校园网络流量的监测与分析

校园网络流量的监测与分析 毕 ( 2011届 ) 题目: 校园网络流量的监测与分析 分 院 机电信息分院 专业班级 学生姓名 学 号 导师姓名 成 绩 2011 年 4 月 日 目 录 摘要: ............................................................... 1 一、引言 ............................................................. 2 二、网络流量的监测方式 ............................................... 2 (一)基于流量镜像的监测方式 ....................................... 2 (二)基于Netflow的监测方式 ....................................... 2 (三)基于SNMP的监测方式 .......................................... 2 三、检测工具安装部署 ................................................. 3 (一)网络拓扑图 ................................................... 3 (二)配置Cisco 6509 .............................................. 4 (三)IIS与SNMP服务的安装 ........................................ 5 (四)ActivePerl和MRTG软件的安装 ................................. 6 1.安装ActivePerl ................................................ 6 2.安装MRTG ...................................................... 7 (五)MRTG的基本配置 .............................................. 7 (六)MRTG的高级配置 .............................................. 8 (七)MRTG的使用 .................................................. 8 四、实例分析 ......................................................... 9 (一)校园网络流量的监测与分析 ..................................... 9 (二)校园网络流量问题产生的主要原因 .............................. 11 1.计算机病毒 .................................................... 11 2.过度下载 ...................................................... 11 3.非法连接 ...................................................... 11 (三)校园网络流量控制的措施 ...................................... 12 1.建立实时分析机制发现异常网络流量 .............................. 12 2.设置不同应用带宽 .............................................. 12 设置IP带宽上限 ............................................... 12 3. 五、总结 ............................................................ 13 参考文献: .......................................................... 14 致谢: .............................................................. 