（计算机应用技术专业论文）基于snmp的校园以太网的网络流量检测.pdf

摘要 基于s n m p 的校园以太网的网络流量检测 作者简介：范科锋，男，1 9 7 5 年1 1 月出生，2 0 0 5 年9 月师从于成都理工大学苗放 教授，于2 0 0 8 年6 月毕业于成都理工大学计算机应用技术专业。 摘要 计算机网络技术的飞速发展，以及网络规模的不断扩大，导致了网络结构的 日趋复杂化。因此，计算机网络管理已经成为了网络研究领域的热点，而对于基 于t c p i p 协议的网络，简单网络管理协议s n m p ( s i m p l en e m o r km a n a g e m e m p r o t o c 0 1 ) 已经作为事实上的协议标准被广泛使用。所以，研究一种基于标准协议 的网络管理工具，方便网络管理员管理网络并提高网络的吞吐量就是本课题研究 的目的。如何有效的监测网络流量而较小的干涉网络运行，是当前网络流量监测 的热点。 一个大型的网络不可能放在一起并仅由一个人进行管理，这种系统的复杂度 说明需要自动化的网络管理工具。如果网络里包含有多个供应商提供的设备，需 要这种工具的迫切性便随之增加，同时提供这种工具的难度以随之增加。由于网 络装置变的越来越大，越来越复杂，越来越富于变化，使得网络管理以越来越复 杂，为了便于管理，使其能够应用于更多的网络产品，包括终端系统，网桥，路 由器和电信设备以及可用于多供应商环境中的设备，正是为了满足这种需要， s n m p 发展起来，它提供了一种对多个供应商，可协同操作的网络管理工具。 s n m p 实际上是指网络管理的一系列标准，包括协议，数据库结构定义和一 系列数据对象。本论文在分析s m 佃协议和讨论传统网络管理模型中不足的基 础上，提出了检测网络节点流量的实现方法。论文首先介绍了常用的网络流量检 测的方法和不足，然后系统的分析了相关的网络管理与技术理论，接下来介绍 s n m p 标准( s n m p 协议，m i b 和s m i ) 和a s n 1 语言。 最后，根据以上的理论，利用现有的s n m p 设备以及成熟的网络管理平台， 结合s n m p + + 第三方开发工具包在咖o w s 下的开发思路。本人在成都理工大 学网管中心的项目实践基于地址的i p 数据流量统计，该系统利用c i s c o 路由 器提供的i p 流量数据统计功能，使用s n m p ，对流经某个网络接口的i p 数据， 按i p 地址进行分别统计；对流经以太网口的i p 数据，按m a c 地址进行分别统 计。不象传统的流量测试软件直接监测每台主机的网络接口，避免了在网络中产 生过多的数据流量。 关键词：简单网络管理协议，管理信息库，网络管理，数据采集 成都理工大学硕士学位论文 t h ed e t e c t i o no fc a m p u se t h e r n e tn e t w o r kt r a f 前cb a s e d s n m p i n t r o d u c t i o no ft 1 1 ea u t h o r ：k e f e n gf a n ，m a l e ，w a sb o mi no c t o b e r ，19 7 5w h o s e t u t o rw a sp r o f e s s o rf a l l g m i a 0 h e 掣a d u a t e d 舶mc h e n g d uu m v e r s 时o ft e c l l i l o l o g y i nt h ec a l c u l a t o ra p p l i c a t i o nt e c h l l i q u em a j o ra n dw a l sg r a n t e dt h em a s t e rd e g r e ei n j u n e 2 0 0 8 a b s t r a c t t h ed e v e l o p m e mo fc o m p u t e rn e t w o r kt e c l l n o l o g ya tv e r yf 瓠ts p e e d ，a 1 1 dt h e n e t 、v o r ks c a l ec o n t i n u o u s l ye x t e n d s ，c a u s i i 培t h en e t 、o r ks t m c t u r et oc o r n p l i c a t e s 伊a d u 2 l l l y t h e r e f o r ec o i n p u t e rn e 伯，o r km a l l a g e m e mb e c o m et h eh o t s p o to fn e t 、) l ，o r k r e s e a r c hr e a l mb e c a u s eo f 衄s ，b u ta c c o r d i n gt ot c p dn e 咖r k ，s n m p ( s i m p l e n e t w o r km a l l a g e m e mp r o t o c 0 