在交换机中驻留的LFAP协议客户程序来获取流经该交换机的流量信息,流量信息中包括每个通信流建立的时间、源地址、目的地址、协议、源协议端口、目的协议端口、源物理端口、目的物理端口、收发字节数、收发包数等信息。
对于一个有效的网络管理系统来说,管理功能的实现都或多或少的依赖于网络流量信息的获取。因此网络流量信息采集可以说是网络管理系统得以实现的核心。无论是流量费用统计还是用来分析、预判网络运行状况,对于原始数据的可 靠性和完整性的要求都是比较高的。
流量数据是 IP 网络运营管理的重要基础数据,通过采集和分析流量数据,运营商可以了解到整个网络的运行态势、网络负载状况、网络安全状况、流量发展趋势、用户的行为模式、业务与站点的接受程度,还可以为制定灵活的资费策略和计费方式提供依据。因此,流量分析系统对 IP 网络运营商具有越来越重要的作用。
为对运营商网络中的异常流量进行检测,首先需要对网络中不同类型业务的正常通信进行基线分析,包括测量和统计不同业务日常的流量和流向数据并计算基线的合理范围。
为完成上述对不同类型业务的测量工作,首先需要对网络中传输的各种类型数据包进行区分。由于 IP 网络的非面向连接特性,网络中不同类型业务的通信可能是任意一台终端设备向另一台终端设备发送的一组 IP 数据包,这组数据包实际上就构成了运营商网络中某种业务的一个数据流(Flow)。如果管理系统能对全网传送的所有 Flow 进行区分,准确记录每个 Flow 的传送时间、占用的网络端口、传送源/目的地址和数据流的大小,就可以对运营商全网所有通信的流量和流向进行分析和统计,进而计算出正常通信的基线以及发现突发的异常通信流量。
通过分析网络中不同 Flow 间的差别,可以发现判断任何两个 IP 数据包是否属于同一个 Flow。实际上可以通过分析 IP 数据包的 7 个属性来实现,即数据包的:
△源 IP 地址
△目标 IP 地址
△源通信端口号
△目标通信端口号
△第三层协议类型
△ TOS 字节(DSCP)
△网络设备输入(或输出)的逻辑网络端口(ifIndex)
以下是 4 种常用的流量数据的采集分析方法:
(1)基于侦听网络数据包的包分析模式;
(2)基于路由器 MIB 库的 SNMP 代理模式;
(3)基于安插网络探针(PROBE)技术的 IP 流量数据捕获形式;
(4)基于网络数据流(NETFLOW)技术的数据流捕获形式;
常用的流量采集监控协议有:NetFlow、LFAP、sflow,都是基于网络数据流捕获形式。