董进文

摘要:“无法被量化的将无法改进”。管理和优化网络首先要进行测量。随着IT、网络技术的迅猛发展和高校信息化程度的不断提高,各种网络应用越来越丰富,各种应用时时刻刻都在争夺有限的网络带宽,从而导致网络管理的难度不断增大。因此,如何保证网络的可用性和关键业务的畅通运行,对用户业务发展将起到至关重要的作用。

关键词:校园网;流量透明化;流量统计;IPFIX

1 引言

随着校园网网络建设和运营的逐步深入,接入高校校园网的用户数量飞速增长,业务种类也越来越丰富,作为网络管理者来说,传统的被动式网络监控和维护方式已经无法满足要求,校园网的管理人员希望能够找到更合适的分析工具来对网络进行有效的监控分析,并能够找出对网络性能影响最大的因素以及用户和业务的增长规律,在网络出现故障或者即将出现瓶颈之前给出科学的预测,及时对网络进行优化、升级和改造,以满足不断增长的用户和业务需求。

流量统计和分析是网络管理中的一个重要内容,它不但可以及时发现网络流量的过载,攻击等异常情况,还可以对正常流量进行分析,帮助网络管理者了解各种级别的用户对于网络的使用情况,为采用合适的商业模式提供决策依据。但是庞大的流量数据信息和高实时性的采集要求给流量分析工作造成了很大的困难。

2 流量透明化的现状分析

2.1 问题的提出

随着校园网的规模越来越大,IT服务的完善,网络管理者也会提出以下问题:

(1)当前的上网流量占用多大带宽?这些带宽主要谁在占用?这些占用是允许的吗?在WWW访问之外,是不是有大量的FTP等下载?是允许的吗?

(2)DMZ区的服务器有多少是内网用户在访问,有多少是外网用户在访问?如果是内网用户访问多(比如DNS),是不是考虑将其迁移到服务器区?外网用户的访问有时间规律吗?

(3)外联的服务器是提供特定用户访问吗?哪个访问流量最大?最大流量占用的用户是合法的吗?服务器是不是该扩容了?有非法用户访问这些服务器吗?

(4)这些关键的业务服务器的带宽够用吗?是不是考虑一台服务器提供多个业务服务或者多台服务器提供一个业务服务?除了生产业务外,这些服务器是不是还提供其他无关的业务,导致影响性能?谁访问这些服务器更多一些?这些服务器在哪个时间段最繁忙?

(5)教职工和学生用户用于的流量分别有多大?用于上网的流量有多大?谁更多地使用互联网?是必要的吗?谁占用的网络带宽最大?这些占用是必要的吗?哪个用户在非法扫描网络?是否有用户提供非法的下载(WWW/FTP)服务?

2.2 问题的解决

要解决这些流量问题,不是一件容易的事情,常规的方法有几种:

网管方式

网管方式通过启动SNMP,来获取流量信息。但是,SNMP只能获取流量的字节数,无法获取字节的构成,更无法获取流量的发起方。该方法可以解决流量的分布问题,无法解决流量的构成问题。该方式主要用于设备的管理,而不适用于精细的流量分析。

● 数据包监听方式

该方法是将关注的流量串联到或者镜像到分析仪器(包括软件分析,比如sniffer),通过分析仪器来获取流量的构成和细节。该方法可以做到流量的精细化分析,做到2~7层的流量分析,但是,缺点也很明显,只有在部署分析仪器的地方进行流量分析,如果做到全网多节点流量监控,必须部署多个分析仪器,导致部署成本急剧上升。该方式可以很好解决流量的构成问题,但几乎无法解决流量的分布问题。该方式适用于对少量关键点的监控,常用于专业工程师的故障诊断,不适合大规模日常使用。

● 基于流(Flow)技术的方式

该方式是让网络设备在转发数据流量的同时,生成特定的流量信息,然后将流量信息发送到特定的分析模块,进而实现对流量的分析。该方式的优势是明显的,理想情况下,如果让网络中的每台网络设备均发出流量信息,那么就可以轻松解决流量的分布问题,同时解决流量的构成问题。缺点是各厂商提供的流分析技术都是私有技术无法通用。

2.3 解决方法评估

网管方式无法进行流量构成分析,不再讨论。对于数据包监听方式和流(Flow)技术的方式:由于分析仪器的昂贵,监听方式不适用于大规模部署,而且分析到7层应用后,容易使用户隐私受到侵犯。而流(Flow)技术的分析方式功能均衡而强大,对流量的分析只到业务字节,不涉及应用级,无隐私顾虑。如果以监控20个物理端口为例进行投资估算,监听方式在几十万甚至上百万人民币数量级,基于流(Flow)技术的流量分析方式成本大大降低。因此,流(Flow)技术方式更适合网络流量分析。

