网络数据监控及管理是如何实现

1概 述

随着信息技术和网络应用以几何性和爆炸性的速度急剧发展，如何在新经济格局中寻找和建立新的市场定位，改造和完善价值链，提升竞争实力，确保并不断提高市场份额，成为众多行业和企业所面临的严峻课题．

为了保护电信级运营商的利益最大化，本文提出了一套符合电信级网络应用的网关设备的设计方案，该QoS设备可以对网关上行发送流量中的视频及语音信息进行流量的整形，而下行方向的流量直接透传，从而达到了将网络数据报文进行缓冲和对敏感数据进行控制的功能。

本系统是作为网络系统数据及流量的监控管理的网关设备，具有一个千兆/百兆接口，接收网络环境的上行数据，系统对这些上行的网络数据进行分析，流量统计等工作。一个百兆管理控制接口，用户使用该接口进行远程的管理和控制，定制系统的监控行为及各种运行参数，系统同时通过该接口输出汇总数据。原理如图1所示。

该设备的千兆接口监听网络拓朴中网关出口处的数据，例如可以将交换机的报文镜像到一千兆接口，再接入到Monitor设备的千兆接口。

2 总体设计

2.1系统描述

该系统是一套网络运行信息的监控、分析、管理的网络管理服务系统。统计网络环境中各种应用及协议的运行数据的统计信息；详细跟踪分析特定的协议或应用报文，智能的追踪特定的网络服务的运行情况，例如Voip服务的使用频率，服务使用者的地址范围，使用时间等属性。

用户通过Web页面进行远端控制，可以设置各项功能参数，查询系统的运行状况，查看详细的数据统计报表。

具有部分IDS安全监控防范功能，分析并记录有关的涉及到安全的网络敏感操作，如网络非法访问、碎片攻击、DDOS攻击等。提供安全服务的接口，无缝的接入到网络

安全系统中，如可与防火墙及IDS进行联动，作为网络安全的一个辅助设备。

2．2 总体设计说明

系统实现的基础是需要高性能的网络包过滤及分析，目前实现该功能有两种方案：

（1）改造基于BPF的包过滤驱动，但由于他的原理是通过两次的分组拷贝，应用分析的数据是在应用层的分组，所以造成了处理速度缓慢，采用该架构要改善原有实

现中的性能瓶颈。

（2）更改现有的网卡驱动，增加分组报文的过滤和协议分析模块，提供保存分组缓存的方法，为应用操作缓存提供安全的调用接口，使应用能够直接访问内核缓存区中的报文，以此提高系统的处理能力和系统的处理带宽。

2．3 系统结构和处理流程

2．3．1 系统结构

系统主要包括的模块：

网络侦听；流量统计；报文过滤；数据监控；管理控制；汇总数据；安全接口；分组接收发送。

系统结构图如图2所示。

2．3．2 处理流程

分组过滤引擎：

（1）基于千兆网卡Driver驱动程序的引擎，根据用户定制的分析规则，对分组进行协议分析，以统计网络的流量，分析处理过程不进行深层次的报文内容分析和匹配操

作，分析后的数据记录到流量统计数据变量中。

（2）根据控制代理的设置，对分组进行筛选过滤，符合条件的分组被送入内核中的环形缓存队列中，系统可支持多个队列，缓冲区的最大值限制为64M，如超过该限制，后续需插入队列的分组被丢弃。

（3）在用户层，以多进程（线程）方式运行分组监控和分析的任务，通过一虚拟的驱动系统调用，与网络驱动共享内核中缓冲区中的分组过滤报文。

（4）监控及分析的结果提交给数据汇总的任务，由他将结果记录到数据库中。

（5）远程管理通过调度任务控制底层的分组过滤及分析动作；当统计数据库中发现有一定量异常的非法分组记录时，启动安全接口进行提醒网管员或与防火墙等安全设

备进行互动。

（6）用户通过远程Web页面查看统计数据库中的汇总报表。

（7）任务调度记录每次操作的日志。

（8）业务分析及追踪模块基于统计数据库中的数据记

录，分析各种服务的使用情况，使用者的网络范围，时间等。

3接口设计

（1）用户接口

提供友好的Web页面远程控制、管理及详细可定制的汇总报表，用户还可通过串口进行管理。

（2）硬件接口 包括一个百兆自适应电口，一个千兆自适应电口或光口，一个串口。

4属性设计

（1）可靠性

能够达到百兆以上的线速处理能力，低误报及错报处理延时等性能参数待定。

（2）安全性

包括冗余电源，系统的自身安全的加固。

5开发环境

（1）硬件环境

采用XEON处理器，服务器主板。

（2）软件环境

基于FreeBSD的操作系统，采用Intel千兆网卡驱动

程序。

6结 语

根据市场需求，本文探讨了网络数据监控及管理涉及的一些最新技术，提出了一套符合电信级网络应用的网关设备的设计方案，从而实现了将网络数据报文进行缓冲和对敏感数据进行控制的功能。