摘  要： 研究并解決網絡流量監測中的各種關鍵技術，提出符合中心計算機系統實際情況的網絡流量監測系統的架構；設計并實現了網絡流量監測系統,該系統基于Turbocap千兆捕獲卡和工作站。通過該系統，用戶可以制定針對特定業務的流量監測，并根據詳細的流量信息實現故障定位。目前該系統己經運行在中心計算機系統網絡中。
關鍵詞： 網絡流量監測；Libpcap；ntop；span；tap；TurboCap

1 系統概述
    中心計算機系統是武器試驗靶場測控系統中數據處理與轉發的樞紐，是典型的實時系統，主要任務是綜合接收、實時處理各種測量設備信息。隨著網絡技術的發展，中心計算機系統由點對點的專用通信鏈路(HDLC、串口)向網絡通信過渡。整個測控系統的IP化是必然趨勢。將來，所有的測控設備都必需提供IP接口，以IP數據包交換為特征的網絡通信會逐步替代以點對點為主的傳統通信方式。隨著基地網絡應用范圍的不斷擴大以及網絡的日益復雜化，網絡管理工作的難度也越來越大。因此根據基地網絡實際情況設計了一種網絡流量監測系統，用來測試中心計算機系統網絡的性能和可靠性。通過該系統，可以對網絡的健康狀況與瓶頸進行測試，迅速地確定網絡問題。
1.1 研究目的
    本課題的研究目的是以中心計算機系統為應用背景，研究并解決網絡流量監測中的各種關鍵技術，提出符合中心計算機系統實際情況的、技術可行的網絡流量監測系統的架構和應用方式，并構建一套可滿足中心計算機系統應用的網絡流量監測系統。
1.2 研究意義
    網絡流量監測有助于維護網絡持續、高效和安全地運行，網絡流量監測的意義在于取得對網絡運行管理、應用運行管理和網絡問題分析有意義的數據。這些數據(包括利用率、b/s、pps、網絡延遲、重傳、連接數量等)只有與實際的網絡應用運行情況結合起來才有意義。這是因為不同的網絡、不同的應用都有完全不同的數據流量。只有對網絡和應用進行深入地了解，才能使這些數據的價值得到真正的體現。網絡流量的監測對于技術人員了解網絡、發現問題、確認問題原因有著重要的意義[1-3]。
2 方案設計
    網絡流量監測從不同的方面可以分為如下幾部分：
    （1）基于硬件探針的測量和基于軟件的測量
    基于硬件探針的測量通常指使用專用硬件設備進行網絡流的測量，捕獲和實時分析能力強，但一般價格昂貴。基于軟件的測量通常是在PC上安裝軟件來實現。與基于硬件的方法比較，費用比較低廉，但是性能一般。
    （2）主動測量和被動測量
    主動測量使用由測量設備產生的數據流來探測網絡而獲知網絡的信息。被動測量只是記錄網絡的數據流，不向網絡流中注入任何數據。大部分網絡流量測量都是被動測量[4-5]。
    （3）在線分析和離線分析
    在線分析指實時地收集和分析網絡數據，同時顯示流量數據和分析結果。離線分析只是在線地收集網絡數據并存儲下來，并不對數據進行實時的分析。
    （4）協議級分類
    對于不同的協議，例如以太網(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(ATM)，也就有了不同的通信量測試方法。
    根據中心計算機網絡的實際情況，采用基于硬件測量方式、被動在線測量以及針對以太網的協議。經過充分調研和分析，基于高速數據采集卡（TurboCap）和工作站來構建流量監測系統，采用Linux操作系統和開源軟件（LibpCap、ntop）來實現流量監測功能。
2.1 硬件系統
2.1.1 TurboCap千兆抓包卡
    TurboCap卡是一種基于PCI-E總線的高速抓包卡，提供TurboCap API以及LibpCap API[6]。如圖1所示。

2.1.2 計算機配置
    為了保證抓包速度，需要計算機具有PCI-E 8x插槽，8 GB以上內存。
2.2 軟件系統
    軟件系統主要包括Linux操作系統、TurboCap開發套件、LibpCap、ntop等。
2.2.1 LibpCap
    LibpCap是一個平臺獨立的網絡數據抓包開發包，其應用非常廣泛，可以在絕大多數類Unix/Linux平臺下工作，提供了用戶級API編程接口，并充分考慮到應用程序的可移植性。LibpCap隱藏了操作系統的細節，為底層網絡監控編程提供一個易于移植的應用框架，可以捕獲網絡上的所有數據包。
2.2.2 TurboCap開發套件
    TurboCap開發套件包括TurboCap驅動、TurboCap內核模塊、用戶級的API以及TurboCap開發庫、文檔、例子。
2.2.3 網絡流量監測軟件ntop
