1.基于SNMP的流量分析
SNMP(Simple Network Management Protocal,简单网络管理协议)是一种广为使用的网络协议,基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息。典型工具有MRTG(Multi Router Traffic Grapher),MRTG是一个实用的免费软件,MRTG使用起来很方便,能够非常直观地显示端口流量负载。但MRTG的功能比较单一,其收集到的流量信息仅是简单的端口出、入流量统计信息,不能用于深入的流量分析。
2.RMON
RMON(Remote Monitoring.远程控制)是由IETF定义的一种远程监控标准,RMON是对SNMP标准的扩展,它定义了标准功能以及网管站和远程监控器之间的接口实现对一个网段乃至整个网络的数据流量的监视功能。
RMON监控器可用两种方法收集数据:一种是通过专用的RMON探针(Probe),流量探针安装方便,但是流量探针价格昂贵,不合适大面积部署。另一种方法是将RMON代理直接植入网络设备(路由器、交换机等),但这种方式受网络设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集统计量、历史、告警、事件等四个组的信息。
3.NetStream技术
表示红的词语NetStream是H3C基于‘流’的概念,定义的一种用于路由器/交换机输出网络流量的统计数据的方法。路由器/交换机对通过其的IP数据包进行统计和分析,并上报给数据采集机,采集机把搜集的数据包及统计数据传送到中心服务器,经合并处理后存入数据库,并进行进一步的分析处理。NetStream技术可以利用网络中数据流量创造价值,并可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息。
4.sFlow
sFlow(RFC3176)是2001年由lnMon公司提出来的技术,sFlow(RFC3176)是IEFE的一个开放标准,可提供完整的第二层到第四层、全网络范围内的流量信息。
sFlow监控系统包括sFlow代理、sFlow数据采集器或sFlow分析器、sFlow代理通常为硬件芯片内嵌到路由器或交换机中,通过统计采样技术获取流量信息形成sFlow数据包,并立即发送给sFlow分析器进行流量分析。sFlow可以直接内建在边缘的二层或三层交换设备上提供覆盖全网、实时网络监控的功能,是一种能有发展前景的技术。
台钓调漂技巧
SNMP 协议
母亲节的祝福语句简单SNMP 协议是为了解决 TCP/IP 网络的管理问题提出来的, 是目前在计算机网络中应用最广泛的网络管理协议, 而且 SNMP 已成为事实上的工业标准。现在全球网络设备厂家绝大多数都支持 SNMP 协议。SNMP 是基于 TCP/IP 网络的网络管理标准。他使用传输层提供无连接服务的 UDP 协议来交换网络设备的管理信息, 包括协议自身、数据库的定义和相关概念。SNMP 管理模型具备典型的客户/服务器(Client/Server)体系结构, 由 4 部分组成:网络管理站、被管设备、管理信息库(MIB)、管理协议。
管理者(manager)一般工作于一台主机之中, 代理(agent)则驻留于主机、路由器、网桥、集线器等网络设备上。被管设备上的代理一般以守护进程形式在后台运行。二者以客户/服务器的方式进行交互。管理站与被管设备间管理信息的交互遵循 SNMP 协议。管理者通过 SNMP 协议, 请求代理检索和改变网络设备的 MIB 信息, 而代理用 SNMP 协议向管理者主动报告网络设备的状态变化。
数据采集的原理
在目前的局域网系统中, 几乎所有的高端路由器都嵌入 SNMP 协议, 它规定了管理者(Manager)和管理代理(Agent)之间进行通信时的语法规则, 支持 SNMP 的设备将可被管理的信息以管理信息库 MIB 的形式组织起来。所以在 MIB 中, 存放着各种管理对象和管理参数, 网络流量数据的采集就是通过 SNMP 协议操作 MIB 中的管理对象来实施的。其采集模式如图 1 所示
SNMP Manager 发送Get、GetNext 或 Set 消息来检索单个、多个对象变量或给一个、多个对象变量设置新值。SNMPAgent 在完成 Get、GetNext 或 Set 命令处理后返回一个响应消息 Response。当 SNMPAgent 发现被管理设备出现异常时, 将主动发送一个事件通知或陷阱(Trap)给 SNMP Manager。SNMP 协议使用 UDP 传输服务,在代理进程端使用 161 端口来接收 Get 或 Set 报文, 而在管理进程端则使用 162 端口来接受 Trap 报文。
基于网络探针(probe)的流量采集
网络探针的思想源于传统Ethernet总线结构。传统的Ethernet采用总线的形式进行网络连接,网络通信采用广播的形式,一台主机可以监听到位于同一物理子网的任何一台主机参与的通信。用于IP流量采集的网络探针的方法,相当于利用传统的Ethemet的通信原理,
