

数据存放                     集中             分布式             集中                     集中              集中/分布式

适用链路                    各种速率            10/100Mbit/s   1000Mbit/s以下    GE/POS 2.5Gbit/s及以下        OC-48以下

适用业务                     维护               性能分析                性能分析         性能分析/计费               网络安全

费用                        免费                 高                 很高                     低                         最高