3 校园网流量透明化管理

我院(内蒙古电子信息职业技术学院)在进行流量透明化管理之前,整个网络接入用户的类型比较复杂,学校教职工、学校各单位、学生和外来人员对校内和互联网资源的访问将本来就不富裕的网络流量消耗殆尽。在经过几次互联网出口和校园网骨干带宽进行扩容后,情况仍然得不到解决,为了搞清楚这些流量都被哪些用户和哪些应用占用了,我们通过深入和广泛的调研,最后引进了全新的校园网解决方案,根据国际化流量监控标准技术IPFIX来对校园网的流量使用情况进行审计和评估。在这次改造之后,网络中心能够对校园网内的各种流量进行清晰和细致的管理,为网络的升级和扩容提供了数字依据。

3.1 解决方案组成

网络透明化解决方案包括:流量采样设备(Exporter)、流量采集设备(Collector)、数据分析处理设备(Analyser),三个设备之间的关系如图1所示:

● Export设备对网络流进行分析处理,提取符合条件的流统计信息,并将统计信息输出给Collector设备。

● Collector设备负责解析Export的数据报文,把统计数据收集到数据库中,可供Analyser进行解析。

● Analyser设备从Collector中提取统计数据,进行后续处理,为各种业务提供依据,以图形界面的形式显示出来。

3.2 组网模式

利用IPFIX日志,网络透明化解决方案提供了一种网络监测、分析的方式,直接从支持IPFIX功能的路由器和交换机中收集流量信息,可以灵活启动不同层面(接入层、汇聚层、核心层)的网络设备进行IPFIX流量日志收集,并将收集的内容以IPFIX格式的日志输出给Collerctor设备进行分析。管理员使用Analyser的分析功能,可以做网络使用状况监控、用户行为追踪、异常流量检测等,同时基于功能丰富的报表,我们可以做网络规划方面的决策。

3.3 实现的功能

● 网络优化

可以使网络管理员及时掌握网络负载状况,网内应用资源使用情况,对核心网络的重点链路进行统计,各类TOP应用百分比,使用各类应用的网内用户、服务器的流量趋势及统计值,迅速发现网络当前的使用状况和不同链路的使用率变化趋势,尽早发现网络结构的不合理,或是网络性能瓶颈,尽快作出网络优化方面的决断,最终实现网络的优化使用,为校园网用户提供高品质的网络服务,并且避免了网络带宽和服务器瓶颈问题。

● 网络规划参考

利用IPFIX流日志以及网络透明化长期监控网络带宽而形成的各类趋势报表,如基于设备接口的长期流量入出趋势,长期流量入出趋势分析,各类应用百分比,有助于网络管理员跟踪和预测网络链路流量的增长,从而能有效地规划网络升级(例如,增加路由服务、端口或使用更高带宽的接口)。

● 网络流量异常监测

我们都希望在网络性能突然下降的时候找到问题所在,并迅速解决问题。利用网络透明化解决方案提供的某段时间内的流量、应用趋势分析,可非常直观地看到网络流量是否有突然增长或突然下降的现象,并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。根据最终分析结果,可快速解决网络异常问题,保证网络正常运行。

● 广域网流量监测

对于我院来说,WAN带宽是非常有限的,如果WAN链路流量增大,通常我们的做法就是进行投资以升级WAN链路,但是如果我们能掌握WAN流量的特征,制定相应的策略(比如QoS和针对源或目的IP地址作流限制),就能使WAN带宽得到最合理最充分的使用,避免进行不必要的升级投资。网络透明化解决方案所提供的分析结果能够使网络管理员洞察WAN链路的流量特征、承载的应用、用户使用状况,从而针对是否应投资升级带宽作出快速响应。

4 结束语

“无法被量化的将无法改进”,管理和优化网络首先要进行测量。对于投资成本相对不那么富裕的高校校园网建设,保护现有投资并且精细化评估未来升级是我们现阶段越来越关注的问题,随着IPFIX的标准化进程逐步推进,流量透明化管理的应用将在高校校园网中日益广泛。

参考文献

[1]王淑江.网络管理[M].北京:机械工业出版社,2007.

[2]沈庆国.现代通信网络[M].北京:人民邮电出版社,2004.