贺 静
(太原理工大学信息化管理与建设中心,山西 太原 030024)
2017-06-30
贺 静(1983- ),女,山西原平人,讲师,硕士研究生,2007年毕业于太原理工大学。研究方向:网络技术与网络信息安全。
1674- 4578(2017)05- 0071- 03
基于sFlow的校园网网络监控技术研究
贺 静
(太原理工大学信息化管理与建设中心,山西 太原 030024)
随着校园网络规模日益扩大与应用日趋复杂,采用传统方法对网络进行监控和管理变的越来越困难,本文介绍了目前流量监控技术中较为主流的sFlow技术,针对sFlow的特点,在校园网中部署了一个基于sFlow技术与Juniper网络设备的网络监控系统,实验达到了较理想的网络监控效果。
校园网;sFlow;网络监控
随着网络技术的不断发展及网络应用的不断推广,校园网规模日益扩大且网结构与应用日趋复杂,如何对校园网进行全面有效的监控是目前网络管理面临的巨大挑战,这给校园网网络监控技术带来了广阔的研究领域,网络监控技术的核心技术就是对网络中的流量进行即时准确的分析,本文首先对常用的流量分析技术进行简单的介绍。又重点介绍了sFlow技术,针对sFlow的特点,在校园网中部署了一个基于sFlow技术与Juniper网络设备的网络监控系统,并对系统如何实现网络监控进行了描述,此系统可实时有效的对校园网流量进行分析,对校园网管理有很大的实用价值。
当前能对网络的流量进行分析的类型主要有以下两种:
1.1 点接触型流量分析
点接触型流量分析技术的原理为:在网络中的某个接入点上,利用探针检测该接入点的每个package,所利用的方法为逐个包拆分,并在检测的同时完成统计。点接触型流量分析的优点为:此技术中流量的采集只依赖于探针的包处理机制,与网络中使用何种类型的交换机没有关联;由于本技术采用逐个包拆分的方法,所以可自主制定策略来满足用户的需求。缺点为:接入点的个数有限,只能对有限的点进行数据的采集,如果想在网络的所有关键点布置接入点,成本较大;在关键接入点串入网络流量采集设备,会增加网络的故障点。
采用点接触型流量分析的代表设备为:IDS,FLUKE测试等。
1.2 面接触型流量分析
面接触型流量分析技术的原理:利用交换机固有的流量采集代理来完成报文中关键信息的统计工作。面接触型流量分析的优点为:此技术不同于点接触型流量分析,无需在网络的关键接入点上布置探针,只需要布置一台交换机设备用以流量采集统计,即可采集分析核心层流量,并不影响整个网络的性能;此技术可在网络的任一点上采集整个网络的流量;整个校园网中,只需布置一套监控系统,成本低。缺点为:此技术采集的数据只局限于某种类型的package的采样值,而不是包的全部,相较于点接触型流量分析来说,采集的数据较少。
采用面接触型流量分析的代表设备为:NETFLOW监控,sFlow监控等。
当前CERNET校园网都是万兆核心层网络平台,根据前面对两种流量分析技术的介绍可知,相较于点接触型流量分析技术,面接触型在采集与分析如此巨大网络流量时,有显而易见不比拟的优势。本文采用当前较主流的sFlow监控系统完成校园网网络流量的采集与监控。
2.1 sFlow技术介绍
sFlow,是由InMon公司于2001年提出的一种基于“统计采样”的网络流量监测技术,以RFC3176文件的形式进行了发布。sFlow通过对校园网中网络设备处理的package进行采集来获取网络中流量的信息,之后把采集后的数据包发送给流量分析服务器进行分析,让用户详尽与实时地知道网络的性能与安全等问题。目前,仅有Foundry和Juniper Networks等厂商的部分型号的交换机支持sFlow。
sFlow的主要优势在于:进行整个网络监视成本更低;拥有的“一直在线技术”能够对网络流量进行实时采集与分析能力;嵌入到ASIC中的强劲技术;全网的视图都是可看见的;采样的速率是可以自主配置的;整个网络的交换性能不受影响;网络带宽基本不受影响;包头的信息是完整的;第二到七层的详细信息是完整的并且支持多种协议。
2.2 实现原理
sFlow 的网络流量监测实现一般由两部分构成:sFlow代理(Agent)和sFlow流量采集器(Collector)。
sFlow系统的基本原理为:分布在校园网的sFlow代理把sFlow报文发送到Collector,如图1所示,其中sFlow报文包含了原始报文、路由转发表与端口计数三个数据源的信息。采集器接收到sFlowDatagram后,对数据包进行分析并生成全校园网范围的分析结果图。
图1 sFlow系统原理图
2.3 sFlow技术在校园网中的布署
本文以Juniper交换机和PRTG软件为例部署系统。
首先在校园网络的各个层级交换机(Agent)启用sFlow,通过收集设备上相关端口的流量转发情况并实时将整个校园网络的流量发送到服务器端(Collector)。
服务器端部署PRTG软件,由PRTG分析软件来对从交换机收到的数据包进行全面、实时、丰富的流量及统计分析。基于sFlow技术的监控效果示例各端口流量图如图2。
图2 各端口流量图
详细日期及时间段流量显示图形界面和表格界面如图3,图4。
图3 详细时间段流量显示图形界面
Toplists显示详细的统计信息如图5。
由上面实验结果图可知,基于sFlow技术与Juniper网络设备的网络监控系统在校园网中达到了较为理想的监控效果。
要实现对网络全面、实时的监控分析必须依靠先进有效的网络监控协议和技术来满足业务日益增长的需求。sFlow网络技术的出现可以很大程度满足当前及未来几年校园网络发展规模,为我们网络管理员的日常巡检维护带来了极大的方便,也为保障校园网络的安全、稳定、高效运行提供了很好的依据。
图4 详细时间段流量显示表格界面
图5 Toplists显示详细的统计信息
[1] 李鑫,黄克宁.利用sFlow技术监控网络异常流量.网络管理和维护,2007(1):81-83.
[2] 朱华鑫,陈宏聪.sFlow网络流量监测技术探析.计算机与数字工程,2010,38(2):110-113.
[3] RFC3176.http://www.ietf.org/rfc/rfc3176.txt.
[4] Phaal.InMon Corpo ration's sFlow:A Method for Monitoring Traffic in Switched and Routed Netw or k.2001(9).
ResearchonCampusNetworkMonitoringBasedonsFlow
He Jing
(CenterofInformationManagementandDevelopment,TaiyuanUniversityofTechnology,TaiyuanShanxi030024,China)
With the increasing scale and application of campus network, traditional methods of network monitoring and management become more and more difficult. This paper introduces the sFlow technology which is the current mainstream technology of traffic, and according to the characteristics of sFlow in the campus network, the deployment of a network monitoring system based on sFlow technology and Juniper network equipment on campus Network is made. The experiment achieves the ideal effect.
campus network; sFlow; network monitoring
TP393
A