1 ) b e i n gu s e da l sp r o t o c o ls t a 【l d 2 u r dh a sb e e n 谢d e l y u s e d i nf - a c t ，a c c o r d i n gt os t a n d a r dp r o t o c o l ，m a k eab n do fn e 觚o r km a n a g e m e n t t 0 0 1 ，n e 锨r o r ka d m i n i s t r a t o r sc a i lc o n v “e n t l ym a l l a g e sn e 觚o r ka 1 1 di n c r e a s e st h e n e t w o r kt h d u g h p u ti sap r i r l l a 巧i n v e s t i g a t i v ep u i p o s e h o we f j f e c t i v em o i l i t o r i n g n e t w o r kt r a m ca 1 1 di n t e 疵r ei nt h eo p e r a t i o no f t h en 娟0 r ko fs m a l l e r ，i st h ec u r r e n th o t s p o tm o l l i t o r i i l go fn e 铆o r k 们伍c a l a r g e - s c a l en e 押o r kn o ti r l l p o s s i b l et op u t o nt h es 锄ep l a c ea i l d0 1 1 l yc 枷e so n t l l em 锄a g e m e n tb yap e r s o n ，t m sk i n do fs y s t e mo r d e ro fc o m p l e x i t ) ，s h o w e dn e e d st o a u t o m a t en e 铆o r km a n a g e m e n tt 0 0 1 i f i nt l l en e 铆o r kc o n t a i n sh a st l l ee q u i p m e n tw 1 1 i c h m a n ys u 【p p l i e r sp r o v i d e ，n e e d st h i sk n do ft 0 0 1 t h eu 珞e n c yt h e na l o n g 谢t hi t i 1 1 c r e a u s e b e c a u s et h en e “v o r ki n s t a l l l l l e n tc h a i l g e sm o r ea i l dm o r eb i g ，m o r ea i l dm o r e c o m p l e x ，m o r e 趾dm o r ei sr i c hm t l l ec h 锄g e ，c a u s e st 1 1 en e 觚o r km a n a g e m e mb ym o r e a i l dm o r ec o m p l e x ，f o re a s eo fn l em a l l a g e m e n t ，e m l b l e si t st 0 印p l yi 1 1t l l em o r e n e t v 旧r k p r o d u c t ，i n c l u d i n g t e n i l i i l a l s y s t e m ，b r i d g e ，r o u t e r a i l dt e l e c o m m u l l i c a t i o n e q u i p m e n t a sw e l la sa v a i l a b l ei nm u l t i s u p p i i e re n v i r o l l l i l e me q u i p m e n t ，i sp r e c i s e l yi n o r d e rt 0m e c tt h j sl ( i n do fn e e d s ，s n m pd e v e l o p s ，i th a sp r o v i d e do n el ( i n dt 0m a n y s u p p l i e r s ，b u tc o - o p e r a t i n gn e “v o r km a n a g e m e n t t 0 0 1 s 订pi i lf i a c ti sr e f e r st 0t h en e t 、o r km a n a g e m e n tas e r i e so f 兜m d a r d s ，i n c l u d m g a 可e e m e n t ，d a t a b a s es t n l c t u r ed e f i i l i t i o na n das e r i e so fd a t ao b