15 校园网络流量的监测与分析 机电信息分院 指导教师: 摘要:随着校园网络的高速发展，网络变得日益复杂，为了使校园网络在复杂环境下提供有质量保证的网络服务，必须对校园网络行为进行深入的了解和分析。文章分析了网络流量的监测方式，并在实际的校园网络中，对Cisco6509网络设备进行配置，在Windows Server 2003的系统平台下安装配置IIS、SNMP服务和MRTG检测工具。通过使用MRTG检测工具对关键链路的流量和关键设备的性能状况进行监控，实现了网络性能管理中的流量监测功能，得到了相关的详细网络流量统计图表，并制作成了网页。还分析了校园网络流量问题产生的主要原因，并对校园网络流量控制采取相应的措施，为网络性能分析和通信网络规划提供了重要的参考依据，最后对此次实验做出了总结。 关键词: SNMP MRTG 校园网络 流量监控 1 一、引言 近几年，高校校园网络迅速发展，对校园网的有效监管已经成为计算机网络管理的重要项目。作为校园网的管理人员，其首要任务就是要监测校园网的运行情况，而监测校园网运行的情况实际是对校园网络中各网络节点当前运行状况及网络流量的监测。网络流量监测为校园网管理人员提供实际的流量数据，以便其更加合理地分配流量，最大限度地使用网络的有限带宽。长期校园网流量监测能为校园网的网络故障分析、故障排除、网络优化以及校园网的扩建和改造提供科学的依据。 二、网络流量的监测方式 通常根据对网络流量的监测方式可分为:基于流量镜像的监测方式、基于Net flow的监测方式和基于SNMP的监测方式三种常用方式。 (一)基于流量镜像的监测方式 基于流量镜像的监测方式。其原理是通过交换机、路由器等网络节点设备的端口(链路)镜像到协议分析仪，从而实现网络流量的无损复制和映像采集。其优点是能够提供丰富的应用层信息，通常在IDS(Intrusion Detection Systems，入侵检测系统)部署和网络流量分析时采用，不适合全网监测。 (二)基于Netflow的监测方式 基于Netflow的监测方式。NetFlow是一种数据交换方式，其工作原理是:NetFlow利用 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。 (三)基于SNMP的监测方式 基于SNMP的监测技术。其原理是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及接El流量信息有关的变量。其中通过SNMP收集的网络流量信息包括:接口输入输出字节数、接口输入输出非广播包数、接口输入输出包错误数等。基于SNMP的监测技术受到设备厂家的广泛支持，使用方便。其缺点是信息不够丰富和准确，分析集中在网络的数据链路层、网络层和网络节点设备的信息。 2 三、检测工具安装部署 在此次实验中，我选择了基于SNMP协议的MRTG网络流量检测工具。MRTG是一个监控网络链路流量负载的工具软件，它通过SNMP协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户，以非常直观的形式显示流量负载。MRTG软件中包含一个perl程序，利用SNMP读取路由器等网络设备的流量计数，以及一个C程序可将流量数据记录下来，并为所监控之网络连结上的流量产生图形式表现。这些图形会被包含在网页中，并可从任何网页浏览器读取。MRTG除了能够提供详细的每日流量记录，同时也能够以相同的视觉呈现方式产生过去七天，过去四周，以及过去12个月的流量记录。能够做到这点是因为MRTG把从路由器取得的所有数据都记录下来。这些记录会自动合计，所以不至于随着时间成长地太大，不过仍保留足够提供过去两年来流量趋势的信息。这些程序以很有效率的方式进行，MRTG并不仅限于监测流量，我们也可以利用MRTG来监测任何SNMP参数。我们甚至可以运用外部程序来收集想要用MRTG进行监控的数据，例如系统负载、登入数量等，或者将二或多项数据来源结合在单一图形内以利观察。 MRTG的优点:简单、易上手，基本安装完了之后只要更改一下配置文件即可。 MRTG的缺点:使用文本式的数据库，数据不能重复使用;只能按日、周、月、年来查看数据;只能画两个DS(一条线、一个块);每取一次数据即需要绘图一次，浪费系统资源;无管理功能。 (一)网络拓扑图 本次实验中主要涉及一台Cisco 6509以及一台MRTG服务器，不管他们之间隔了些什么设备，只要保证他们之间三层互通，并且SNMP交互正常即可。