林锡川①LinXichuan;李志强②LiZhiqiang
(①河南工业职业技术学院网络中心,南阳473009;②南阳医学高等专科学校,南阳473061)
(①NetworkManagementCenter,He'nanPolytechnicInstitute,Nanyang,473009,China;②NanyangMedicalCollege,Nanyang473061,China)
摘要:本文提出了一套校园网流量分析系统的基本架构,并探讨了控制校园网流量的可行方法。
Abstract:Thispaperpresentsatrafficanalysissystemofcampusnetwork,anddiscussesawaytocontrolnetworktraffic.
关键词:校园网;流量分析
Keywords:campusnetwork;trafficanalysis
中图分类号:TP393文献标识码:A文章编号:1006-4311(2011)07-0148-02
0引言
网络流量分析与控制是校园网管理的重要内容。通过对校园网网络流量进行统计和分析,可以让网络管理人员及时掌握网络资源的利用情况,了解各种应用、各种业务占用的网络带宽,网络流量的来源,帮助网络管理人员在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策。
1流量记录分析
网络流量分析主要包括两方面。一种是对校园网核心设备或出口设备的网络流量进行连续记录,如Mrtg软件、RouterOS软件,它通过支持SNMP协议的网络设备得到端口链路负载信息,如网络带宽使用情况、网络吞吐量和时延等参数,并将获取的数据以图形方式显示给用户,显示形式非常直观。
Mrtg软件、RouterOS软件能提供分日、周、月、年的流量数据,可以作为反映端口流量长期变化趋势的工具。与Mrtg流量数据每五分钟更新一次相比,RouterOS的远程图形客户端Winbox,数据每秒刷新一次,实时性更高,可以更准确的反映端口上、下行流量数据,借助于配套的TrafficCounter流量监视软件,还可以将一定时间段内的流量,按IP地址进行汇总。这为明确网络数据的来去方向,进一步分析产生流量产生的原因提供必要的依据。
但想进一步了解网络流量的细节,就必须借助于另一种网络状态监测系统。网络状态监测系统可以将采集到的数据按网络层的一些特征分类汇总,提供更为具体的网络流量特征。此类网络监测工具主要有:Sniffer、Xlog和NetFlow等,与Mrtg等端口流量检测工具相比,它们可以进一步支持在SNMP协议基础上扩充的RMON协议,可以提供更多的网络数据流监测信息,并能进行网络状态监测,即同时具备网络流量采集和流量数据分析这两个方面的功能。
2网络状态监测技术
以H3C的Xlog系统为例,XLog网络流量分析系统可以使用支持特定协议的路由器和交换机提供网络流量信息,也可以使用探针采集器对网络流量信息进行采集。网络数据流一般定义为:由源到目的方向的一系列单向的数据包,通过7元组来标识的,即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和业务类型组成的七元组确定一个NetStream流,设备根据七元组信息对过往的数据包进行统计。
XLog系统的包括日志接收器、探针式采集器、日志处理器和日志管理中心四个模块。根据网络应用规模,XLog各个模块可以分布式部署在不同的服务器上,系统中可以部署多个接收器、处理器,在较小的局域网中,也可以将接收器、处理器和日志管理中心安装在一台服务器上。
网络日志数据在XLog系统中的处理流程按以下步骤进行:①日志接收器从路由器、交换机等设备接收、过滤、聚合网络日志报文;②日志处理器(Processor组件)对日志接收器传送的网络日志进行聚合、入库以及分类统计工作;③日志管理中心(Platform组件)对日志处理器处理后的数据进行分析审计,了解用户上网行为、网络应用情况等信息。日志管理中心除了审计网络日志功能以外,还完成系统管理、系统监控等工作。XLog系统结构及数据处理流程参见图1。
Xlog系统除了流量监测功能外,还可以从几个不同的方面进行网络业务识别,用于统计不同类型业务使用网络资源的情况。如:业务端口特征、业务带宽流量特征、业务传输层协议特征等。比如一般FTP传送使用21端口,P2P应用的并发连接数较大、数据收发频率高等。图2为Xlog系统部署后,对采集到的数据进行聚合后的结果。
3网络流量控制
导致校园网络异常流量的因素很多,有病毒木马等有害程序,有网络教学软件错误使用,设备线路故障,最主要的还是P2P软件的使用。对于前几种原因引起的校园网异常流量,因为数据流特征比较明显,处理起来比较容易。如对于病毒木马等有害程序可以采用网络防病毒软件进行查杀,并封堵异常流量传播的特定端口;对于网络教学系统错误使用,可以修改系统设置或暂时切断其与校园网联系来控制;设备端口故障、配置错误、链路冗余没有启用生成树协议或网线线序错误等设备线路问题都可能导致网络出现异常流量,但此类现象出现的几率很低,通过修改设备配置或修复损坏设备也能彻底解决。
传统的流量控制工具和限流技术难以控制P2P应用导致的网络流量。如防火墙、路由器对使用随机端口后的P2P软件识别率比较低,不能取得满意的过滤效果。而对带宽和连接数量两方面的限制,虽然可以使用户的P2P下载速度下降,P2P连接用户数目下降,但合法用户也会受到影响,很难达到专门限制P2P流量的目的。
常用的P2P检测技术包括端口检测技术、报文特征字检测技术和行为特征检测技术。端口检测技术已逐渐被淘汰,而行为特征检测是通过数据流分析工具,分析各种协议行为特征,如并发连接数、数据包收发频率、IP连接方式、上下行流量对应关系等信息来检测P2P应用。行为特征检测的适用性广,可以用于分析未知的P2P流量,但很难准确判别是那种P2P应用,而且需要分析一定量的数据,才能有结果,不能进行实时的控制。报文特征字检测技术:针对某个具体的P2P应用,可以通过协议分析的方法,通过报文的特征字来检测该应用的通信流量。报文特征字检测法的优点在于能够精确识别。
比较可行的办法实在Xlog流量分析的基础上,分析P2P应用的报文特征,然后利用IPS定义新的基于报文特征的过滤规则,对P2P应用进行过滤。但现在网络中P2P应用上百,分析协议报文的工作量和难度都比较大,而且因为P2P协议的变化快,要保证过滤的有效性,需要对各种P2P协议进行持续的追踪分析,这必须依靠专业的机构来具体实现。
根据笔者对LotWan流量管理系统(行为特征检测技术)与Panabit流控系统(报文特征字检测技术)的测试,专业流量控系统能够取得比较明显的控制效果。使用Panabit流控系统后,校园流量上下行基本实现均衡,但具体分析也还有将近1/3的网络流量无法精确识别;使用LotWan流量管理系统,网络的上行流量可以得到很好的抑制,但很多采用P2P技术的网络应用,如视频点播等无法正常使用。
过多的过滤设备、过滤规则肯定影响网络的通过效率,因此在现阶段对网络流量控制,还没有一个完美的解决方案,还需要根据网络环境、应用系统、安全需求等,在多种限制条件下求得一个平衡。
参考文献:
[1]张海宁.流量属性选择在P2P流量识别中的应用研究[D].2008.
[2]何丰,靳娜.基于NetFlow的IP网络状态监测系统的设计与实现[J].通信技术,2007,08.
[3]李留青,张韧志.P2P流量监控技术分析[J].邮电设计技术,2007,5:62-63.
作者简介:林锡川(1970-),男,河北定州人,硕士,讲师,研究方向为网络安全及企业信息化,校园网数字化建设。