j e c t t 1 1 i st l l e s i sa 1 1 a l y z e i i a b s t m c t a 伊e 锄e n to fs n m pa n dd i s c u s st h es h o r t a g eu po fm et r a 【d i t i o n a ln e 觚o r k m a n a g e m e n tm o d e l p u tf o m m dt 1 1 e e x 锄i n a t i o nm e t h o do fn e t 、o r kn o d e d i s c h a 略e f i r s tt h et h e s i si n t r o d u c e dt h em e t h o da n ds h o n a g e so ft h ei nc o m m o nu s e n e t 、o r ke x 锄i n a t i o n ，t h e nt h et h e s i s 锄a l y z e dt h er e l a t e dn e 铆o r km a n a g e m e n ta n dt h e t e c h i l i q u et h e o r i e ss y s t e m a t i c a l l y ，a tl a s ti m r o d u c et h es n m ps t a i l d a r d ( t l l es n m p a g r e e m e n t ，m i ba n ds m i ) a n dl a n g u a g eo f a s n 1 f i r l a l l y ，a c c o r d i n gt om ea b o v et h e o r i e s ，m a k eu s eo fe x i s t i n ge q u i p m e n t s o fs n m p a i l dt h em 砷l r i t i e so fn 前w o r km a n a g e m e n tp l a t f l o m ，c o m b i n i n g t h et 1 1 i r d d e v e l o p m e n tk i to ft h es n m p + + a n dt h ed e v e l o p m e n tw a yo ft h i n h i 培t h a ti su n d e r t h ew i n d o w s im a l ( et h es y s t e mt 1 1 砒b a s eo nt h ea d d r e s ss t a t i s t i c so f 恤i pd a t a d i s c l l a i 翟ei 1 1t l l en e tt u b ec e n t e ro fc h e n g d uu n i v e r s i t ) ro f1 e c h n o l o g ) ，t k ss y s t e m m a l ( e su s eo ft h ei pd i s c h a r g ed a t at h a tr o u t e ro fc i s c op r o v i d ec o w i r i a n c e 觚c t i o n ， u s i n gs n m p f l o 谢n gt h i 0 u 曲c o 衄e c tb yac e n a mn 印o r ko s c u l a rd a _ t ao f 皿p r e s s a d d r e s so fi pt oc a r r yo nt os t a t i s t i c s f l o 谢r 培t h r o u 曲o s c u l a rd a t ao fi po ft h ee t h e m e t ， p r e s sa d d r e s so fm a c t oc a n y0 nt os 协t i s t i c sr e s p e 以v e l y n 0 tt 1 1 ee l e p h 锄t 仃a d i t i o n a l d i s d l a r g e t e s ts o r w a r ed i r e c tm o m t o re a c ht l l en e t w o r ko fm ep e d e s t a lh o s t c o n n e c t s ，a v o i d m gp r o d u c i l l gm ee x c e s s i v ed a 协d i s c h a 玛ei n 廿1 en e 觚o r k k e y w o r d s ： s - m 口m i bn e m o r k m a i l a g e m e n t d a t ac o l l e t i o n i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得盛壑理王太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 黜姗躲锄惭 知8 年石月工日 学位论文版权使用授权书 本学位论文作者完全了解盛壑堡王太堂有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和 借阅。