网络流量监控与分析篇1
关键词:Snmp网络流量分析研究
中图分类号:tp393.06文献标识码:a文章编号:1007-9416(2015)12-0000-00
随着网络技术的迅猛发展,互联网[1]已经被运用到千家万户,实时以及多媒体的传播技术也在不断普及,网络流量将不断增加,这对于现阶段的网络管理、维护以及检测技术来说是一个不小的挑战。有挑战就存在一定的机遇,网络流量监控是网络管理中的一个重要组成部分,更是网络性能分析以及网络规划设计的根基,为网络管理者的网络实施运行提供了技术平台,并且能正确处理网络出现的异常问题。
1基于Snmp流量的监测技术
近几年来,以netFLow以及SFLow技术为代表的网络流量监测技术的运用凭借其准确、高效等优势在网络管理中颇受宠爱,但是其部署也存在一定的局限性,主要表现在以下几个方面:(1)该技术消耗网络设备资源。(2)在大中型网络中,该技术在每一个节点全面部署会产生大量的数据,如何高效便捷地处理这些数据对于网络管理来说至关重要。即使利用提高采样率来减少数据流量,但是随着采样率的不断上升,很多有价值的信息也会随之丢失。
综上所示,现阶段使用的netFLow以及SFLow技术只适用于边缘路由器的单独部署。为了解决校园网方案中存在的一些问题,本文就提出了适用于校园区的网络流量监测系统,此方案使用基于Snmp技术,在现阶段的校园网络上能够较为廉价以及便捷地解决上述问题。
1.1Snmp简介
Snmp的全称是简单网络管理协议,此协议是一种基于tCp/ip参考模型[2]的应用层互联网网络管理协议,能对于互联网中的各式各样的设备进行监控以及管理,它主要还包含了网络管理站以及被管的网络设备这两个部分。被管的设备端运行者称为设备的运用进程,其实现阶段对于被管设备的各种被管对象的信息,例如流量等的收集以及对于这些被管对象的访问支持。利用Snmp实现的网络管理一般包含:管理进程利用定时来向各个设备的设备进程发送可查询请求信息,,以便于跟踪每一个设备的状态。Snmp的作用是帮助网络管理员提升网络管理的主要性能,及时快速地发现并且解决网络问题以及规划网络的增长。网络管理员还可以利用Snmp接收网络节点的通知消息,来告警事件报告等来获知网络出现的问题。
1.2流量数据的采集
为了达到网络流量的采集,设计了运用Snmp协议采集网络设备miB的方法,程序以轮询的方式进行访问miB相对应的叶节点。Snmp是由三个部分组成的,分别是管理者、以及miB,其中被管设备一定要启动Snmp服务,管理者利用Snmp的相应操作通过获得以及设置miB变量的参数值,此处涉及到的一个共同体名是客户进行提供的,与此同时,要能被服务器进程所识别的一个口令密码,也正是管理进程请求的权限标志。miB变量有简单变量以及表格变量,对于简单变量的访问,通过对其对象标识符后面添加“0”来处理,利用get-request报文请求即可。
2网络流量监测技术的现状及其发展趋势
根据现阶段的网络流量的采集方式可以将网络流量监测技术分为以下三个部分,分别是基于网络流量全镜像的检测技术、基于Snmp的监测技术以及基于netFLow的监测技术。
网络流量全镜像的监测:它是现阶段iDS主要使用的是网络流量采集模式,其工作原理是利用交换机等网络设备的端口镜像或者是通过分光器、网络探针等附加设备,实现了网络流量的无损复制以及镜像采集,该技术的主要特征是可以为管理者提供应用层的信息。
目前,网络流量监测技术正在朝着迅猛提升的方向发展,其技术以及产品也正在不断更新,也有朝着智能化发展的趋势,主要表现在:流量自主学习,为判断异样流量提供强有力的证据。
3采集过程中需要考虑的问题
3.1时间间隔的正确选择
Cisco路由器[3]为ipaccountingtable中建立了一个缓冲区,缺省设置为512行,如果超出了已经限定的行数,那么全新的数据就会丢失。所以,在采集数据的时候要选择正确合适的时间间隔。假如两次采集的时间间隔过长,就会使得数据库中的数据溢出,之前的数据就会被覆盖,最终造成数据的丢失;假如采集时间间隔过短的话,又会导致访问路由器以及写入的数据库过于频繁,最终造成整个系统的性能下降。
3.2trap技术的应用
假如在采集程序运行之前,计费信息就会超过路由器保留计费信息的缓冲区的大小,就会造成计费信息的丢失。为了防止此类情况的出现,我们就要运用Snmp中的事件驱动技术,也就是trap技术。
3.3准确安全性的考虑
考虑到整个系统的健壮性能,设计方案就会引入主从式的设计,在整个系统中,引入一个从计费服务器作为主服务器的备份。从服务器上采集而来的数据过程是实时的,全天运行的。其系统要根据已经设定好的固定的时间间隔轮询路由器ipaccountingtable表的读写情况,假如表的更新时间超过设定的最大更新周期,就会出现主服务器发生故障的状况,根据服务器将进行数据的采集工作,为了防止数据的丢失。
本文利用分析了常见流量监控系统,提出了在校园中网络上运用Snmp协议实现在网络流量上的监控,本系统是架构于Snmp模式的管理者以及结构之上。此设计方案是在校园网上有较强的推广价值,也被广泛运用于其他网络管理功能模块的设计。
参考文献
[1]刘学军.网络计费系统浅析[J].网络世界,2012(04).
