网络流量分析的方法赏析八篇

序言：写作是分享个人见解和探索未知领域的桥梁，我们为您精选了8篇的网络流量分析的方法样本，期待这些样本能够为您提供丰富的参考和启发，请尽情阅读。

第1篇

关键词：校园网 网络管理 流量分析 流量控制

中图分类号：TP393 文献标识码：A 文章编号：1007-9416(2012)02-0160-02

1、引言

随着信息化建设的高速发展，校园网作为数字信息的基本载体在数字校园的建设中具有非常重要的作用。但是，由于各种网络应用的不断涌现，消耗了大量网络带宽，导致网络拥堵、性能降低，干扰了教学科研等关键业务的正常运行。为了优化网络环境，保证数字校园的正常运行，我们有必要对网络流量进行深入的分析与研究，对占用大量网络带宽的流量、环节采取针对性的手段进行调整与控制，保障数字校园高效稳定安全的运行。

2、流量分析的常用方法

网络流量分析指通过捕获网络流量数据对其进行深入量测和分析，来掌握网络的流量特性，例如某种协议、应用服务的使用情况或者某些用户的行为特征等，为精细化流量控制提供数据依据。目前采用的网络流量分析方法按照分析的对象有：

2.1 基于地理位置的分析

基于地理位置的分析是通过获取已知位置、用户群的相关网络设备的运行情况来进行分析。常见的是使用简单网络管理协议（SNMP）来实现信息获取，这种方法优点在于需要的设备及人员较少，能够获得流量的相互关系。

2.2 基于数据包的分析

对数据包的分析一般可以分为：基于地址、端口的分析，基于特征码的分析以及深度数据包检测。

基于地址、端口的分析是通过识别IP、URL地址或者应用服务的特定端口来检测分类的方法。但是随着网络技术的发展，越来越多的应用不再基于固定的地址、端口，使得这种方法的使用范围不断缩小。

基于特征码的分析是通过检测OSI模型中四层以下的内容中是否含有某些应用服务的特殊标示或使用的特定协议来对数据包进行分类的方法，是一种使用较多的分析方法。

深度数据包检测（DPI）是一种对数据包深入到应用层协议检测分析的方法。它通过逐包分析、模式匹配，并且使用行为模式识别等技术，可以对流量中的具体应用服务实现较为准确的识别，例如鉴别P2P数据应用，虽然它的分析速度较慢而且需要不断的根据新的协议和新的应用来升级后台应用数据库，但仍不失为一种使用较为广泛的方法。

2.3 基于流量行为的分析

目前较为常见的是深度流行为检测（DFI），这是通过对数据流的数据包长度、数据流持续时间、链接状态、网络层传输层信息等参数来对其进行统计分析的检测方法，速度快于深度数据包检测方法，可以分析加密数据流，但仅能对数据进行模糊分类，例如将满足P2P流量模型的应用统一识别为P2P流量，因为一般新型应用都是由某些旧应用发展而来，其流量特征变化较小，所以不需要频繁升级流量模型数据库就可以较为准确的分辨类别。

3、流量控制的常用方法

在对网络流量进行深入分析了解数据构成后，就可以针对性的使用适当的方法来控制网络流量，常用方法有“限”、“封”、“分级”：

(1)限：指对带宽、连接数等设置门限，是流量控制中最常用的方法，一般有基于用户的带宽限制、基于服务的带宽限制、基于时间段的带宽限制以及基于并发连接数的限制等。

(2)封：也就是通过封堵特定应用、行为的IP地址、端口号的连接，来禁止使用的目的。但是随着技术的发展，很多软件可以自动协商通讯端口甚至可以使用80端口，所以在单独使用时效果并不理想。

(3)分级：也就是划分应用服务等级，让关键应用获得最高级优先权，让重要应用获得较高优先权，从而使网络流量有序化。

4、校园网流量控制策略的实施

4.1 流控设备的部署

笔者所在学校是在外网防火墙和骨干网交换机之间部署锐捷ACE2000来实现内网至外网主干线路的流量控制。

ACE2000是锐捷专门针对国内市场定制和优化的流控设备，可以对网络流量、用户上网行为进行深入分析，为用户提供网络应用和流量趋势报表，还运用深度包检测（DPI）和深度流检测（DFI）技术，能够全面识别和控制各种应用，从而有效的检测和防止某些应用对带宽资源的非正常消耗，保证关键应用带宽，保障整体网络应用的服务质量。

4.2 流量分析

通过ACE2000对校园网出口流量监控分析发现在我校校园网内主要是P2P数据流泛滥，导致关键网络应用延时较大、丢包较多。在工作时间以及晚上繁忙时段，P2P下载、P2P应用占据了超过80%的网络带宽，流出流量超过流入流量，在线会话数远大于在线IP数，某些用户数据流量异常。