我们要监测的是Cisco 6509这台网络设备，MRTG服务器就是那台Windows Server 2003 服务器，如图3.1: 3 图3.1网络拓扑图 (二)配置Cisco 6509 Telnet到Cisco 6509这台网络设备上进入全局配置模式。输入以下命令: Step1:进入计算机PC1的命令提示符窗口，输入“telnet 172.19.144.158 ”登录6509设备。 Step2:输入正确的密码后，进入6509配置模式，接着输入以下指令。 snmp-server community louqy ro \\设置SNMP的团体名为louqy。 snmp-server trap-source GigabitEthernet 0/1 \\以Fa0/1端口为监控源，如果不输入此行，将以设备自身的ROUTER ID作为监控源。 snmp-server contact louqy@126.com \\设置管理者的邮箱地址。 snmp-server host 172.19.144.149 softer \\设置管理机的IP地址为172.19.144.149(MRTG服务器的IP地址)，并设置 4 团体名(louqy)。 snmp-server enable traps \\启动监控。 Step3:保存设置并退出后即可完成在Cisco 6509设备上的所有配置。这样，MRTG服务器就有权限从Cisco 6509设备上读取数据了。 (三)IIS与SNMP服务的安装 MRTG系统的流量信息是以网页的形式存放在MRTG服务器上，网上的客户端都可以通过浏览器来查看网络的流量信息。所以在使用MRTG系统前，需要安装一个WEB服务器，并将流量信息存放到WEB的主目录上，以便进行WEB查看。本次实验中我使用的是IIS6.0服务器作为网页服务器，安装的平台为Windows Server 2003 系统的MRTG服务器。WEB服务器安装完成后，创建C:\www\mrtg目录，用于存放流量监控主页和MRTG产生的流量信息文件，并将该目录设为WEB服务器的主目录。 Step1:单击“开始”|“设置”|“控制面板”|“添加/删除程序”|选择“添加/或删除Windows的组件”。在Windows组件窗口中，选择“应用程序服务器”单击“详细信息”再勾选“Internet信息服务(IIS)”，如图3.2: 图3.2 IIS服务的安装 Step2:在Windows组件窗口中，选中“管理和监控工具”，单击“详细信息”，然后子组件中选择“简单网络管理协议(SNMP)”前面的复选框。如图3.3: 5 图3.3 SNMP协议的安装 Step3:选好确定后，单击“确定”完成安装。出现了相关提示，则插入Windows的安装光盘，并且选择相应文件。 Step4:单击“开始”|“程序”|“管理工具”|“Internet信息(IIS)服务管理器”，在IIS的管理界面进行相关配置。 (四)ActivePerl和MRTG软件的安装 因为MRTG由于MRTG是用Perl编写的，它的运行需要Perl的支持，所以在安装MRTG之前必须下载并安装Perl语言，所以要安装ActivePerl包，这些都可以到官方网站下载。所以整个MRTG安装分为两步:第一，安装IIS和SNMP协议;第二，安装ActivePerl和MRTG软件。具体的安装步骤如下: 1.安装ActivePerl 双击ActivePerl-5.8.8.822-MSWin32-x86-280952.msi安装文件，在安装过程中会询问上些诸如安装路径、选择组件等问题，可以全部使用缺省设置。缺省情况下Perl安装在C:\Perl目录下。如图3.4: 6 图3.4 ActivePerl软件的安装 2.安装MRTG 直接解压下载好的MRTG压缩包到C:\MRTG目录下。 (五)MRTG的基本配置 首先单击“开始”|“运行”中输入CMD，回车进入登命令提示符窗口，然后 用CD命令进入MRTG安装目录，如图3.5: 图3.5 MRTG的基本配置 然后输入以下命令: Perl cfgmaker --snmp-options=:::::2 louqy@172.19.144.158 --global "WorkDir: c:\www\mrtg" --output mrtg.cfg Perl mrtg mrtg.cfg Perl indexmaker mrtg.cfg>c:\www\mrtg\index.htm 7 这样，一个完整的统网络流量监控系统就建立起来了，为了直观的分析数据，已经生成了报表首页index.htm (六)MRTG的高级配置 为了让MRTG全天24小时监控，需要在前面提示的配置文件mrtg.cfg加入以下参数，使MRTG每隔5分钟自动采集一次数据。 #mrtg.cfg:: RunAsDaemon: yes Interval:5 Options[_]: bits (七)MRTG的使用 通过前面的配置，可以使用MRTG来监测数据了，执行命令MRTG: Perl mrtg –logging=mrtg.log mrtg,cfg 由于不能关闭命令窗口，如果关闭该窗口，则无法采集数据，如图3.6: 图3.6 MRTG的使用 为了方便起见，可以把用批处理文件让它开机自启动，这样在系统启动就能自动运行采集数据了。具体操作，先新建一个文本文档，在里面输入: cd c:\mrtg\bin perl mrtg -logging=mrtg.log mrtg.cfg 将它保存为mrtg.bat再把它放到系统的“启动”栏中。然后把之前安装好的IIS进行相关配置，为了能看得更加清楚，把报表首页index.htm中的流量图加入到自己 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 的网页中，这样就可以通过访问MRTG服务器的IP地址查看MRTG是否正常工作。具体的网页效果如图3.7: 8 图3.7 网页效果 四、实例分析 (一)校园网络流量的监测与分析 通过对监测系统的部署即可对校园网需要监测的网络节点设备流量进行分析。图3.8为学院湖畔公寓的流量监测图，通过流量监测图可以掌握以下信息: 绿色为入口流量，蓝色为出口流量 最大流入值22.5Mb/s(2.2%) 最大流出值45.4Mb/s(4.1%) 平均流入值5425.4k b/s(0.5%) 平均流出值5092.7b/s(0.5%) 当前流入值18.1Mb/s(0.6%) 当前流出值14.4Mb/s(0.5%) 从图中可以看出，湖畔公寓这30多个小时内的网络流量比较正常，没有超出正常流量的范围。 9 图3.8 正常流量图 图3.9为学院校园网实训计算中心的流量监测图，通过流量监测图可以掌握以下信息: 绿色为入口流量，蓝色为出口流量 最大流入值106.4Mb/s(10.6%) 最大流出值67.6Mb/s(6.8%) 平均流入值10.7Mb/s(1.1%) 平均流出值12.1Mb/s(1.2%) 当前流入值5808.0kb/s(0.6%) 当前流出值5275.4Kb/s(0.5%) 从该图中还可以看出:前一天的10点到15点流量都在正常的范围内，而了15点30至16点和17点30至18点30之间网络流量非常大，这已经超出正常的流量范围，说明实训计算中心的网络流量存在问题，应该采取必要的措施。 10 图3.9 异常流量图 (二)校园网络流量问题产生的主要原因 1.计算机病毒 病毒防范不到位校园网中通常以还原卡配合杀毒软件作为计算机防范恶意软件及病毒的主要措施，主要是由于其安装方便、操作简单，但随之而来的问题是杀毒软件由于导致的无法升级问题。计算机打开后，网络中蠕虫病毒大量而快速的复制使得网络上的扫描包迅速增多，造成网络拥塞，占用大量带宽，从而使得网络瘫痪。 2.过度下载 过度下载及视频流目前利用工具下载音乐和影片等资源已经成为一种趋势，而网络上大量使用的P2P 下载工具是非常占用网络资源的，加上一些学生在线观看视频、玩网络游戏，从而导致校园网络的带宽资源被大量非教学应用所抢占，严重影响了正常教学中的网络应用。 3.非法连接 恶意非法连接互联网中目前以消耗网络资源为目的的流量类攻击发展迅猛， 11 对于校园网这种防护过于薄弱的网络服务器，其通过大量的恶意非法连接消耗带宽，使接受主机应接不暇，从而造成拒绝服务。同时大部分的恶意连接都附带着木马程序，使多个计算机相互感染，造成网络拥堵。 (三)校园网络流量控制的措施 1.建立实时分析机制发现异常网络流量 网络中也经常会出现黑客攻击、病毒泛滥的情况，这些从技术层面进行分析和预防非常困难， 但是如果从流量的统计意义上发现其异常，却能够明显地把握。互联网中目前以消耗网络资源为目的的流量类攻击发展迅猛， 如果校园网网络服务器的防护比较薄弱， 对于这种恶意的代码通过大量的非法连接消耗带宽，使接受主机应接不暇，从而造成拒绝服务。同时大部分的恶意连接都附带着木马程序， 使多个计算机相互感染，造成网络拥堵。因此，针对网络中异常流量分析将有助于网络管理员发现和解决问题。应建立实时分析机制，定期查看日志，针对校园网的出口信息进行管理，通过对网络流量进行实时监控， 以图形HTML文档方式显示给用户，是的用户通过可以直观地查看流量负载，便于从主观上进行判断， 而且在系统设计中植入流量异常报警功能，对于异常流量自动报警。 