网络流量监控与分析篇2
【关键词】网络流量监控;C#;Snmp协议;网络数据
0.引言
空管信息网络承担着包括oa系统、共享服务以及相关业务系统在内的重要网络业务,提供信息化的同时,给技术保障维护人员带来一定的保障压力。根据相关工作经验及实际实验数据,网络设备端口流量异常是导致故障发生的重要原因,因此,对于网络流量的监控显得更加重要。随着空管信息化要求的逐日提高,网络规模也日益变大,对于网络流量监控的工作也更加繁重。本文从空管网络流量监控的实际情况出发,提出一种基于C#的网络流量监控,能够实现对网络数据进行获取、流量记录与分析。系统在实际运行中效果良好,可以为相关网络监控设计提供一种可行的借鉴。
1.总体设计
Snmp即网络管理协议(Simplenetworkmanagement),在tCp/ip协议族中可以对网络进行管理,这种管理既可以是本地的也可以是远程的。而基于Snmp网络协议的本系统,可以实现对网络数据的获取与实时监控的功能,实现上具有通用、实时、多线程、维护性强及扩展性强的特点。实现在数据链路层和网络层上任意节点的数据获取。加之记录功能的辅助,系统能实现在应用层的数据回放,以满足空管安全事件调查以及系统维护对历史工作状况的评估。
Snmp协议中,一个网管基站可以实现对所有支持Snmp协议的网络设备的监控(随着网络技术的发展,目前绝大部分网络设备是可支持的),包括监视网络状态、修改网络配置、接收网络事件告警等等网络监控功能。在实现上主要包括远程文件访问、流量数据记录、流量监视以及系统的ip定位。其中流量监视是系统实现的核心,将在下一部分进行介绍。另外,系统还提供了日志文件记录实现对系统操作、监控数据以及告警信息的记录。
2.C#的实现
对于系统的C#实现,主要采用的C/S模式,因此在系统的实现上尽量简单、快捷、高效为主。因此自定义相关函数与类,在记录数据和日志方面采用文本文件记录。
2.1网络监控类与网络适配类的设计
为了提高系统的模块化程度及软件的封装性,系统在实现过程中定义了两个主要的类。分别是用于网络监控的networkmonitorClass以及网络适配类networkmatch,网络监控类主要实现系统的网络监控功能,而网络适配类则提供了一个安装在计算机上的网络适配器,该类可用于获取网络中的流量。两者功能及结构如下:
在实际工作中网络监控类networkmonitorClass通过定义一个timer计时器进行计时器时间执行,以每隔2S刷新适配器,并与此同时刷新上传下载速度。与此同时通过arryList列表定义了所监控设备的适配器以及当前控制的适配器。在构造函数networkmonitorClass()中则通过,定义两个arrayList(),其中一个(adapterlist)来保存获取到的计算机的适配器列表,一个(monitoradapters)代表有效的运行的适配器列表。
netadapterShow();
timer=newSystem.timers.timer(2000);
timer.elapsed+=newelapsedeventHandler(timer_elapsedClick);
其中,netadapterShow()为列举出安装在该计算机上面的适配器,具体实现可以通过C#的foreach()语句进行编写如下:
performanceCounterCategorypCCCategory=newperformanceCounterCategory("networkinterface");
foreach(stringinstancenameinpCCCategory.Getinstancenames())
{
if(instancename=="mStCpLoopbackinterface")
continue;
//创建一个实例networkadapter类别,并创建性能计数器它
mynetworkmatchClassmymnwmadapter=newmynetworkmatch
Class(instancename);mymnwmadapter.m_performance_Down=newperformanceCounter("networkinterface","BytesReceived/sec",instancename);