    ntop可以從http://www.ntop.org下載，并以開源方式提供使用，是Linux下著名的網絡流量監測軟件。ntop是一種網絡嗅探器，以sniffery方式運作，可以監測的數據包括：網絡流量、使用協議、系統負載、端口情況等。ntop能夠顯示基于IP地址的帶寬占用情況，幫助技術人員迅速定位占有大量帶寬的主機和應用，還能基于協議的類型進行統計并生成直觀的圖表，幫助技術人員了解業務流量的組成和比例，進而以此為依據來優化網絡。
    在使用ntop的過程中，解決了一些問題，主要包括：
    (1)在沒有連接互聯網的情況下ntop無法編譯安裝；
    (2)在對ntop的源碼編譯時提示沒有定義pthread_
mutex_trywrlock；
    (3)ntop運行過程中會出現拒絕遠程的連接請求等。
    此外還對ntop進行了一些改進，包括對歷史數據的保存、數據導出等。為了用戶使用方便，對ntop的Web界面顯示進行了漢化，主要是修改http.c和report.c兩個文件。
2.3 關鍵技術研究
    中心計算機網絡流量監測系統的關鍵技術包括如下幾種。
2.3.1 千兆以太網線速抓包技術
    在搭建網絡流量監測系統時需要全速千兆以太網抓包，這絕對是一項挑戰性任務。采用通用的設備，如何做到捕包性能最好、不丟包，是需要突破的關鍵技術。而采用純軟件的技術是無法達到線速抓包的，因此必須由硬件來配合。為了提高抓包性能，采取了以下措施：
    (1)采用高端配置的工作站或者服務器，包括配備帶緩存的磁盤陣列、高速SAS硬盤，CPU和內存也要考慮配得高一些；
    (2)采用高速抓包卡(TurboCap)，用TurboCap自帶的測試程序HighSpeedTransmitter、HiPerfPktReceiver進行收發包，用思博倫的Smartbits測試，TurboCap可以達到線速。
2.3.2 數據包獲得技術
    在交換網絡中，有兩種獲得數據的方法：
    (1)端口鏡像SPAN(Switch Port Analysis)。簡單來說就是把交換機某個端口的流量copy一份到另外一個端口，然后可以在該接口上接網絡流量監測系統。
    (2)分路器TAP(Test Access Port)。需要串接在被監測鏈路上。
    中心計算機網絡流量監測系統既支持SPAN方式，也支持TAP方式。這兩種技術在網絡監測、分析時普遍應用，每一種技術都有其優點和缺點：
    (1)SPAN比較靈活，無其他設施需求，無需改變網絡拓樸結構；而TAP則需要接入到鏈路中去，如果需要監測其他的鏈路，則需要重新連接線纜，會對網絡造成中斷，適合長期的穩定監測。
    (2)SPAN需要對交換機進行配置，占據一個交換機端口；而TAP沒有這個問題，它對于網絡設備來說是透明的，不干涉數據流和原始數據；
    (3)SPAN方式獲得的流量其實已經被過濾掉一些底層的信息了，所以有些故障信息無法看到，而TAP真實反映了網絡的流量，沒有任何修改；
    (4)SPAN只適用于交換機，如果需要監測的鏈路兩端都是路由器，就無能為力了；而TAP這方面就沒有任何問題。
2.3.3 網絡流量監測系統接入方式
    由于受到網絡結構、網絡技術、網絡設備、傳輸線路和用戶應用等多種條件的限制，如何將網絡流量實時監測系統在不影響網絡應用的前提下，快速、準確、安全地連接到被測網絡中，成為一個具有挑戰性的問題。網絡流量監測系統的部署方式有多種：
    (1)并接，即SPAN方式。將交換機一個端口的數據包復制到一個指定的端口，然后可以在該接口上接網絡流量監測系統，即TurboCap卡的一個接口。
    (2)聚合模式。對兩個千兆網口進行聚合,按照時間戳記對來源于不同位置的數據進行采集、分析，該模式可用于測量不同位置網絡包的延遲。
    (3)串接，即TAP模式。當 TurboCap卡處于pass-thru模式時，TurboCap把一個端口收到的數據注入到另一個端口，兩個端口支持全速對發，從而使TurboCap具有分路器的功能。只是TurboCap在pass-thru模式下與普通TAP的連接性不同：裝有TAP的計算機必須開機正常運行，如果關機，處于TAP位置的通信將中斷。
    (4)匯聚TAP模式，類似串接TAP。匯聚TAP可以將一條或多條鏈路的全雙工數據合并到單一數據流中供分析，這樣能夠在單一數據流中看到來自多個端口的匯聚流量。
2.3.4 用戶特定業務流量監測
    中心計算機有很多非標準的網絡應用。對于用戶來說，在進行網絡流量監測時，如果能靈活定義需要監測和分析的業務，可快捷地找到網絡故障與問題，從而提高解決問題的效率。在Linux操作系統下，文件“/etc/services”保存的是Internet服務和與之對應的端口號。該文件的每一行描述了一種服務，格式為：
    service-name   port/protocol   [aliases ...]
