網(wǎng)絡數(shù)據(jù)監(jiān)控及管理是如何實現(xiàn)

1概 述

隨著信息技術和網(wǎng)絡應用以幾何性和爆炸性的速度急劇發(fā)展，如何在新經(jīng)濟格局中尋找和建立新的市場定位，改造和完善價值鏈，提升競爭實力，確保并不斷提高市場份額，成為眾多行業(yè)和企業(yè)所面臨的嚴峻課題．

為了保護電信級運營商的利益最大化，本文提出了一套符合電信級網(wǎng)絡應用的網(wǎng)關設備的設計方案，該QoS設備可以對網(wǎng)關上行發(fā)送流量中的視頻及語音信息進行流量的整形，而下行方向的流量直接透傳，從而達到了將網(wǎng)絡數(shù)據(jù)報文進行緩沖和對敏感數(shù)據(jù)進行控制的功能。

本系統(tǒng)是作為網(wǎng)絡系統(tǒng)數(shù)據(jù)及流量的監(jiān)控管理的網(wǎng)關設備，具有一個千兆/百兆接口，接收網(wǎng)絡環(huán)境的上行數(shù)據(jù)，系統(tǒng)對這些上行的網(wǎng)絡數(shù)據(jù)進行分析，流量統(tǒng)計等工作。一個百兆管理控制接口，用戶使用該接口進行遠程的管理和控制，定制系統(tǒng)的監(jiān)控行為及各種運行參數(shù)，系統(tǒng)同時通過該接口輸出匯總數(shù)據(jù)。原理如圖1所示。

該設備的千兆接口監(jiān)聽網(wǎng)絡拓樸中網(wǎng)關出口處的數(shù)據(jù)，例如可以將交換機的報文鏡像到一千兆接口，再接入到Monitor設備的千兆接口。

2 總體設計

2.1系統(tǒng)描述

該系統(tǒng)是一套網(wǎng)絡運行信息的監(jiān)控、分析、管理的網(wǎng)絡管理服務系統(tǒng)。統(tǒng)計網(wǎng)絡環(huán)境中各種應用及協(xié)議的運行數(shù)據(jù)的統(tǒng)計信息；詳細跟蹤分析特定的協(xié)議或應用報文，智能的追蹤特定的網(wǎng)絡服務的運行情況，例如Voip服務的使用頻率，服務使用者的地址范圍，使用時間等屬性。

用戶通過Web頁面進行遠端控制，可以設置各項功能參數(shù)，查詢系統(tǒng)的運行狀況，查看詳細的數(shù)據(jù)統(tǒng)計報表。

具有部分IDS安全監(jiān)控防范功能，分析并記錄有關的涉及到安全的網(wǎng)絡敏感操作，如網(wǎng)絡非法訪問、碎片攻擊、DDOS攻擊等。提供安全服務的接口，無縫的接入到網(wǎng)絡

安全系統(tǒng)中，如可與防火墻及IDS進行聯(lián)動，作為網(wǎng)絡安全的一個輔助設備。

2．2 總體設計說明

系統(tǒng)實現(xiàn)的基礎是需要高性能的網(wǎng)絡包過濾及分析，目前實現(xiàn)該功能有兩種方案：

（1）改造基于BPF的包過濾驅動，但由于他的原理是通過兩次的分組拷貝，應用分析的數(shù)據(jù)是在應用層的分組，所以造成了處理速度緩慢，采用該架構要改善原有實

現(xiàn)中的性能瓶頸。

（2）更改現(xiàn)有的網(wǎng)卡驅動，增加分組報文的過濾和協(xié)議分析模塊，提供保存分組緩存的方法，為應用操作緩存提供安全的調用接口，使應用能夠直接訪問內(nèi)核緩存區(qū)中的報文，以此提高系統(tǒng)的處理能力和系統(tǒng)的處理帶寬。

2．3 系統(tǒng)結構和處理流程

2．3．1 系統(tǒng)結構

系統(tǒng)主要包括的模塊：

網(wǎng)絡偵聽；流量統(tǒng)計；報文過濾；數(shù)據(jù)監(jiān)控；管理控制；匯總數(shù)據(jù)；安全接口；分組接收發(fā)送。

系統(tǒng)結構圖如圖2所示。

2．3．2 處理流程

分組過濾引擎：

（1）基于千兆網(wǎng)卡Driver驅動程序的引擎，根據(jù)用戶定制的分析規(guī)則，對分組進行協(xié)議分析，以統(tǒng)計網(wǎng)絡的流量，分析處理過程不進行深層次的報文內(nèi)容分析和匹配操

作，分析后的數(shù)據(jù)記錄到流量統(tǒng)計數(shù)據(jù)變量中。

（2）根據(jù)控制代理的設置，對分組進行篩選過濾，符合條件的分組被送入內(nèi)核中的環(huán)形緩存隊列中，系統(tǒng)可支持多個隊列，緩沖區(qū)的最大值限制為64M，如超過該限制，后續(xù)需插入隊列的分組被丟棄。

（3）在用戶層，以多進程（線程）方式運行分組監(jiān)控和分析的任務，通過一虛擬的驅動系統(tǒng)調用，與網(wǎng)絡驅動共享內(nèi)核中緩沖區(qū)中的分組過濾報文。

（4）監(jiān)控及分析的結果提交給數(shù)據(jù)匯總的任務，由他將結果記錄到數(shù)據(jù)庫中。

（5）遠程管理通過調度任務控制底層的分組過濾及分析動作；當統(tǒng)計數(shù)據(jù)庫中發(fā)現(xiàn)有一定量異常的非法分組記錄時，啟動安全接口進行提醒網(wǎng)管員或與防火墻等安全設

備進行互動。

（6）用戶通過遠程Web頁面查看統(tǒng)計數(shù)據(jù)庫中的匯總報表。

（7）任務調度記錄每次操作的日志。

（8）業(yè)務分析及追蹤模塊基于統(tǒng)計數(shù)據(jù)庫中的數(shù)據(jù)記

錄，分析各種服務的使用情況，使用者的網(wǎng)絡范圍，時間等。

3接口設計

（1）用戶接口

提供友好的Web頁面遠程控制、管理及詳細可定制的匯總報表，用戶還可通過串口進行管理。

（2）硬件接口 包括一個百兆自適應電口，一個千兆自適應電口或光口，一個串口。

4屬性設計

（1）可靠性

能夠達到百兆以上的線速處理能力，低誤報及錯報處理延時等性能參數(shù)待定。

（2）安全性

包括冗余電源，系統(tǒng)的自身安全的加固。

5開發(fā)環(huán)境

（1）硬件環(huán)境

采用XEON處理器，服務器主板。

（2）軟件環(huán)境

基于FreeBSD的操作系統(tǒng)，采用Intel千兆網(wǎng)卡驅動

程序。

6結 語

根據(jù)市場需求，本文探討了網(wǎng)絡數(shù)據(jù)監(jiān)控及管理涉及的一些最新技術，提出了一套符合電信級網(wǎng)絡應用的網(wǎng)關設備的設計方案，從而實現(xiàn)了將網(wǎng)絡數(shù)據(jù)報文進行緩沖和對敏感數(shù)據(jù)進行控制的功能。