mymnwmadapter.m_performance_Up=newperformanceCounter("networkinterface","BytesSent/sec",instancename);
m_adaptersList.add(mymnwmadapter);
}
当然,在类中也定义了Startworking以及Stopworking等控制函数对类的工作状态进行控制。另外timer事件也通过构造函数进行加入,如上所述。
网络适配类networkmatch则主要计算网络的各种数据,如计算上传速度、下载速度、控制适配器等函数的封装,减少网络监控类的功能耦合度。
2.2具体实现
在窗体加载函数中,系统首先做自我初始化如下:首先定义上述设计的网络监控类,并实例化monitor=newnetworkmonitorClass();与此同时通过类函数遍历获取所有计算机适配列表,m_mnwmadapters=monitor.adapters;,adapters()为网络监控类封装好的函数。并将函数返回结果通过items.addRange()函数将其显示在listbox控件中,以实现友好的人机交互界面。其次,在timer定时器中对选中监控的适配器进行独立监控。至此,系统实现了独立监控与全面监控的所有设计。
3.结语
本文提出一种基于Snmp协议分析的网络监控系统,该系统应用于空管信息网络。在实现过程,主要采用C#进行开发,通过编写自我的网络监控类和网络适配类进行网络数据的流量监控,可以推广应用于信息网络维护工作较为繁重的行业,提供一种智能网络流量监控手段。
【参考文献】
[1]宫婧,孙知信,陈二运.一种基于流量行为分析的p2p流媒体识别方法[J].计算机技术与发展,2009(09).
[2]王珊,陈松,周明天.网络流量分析系统的设计与实现[J].计算机工程与应用,2009(10).
网络流量监控与分析篇3
[关键词]提高;调度数据网络;业务可靠性;
[中图分类号]F407.61[文献标识码]a[文章编号]1672-5158(2013)06-0092-02
引言
计算机技术与网络通信技术的发展,使得电力系统大部分业务通过网络进行传输,传统的专线通道传输方式已逐渐成为备用方式并逐步退出历史舞台。已建成的电力调度数据网络是传输电力生产实时信息的网络,以江苏为例,已建成省市的三级调度数据网络、市-县-各220kV变电所的四级调度数据网络以及至各110kV、35kV变电所的五级调度数据网。
随着电网结构的扩大,复杂程度的加深,社会对供电质量要求的提高,要求电力企业不断采用新技术提高驾驭大电网的能力,电网实时信息采集的可靠性、实时性是基础。近年来,电力企业也通过实施调度数据网的安全防护以及调度数据网第二平面的建设来不断提高调度数据网的安全性、健壮性,但如何提高电力调度数据网承载业务的可靠性,还需通过分析调度数据网的网络结构,性能特点以及承载其上的各类业务特点,将二者结合起来才能得到解决。以下通过具体分析,并结合实例阐述“如何提高电力调度数据网承载业务可靠性”。
1调度数据网承载业务及存在问题分析
1.1调度数据网承载业务分析
电力调度数据网络是电力生产实时信息传输的网络,网络传输的主要信息是电力调度实时数据,是电力指挥、安全生产和调度自动化的重要基础,在协调电力系统发、输、变、配、用电等组成部分的联合运转及保证电网安全、经济、稳定、可靠的运行方面发挥关键的作用。
近年来调度数据网络应用有较快发展,包括保护故障管理、故障录波远传、电量采集系统和调度实时系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级。日志文件的一个问题就是它的内部格式是针对系统用途构建的,必须使用某种技术手段作为日志文件内容输出的接口,因而使用完全依赖于专门的数据库厂商,依赖性太大,不灵活。
1.2调度数据网及承载其上的业务系统运维问题分析
调度数据网结构庞大,站点较多,品牌不一。以江苏为例,地区级调度数据网含四级、五级数据网,包含核心层设备接入层设备,每个35kV及以上变电站均部署1台(已进行双平面改造的部署了2台)接入层设备,数量大,型号主要包括思科、华三、中兴等,构成庞大的调度数据网络。
业务系统使用的网络设备品种多,数量大,缺乏手段对其监控。应用于调度自动化系统、电能量采集等业务系统中的网络设备(主要指交换机、路由器等)品种多,数量大,当业务系统故障时无法分清是业务系统故障还是网络设备故障。