4.3 管理策略

考虑到校园网需要满足全校师生在日常办公学习、实验教学、网络视频教学以及业余时间休闲娱乐等方面的需求，根据长期流量分析数据，从以下四个方面制定控制策略：

(1)按IP段划分：我校为办公用户、教学用户、学生用户、家属用户，分配了不同的IP段，根据各用户群不同的功能定位来分配带宽。

(2)按时间划分：按节假日、工作日以及每天的高低峰时段分配带宽。

(3)按应用设置优先级别：设定应用服务等级，优先保障关键应用、关键区域的网络资源。

(4)智能分配带宽：在各个参数允许范围内，灵活分配最大带宽，提高网络带宽利用率。

4.4 应用策略后的效果

在出口部署的锐捷ACE2000上应用策略后，出入口的流量下降近一半（如图1），P2P下载、应用等也减少近半（如图2），在线会话数减为原来的0.65%，基于校园网的办公、教学、远程等应用可以流畅使用。(如图1图2)

5、结语

通过对网络流量的分析，结合各个方面的需求，制定了具有针对性的网络策略，初步获得了显著的效果。但是还有不足之处，主要是各类型用户带宽限制值、并发连接数的合适点不容易找，智能带宽分配的各个参数的合适值不容易找。因此需要我们对网络流量进行长期研究、深入分析，不断调整网络管理策略，合理利用网络带宽，满足各种用户、应用的需求，确保网络的通畅，营造一个良好的数字校园。

参考文献

[1]林维锵.中小型校园网流量的控制方法,武汉工程大学学报,2011(4):97-99.

[2]杨祥.流量控制系统原理分析,电子商务,2010(12):50-51.

第2篇

【关键词】 流量分析 netflow/sflow 网络 视频监控

一、现状和问题

油田公司提出“百兆到作业区，十兆到井站”的网络架构，但现在很多井站都实现了百兆接入，同时计算机主干网页实现了广域网双2.5G，核心万兆互联，带宽的快速增加加快了业务数据传送的速度，从公司管理角度出发很多很多应用从井站直接到公司管理部门的核心网络，业务的可靠传输是对网络运维部门提出的新的要求。公司主干网流量组成，对于各个方向的网络流量大小，公司应用系统如视频会议、生产指挥、应急预警、财务系统、OA办公系统、A1A2系统，集团公司的应用系统的流量情况，需要对业务进行深入分析，获取相关流量。二级单位从井站到单位核心，数字化应用系统占有大量的网络链路流量，但管理者不能掌握，具体各类应用系统流量的大小、流向以及各类网络接口流量组成，需要采集网络中各个节点的网络流量，进而对应用系统进行详细的分析，将流量与应用系统进行有效结合，达到应用系统流量的深度分析。

二、流量分析技术应用

2.1流量分析技术

2.1.1基于SNMP

该方法仅能对网络设备端口的整体流量进行分析，可以获得设备端口的实时或者历史的流入/流出带宽、丢包、误包等性能指标，但无法分析具体的用户流量和协议组成。因其具有实现简单、标准统一、接口开放的特点，被业界广泛采用。

2.1.2基于网络探针

该方法的数据抓包、分析和统计等功能一般都在网络“探针”上以硬件方式实现，分析的结果存储在探针的内存或磁盘之中，具体的前端展现依赖与之对应的专门软件。因此具有效率高、可靠性高、高速运行不丢包的特点。

2.1.3基于网络流

相对于会话（Session）而言，流（Flow）具备更细致的标识特征，在传统的 TCP/IP 五元组的基础上增加了一些新的域值，至少包括以下几个字段：源IP地址、目的IP地址、源端口、目的端口、IP层协议类型、ToS服务类型、输入物理端口。以上七个字段可以唯一地确定任意一个数据包属于哪个特定的流，换言之任何一个字段出现了差异都意味着一个新的流产生。sFlow是基于端口的流量分析：按照一定的采样比从特定端口上采集报文，由Agent设备对报文进行分析（包括报文内容、报文转发规则信息等等），并将分析结果以及原始报文通告给Collector进行统一分析（Flow采样）；并且支持周期性统计端口的流量计数以及设备CPU、内存等信息（Counter采样）。sFlow关注的是接口的流量情况、转况以及设备整体运行状况，因此适合于网络异常监控以及网络异常定位，通过Collector可以以报表的方式将情况反应出来，极大的方便了网络管理人员日常巡检维护，保证企业网络的正常稳定运行。

2.2部署方式

利用公司网络监控平台系统，结合交换机及路由器的FLOW流量采集功能，对油田主干网及试点二级单位的网络流量进行采集，其中计算机主干网，主要采集核心交换机8905和核心路由器t1200设备的流量情况，试点二级单位通过核心交换机软件升级，及试点作业区井站的设备替换，采集内网的流量情况。

2.3流量分析

2.3.1主干网流量分析

通过对流量采集和分析技术进行研究搭建流量分析系统，实现对主要生产办公业务流量分析，重要应用性能追踪。并开展油田计算机终端应用的自动化监控。具体研究内容主要包括一下几点：

通过s-flow、netflow等技术搭建流量分析系统，对区域中心出口、生产指挥中心、应急预警中心、公司视频会议系统及苏里格大厦数信部等重要业务和部门实现业务流量集中统计分析；

通过定制业务模型对主要生产办公流量进行全面分析，包括：视频会议，办公OA系统，生产网中的三端二系统等网络业务；

平均流入速率：450～465Mbps，平均流出速率：30～40Mbps，应用构成为：上网占77%，未知应用占13%，HTTP应用占2%。

2.3.2生产指挥流量分析

公司生产指挥系统流量很小，基本没有流入流量，只有流出流量，平均流出速率为1.08Mbps，平均流出速率波动较大，HTTP应用为主包含codasrv和raventbs等生产系统流量。