本人授权盛壑堡王态堂一可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 御铎 学位论文作者导师签名： r 具3 | 日 第1 章绪论 第1 章绪论 1 1 课题研究的背景和目的 网络是一个复杂的系统，即使仅局限在单一范围内，例如校园，它也可能 包含较多的路由器及数百、甚至数千台主机。一般来说，网络管理员所需了解 的是各个网段的使用情况、带宽的使用率、网络瓶颈所处的位置。当网络发生 故障时，网络管理员必须迅速判断出故障发生的位置、原因( 线路故障、网络 设备故障、或者是路由器的设置错误) 。一个有经验的管理员要迅速解决这些问 题并不容易，特别是当所管理的网络范围过于庞大时。网络的运行管理、维护 以及规划在很大程度上依靠对网络状态参数的监测。同时为了衡量网络的运行 性能，必须系统化的收集和分析网络的性能参数；性能参数的测量也是进行网络 性能理论分析、模型仿真的重要工具。并且，有目的地收集、整理和分析当前 运行网络的状态数据也为下一代网络体系结构的演化提供了充分的依据。 随着网络应用的发展和数字化校园的建设目标，校园网己经成为高校教学、 科研、工作必不可少的工具。校园网上的应用增多以及网络规模逐步扩大，造 成网络管理任务数量和难度增加。当今校园网上的应用服务器有w i n d o w s 、 l i 肌x 、s 0 1 撕s 和u i l i x 等多种操作平台，网络硬件设备以越来越复杂化和多样 化，目前还没有一个统一的管理平台对这些设备进行监控。对服务器上运行的 应用系统只有通过人工访问来判断应用系统是否正常运行。在一个综合网络管 理系统中，对网络系统管理员来说，最大挑战就是怎样做才能提供一种高效、可 靠、安全的工作环境。管理员常用一些管理工具( 比如：h po p e n v i e w 、i b m n e t v i e w 、s u n n e t m 甜1 a g e r 、 c a b l e 勃r o n s p e c t n m l和 a d v e n t l l e t 的 o p m a n a g e r ，w 色b n m s 等等) 来监视和控制他们的网络。但是这其中有许多工具 都很难学习和掌握。因此，研制出一种易学易操作的管理工具迫在眉睫本文就 是要建立一个网络流量监测的工具。它能长时间的对网络性能参数进行实时的 监测，当网络出现故障时，能够帮助网管减少故障处理时间，同时系统采用被 动的测量方式不需要引入较多的测试流量，对网络的实际性能影响甚微。 1 2 网络管理概述 由于当前计算机技术的快速发展，以及计算机硬件设备的日新月异，使得 计算机网络复杂性与异构性的特点日渐突出。应用需求的不断增长造成了对计 算机网络的高度依赖。这些变化对网络的可用性，操作性等方面都有了更高的 要求，于是就对网络管理提出了新的挑战，加快了网络管理技术的发展。为了 成都理工大学硕士学位论文 有效地管理网络资源，采用网络管理技术实施网络监控成为现代网络管理的必 然要求。本章简述网络管理的基本概念与关键技术，引入网络管理的基础理论。 1 2 1 网络管理基本原理 1 2 1 1 网络管理的概念 网络管理的基本目的是保证网络可靠性、可用性，提高网络运行效率。由 于现代网络技术的发展和演变，网络管理的概念随着网络技术的发展而改变。 对于网络管理，目前还没有严格统一的定义，但可以从系统管理者与终端用户 等不同角度理解。因此，综合各种用户对网络管理的理解和当前网络管理的内 在含义，可以将网络管理定义为：以提高整个整个网络系统的工作，运行效率、 管理层次与维护水平方便为目标，主要涉及对网络系统的运行及资源进行监测、 分析、控制和规划的行为。通常所讨论的网络管理主要是指计算机网络管理， 但从广义而言，还应包括电信网络管理( 删) 等等。 1 2 1 2 网络管理的功能 网络管理功能描述网络管理系统所要完成的管理任务。网络管理涉及网络 资源和活动的规划、组织、监视、计费和控制。国际标准化组织( i s 0 ) 在网络 管理的相关标准和建议中定义了计费、配置、故障、性能和安全五大管理功能。 1 计费管理( a c c o u i 】l t i i l gm a i l a g 锄e m ) 在许多企业网络中，一个部门或成本中心，甚至一个项目账号都因为使用 网络服务而需要计费。这些是内部计费程序，而不是真正的现金交易，但对分 享网络资源的终端用户来说非常重要。进一步地，即使不使用这些内部计费程 序，网络管理员也需要跟踪终端用户对网络资源的使用，这出于以下几点考虑： 终端用户或终端用户组可能滥用他们的访问权限，浪费网络带宽，加 重网络的负担。 终端用户可能不知道如何有效地使用网络，网络管理员可以通过改变 配置来提高网络性能。 如果充分了解终端用户活动，网络管理员可以处于一个比较有利的位 置来规划网络的发展。 网络管理员希望能设定各种各样的节点上的计费信息种类，设定向上 一级管理节点发送信息的时问问隔和在计算费用时所使用的算法。