不同类型、功能、品牌的安全防护产品部署于调度数据网边界。随着政府对调度自动化系统安全性的要求不断提升,网络安全产品如防火墙、纵向加密装置、横向隔离设备等也逐渐增多。
一个典型的业务系统、数据网络分层分区联结示意图如下:
以上可以得出调度数据网接入节点多、安全防护设备部署数量广泛、品牌不一、业务系统本身部署的网络设备也较多,由于随设备配置的软件只能实现同型号设备的配置、维护与简单监测,无法与业务应用系统关联,从而运维人员无法全面、系统地收集业务系统运行的实际工况,当业务系统发生异常时,亦缺乏全面、有效的手段和依据及时对异常进行定位与排查。
2如何提高调度数据网承载业务的可靠性
针对调度数据网承载业务的现状,可以考虑建立调度数据网实时监测、预警,及时通过与业务相关的告警了解各类应用系统运行的健康水平,做到及时发现系统存在隐患,业务系统故障及时告警并能提供相关的专家知识库帮助解决业务系统问题。为此,可以从以下几个方面着手进行建立:
2.1研究业务系统数据监控规范
建立《调度数据网自动化系统监测标准》,制定各自动化系统业务模块的网络流量数据标准,作为基础,规范调度自动化系统业务流量数据监测工作。
2.2研究调度自动化业务与网络设备的关联模型
研究建立调度自动化业务系统与网络设备的逻辑关联,与实时采集的流量数据进行关联分析,实现网络设备与业务应用的统一监控与管理。
2.3研究调度数据网业务应用的主动运维机制
研究调度数据网业务应用的故障预判方法,制定业务与设备关联的预警策略,采用基于云推理技术架构实现针对自动化系统进行网络流量异常分析的推理引擎,从网络流量层面对自动化系统内部或外部的异常进行分析,采用抑制故障发生的预控技术,实现预判、预警、预控的主动运维机制,提高调度数据网的运行管理水平。
2.4研究基于网络流量数据辅助决策的分析方法
基于实时流量数据分析网络的动态负载及业务的需求变化趋势,为业务拓展、网络规划提供决策依据,优化业务运行,提高网络性能。
3具体实例
江苏镇江供电公司依据上述理论,研制开发了“调度数据网业务应用实时监测、预警系统”,简要介绍如下:
1、根据业务系统网络逻辑关系、流量情况制定业务数据监控规范,示例如下:
2、系统物理模型如下:
系统部署于Ⅰ区、Ⅱ区、Ⅲ区。Ⅰ区和Ⅱ区之间有防火墙隔离,Ⅲ区与其他区域之间用物理装置隔离,如上图所示。按照网络规划及流量采集的需要,监测平台系统、数据库、分析预警系统均部署在Ⅱ区,流量采集系统分Ⅰ区、Ⅱ区部署。
3、系统软件模块包括流量数据采集子系统、实时分析预警子系统分析流量数据和实时监测平台管理子系统。
流量数据采集子系统直接与网络设备通信,实现调度数据网流量数据接入应用监测预警系统,是业务应用监测预警的基础。
实时分析预警子系统分析流量数据,识别监测内容,根据预警策略实施预警、预控,实现对业务应用的实时监控,是业务应用监测预警的核心。
实时监测平台管理子系统实现配置监控内容和监控方式,提供多种手段查看监测结果,智能化异常处理过程,集中控制业务应用的运行,是实现业务应用监测预警的工具。
4结论
通过对各业务系统的历史流量进行分析,掌握各系统业务模块的流量负荷情况,识别出业务系统各模块之间的数据交互关系,建立业务与数据网之间的模型,并根据制定的业务监测规范进行判断,能准确的定位异常并分析受异常影响的业务范围;预警预控联动策略的部署,对预防系统和设备故障的发生起到了良好的预警作用,达到了提高电力调度数据网承载业务可靠性的效果。
参考文献
网络流量监控与分析篇4
【关键词】图形化;信息网络;网络管理;运行维护
0.引言
在当今时代,信息网络系统已成为社会组成必不可少的一部分,而信息网络系统在各个企业中已成为企业办公、生产、运行管理等方面的重要支撑平台,随着社会发展和企业信息化规模扩大,网络的规模也随之越来越大,网络的结构日趋复杂,局域网的运行维护任务也日益显得复杂繁重,因此如何能够简单有效地管理和维护内部网络已成为当前网络管理研究的一个重要方面,迫切需要一种网络管理方式可以简化运维流程、减少运维步骤、快速查找故障、明确运维目标和提高运维效率。目前商用网络管理软件种类繁多,例如国内的北塔、网强等网络管理系统。这些商用软件网络管理功能较为全面,但是针对信息网络运行维护来说,还存在一些不足之处。
本文介绍了一种针对信息网络运维而设计的网络监控系统,该系统强调以图形化的方式显示当前网络各节点状态。以直观的方式反映网络故障或潜在的故障,具备节点控制、监测日志、统计以及多种智能报警功能,力求减轻网络运维人员的工作量,提高工作效率。