三、总结

系统采用Netflow及Sflow方式提取流量，系统旁路部署，对网络无影响，被采集系统只需要支持标准FLOW协议即可，流量采集设备只需与流量分析系统路由可达，即可实现所需网络流量数据的采集，采集颗粒度可自由选择，系统支持多台设备流量数据的同时采集，可以实现流量数据的灵活组合

第3篇

【关键词】网络流量监控；C#；SNMP协议；网络数据

0.引言

空管信息网络承担着包括OA系统、共享服务以及相关业务系统在内的重要网络业务，提供信息化的同时，给技术保障维护人员带来一定的保障压力。根据相关工作经验及实际实验数据，网络设备端口流量异常是导致故障发生的重要原因，因此，对于网络流量的监控显得更加重要。随着空管信息化要求的逐日提高，网络规模也日益变大，对于网络流量监控的工作也更加繁重。本文从空管网络流量监控的实际情况出发，提出一种基于C#的网络流量监控，能够实现对网络数据进行获取、流量记录与分析。系统在实际运行中效果良好，可以为相关网络监控设计提供一种可行的借鉴。

1.总体设计

SNMP即网络管理协议（Simple Network Management），在TCP/IP协议族中可以对网络进行管理，这种管理既可以是本地的也可以是远程的。而基于SNMP网络协议的本系统，可以实现对网络数据的获取与实时监控的功能，实现上具有通用、实时、多线程、维护性强及扩展性强的特点。实现在数据链路层和网络层上任意节点的数据获取。加之记录功能的辅助，系统能实现在应用层的数据回放，以满足空管安全事件调查以及系统维护对历史工作状况的评估。

SNMP协议中，一个网管基站可以实现对所有支持SNMP协议的网络设备的监控（随着网络技术的发展，目前绝大部分网络设备是可支持的），包括监视网络状态、修改网络配置、接收网络事件告警等等网络监控功能。在实现上主要包括远程文件访问、流量数据记录、流量监视以及系统的IP定位。其中流量监视是系统实现的核心，将在下一部分进行介绍。另外，系统还提供了日志文件记录实现对系统操作、监控数据以及告警信息的记录。

2.C#的实现

对于系统的C#实现，主要采用的C/S模式，因此在系统的实现上尽量简单、快捷、高效为主。因此自定义相关函数与类，在记录数据和日志方面采用文本文件记录。

2.1网络监控类与网络适配类的设计

为了提高系统的模块化程度及软件的封装性，系统在实现过程中定义了两个主要的类。分别是用于网络监控的NetWorkMonitorClass以及网络适配类NetWorkMatch，网络监控类主要实现系统的网络监控功能，而网络适配类则提供了一个安装在计算机上的网络适配器，该类可用于获取网络中的流量。两者功能及结构如下：

在实际工作中网络监控类NetWorkMonitorClass通过定义一个Timer计时器进行计时器时间执行，以每隔2S刷新适配器，并与此同时刷新上传下载速度。与此同时通过ArryList列表定义了所监控设备的适配器以及当前控制的适配器。在构造函数NetWorkMonitorClass（）中则通过，定义两个ArrayList（），其中一个（adapterlist）来保存获取到的计算机的适配器列表，一个（monitoradapters）代表有效的运行的适配器列表。

NetAdapterShow （）；

Timer = new System.Timers.Timer（2000）；

Timer.Elapsed += new ElapsedEventHandler（timer_ElapsedClick）；

其中，NetAdapterShow （）为列举出安装在该计算机上面的适配器，具体实现可以通过C#的foreach（）语句进行编写如下：

PerformanceCounterCategoryPCCCategory=new PerformanceCounterCategory（"Network Interface"）；

foreach （string InstanceName in PCCCategory.GetInstanceNames（））

{

if （InstanceName == "MS TCP Loopback interface"）

continue；

// 创建一个实例Net workAdapter类别，并创建性能计数器它

MyNetWorkMatchClassmyMNWMadapter=new MyNetWorkMatch

Class（InstanceName）；myMNWMadapter.m_Performance_Down=new PerformanceCounter（"Network Interface"， "Bytes Received/sec"， InstanceName）；

myMNWMadapter.m_Performance_Up=newPerformanceCounter（"Network Interface"， "Bytes Sent/sec"， InstanceName）；

m_AdaptersList.Add（myMNWMadapter）；

}

当然，在类中也定义了StartWorking以及StopWorking等控制函数对类的工作状态进行控制。另外timer事件也通过构造函数进行加入，如上所述。

网络适配类NetWorkMatch则主要计算网络的各种数据，如计算上传速度、下载速度、控制适配器等函数的封装，减少网络监控类的功能耦合度。

2.2具体实现

在窗体加载函数中，系统首先做自我初始化如下：首先定义上述设计的网络监控类，并实例化monitor = new NetWorkMonitorClass（）；与此同时通过类函数遍历获取所有计算机适配列表，m_MNWMadapters = monitor.Adapters； ，Adapters（）为网络监控类封装好的函数。并将函数返回结果通过Items.AddRange（）函数将其显示在listbox控件中，以实现友好的人机交互界面。其次，在timer定时器中对选中监控的适配器进行独立监控。至此，系统实现了独立监控与全面监控的所有设计。

3.结语

本文提出一种基于SNMP协议分析的网络监控系统，该系统应用于空管信息网络。在实现过程，主要采用C#进行开发，通过编写自我的网络监控类和网络适配类进行网络数据的流量监控，可以推广应用于信息网络维护工作较为繁重的行业，提供一种智能网络流量监控手段。

【参考文献】

[1]宫婧，孙知信，陈二运.一种基于流量行为分析的P2P流媒体识别方法[J].计算机技术与发展，2009（09）.

