网络工程规划与设计_项目三_任务二_校园网流量监测与分析

《网络工程规划与设计_项目三_任务二_校园网流量监测与分析》由会员分享，可在线阅读，更多相关《网络工程规划与设计_项目三_任务二_校园网流量监测与分析（12页珍藏版）》请在装配图网上搜索。

1、校园网流量监测与分析目 录1.引言12.网络流量的监测方式12.1基于流量镜像的监测方式12.2基于Netflow的监测方式12.3基于SNMP的监测方式13.检测工具安装部署13.1网络拓扑图23.2配置Cisco 650933.3IIS与SNMP服务的安装34.ACTIVEPERL和MRTG软件的安装54.1安装ActivePerl54.2安装MRTG55.MRTG的基本配置65.1MRTG的高级配置65.2MRTG的使用66.实例分析76.1校园网络流量的监测与分析76.2校园网络流量问题产生的主要原因96.2.1计算机病毒96.2.2过度下载96.3校园网络流量控制的措施106.3.1

2、建立实时分析机制发现异常网络流量106.3.2设置不同应用带宽106.3.3设置IP带宽上限101. 引言近几年，高校校园网络迅速发展，对校园网的有效监管已经成为计算机网络管理的重要项目。作为校园网的管理人员，其首要任务就是要监测校园网的运行情况，而监测校园网运行的情况实际是对校园网络中各网络节点当前运行状况及网络流量的监测。网络流量监测为校园网管理人员提供实际的流量数据，以便其更加合理地分配流量，最大限度地使用网络的有限带宽。长期校园网流量监测能为校园网的网络故障分析、故障排除、网络优化以及校园网的扩建和改造提供科学的依据。2. 网络流量的监测方式通常根据对网络流量的监测方式可分为：基于流量

3、镜像的监测方式、基于Net flow的监测方式和基于SNMP的监测方式三种常用方式。2.1 基于流量镜像的监测方式基于流量镜像的监测方式。其原理是通过交换机、路由器等网络节点设备的端口（链路）镜像到协议分析仪，从而实现网络流量的无损复制和映像采集。其优点是能够提供丰富的应用层信息，通常在IDS(Intrusion Detection Systems，入侵检测系统)部署和网络流量分析时采用，不适合全网监测。2.2 基于Netflow的监测方式基于Netflow的监测方式。NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlo

4、w 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。2.3 基于SNMP的监测方式基于SNMP的监测技术。其原理是通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及接El流量信息有关的变量。其中通过SNMP收集的网络流量信息包括：接口输入输出字节数、接口输入输出非广播包数、接口输入输出包错误数等。基于SNMP的监测技术受到设备厂家的广泛支持，使用方便。其缺点是信息不够丰富和准确，分析集中在网络的数据链路层、网络层和网络节点设备的信息。3. 检测工具安装部署在此次实验中，我选择了基

5、于SNMP协议的MRTG网络流量检测工具。MRTG是一个监控网络链路流量负载的工具软件，它通过SNMP协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户，以非常直观的形式显示流量负载。MRTG软件中包含一个perl程序，利用SNMP读取路由器等网络设备的流量计数，以及一个C程序可将流量数据记录下来，并为所监控之网络连结上的流量产生图形式表现。这些图形会被包含在网页中，并可从任何网页浏览器读取。MRTG除了能够提供详细的每日流量记录，同时也能够以相同的视觉呈现方式产生过去七天，过去四周，以及过去12个月的流量记录。能够做到这点是因为MRTG把从路由器取得

6、的所有数据都记录下来。这些记录会自动合计，所以不至于随着时间成长地太大，不过仍保留足够提供过去两年来流量趋势的信息。这些程序以很有效率的方式进行，MRTG并不仅限于监测流量，我们也可以利用MRTG来监测任何SNMP参数。我们甚至可以运用外部程序来收集想要用MRTG进行监控的数据，例如系统负载、登入数量等，或者将二或多项数据来源结合在单一图形内以利观察。MRTG的优点：简单、易上手，基本安装完了之后只要更改一下配置文件即可。MRTG的缺点：使用文本式的数据库，数据不能重复使用；只能按日、周、月、年来查看数据；只能画两个DS（一条线、一个块）；每取一次数据即需要绘图一次，浪费系统资源；无管理功能。

7、3.1 网络拓扑图本次实验中主要涉及一台Cisco 6509以及一台MRTG服务器，不管他们之间隔了些什么设备，只要保证他们之间三层互通，并且SNMP交互正常即可。我们要监测的是Cisco 6509这台网络设备，MRTG服务器就是那台Windows Server 2003服务器，如Error! Reference source not found.所示。图1 网络拓扑图3.2 配置Cisco 6509Telnet到Cisco 6509这台网络设备上进入全局配置模式。输入以下命令:Step1:进入计算机PC1的命令提示符窗口，输入“telnet 172.19.144.158 ”登录6509设备。