在 网络管理员控制下生成计费报表。 为了限定计费信息的访问权限，计费工具必须提供验证终端用户访问 2 第1 章绪论 权限的功能，并能对计费信息进行操作。 2 配置管理( c o n 6 9 u r a t i o nm a n a g e m e m ) 现代数据通信网络由单个的组件和可配置成执行许多不同应用程序的逻辑 子系统( 如在操作系统中的设备驱动程序) 组成。例如，同样的设备可以配置 成路由器或者终端系统，或者兼而有之。一旦确定了如何使用某一设备，配置 管理员便可以选择合适的软件并为该设备设定属性和参数( 如传输层重发计时 器) 。 配置管理和初始化网络以及正常关闭网络或者关闭网络的一部分联系在一 起，它也和维护、添加、更新组件之间的关系有关，和网络操作中组件本身的 状态有关。 网络的启动和关闭操作是配置管理的具体职责，通常，希望能在无人管理 的情况下执行针对某些组件的启动和关闭操作( 如启动或关闭网络接口) 。网络 管理员需要能够确定最初网络所应包含的组件并定义这些组件之间即定的连接 关系。如果经常用同样或相似的资源属性配置网络，就需要一种方法定义或修 改默认的属性，以及把这些预定义的属性装载到具体的网络组件中去。当终端 用户要求改变时，网络管理员需要能够改变网络组件之间的连接关系。执行性 能评价、网络升级、故障恢复或者安全检查时，经常需要对网络进行重新配置。 终端用户通常需要知道网络资源和组件的状态，因此，当配置改变时，应 将这些改变通知终端用户。配置报表可以由程序周期性地产生，或者根据对报 表的请求产生。重新配置之前，终端用户通常希望知道新的资源状态及其属性， 而网络管理员通常只希望授权终端用户来管理和控制网络操作( 如软件分发和 升级) 。 配置管理包括的内容有： 对控制开放系统例行程序操作的参数进行设置： 把名称与被管对象和被管对象的集合联系起来： 使被管对象初始化并关闭被管对象： 按照要求收集有关开放系统当时状态的信息： 告知开放系统状态的重大变化： 改变开放系统的配置。 3 故障管理( f a u l tm a i l a g e m e n t ) 网络中的设备对于网络来讲都是很重要的，都应该正常工作，任何不正常的 状态都将影响到网络。设备的不正常状态包括错误和不能正常运行。比如，一 个路由器死机，一个线路中断了或一个调制解调器误码率过高等。 设备故障会导致网络的性能下降或功能缺失，所以故障发生时，应该能： 及时定位故障位置。 成都理工大学硕士学位论文 把其他网络故障部分隔离开，使其余的网络不受干扰继续工作。 不再使用故障设备，重新配置或修改网络，尽量减少该设备的影响。 修复或更换故障设备，恢复网络到初始状态。 终端用户希望快速而可靠的问题解决方案。大多数用户可以忍受偶尔发生 的故障，但如果故障经常出现，终端用户希望能立即解决问题。终端用户一般会 希望马上收到报警通知并希望可以立即诊断和解决问题。提供这种级别的故障 解决方案需要非常快速而且可靠的故障探测和诊断管理功能。可以通过使用冗 余组件和备用通信路由，给予网络一定程度上的“故障容错 能力，从而使故 障的影响和持续时间减到最小。为了增加网络的可靠性，故障管理能力本身就 应该是冗余的。 用户希望获知他们的网络状态，包括预定和非预定的维护工作。通过使用 测试、日志、警告或统计数据的分析等机制，用户可以获知网络是否正常工作。 在修正故障和完全恢复网络到运行状态之后，故障管理服务必须确保该问题已 经真正解决，不会产生新的问题。这种需求称为问题控制。与网络管理的其他 领域一样，故障管理应该对网络的性能产生最小的影响。 4 性能管理( p e r = f o 肌a n c em a n a g e m e n t ) 性能管理与配置管理一样，是网络管理的基本内容之一。但在早期的网络 管理系统中，性能管理主要由性能告警的检测和发现性能故障时人工介入的网 络管理两部分组成。而且性能故障也往往是从网络用户对异常服务的报告中发 现的。随着网络规模的不断复杂、不断扩大以及管理系统的日益复杂和用户对 网络服务质量的要求越来越高，网络中的性能管理也正逐步实现自动化、智能 化，性能管理与网络的其他功能一起形成完整的网络管理系统。性能管理将评 估系统资源的运行状况及通信效率等系统性能，其中包括监视和分析被管网络 资源和网络服务的性能。性能分析的结果可能会触发某个诊断测试过程或者重 新配置网络，以维持网络的性能。性能管理收集和分析有关被管网络当前状况 的信息，并维持网路性能日志。典型的性能管理功能包括： 收集统计信息： 维持并检查系统状态日志： 确定人工和自然状态下的系统性能： 通过改变系统操作模式实现对系统性能的管理操作。 5 安全管理( e c u r i 母m a l l a g e m e n t ) 安全管理包括管理信息保护和访问控制工具，其中包含密钥的生成、分发 和存储。必须维护并分发密码和其他一些授权或访问控制信息。安全管理同样 也关心监视和控制计算机网络访问，以及从网络节点上对网络管理信息的访问。 日志记录是一种很重要的安全工具，因此，安全管理基本上包含采集、存储并 4 第1 章绪论 检查审计记录和安全日志记录，以及打开或关闭这些日志记录的工具。 