2.设置不同应用带宽 考虑到Web浏览校园网络的主要业务，因此在带宽设置上具有相当的优先性。例如，可以设置web服务的最小带宽配置为100K、保障带宽配置为2M、最大带宽配置为10M。当网络拥塞时可以给web服务保证2M的带宽;当网络空闲时，web服务最大可以使用10M的带宽;当WEB服务流量很小时，其它流量可以租用WEB带宽。对网络中的迅雷服务设最大带宽为5M，其他P2P流量也分别限制在1M以下。这里可对上传速度做更加严格的限制，甚至将迅雷的上传速度限制为0，只下载不上传，把p2p的模式变为单向流量进行，或者在网络应用高峰期间，应使P2P应用流量占用带宽不超过总带宽的30%，在网络空闲时间则放开对P2P应用的限制。 3.设置IP带宽上限 为每个IP设置带宽上限是为防止单个用户抢占带宽现象。在学校存在内部IP的现象，如机房、实训室等，因此需要根据使用情况对IP用户进行分组，如将其分为教工组、学生组、机房组等，然后再对每个组的单IP流量作适当的限制，对于优先级高的如机房组或者教工组设置较大的带宽限制，尤其是对于学生宿舍区 12 的带宽设置较小的带宽上限，或者IP 带宽上限也可以采用分时段的方式，对于晚间可以适当提高学生宿舍区的带宽上限，使得同学们可以适当娱乐。连接数限制连接数限制方法与IP限速相似，根据所作的分组，对单个IP限制其连接数，同时应考虑机房单个IP所包括的网点较多，应适当放宽连接数，否则可能影响学生机房网络的正常运行。 此外除了在流量整形设备上对出口流量做相关控制外，在出口设备上采用ACL，限制校园网以外的用户对校园网用户发起连接，避免病毒入侵和垃圾流量影响校园网网络带宽。 五、总结 对于此次毕业设计，首先应该认清目的。理清思路，从具体的实验中将我们所学的知识用于实践操作，加深理解，培养了我一种分析、解决问题的能力，通过设计开拓思维视野，挖掘潜能空间，而不仅仅是局限于问题。还让我了解到，知识的获取不仅仅来源于课本，更多的是课外读物和网络。 通过个体的实验操作，我了解了MRTG的优缺点，学习掌握了MRTG的安装过程及使用方法，认识到网络流量监控在日常的网络运行维护当中是一个非常重要的内容，通过在路由器、交换机等设备上配置MRTG，我们可以直观地了解网络中各个部分的带宽使用情况，第一时间发现异常网络流量，有效防范黑客、病毒的攻击。同时，还可以根据各个端口使用带宽的情况对网络带宽进行合理划分，有效地抑制了BT、迅雷及视频流等占用带宽的情况，大大提高网络的运行效率。保证了网络关键业务的运行，提高了网络的服务质量，进一步保证了正常的教学、办公、科研等网络的应用，使得大家获得更好的网络体验。 13 参考文献: [1]徐昌彪,鲜永菊.计算机网络中的拥塞控制与流量控制[M].北京:人民邮电出版社.2007.15,21. [2]王斌,程明.基于SNMP协议的网络流量侦测系统设计及实现[J].天津理工大学学报.2005(13):24,27. [3]孙禾,徐建华,黄敏.校园网流量监测系统的研究与实现[J].辽宁 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 技术大学学报，2007(5)12,13. [4]任丰原,林闯,刘卫东.IP网络中的拥塞控制[J].计算机学报，2003(9):53,58. [5]高益,黄俊伟.网络流量控制的分析与设计[J].北京电子科技学院学报.2008(5):23,27. [6]罗勇辉,毛涛.校园网流量管理[J].华南理工大学学报.1998.26(10):89,92. [7]吴海峰,张月琳.校园骨干网流量监控系统设计与实现[J].计算机应用.2006(12):42,44. [8]田东,董德存.网络流量技术应用与分析[J].计算机工程与科学. 2005.27(1):32,39. [9]何俊峰,谢高岗,杨建华.基于周期性网络流的流量预测[J].计算机应用， 2003.23(10):8,11. [10]伍孝金,郑慧明.基于MRTG的校园网流量监测的实现[J].荆门职业技术学院学报.2007.22(3):15,18. 14 致谢: 论文的完成，首先要感谢指导老师——张伟胜的悉心指导，以及在实际操作中给予我的帮助。 论文的完成也标志着我大学生涯的结束，感谢三年的同学，共同努力，共同的生活，感谢各位课程的老师，当然也要感谢班主任王旭升给予我们生活和学习上的帮助。当然，还得感谢学院的图书馆和计算机网络，正是有了学院的图书馆和计算机网络，大量的文献资料才能呈现在我们的面前，让我们能通过查找资料实现相关的技术，大大节约了时间和精力～ 15