[2]王珊，陈松，周明天.网络流量分析系统的设计与实现[J].计算机工程与应用，2009（10）.

第4篇

关键词：网络技术 网络设备 网络性能 网络配置

中图分类号：TP393.0 文献标识码：A 文章编号：1007-9416（2013）07-0071-01

1 引言

网络性能从20世纪80年代逐渐受到重视。网络测量研究大致可划分为三部分，端到端性能测量、路由/路由器相关测量、应用层测量。

2 网络性能测量方法

网络性能测量作为分析网络行为、了解网络状况和定位网络故障的有效手段，需要服务于各种不同目的的测量要求，根据获取数据的方式和技术特征不同可以归分为两类：被动测量和主动测量。

2.1 主动测量

主动测量是利用测量工具，有目的地主动产生测量流量，并再次注入网络。主动测量的优点是对测量过程可控性比较高、灵活、机动，易于进行端到端的性能测量；缺点是注入的测量流量会改变网络本身的运行情况，使得测量的结果与实际情况存偏差，并且测量流量还会增加网络负担。主动测量在性能参数的测量中应用十分广泛，目前大多数测量系统都涉及到主动测量。主动测量需要发出测量数据包，通过测量数据包在网络中的处理和响应结果获知网络的流量状态信息。

2.2 被动测量

被动测量是指在链路或设备（如路由器，防火墙、交换机等）上对网络进行监测，观察和记录的分组，不注入流量测量方法。被动测量的优点在于理论上它不产生多余流量，不会增加网络负担；其缺点在于被动测量基本上是基于对单个设备监测，很难对网络端到端的性能进行分析，并且可能实时采集的数据量过大，被动测量非常适合用来进行流量测量。被动测量在网络中的某点收集流量信息，如使用路由器或交换机收集数据或者一个独立的设备被动地监测网络链路流量，它可以完全取消附加流量和Heisenberg效应。网络流量是采用大小不一的报文传送，收集到的数据可以进行各种流量分析。

3 延时的测量分析

目前能够进行双向延时测量的工具很多，常见的测试工具有scantools、NetMedic、Internet Anywhere Toolkit等，其中典型延时应用“Ping”命令。Ping是基于ICMP请求应答的应用软件，Ping发送ICMP的请求回应数据，当接收方收到该报文后，会返回一个回应数据，这样发送方收到反馈数据后就可以计算出网络的传输延时。设在局域网内，通过改变数据包大小对网内核心交换机进行拨打测试，包的大小从100B字节增至1000B字节，增长步长设为100B字节，每次测试32个包，若网络比较忙，也可以采用128个数据包进行统计。

4 流量的测量分析

从网络体系架构来说，网络流量是一切研究的基础。所有的网络应用和网络本身的行为特点，都可以通过对网络流量测量数据的分析来获得。目前，流量测量分析模式基本上有三种：一种是专门使用一台计算机在网络中侦听，另一种方法是直接从网络对象获取数据。网络流量可以反映网络性能的好坏，如果网络所接受的流量超过它实际的运载能力，就会引起网络性能大幅下降。为了使网络性能得到进一步的改善，必须得对网络流量进行测量。并根据最终分析结果，对网络流量实施有效的控制，改进和优化网络性能。通过观察一周流量变化情况，得出一周中相邻的各天流量的大小和变化具有明显的自相似性，当高峰期出现拥塞现象时，可采取适当限制措施，如限制端口速度，或对P2P应用限速等，常用的办法是限制每个交换机端口的速率，分时段控制或者总流量限制。

5 网络优化

网络优化是指根据对网络性能测量数据的分析，找出影响网络性能的因素，通过采取技术手段，从而使网络达到最佳状态，使网络资源获得最佳使用效率。在进行网络优化时，应结合网络的实际状况，利用已有网络设备支持的相关协议和标准。

5.1 网络结构的优化

在优化过程中应尽量减少节点汇聚，将汇聚层直接设置内部，原先的节点可扩展为新汇聚，从核心到汇聚都采用直接逻辑连接，不再设置中间有源节点。采用以高速路由交换机为核心，多层交换机作为汇聚层，可管理换机作为接入层的网络设计。重要骨干设备采用双线路连接到核心设备上，核心层至汇聚层交换机也采用双千兆光纤做链路聚合（Trunking）的冗余组网方案，在加大带宽的同时冗余了骨干链路，然后根据链路的长短来确定使用光纤链路，还是使用双绞线从汇聚层交换机联到接入层交换机，并且接入层设备采用线路捆绑连接到汇聚层。