8、Step2:输入正确的密码后，进入6509配置模式，接着输入以下指令。snmp-server community louqy ro设置SNMP的团体名为louqy。snmp-server trap-source GigabitEthernet 0/1以Fa0/1端口为监控源，如果不输入此行，将以设备自身的ROUTER ID作为监控源。snmp-server contact louqy设置管理者的邮箱地址。snmp-server host 172.19.144.149 softer设置管理机的IP地址为172.19.144.149(MRTG服务器的IP地址)，并设置团体名(louqy)。snmp

9、-server enable traps启动监控。Step3:保存设置并退出后即可完成在Cisco 6509设备上的所有配置。这样，MRTG服务器就有权限从Cisco 6509设备上读取数据了。3.3 IIS与SNMP服务的安装MRTG系统的流量信息是以网页的形式存放在MRTG服务器上，网上的客户端都可以通过浏览器来查看网络的流量信息。所以在使用MRTG系统前，需要安装一个WEB服务器，并将流量信息存放到WEB的主目录上，以便进行WEB查看。本次实验中我使用的是IIS6.0服务器作为网页服务器，安装的平台为Windows Server 2003系统的MRTG服务器。WEB服务器安装完成后，创建

10、C:wwwmrtg目录，用于存放流量监控主页和MRTG产生的流量信息文件，并将该目录设为WEB服务器的主目录。Step1:单击“开始”|“设置”|“控制面板”|“添加/删除程序”|选择“添加/或删除Windows的组件”。在Windows组件窗口中，选择“应用程序服务器”单击“详细信息”再勾选“Internet信息服务(IIS)”，如Error! Reference source not found.：图2 IIS服务的安装Step2:在Windows组件窗口中，选中“管理和监控工具”，单击“详细信息”，然后子组件中选择“简单网络管理协议(SNMP)”前面的复选框。如Error! Refere

11、nce source not found.：图3 SNMP协议的安装Step3:选好确定后，单击“确定”完成安装。出现了相关提示，则插入Windows的安装光盘，并且选择相应文件。Step4:单击“开始”|“程序”|“管理工具”|“Internet信息(IIS)服务管理器”，在IIS的管理界面进行相关配置。4. ActivePerl和MRTG软件的安装因为MRTG由于MRTG是用Perl编写的，它的运行需要Perl的支持，所以在安装MRTG之前必须下载并安装Perl语言，所以要安装ActivePerl包，这些都可以到官方网站下载。所以整个MRTG安装分为两步：第一，安装IIS和SNMP协议；第

12、二，安装ActivePerl和MRTG软件。具体的安装步骤如下：4.1 安装ActivePerl双击ActivePerl-5.8.8.822-MSWin32-x86-280952.msi安装文件，在安装过程中会询问上些诸如安装路径、选择组件等问题，可以全部使用缺省设置。缺省情况下Perl安装在C:Perl目录下。如Error! Reference source not found.：图4 ActivePerl软件的安装4.2 安装MRTG直接解压下载好的MRTG压缩包到C:MRTG目录下。5. MRTG的基本配置首先单击“开始”|“运行”中输入CMD，回车进入登命令提示符窗口，然后用CD命令进

13、入MRTG安装目录，如Error! Reference source not found.：图5 MRTG的基本配置然后输入以下命令：Perl cfgmaker -snmp-options=:2 louqy172.19.144.158 -global WorkDir: c:wwwmrtg -output mrtg.cfgPerl mrtg mrtg.cfgPerl indexmaker mrtg.cfgc:wwwmrtgindex.htm这样，一个完整的统网络流量监控系统就建立起来了，为了直观的分析数据，已经生成了报表首页index.htm5.1 MRTG的高级配置为了让MRTG全天24小时监

14、控，需要在前面提示的配置文件mrtg.cfg加入以下参数，使MRTG每隔5分钟自动采集一次数据。#mrtg.cfg:RunAsDaemon: yes Interval:5Options_: bits5.2 MRTG的使用通过前面的配置，可以使用MRTG来监测数据了，执行命令MRTG:Perl mrtg logging=mrtg.log mrtg,cfg由于不能关闭命令窗口，如果关闭该窗口，则无法采集数据，如Error! Reference source not found.：图6 MRTG的使用为了方便起见，可以把用批处理文件让它开机自启动，这样在系统启动就能自动运行采集数据了。具体操作，先新

15、建一个文本文档，在里面输入：cd c:mrtgbinperl mrtg -logging=mrtg.log mrtg.cfg将它保存为mrtg.bat再把它放到系统的“启动”栏中。然后把之前安装好的IIS进行相关配置，为了能看得更加清楚，把报表首页index.htm中的流量图加入到自己设计的网页中，这样就可以通过访问MRTG服务器的IP地址查看MRTG是否正常工作。具体的网页效果如Error! Reference source not found.：图7 网页效果6. 实例分析6.1 校园网络流量的监测与分析通过对监测系统的部署即可对校园网需要监测的网络节点设备流量进行分析。Error! Re