其中service-name 是服務的名字；port 是十進制的數字，用來代表該服務；protocol 是使用的協議類型，典型的值包括tcp和udp；aliases是可選的代表該服務的別名。
    通過services文件，用戶可以設置自己的應用，例如：
    中心機接收端口    8201/udp
    這樣，就很容易區分用戶不同的服務。
2.4 應用舉例
    中心計算機網絡流量監測系統可以監測的數據包括：網絡流量、使用協議、系統負載、端口情況、數據包發送時間等，能夠顯示基于IP地址的帶寬占用情況，還能基于協議的類型進行統計并生成直觀的圖表，將每個節點計算機的網絡使用詳細情況顯示出來；還可以很方便地確定出哪些通信量屬于某個特定的網絡協議、占主要通信量的主機、各次通信的目標是哪個主機、數據包發送時間、各主機間數據包傳遞的間隔時間等。下面介紹兩個簡單的使用例子。
    (1)舉例一
    選擇“全部網絡協議”→“流量”菜單選項，在Hosts下拉列表框中選擇Local Only，在Data下拉列表框中選擇Received Only，在Data欄上單擊，對數據和百分比進行排序。可以很容易地發現當前網絡中接收帶寬的最大占用者。
    如果想知道當前網絡中發送帶寬的最大占用者，在Data下拉列表框中選擇Sent Only即可。
    (2)舉例二
    選擇“網絡層協議統計”→“本地”→“本地矩陣” 菜單選項，就可以看到本地主機發送的數據矩陣，找出發送數據最多的主機。
    中心計算機網絡流量監測系統基于TurboCap千兆捕獲卡和普通工作站設計，簡單實用，性價比高；采用Linux開源操作系統和開源軟件（LibpCap、ntop），安全性高。中心計算機網絡流量監測系統自動從網絡中識別有用的信息，直觀地呈現給技術人員；將截獲的數據包轉換成易于識別的格式，使技術人員一目了然；該系統基本滿足中心計算機系統大多數網絡流量監測的需求，大大提高了網絡的利用率。
    中心計算機網絡流量監測系統還存在一定的不足,主要表現在：雖然TurboCap高速捕獲卡支持線速抓包，但是ntop通過LibpCap接口對TurboCap高速捕獲卡操作時，由于LibpCap的性能問題，無法達到線速抓包；ntop的遠程訪問還存在安全方面的問題。因此還需要對中心計算機網絡流量監測系統進行改進。
參考文獻
[1] 趙冉.網絡流量測量系統Ntop的分析與研究[D].西安：西北大學，2008.
[2] 任富新.高速網絡流量測量系統的設計與實現[J].微型機與應用，2012，31(1)：58-60.
[3] 沈華林.協議/流量分析系統Hntop的實現[J].計算機工程與應用，2005，41(16)：137-139.
[4] TAMON M A.Ntop network monitoring guide[EB/OL].[2008-05-25].http://techowto.wordpress.com.
[5] 夏光峰.網絡分析技術及其在網絡管理中的應用研究[J].電腦知識與技術，2009，5(3)：587-590.
[6] Riverbed.CACE turbocap_flyer[EB/OL].[2010-01-18].http://www.cacetech.com.