5.2 网络应用优化

在网络应用优化前，先对内网所有终端全面杀毒，检测各种扫描、蠕虫和Ddos的攻击。

（1）利用QoS优化技术，按照不同网络设备上不同网络应用进行网络带宽的分配，通过分类确定流量优先权，并对较高的优先权提供最好的性能服务。由于学校办公网段是校园网的一个重要服务对象，必须首先保证其服务质量。（2）通过交换机管理设置，利用VLAN技术，将不同位置上的交换机和IP地址管理集中在某个管理网段，把网络划分为若干子网，对访问管理网段的流量进行限制。（3）利用组播优化技术，在校园网中的远程教学网站上动态的直播课堂、VOD和网络电视等均采用组播技术，在网络上建立一个视频服务器，点击视频等即可观看。

6 结语

通过优化，数据传输成功率得到提升，当发包和收包的数相同时，响应时间明显降低。经过优化以后，对教学应用中比较广泛的网页和视频等进行重新测量，应用效果明显得到改善。

参考文献

[1]王海涛，付鹰.网络测量方法和关键技术[J].电信工程技术与标准化，2010年07期.

[2]蒋序平，陈鸣，赵金.网络测量系统研究中亟待解决的若干问题[J].电信科学.2003年08期.

第5篇

关键词：校园网 网络流量 SNMP Cacti

中图分类号：TP3 文献标识码：A 文章编号：1672-3791（2013）03（a）-0029-01

随着校园网的发展，网络管理已成为数字校园信息化建设中的重要一环，作为网络管理和维护人员首要任务就是随时了解网络的运行状况，对网络的运行状况进行流量监控和流量分析，是整个网络合理化的重要环节，它能在最短的时间内发现安全威胁，在第一时间进行分析，通过流量分析来确定异常并发出预警，快速采取相应措施[1]。因此，为了更好地管理校园网络，需引进专业的的网络监测软件cacti，对校园网络进行实时监控。

1 Cacti架构及功能

Cacti架构Cacti系统由五个部分组成，如图1所示。

包括数据定时采集、图像绘画与显示、树状的主机和图像管理、RRDTool信息管理、用户和权限管理和模板导入导出。定时采集数据：Cacti会定时运行，使用“snmpget”命令或脚本执行的方式进行数据的采集；存储数据：使用RRDTool的“update”命令将采集到的数据储存到rrd文件中；用户查看某台设备的流量：在Cacti的PHP页面上点击该设备，Cacti在数据库中寻找该设备对应的rrd文件名称。Cacti运行命令让RRDTool进行绘图。

2 Cacti在网络流量监控的应用

Cacti是一种开源式监控软件，它是通过SNMP抓取所监控的数据，把相关数据存储到RRDtool绘画引擎中，分布式的管理模式使得Cacti能够同时监控各个节点的数据信息。下面以学生区域的网络流量监控图，分析研究Cacti在网络流量监控的作用。

从图1中我们可以看出，每天上午的流量波动在7∶00左右被检测到，学生白天上网高峰出现在10：00～14：00左右，从8：00～23：30网络流量呈现一种上升的趋势，21：30～23：00左右达到最高值。这与我们学校的作息时间有关。学校每天早上7∶00来网，8：00上课。10：00一、二节课下课，部分同学回宿舍上网，至下午14：30上课期间，达到一个上网小高峰，下午18：00左右至23：00左右上是上网的高峰时期，23：00至次日7点监测到的流量几乎为零，是因为学校为了不影响学生休息和第二天的学习，每天23：00准时断网，Cacti的监测图准确地反映了实际网络状况。

从图3我们看出每周流入流出的大体趋势相差不大，总体的流量走势处于正常。从每天的流量波动趋势大体相差不大。周五至周日流量比平时稍多，反映了休息日学生上网人数增加，是学生利用休息日来放松自己，上上网，听听音乐，玩玩游戏等。但是，周四的下午6：00左右出现过短时间的断网事故，我们可以清晰地观测到在Cacti监控图上，周四中间地段出现流量异常剧降为零，然后迅速恢复的过程。正是由于Cacti的直观性，分布式管理的优势使得我们能够迅速的找到问题所在，快速使网络恢复正常。

通过以上实时监测表明，Cacti能够很直观的反应出流量的分布情况，可以很直观的发现异常的流量波动，进而对于网络故障做出快速反应，及时排除，恢复网络正常。是校园网有效管理和监测的重要手段之一。

3 结论

校园网络的流量监控是网络管理中的重要内容，Cacti对网络监控提供了一个直观可行的方案，我们通过它非常迅速的了解网络各个部分的流量情况，第一时间发现网络中的异常流量，及时发现黑客和病毒的攻击，并能根据各网络设备端口的使用情况对网络进行合理划分，大大提高网络的安全和运行效率，同时该系统实现了网络状态的图像化显示、故障报警、监测数据存储、温度湿度传感器信息采集等功能。使用该软件进行网络管理具有通用性高，通知及时，成本低，直观；非常适合校园网使用。

参考文献

第6篇

【关键词】IP城域网 流量预测 流量模型

1 引言

IP城域网提供高速数据及多媒体业务，用于接入用户和发展增值业务。随着每年网络流量的迅速增长，为了有效提高网络利用率，减少不必要的带宽扩容，优化网络建设已成为运营商急需解决的问题，而网优分析的关键是流量预测。