16、ference source not found.为学院湖畔公寓的流量监测图，通过流量监测图可以掌握以下信息：绿色为入口流量，蓝色为出口流量最大流入值22.5Mb/s(2.2%) 最大流出值45.4Mb/s(4.1%)平均流入值5425.4k b/s(0.5%) 平均流出值5092.7b/s(0.5%)当前流入值18.1Mb/s(0.6%) 当前流出值14.4Mb/s(0.5%)从图中可以看出，湖畔公寓这30多个小时内的网络流量比较正常，没有超出正常流量的范围。图8 正常流量图Error! Reference source not found.为学院校园网实训计算中心的流量监测图，通过流量监测

17、图可以掌握以下信息：绿色为入口流量，蓝色为出口流量最大流入值106.4Mb/s(10.6%) 最大流出值67.6Mb/s(6.8%)平均流入值10.7Mb/s(1.1%) 平均流出值12.1Mb/s(1.2%)当前流入值5808.0kb/s(0.6%) 当前流出值5275.4Kb/s(0.5%)从该图中还可以看出：前一天的10点到15点流量都在正常的范围内，而了15点30至16点和17点30至18点30之间网络流量非常大，这已经超出正常的流量范围，说明实训计算中心的网络流量存在问题，应该采取必要的措施。图9 异常流量图6.2 校园网络流量问题产生的主要原因6.2.1 计算机病毒病毒防范不到位校

18、园网中通常以还原卡配合杀毒软件作为计算机防范恶意软件及病毒的主要措施，主要是由于其安装方便、操作简单，但随之而来的问题是杀毒软件由于导致的无法升级问题。计算机打开后，网络中蠕虫病毒大量而快速的复制使得网络上的扫描包迅速增多，造成网络拥塞，占用大量带宽，从而使得网络瘫痪。6.2.2 过度下载过度下载及视频流目前利用工具下载音乐和影片等资源已经成为一种趋势，而网络上大量使用的P2P 下载工具是非常占用网络资源的，加上一些学生在线观看视频、玩网络游戏，从而导致校园网络的带宽资源被大量非教学应用所抢占，严重影响了正常教学中的网络应用。3.非法连接恶意非法连接互联网中目前以消耗网络资源为目的的流量类攻击

19、发展迅猛，对于校园网这种防护过于薄弱的网络服务器，其通过大量的恶意非法连接消耗带宽，使接受主机应接不暇，从而造成拒绝服务。同时大部分的恶意连接都附带着木马程序，使多个计算机相互感染，造成网络拥堵。6.3 校园网络流量控制的措施6.3.1 建立实时分析机制发现异常网络流量网络中也经常会出现黑客攻击、病毒泛滥的情况，这些从技术层面进行分析和预防非常困难， 但是如果从流量的统计意义上发现其异常，却能够明显地把握。互联网中目前以消耗网络资源为目的的流量类攻击发展迅猛， 如果校园网网络服务器的防护比较薄弱， 对于这种恶意的代码通过大量的非法连接消耗带宽，使接受主机应接不暇，从而造成拒绝服务。同时大部分的

20、恶意连接都附带着木马程序， 使多个计算机相互感染，造成网络拥堵。因此，针对网络中异常流量分析将有助于网络管理员发现和解决问题。应建立实时分析机制，定期查看日志，针对校园网的出口信息进行管理，通过对网络流量进行实时监控， 以图形HTML文档方式显示给用户，是的用户通过可以直观地查看流量负载，便于从主观上进行判断， 而且在系统设计中植入流量异常报警功能，对于异常流量自动报警。6.3.2 设置不同应用带宽考虑到Web浏览校园网络的主要业务，因此在带宽设置上具有相当的优先性。例如，可以设置web服务的最小带宽配置为100K、保障带宽配置为2M、最大带宽配置为10M。当网络拥塞时可以给web服务保证2M

21、的带宽;当网络空闲时，web服务最大可以使用10M的带宽；当WEB服务流量很小时，其它流量可以租用WEB带宽。对网络中的迅雷服务设最大带宽为5M，其他P2P流量也分别限制在1M以下。这里可对上传速度做更加严格的限制，甚至将迅雷的上传速度限制为0，只下载不上传，把p2p的模式变为单向流量进行，或者在网络应用高峰期间，应使P2P应用流量占用带宽不超过总带宽的30%，在网络空闲时间则放开对P2P应用的限制。6.3.3 设置IP带宽上限为每个IP设置带宽上限是为防止单个用户抢占带宽现象。在学校存在内部IP的现象，如机房、实训室等，因此需要根据使用情况对IP用户进行分组，如将其分为教工组、学生组、机房组等，然后再对每个组的单IP流量作适当的限制，对于优先级高的如机房组或者教工组设置较大的带宽限制，尤其是对于学生宿舍区的带宽设置较小的带宽上限，或者IP 带宽上限也可以采用分时段的方式，对于晚间可以适当提高学生宿舍区的带宽上限，使得同学们可以适当娱乐。连接数限制连接数限制方法与IP限速相似，根据所作的分组，对单个IP限制其连接数，同时应考虑机房单个IP所包括的网点较多，应适当放宽连接数，否则可能影响学生机房网络的正常运行。此外除了在流量整形设备上对出口流量做相关控制外，在出口设备上采用ACL，限制校园网以外的用户对校园网用户发起连接，避免病毒入侵和垃圾流量影响校园网网络带宽。