安插网络探针,监听并接收所有其他通信,记录通过本总线的每一次通信,进一步整理成IP流量的统计。
探针必须具有对网络底层通信方式进行控制的能力,使系统网络接口适配器的工作方式变为Pro-mi2ciouse方式,并且将网络底层接收的数据传送到应用层进行分析处理。探针的实现技术一般包括数据包捕获、包过滤模块、会话跟踪模块、协议跟踪、监控模式匹配及用户规则匹配及规则库维护等。
为了完成网络流量统计的要求,网络探针应该放在最接近出口路由器的网段上,这样,所有出入网络的通信才会被监视到。具体实现时,一般通过修改服务器网卡程序,使其能收到通过出口路由器的数据包。
汶川地震13周年众星发文缅怀天津中考成绩查询时间基于网络流(NetFlow)的流量采集
NetFlow是Cisco公司提出的网络数据包交换技术,它同时可用来记录网络流信息。一个网络流是从给定的源到目的端的单向的一系列数据包,它使用源和目的端点的IP地址和传输层端口号、协议类型、服务类型(ToS)以及输入接口等来标记网络流。
NetFlow记录的流包含了丰富的信息,非常适合于网络性能分析。NetFlow不需要其它硬件流量设备的支持,开启和关闭都非常方便,因此在国外已有很多运营商用它来收集流量,服务于网络规划、设计和优化等领域。
NetFlow的数据输出要求先在路由器和交换机上定制NetFlow流输出,并选择输出流的版本、个数、缓冲区的大小等,配置相应NetFlow FlowCollector(流量收集器)的IP 地址、端口等信息,此时路由器或交换机即可以以UDP的方式向外发送流信息,然后在NetFlow FlowCollector端,配置接收端口号、设置汇聚、过滤策略、流量文件存放目录、格式等等。 一般来说,NetFlow FlowCollector都选用UNIX工作站来收集数据,NetFlow FlowCollector收集的数据将存放在本地磁盘中(路径由用户定义)。同时,它也可以通过网关以SOCKET方式发送信息到其它网管分析软件,如Cisco公司的NetFlow FlowAnalyzer流量分析软件。也可以直接读取存放在NetFlow FlowCollector工作站中的数据文件,对其进行分析处理。例如将这些数据应用到网络仿真中,仿真出实际网络运行的性能参数,为网络设计和规划、运营维护等广泛领域服务。
NetFlow的配置非常方便、安装简单,除了需要在路由器上配置之外,只需要一台UNIX工
作站作为流的收集工作站,所有路由器或交换机上发送的NetFlow流都将送到此工作站集中,方便处理和分析。NetFlow流信息量特别丰富,可以为流量分布、业务分布等性能分析提供最充足的数据,但需要消耗一定的路由器资源(CPU和内存)且不能实时捕捉数据包。
基于端口映射的流量采集
京东查询订单端口映射其实就是常说的NAT地址转换的一种,其功能就是把在公网的地址转翻译成私有地址, 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP,ADSL直接接在HUB或交换机上,所有的电脑共享上网。
Sniffer Portable属于Network Associates公司的Sniffer产品系列。Sniffer包含很多产品,分别适用于不同的场合。Sniffer Portable可以安装在PC机、笔记本电脑上,不需要额外的硬件支持,其分析能力极其强大,是Sniffer产品系列中应用最广、知名度最高的产品。一般来说,用Sniffer Portable采集流量的过程是将安装了Sniffer的主机接入到交换机的某个端口(目的映射端口,Destination Span Port),然后将其它需要采集流量的交换机端口(可不在同一交换机上)流量映射到此端口,从而通过对一个端口的扫描就可以采集到多
个端口的流量。
通过端口映射Sniffer Portable可以实时采集多种数据并保存到数据库中,同时可以通过其分析部件实时监视和显示这些数据的统计信息。
利用Sniffer Portable的数据捕捉(capture)功能可以在短的时间内对网络流量进行实时采集,这些采集到的流量数据可以包含整个包的信息,也可以只是包的一部分。利用捕获到的包可以进行协议分析、数据重组(如重组E-mail)等工作。对包的解码和分析是Sniffer工具的一个最有特的,也是最强大的功能。
当不采用厂家的特殊硬件系统,Sniffer Portable只能用于100Mbit/s及以下速率链路;网络中可以安装多个Sniffer Portable,但它们都是相互独立的,分别有各自的数据库,收集到的数据独立存放,这对于整个网络的分析带来一定难度,因此它特别适合小范围内的性能维护和分析;Sniffer Portable分析能力特别强大,可以解析近370种协议。当要求对更高速(GE或POS 2.5Gbit/s)的链路采集流量,或者是全面收集大型网络的流量时,可以采用Sniffer的硬件产品及其分布式系统,但其价格昂贵,在这里我们建议采用NetFlow或流量探针等其他方式。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论