2 IP城域网流量分析

IP城域网采用3层组网结构，在比较大的网络规模中，任何一条上行链路出现拥塞，都会影响其下游用户的正常上网。统计分析IP城域网的链路带宽利用率，必须要覆盖到网络的各个层次，从中找出瓶颈点，进行扩容和优化。

2.1 IP城域网网络结构

IP城域网的网络结构按组网功能分为：核心层、业务控制层、二层汇聚层。

核心层的路由器负责城域网数据出口的高速转发，同时负责与骨干网的互联。为保证网络的安全性采用双上联、负载分担的方式，即双星型拓扑结构，具体如图1所示。

业务控制层为用户PPPOE接入、VoIP、IPTV等业务提供统一的终端/用户管理平台和业务控制平台，是业务提供、管理、计费和控制的关键点。并关注对业务QoS的控制，主要包括两大核心网元：宽带接入服务器BRAS、业务路由器SR。

接入汇聚层主要负责二层接入网业务的汇聚。

2.2 IP城域网流量特征

由于产生网络流量的用户受到各种因素的影响，其上网的集中时间段行为具有一定的规律性，了解流量的特性对掌握流量预测本质、提高流量预测精度有重要的意义。同时大容量网络本身就是属于非线性系统，因此产生的网络流量具有一定的规律性、突发性和偶然性。如图2所示，据统计晚上7点至10点为人们集中上网的时间，宽带流量峰值一般出现在这个时段。

3 流量预测模型

3.1 预测的思路和方法

流量预测是根据统计到的流量历史数据，建立恰当的数学模型对未来的流量进行预测。运用定性和定量分析相结合的方法，充分考虑经济发展水平、行业竞争和国家政策等诸多因素，对中长期宽带市场发展规模和速度进行预测。流量预测的基数是用户数。用户预测基于电信业务预测方法，首先分析业务发展现状，通过统计方法建立一定的数学模型，探讨业务发展的规律并结合定性分析，确定规划期内的总用户规模、分业务用户数规模；根据各类用户的业务特点分别测算宽带业务、WLAN、移动核心网、IDC等数据流量，最后汇总为本期总流量，具体如图3所示：

3.2 流量预测模型法

IP城域网的流量测算通常采用流量模型法。其中一类业务的网络流量可按公式（1）计算：

用户网络流量=用户数×忙时用户集中系数×某类业务每用户平均接入带宽×用户平均带宽占用率×出城域网流量比例 （1）

其中：

忙时用户集中系数：指一天内最忙的1小时内在线用户占总出账用户的比例，一般应参照忙时的在线用户数比例数据；

某类业务每用户平均接入带宽：指某类业务用户平均的接入速率，如4M、6M、8M、20M用户的加权平均值；

用户平均带宽占用率：指忙时用户对带宽使用率，该数据应参照现网忙时在线用户户均流量除以户均接入带宽；

出城域网流量比例：简化测算80%为出口流量。

（1）参数取定

忙时用户集中系数

某链路流量在一天中的分布如图4所示，横轴表示时间，竖轴表示流量，可以看出晚上21点到22点IP流量达到峰值，为一天中的最忙时。这个时间段内这条链路所在BRAS的最大并发用户数与当月出账用户数平均值的比例即为该系数。

每用户平均接入带宽

统计各地市不同接入带宽类型（2M、4M、6M、8M、10M 、20M）的用户数量，可用公式（2）表示如下：

每用户平均接入带宽=（2M带宽的用户数×2+4M带宽的用户数×4+……）/某地市的总用户数 （2）

再结合预测期带宽提速计算不同接入带宽类型（2M、4M、6M、8M、10M 、20M）的用户数量变化，再次代入上面公式（2）中算出预测期的每用户平均接入带宽。

用户平均带宽占用率可用公式（3）表示如下：

用户平均带宽占用率=忙时在线用户户均流量/户均接入带宽=（出口峰值流量/在线用户总数）/户均接入带宽 （3）

其中，在线用户总数用最大并发用户总数近似估计。

忙时在线用户户均流量

为估算城域网各层面设备带宽需求，有必要确定宽带用户的平均流量值。此数值反映了开通宽带业务的大量用户整体产生流量的统计平均值，便于根据城域网内宽带用户数对网络流量需求进行估算，具体如公式（4）所示：