安全管理提供工具保护网络资源和终端用户信息。网络安全工具应该只对 授权用户有。终端用户希望知道适当的安全措施是有效果的，而且安全工具的 管理本身也是安全的。 典型的安全管理功能包括： 创建、删除和控制安全服务和机制； 发布与安全相关的信息； 报告与安全相关的事件。 1 2 1 3 网络管理模式 网络环境的管理是信息的处理应用过程。由于网络环境通常是分布式管理， 网络管理相应亦是分布式应用。它涉及负责监控各种物理和逻辑联网资源的管 理进程之间的信息交换。在现代网络管理中，普遍采用表现c s 结构的管理者 ( m a l l a g e r ) 一一代理人( a g e n t ) 模式。在这种模式中，作为管理者的进程驻 留在网络管理系统，代理进程驻留在被管设备的代理系统。 网络管理操作的一般过程与原理如下：首先从网络管理系统特定的请求窗 口提交管理操作请求，通过本地管理通信模块将请求发送给指定远程代理，等 待执行结果返回。远程代理接收到该请求后，向被监控的网络资源发出执行请 求命令，调用本地操作支持进程执行相关操作并返回结果。远程代理将等待执 行结果，或在被监控的资源出现异常情况时产生事件报告。远程代理通过通信 模块向网络管理系统发回执行结果或产生错误报告。网络管理系统接收执行结 果或事件报告后，经过分析处理再通过指定窗口进行显示。 1 2 2 网络管理标准 一个网络管理系统涉及到系统结构、信息处理以及信息交换等多方面的内 容，而这些内容的研究开发都必须遵循一定的标准和规范，对网络管理标准研 究的核心内容就是网络管理功能的精确定义和实现技术的选择。致力于网络管 理标准化工作的组织主要有：i s o ，c c i t ( i t u t ) 和i e t f 等。i s o 对网络管理 的标准化工作始于1 9 7 9 年，主要针对开放互连o s i 七层模型而设计，其主要成 果是c m i p ( 通用管理信息协议) 。c c i t 定义了具有标准协议、接口和结构的 电信管理网n 删，它包含了o s i 的基本思想，与0 s i 管理方案互为补充。i e t f 为了管理日益增长的i n t e m e t ，决定采用基于o s i 的c m i p 协议作为硫e m e t 网 络管理协议，对该协议进行了修改，称作c m o t ( c o m m o nm a i l a g e m e n t0 v e f t c p i p ) 。i e t f 将原有的s g m p ( 简单网关监控协议) 进一步修改，作为向c m o t 5 成都理工大学硕士学位论文 临时过渡的解决方案，形成了著名的s n m p v l 。以o s i 模型为基础的c m i p 和 以t c p i p 模型为核心的s n m p 是当前网络管理中得到应用的主要协议标准。 c m i p 具有通行与完善性的优点，但设计复杂，没有得到普遍的应用；s n m p 具有简单性、灵活性和可扩展性的优点，实现简单，易于标准化。s n m p 最初 主要是为基于t c m p 的互连网设计，现己在i p x s p x 、d e c n e t 以及 a p p l e t a l k 等协议中实现，现代数据通信产品和主流网络管理系统一般都提 供对s n m p 的支持。随着s n m p 的应用普及和版本升级，s n m p 己经成为事实 上的网络管理工业标准。 1 2 3 网络管理模型 网络管理首先必须解决的问题是监控对象、监控者、监控方式的界定。针 对网络管理的复杂性，可以从代表对原始系统不同抽象的侧面来考察网络管理 应用。为此，o s i 定义了网络管理四个方面的模型：功能模型、通信模型、组织 模型和信息模型。网络管理模型是对网络管理系统的描述，采用开放分布式处 理的思想和框架，目标是定义一个分布式网络管理结构，达到系统之间的互操 作性、可移植性及分布透明性。 1 2 4 网络流量检测与网络管理 网络流量检测主要是对网络数据进行连续的采集，通过连续采集网络数据， 检测网络的流量。获得网络流量数据后对其进行统计和计算，从而得到网络及 其主要成分的性能指标，定期形成性能报表，并维护网络流量数据库或日志， 存储网络及其主要成分的性能的历史数据，网络管理员根据当前的和历史的数 据就可以对网络及其主要成分的性能进行性能管理，通过数据分析获得性能的 变化趋势，分析制约网络性能的瓶颈问题。此外，在网络性能异常的情况下， 网络流量检测系统还可以向网络管理者进行告警，使故障及时得到处理。 实际上，网络流量检测中采集数据所用到的方法对于网络管理的其他方面 也是适用的。例如，对于计费管理来说，现在一般的路由器中都有流量记载， 网络流量信息通过路由器时，其流量信息都会在路由器的缓存( 洲) 中保留 下来，它的记录格式由四个字段组成，分别是源口地址、目标i p 地址、数据 包和字节数。所以计费统计系统所要完成的操作就是把这些流量信息从路由器 中提取出来，经过特定的分析后，就可以生成按每一个i p 地址流量的计费帐单 了，这与流量检测实现的途径是一致的。在网络流量检测的基础上，管理员可 以对感兴趣的网络管理对象设置阂值范围以配置网络闭值对象，闭值对象监控 实现轮询网络获取定义对象的当前值，若超出阂值的上限和下限则报警，帮助 6 第l 章绪论 管理员发现网络瓶颈，这样既可以实现一定程度上的故障管理。