一种空管自动化系统网络流量监控的设计与实现

黄耀鹏

（中国民用航空中南地区空中交通管理局广西分局，南宁 530000）

0 引言

空管自动化系统是空管运行的核心设备之一，其网络处理的信息源复杂，安全要求高，因此系统对网络的监控也成为了各个设备厂家设计系统必须考虑的一个关键内容。网络流量的分析一方面可以提前预测定位系统故障的节点及相应的后台软件模块的效率，另一方面也可以为系统的优化设计、设备扩容分析提供思路。本文从实际出发设计一种空管自动化系统网络流量监控系统，为相关研究抛砖引玉。

1 流量监控的设计

1.1 传统思路设计

传统的网络流量监控设计主要通过对局域网内部的数据包进行抓包分析，数据包在经过路由器或防火墙时，通过网络设备定义不同的规则进行规则的匹配，进而识别不同的应用类型，如果将其应用到空管自动化系统，则是一种网络设备的规则定义。通过内部消息头的分析，系统从TCP/IP链接的SYN包可以快速获取到源IP、目的IP及相应的端口。如若将其进行简单的应用，为了符合设备厂家内部消息的多样性，可以通过tcpdump工具进行。安装好相关软件后，可以在控制台中输入：tcpdumpie1000g0-s100-w/tmp/les.pcap。实现简单的抓包。基于数据的多样分析，-s一般要指定大一点，因为一个数据包除了实际数据外，还有各个协议层加的包头，TCP的所有包头有54个字节，如果-s参数指定的数字小于54，那么实际传输的数据都抓不到。当然，这种思路的设计有一定的限制，在针对一些较为基础的设计上往往软件没有相应的IANA注册端口，有的是基于不常见的端口，甚至有针对IP层负荷的加密。此时，抓包分析无法完全分析所有数据。

1.2 改进设计

针对上述的情况，此处提出一种基于深度包检测技术的流量监控。在数据的传输过程，如果资源出现不足时，系统会产生堵塞，导致网络性能下降，为了缓解此类情况，各空管自动化厂家做了相应的处理，例如莱斯自动化在监控的设计上通过文件参数的控制（例如设置Pnclear参数控制过期消息读或者不读，pflag参数控制阻塞与非阻塞）。在设计上可以通过优先队列进行消息的调度。如果设备的每一端口有一个基于队列的输入或者输出，则可以通过业务的重要程度进行分级设计，如操作权限下的管制席位高于自由权限下的管制席位，有扇区的席位高于无扇区的席位。借此定义队列，通过队列的等级进行排序进而进行流量的监控。

TCP连接需要通过3次握手，这要求系统必须设置相应的缓冲区，同时也给予设计提供相应的控制权限，只要控制所在消息的发送及接受的网络缓冲区大小即可完成对该消息类型的简单流量控制，防止阻塞，提高性能。鉴于上述的机制，可以通过在传统的抓包分析上，增加对应用层协议的识别。一般的流量控制时通过5tuple的分析，但是多数无法考虑源端口、目的端口以及应用协议。在网络传输的数据包上，系统对OSI七层协议中的应用层协议进行信息重组，不同应用在此处将会对应不同的协议类型进行区别，有关文献将其称为协议指纹。这可以解决没有在IANA注册过的端口问题，系统如果获取到的指纹信息是特殊字符则根据检测方式的不同将其分为掩码和特征码结合以及正则表达式分析两种方式。正则表达式在处理上有较为成熟的经验可以借鉴，因此整体的系统实现也较为简单。

2 系统的整体实现

由于大多数自动化的消息转发都是基于内部网络的UDP组播，系统可以在网络中获取相应的数据进行分析。为了保持在用系统的稳定性，系统不直接加入自动化系统的内部局域网，而是通过网络（网络流量监控PC机）转串口再进行串口转网络（自动化交换机）的方式进行介入。通过部署一套基于WINDOWS的软件对局域网数据分析。为了提高系统开发效率，此处采用C#进行软件的设计与实现。

莱斯自动化系统提供了基于SNMP协议的监控信息数据流，因此系统可以通过SNMP响应报文的分析进行设计与实现，主要模块包括流量采集子系统和数据分析显示子系统。为了提高实现效率及优化系统性能，此处采集子系统将引用snmpsharpnet库。其主要的SNMP的语句有snmpget和snmpwalk，前者可以通过oid进行查找，后者则可以返回一个组的数据。

Snmpwalk返回的数据将在系统内部通过软件消息的形式传递给系统数据分析及显示模块。该模块通过数据接收和正则表达式处理数据。针对报头标识、源IP地址、端口号进行分析，最终生成一份以管制席位为标识的用户报告。

3 结束语

本文基于实际运行提出一种空管自动化系统网络流量监控的方案，分析了传统设计思路的同时提出了改进设计，并通过C#设计了软件，该软件在空管自动化的实际运维中有较为丰富的应用方式，为提高现场运维效率、增强安全保障力度提供技术支持。