忙时在线用户户均流量=每用户平均接入带宽×用户平均带宽占用率 （4）

（2）出口流量预测模型

出口流量=（宽带用户流量+互联网专线业务流量+IPTV业务流量+WLAN业务流量+移动核心网业务流量+ IDC业务流量等）×城域网出口流量占比 （5）

其中：

宽带用户流量=忙时用户集中系数×每用户平均接入带宽×用户平均带宽占用率×预测宽带用户数

（6）

互联网专线业务流量=平均配置带宽×忙时平均带宽占用率×预测专线用户数 （7）

移动互联网业务流量：核心网PS域接入城域网的预测流量；

第7篇

关键词：校园网 流量控制策略 学院办公和教学

中图分类号：TN915 文献标识码：A 文章编号：1007-9416(2012)02-0204-01

1、目前，在校园网络流量存在的问题

基于笔者学院的情况，学院内部主要分为学生宿舍网络和办公教学网络，学生宿舍通过口令密码收费方式上网，办公教学网络按楼层通过VLAN划分IP地址，楼层VLAN之间通过第三层交换机配置路由通信。在刚开始几年，网络负载与速度都能得到满足和控制，但随着基于HTTP流媒体的视频的普及与发展，网络负载出现难以为继的现象，为了缓解因此带来的带宽需求，学院改善网络用光纤接入，并提高了整体带宽，但紧接而来的P2P技术的使用，又让学院网络陷入了带宽入不敷出的境地，作为现在最大的网络带宽占用对象，P2P是指网络进行点对点方式交流，每台点对点计算机即是彼此的客户机又是彼此的服务器，大量的带宽在其中无限制，不限时的使用，比如像迅雷、网际快车等下载工作，只需找到对应资源的网络路径，可以开启多个进程同时下载，而且这种下载是全力长期的查找、定位、对接资源，最大限量的占用带宽，这个过程用户离开或者做其他事都可以。其次，SMTP/POP3也走进了校园网络流量的消耗大户，据统计，由于电子邮件的廉价与便捷，导致现在网络中的电子邮件泛滥，除正常的通信邮件外，其中包含有大量的垃圾邮件，比如强制订阅的一些广告邮件，病毒邮件、非法资料宣传邮件，使得几乎每天有十数亿封电子邮件在互联网传递。而对于随着P2P技术的使用越来越广泛，文件传输服务的FTP的作用虽然大幅度降低，但作为互联网文件传输的始祖，FTP的使用频率还是比较高的，其重要性仅次于HTTP和SMTP，是有不可代替的重要应用和意义在里面的。

2、常见流量识别方法与技术

2.1 针对网络带宽消耗大户P2P的DPI技术

Deep Packet Inspection简称DPI技术，中文意思是深度报文检测。由于传统的检测技术获得的业务应用信息很少，只是包括协议号、源/目的IP地址、底层的连接状态、源/目的传输层端口号等这些存放于数据包当中网络层和传输层的基本信息，而这些检测出的参数对现行的P2P（点对点）和VOIP（网络语音）、IPTV（网络电视）等已经不再适用和满足检测管理的需要了。DPI作为一种先进的包检测技术，不仅仅能够识别P2P，还能够检测上述的VOIP、IPTV和在线游戏、流量封装协议、流媒体以及在线游戏等大部分主流应用协议、流控设备。

对P2P应用进行判定如果仅仅通过端口对其进行判断是不足的，因为通常P2P是技术常盗用一些常用的协议端口或者使用端口跳变技术来传输数据，因此进行P2P应用样本查找时不能疏忽大意，要使用第7层协议对网络中所有的数据进行探测，那样不管它使用的是那个端口话都逃部出检测；而要检测P2P可以检测其某种特征的应用识别，要检测一种应用识别有时要检测它是否匹配多个代码样本的特征，而这些样本特征的取得可以通过对传输协议的载荷部分进行检查，即让所有的数据包在应用层进行检查的复杂的第7层识别技术来实现。

当网络中使用P2P时，就相当于产生了一个新的会话，那么其会话的一个唯一的协议签名如果能被找到并且和已知的协议代码样本匹配，就当表我们对P2P的检测初步成功，因为P2P一般不会只是单一的连接和会话，这需要我们能够聪多个会话中提出信息并关联相关代码样本，如果匹配的则是P2P的连接。而此方法的实现基础是因为第7层的协议代码样本能够进行会话标记的请求并且标识好会话中所有的数据包。只要能够识别好第7层的数据流，那么对P2P的判断和控制都是很简单的了。

2.2 DFI技术

Deep Flow Inspection 是DFI的简称，中文翻译是深度流行为检测，其也是一种典型的业务识别技术。针对于DPI技术的升级频繁、加密流量识别难、执行效率不高等问题，DFI的出现更符合用户的要求，其获取业务类型、业务状态的方法是通过对网络层和传输层信息、平均流速率、网络流量的状态、字节长度分布、业务流持续时间等参数的统计分析来获得，如此DFI技术不用网络流量深度报文检测，而更关注于网络流量特征的通用性。

3、流量控制

在流量控制方式上，LotWan流量管理系统（行为特征检测技术）虽然仍有部分网络流量不能做到精确识别，但还是能让校园流量上下行基本实现均衡，而Panabit流控系统（报文特征字检测技术）主要是对视频点播、多进程下载的P2P技术进行抑制，并且能够很好的对网络的上行流量进行更好的控制。

具体实现上，笔者对校园网内部流量控制理论、控制机制进行了一定的研究，并结合工作实际，分析了我院校园网流量产生的因素及控制方面存在的一些问题，针对我院自身特点，提出了一套适用的流量控制方法。譬如，为了减轻核心设备的负载，我们对应的制定了多层次的流量控制策略，在各楼栋普遍使用了流量控制服务器或其它简单的流量控制设备，将每个单独的IP都进行了初步的流量限制，在核心流控设备上再对这些已经初步处理过的数据进行具体的类别鉴定及策略匹配，解决了核心设备负载过大的问题，合理的分配了流量资源；根据各部门对不同应用的需求，通过多次数据研究、对比测试，对各通道不同的应用，制定了不同的流量限值，保障了类似HTTP、多媒体教学等应用的开展，使得整个校区的流量结构得以优化配置。

4、结语

一味扩充带宽解决不了日益发展的网络流量，繁杂的过滤设备和手段又影响网络的通过效率，所有现在对网络流量控制没有一个最好的，完美的解决方案，只有依据不同的网络环境、应用系统、安全需求等，找出适合自己的均衡方式，抓住重点，舍弃末枝，日益完善，才能让创造一个有序的校园网络环境，让流量问题得到合适的解决。

参考文献

[1]陈亚辉.网络流量管理[J].邮电设计技术,2009,5.