又涉及到安全 管理方面的内容。所以，网络流量检测是网络管理中一个非常基础也是非常重 要的一个环节，研究网络流量检测是非常有意义的。 1 3 网络流量检测的现状及常用工具 网络流量按照其包含信息内容的不同可以分为以下四类： ( 1 ) 网络节点端口流量 网络节点端口流量指的是网络节点设备端口流入和流出的数据包的信息统 计。它包括数据包的个数、字节数、包大小分布、丢包数等非常多的统计信息。 监视节点端口流量的工具有m i 汀g ，s n m p c 等，另外许多厂商的网管工具也提 供这些功能，如h p 公司的o p e r l l e w 平台、a g i l e m 公司的f i r e h 瑚i t e r 等。m i 盯g 的功能单一，它使用s 卜球佃协议访问网络节点获取m i b 信息( 包括网络节点端 口流量) ，然后通过w 曲方式输出结果。m i 玎g 是一个非常实用的免费软件， 在各个运营商的网管中心都作为最常用的网络监视工具来使用。其它类型的网 管工具，如以上提到的o p n e e w 和f i r e h u n t e r ，以上两种软件价格昂贵，一向 都强调其强大的分析功能，而不仅仅是用来监视网络节点端口流量。因此，当 需要监视或分析更多的网络性能参数时，可以考虑用这些工具的强大分析功能 与m i 盯g 结合一起使用。 ( 2 ) 端到端的i p 流量 端到端的i p 流量指的是在网络层从一个源到一个目的i p 包的统计信息。 相对于网络节点端口流量而言，端到端的i p 流量包含了更为丰富的信息，通过 对它的分析，可以了解到网络中的用户都访问了哪些目的网络，是网络分析、 规划、设计和优化的重要依据。采集端到端i p 流量的典型工具包括别s m 脓、 n e t f l o w 和流量探针等，根据其不同的特点，它们分别适用于不同范围的流量 采集。 ( 3 ) 业务层流量 业务层流量除了包含端到端i p 流量的信息之外，还包含了第四层( t c p 层) 的端口信息。显而易见，它包含了应用服务的种类信息，由于t c p 层的信息比 较全，所以可以利用这些信息做更详细的分析。s m 虢r 、o p m a i l a g e r 和流量探 针等工具也实现了这个层次的流量信息采集。 ( 4 ) 完整的用户业务数据流量 完整的用户业务数据流量对于安全、性能等方面的分析非常有效。例如捕 捉黑客的来访数据包可以制止某些犯罪行为或得到重要的证据；由于捕捉完整 的用户业务数据需要超强的捕获能力和超高的硬盘存储速度和容量，因此利用 s r l i 旋r 和流量探针等都只能实现短时间内数据包的捕捉和跟踪，n i k s u n ( 猎信) 7 成都理工大学硕士学位论文 公司在这个方面都有自己独到之处，其n e t d e t e c t o r 产品能提供长时间的完整的 用户业务数据流量采集。 1 4 网络流量检测的主要方法 从目前大多数的研究和实现来看，大多数网络流量检测都采用如下两种方 法：一个是网络侦听，另一个就是直接读取网络对象来获取网络流量信息数据。 1 4 1 网络侦听的优缺点 网络侦听一般就是专门使用一台没备在网络中侦听整个网络。目前比较流 行的用法有两种：一种是将某一网卡设置为“p o m l i s c u o u sm o d e 以监听整个网 络的流量，利用s n i 恐r 或者n e t x r a y 收集网络信息。另一种是针对于交换型 e t l l e m e t ，通过设置交换机的某一端口为“m o i l i t o r ，实现监听整个交换机所有 端口的通讯量。 对于以上两种方法的优点就是可以减少路由器的负担，能够让路由器更好 的参与路由，缺点就是都只能获取非常有限范围内网络的通讯量，较难进行大 范围的、长时间的检测。 1 4 2 直接读取网络对象的优缺点 针对不同的网络对象有不同的读取流量数据的方法，下面我们以路由器为 例，讨论一下关于从路由器读取流量数据的三种方法。 第一种方法，就是通过s n m p 协议，利用它的g e t r e q u e s t 和 g e t - n e x t r e q u e s t 得到网络流量的数据。 第二种方法，是利用a a a ( 认证、授权、计费) ，这种方法需要在u n 工作站上建立相应的t a c a c s 服务器，实施起来很不方便。 第三种方法，就是模拟t e l n e t 程序，登陆到路由器上，获取其流量数据。 比较这三种方法，利用s 心p 协议读取路由器流量数据的方法，具有实现简单， 通用性强的特点，并且该方法存在以下优点：可以在任何时候，收集任何地点 的网络流量；能够收集到某个网络中大量设备的同步流量信息；能够获得流量 间的相互关系( 通过网络拓扑图获得) ；采用方法基于i p 层，不受底层网络物 理类型的限制；能够收集到网络设备自身的工作信息；需要的试验设备及试验 人员少。而对于其主要的缺点，缺乏安全机制，可以通过一些手段进行预防， 比如利用设备的w t em a n a g e ri pa d d r e s s 等来取消任何用户的写请求；在收 集信息的过程中经常修改c o m m 明j 够s t r i n g ：不在不安全的网段运行数据收集 程序，防止非法监听等。