第8篇

关键词：流量识别；流量控制；流量管理

1 前言

随着互联网的迅猛发展，网络平台应用越来越广泛，网络办公已成为单位日常办公的重要组成部分。对于一般性的办公资源网（非设密性网络）来说，承载的单位的OA系统、邮件系统、财务系统等办公应用系统，通过这些应用来完成单位的标准化工作。与此同时在网络中还运行着网络电话、网络视频、网络游戏等对网络实时性有较高要求的应用，出现了P2P（Peer to Peer）下载等对网络带宽抢占能力极强的应用，而这些应用通常是与日常办公无关的，将办公资源网的带宽消耗掉，从而无法保证网络用户关键业务的服务质量。

因此通过适当的流量控制技术，针对不同的网络业务应用制定出相应的策略，保障关键应用流畅运行的同时，解决带宽增长与业务收益、网络扩容与用户体验之间的矛盾。

2 一般性办公资源网络出口流量分析

通过对若干个未做任何流量控制的办公资源网的出口带宽进行监测，发现如下情况：p2p应用流量占出口流量65%、Internet占出口流量10%、IM即时通信占出口量流量5%、其他TCP/UDP协议占出口流量10%、流媒体占出口流量10%。

通过对上述网络流量的详细分析，这些网络出口流量具有如下特点：

2.1 关键业务的运行质量无法保障

基于WEB的OA及邮件系统是办公资源网用户的关键应用之一，由于P2P应用大量抢占带宽资源，导致用户无法及时同过OA和邮件系统收发信息，正常的办公流程被中断，帮工效率下降。另外单位的视频会议系统对网络质量要求较高，传输过程中任何一个环节出现瓶颈，都会影响视频会议的服务质量。

2.2 P2P应用消耗大量带宽

P2P应用依靠对等网络技术传输数据，让所有的客户端都能提供资源。比如P2P下载软件在下载文件的同时会将本机作为一台种子资源，也就是说即使完成了文件下载，这台主机仍然在占用网络带宽向外传输数据，网络带宽就这样被悄悄地消耗着。

3 网络流量识别

为了对办公资源网中的流量进行控制，需要能够识别网络流量中存在哪些应用。一般我们可以通过IP包头的“五元组”信息来确定流量的基本信息。但是随着网络技术的发展，许多网络应用已采用随机端口、甚至采用加密传输，因此基于四层的流量识别技术无法准确识别出应用。目前常用的流量识别技术大致有如下三类：

⑴基于应用层签名的流量识别技术，通过对获得的数据包进行解析和还原协议，进行特征字符串匹配，实现应用级分类，借助于特征字符串的精确匹配，所以识别精度较高，可以为实施流量监控策略提供准确的信息。但是随着应用开始采用有效载荷加密技术，使得应用层签名特征的提取陷入困境。

⑵基于流量特征的应用流量识别技术，利用应用的流量特征，不需要解析和还原协议，也不需要分析具体的有效载荷，因此能够识别未知的和加密的流量，同时算法的性能较高。

⑶基于双重特征的应用流量识别技术，它首先对流量进行基于优先权的应用层签名特征匹配，然后用会话行为映射对第一步未识别出的流量进行相应的判别。

4 网络流量控制管理技术在办公资源网中的应用

通过网络流量识别技术将网络流量划分成不同的应用类型，从而可以采用QoS控制方法。根据不用的应用策略对数据包进行转发，为不同的应用提供不同的服务质量。目前有两种主流的流量管理技术，TCP滑动窗口整形和队列缓存。TCP协议使用一种滑动窗口的机制来控制数据包的传输，接收方主动通知对方它能接收多少数据量，让远端（发送方）主动降速，而非通过本地丢包实现降速，能够避免产生大量的重传数据包。但是TCP滑动窗口整形技术无法控制UDP报文。另外一种队列缓存技术，其核心理念是建立很多管道（pipe），不同类型的流量对应不同的管道，通过调整不同管道值的大小，让各种流量有序的通过。因此，就流量管理技术来说，能够将TCP滑动窗口整形技术和队列缓存相结合，是比较完善的解决方案，无论什么样的流量环境中，都可以取得良好的控制精度。

根据我们对若干个办公资源网出口流量的分析，我们针对不同的应用对网络流量进行分类，依据不同的办公需求制定出相应的策略，建议将策略制定如下：⑴保障OA、邮件等办公系统，将这些数据设定高优先级，为其保障40%的出口带宽。⑵WEB应用作为用户对网速体验最直接的应用，将以为其保障30%的出口带宽。⑶对P2P应用进行分类限制，封掉某些不常用的P2P下载及视频软件，保留一些常用的P2P软件，并对这些P2P软件实行流量限制，使其在办公时段流量不超过总带宽的30%、P2P的session不超过总session的10%，在非办公时间则放开对P2P应用的限制，使带宽得到充分利用。