所以说该方法的负面影响是可以避免的。而且目前 第1 章绪论 s n m p 协议发展迅速，绝大多数网络设备都支持s n m p 协议，它已经成为了网 络管理的规范。所以，综上所述这些优势，在本课题中我采用了s n m p 协议的 方式，直接从路由器上读取网络流量数据。 1 5 本文的主要工作及论文结构 本论文针对网络流量问题中的一个重点通过s n m p 在w i n d o w s 环境下 进行网络流量的检测，进行了研究和探讨，并设计和实现了一检测程序。论文 的主要内容包括五章： 第一章主要阐述研究的目的和意义，着重阐述了网络管理的基本原理， 概念，功能，模式和标准，为程序模块的实现提供一个理论基础。并介绍了网 络流量检测的常用工具以及发展现状，最后给出了本文的主要工作及论文结构。 第二章介绍s n 船网络管理框架的组成、管理模型和管理信息库的概念 以及a s n 1 和b e r 编码。重点介绍了s n l 旧模型工作原理、m i b 及其管理信 息结构。 第三章介绍了在s n m p 在w i n d o w s 下的编程特点以及s n m p + + 软件包中 的组成文件，详细介绍了s n + + 包中的类。 第四章针对本校局域网流量检测的实际需求分析进行模块划分( 一共分 为辅助功能模块、设备扫描模块、流量数据采样模块、流量统计模块、图表显 示模块5 个模块) 和详细设计，并借助第三方开发工具包s n m p + + 和开发语言 v c + + 实现了模块功能。着重阐述了主要功能模块的设计和实现。 第五章总结了本文的主要成果，并分析了现有程序功能的不足，指出以 后需要进一步完善的地方。 9 成都理t 大学硕士学位论文 2 1s n m p 协议概述 第2 章s n m p 目前的网络管理协议主要有两种：基于o s i 的c m i p ( c o m m o nm a n a g e m e n t i n f o 肌a t i o np r o t o c 0 1 ) 和基于t c p i p 的s n m p ( s i n l p l en e r 、0 r km a n a g e m e n t p r o t o c 0 1 ) 。 c m i p 是i s o 为遵循o s i 网络系统结构的网络而设计的，采用面向对象技 术，运用限定范围和过滤技术，便于用单个命令来获取大量的信息，只有完善 的完全机制进行认证和控制管理信息的访问，提供c e t ，s e t ，d e l e t e ， a c t i o n 等操作，但是像o s i 网络体系结构一样，由于它比较复杂，代理的运 行资源要求高而且难于实现，没有广泛的应用。 s n m p ( 简单网络管理协议) 作为一种标准出现于1 9 8 8 年，由一系列i 疆c 所定义：r f c l l 5 7 ( 定义了s n m p ) ，i 强c l l 8 7 ，i 江c 2 0 u ，i 江c 2 0 1 2 ，i 讧c 2 0 1 3 ( s n m p v 2 ) 以及i 江c 2 2 7 3 ( s n m p v 3 ) 。出于业界对网络管理协议标准化的迫 切要求的驱动，正t f 于1 9 9 0 发布了s 脚v l 的正式i 强c 文挡：其设计思想重点 放在保证协议的简单性、灵活性和可扩展性上，并希望把s n m p 作为一个过渡 性的网管协议来作为实现对互连的网络设备进行管理时遵循的标准，待o s i 的 网络管理协议c m i p 的开发、实现和标准化成熟和完善到可以在业界推广之后， 再用c m i p 来替换s n m p 。但是由于各种的原因，c m i p 并没有替代s n m p ，而 s n m p 发展为业界的标准。s n m p 一共发展有3 个主版本，分别为s p v l ， s n m p v 2 和s n m p v 3 。s n m p v l ：是第一个正式协议版本，在i 江c 1 1 5 5 r f c l l 5 8 中定义，该版本采用了基于共同体名的安全机制；s n m p v 2 c ：这个版本被称为 基于共同体名的s n m p v 2 ，使用基于共同体名的安全机制和s n m p v 2 p 做出的 协议操作方面的扩充，由r f c19 01 _ r f c l 9 0 6 定义；s n m p v 3 ：该协议版本采 用基于用户的安全机制，其安全机制是在s n m p v 2 u 和s n m p v 2 枣基础上进行大 量的评议以后进行了更新，并且对协议的逻辑功能模块的进行了划分而保证了 良好的可扩充性，由i 讧c 2 2 7 l i 江c 2 2 7 5 所定义( 薛明，2 0 0 6 ) 。图2 1 展示 了s n m p 的发展历史。 l o 第2 章s n 肝 麝戮虢殇锄锄秽 s m i 篇该蹶爨嘲 s 虹 编锄褫褫黼 s m i 上7 一上一上m i b ；硒蛩m mi m 一一一二r 一一电么 s n 嗄p v lr m o n ls n l 、嗄p v 2r m o n 2