1.概述
在大中型企业内部的整个网络上面运行着各种服务器以及众多的个人台式机,点多面广,管理维护难度和工作量都相对较大。仅靠单纯的人工管理,被动式的检查维护已无法满足整个系统良好运转的需要,面对并处理网络中众多设备发出的事件报告和短时间内检测发现故障点等问题,所有的这些要求很清楚地摆在网络管理人员的面前,因此迫切需要对网络进行主动的监视,自动进行网络故障的检测与解决,以维护网络的良好运转,从而更好地服务于整个公司的业务系统。
图形化监控系统可以更加直接地反映信息网络系统状态和故障,使运维人员明确网络系统运行状态,快速查找故障节点并进行处理。首先,收集网络环境内所有网络节点的信息资料和办公环境图纸,确定网络节点物理位置,建设信息网络节点图形化管理系统,根据收集的信息建立图形界面和联动资料库,包括用户物理位置、用户信息、设备信息、网络连接状态信息等;然后把信息网络节点图形化界面与现有的网络管理系统进行接口配置,在图形界面上产生网络节点的实时状态信息,同时可进行接口状态操作,并进行网络节点状态联动报警系统,当故障发生时,对预先指定的报警情况进行报警,报警方式可通过邮件和短信,使维护人员在第一时间得知并判别故障类型和严重程度,并通过图形界面精确判断故障地点,缩短网络故障发现和处理时间。
2.图形化网络监控管理系统技术结构、技术优越性
2.1图形化网络监控管理系统技术结构
图形化网络监控管理系统由图形部分、网络管理功能部分、网络健康度评估部分和运维流程部分组成。各部分的作用为:
2.1.1图形部分
图形部分是整个监控管理系统的衔接部分。其作用首先是系统本身各类功能的操作界面和针对网络系统各环节物理位置的直观展示,比如机房内设备位置图、建筑结构图和办公室网络布点图等,以及网络系统整体和部分的拓扑结构图,用三维图形和二维图形结合进行展示;其次是对整个监控管理系统的各功能部分进行衔接,像前面提到的网络管理功能部分、网络健康评估部分和运维流程部分要通过图形部分进行衔接,使各部分功能得到体现,监控人员通过其进行监控和管理。图形部分的完整度和详细度直接影响到整个监控管理系统的运行效果。
2.1.2网络管理功能部分
网络管理功能部分是整个监控管理系统的核心组成,按照分层架构设计思想进行建设,实现网管数据采集与处理的分离,数据处理与呈现的分离,共分为3个层次:数据采集层、数据处理层和功能显示层,具有较强的灵活性和可扩展性。
数据采集层:数据采集层是位于数据处理层与管理对象之间的数据采集子系统,与ip网的网元设备和相关的业务系统交互,遵循标准的通信协议,完成系统所需的各类原始管理数据的采集,包括主机、网络、数据库、中间件、应用软件、环境等数据源的原始信息,如配置数据、性能数据、故障数据和准确性数据等。
数据处理层:将数据采集层所获得各种数据进行清洗、整理和标准化处理,提供各应用功能进行处理分析、统计及存储,如通过触发事件发生器,将收集的各类原始信息与Kpi阈值对比后进行分析、配置或处理,形成资源分类的告警信息等。
功能显示层:针对分类管理信息进行统一汇总和多维展现,实现网络、系统硬件设备资源和软件运行状况的统一监控和管理,保障业务系统的正常运行。
另外按功能模块划分可分为六大模块,包括数据采集组件、综合网管服务、weBService应用组件、ie显示层组件、数据流分析探针、外部数据库,各模块组件之间通过tCp/ip进行通信,支持灵活的集中或多服务器的部署策略,提高系统的可扩展性。下面是其中几种模块的功能简介:
数据采集组件:接收各网管功能模块的数据采集请求,定时其管理范围内的被管对象中收集it基础设施信息,同时维护、提供性能数据缓存,存储获得的it基础设施的性能信息,从而达到:统一的数据获取接口、多管理协议支持、可扩展的it组件支持、数据有效性控制和智能化网络访问控制。
综合网管服务:综合网管服务(nmS)作为数据处理层,建立了网络管理模型和资源数据访问模型的标准化,nmS数据处理层中采用了o/Rmapping、ioC、Remoting等技术完成系统的架构和实现。nmS将实体对象的数据如网络配置数据、资源数据存储在关系型数据库中,通过o/Rmapping实现将关系模型映射到面向对象的数据模型,提供完整的面向对象的数据管理、访问模型和接口,完成了网络管理数据的对象化,包括:网络配置数据、设备网元数据、性能数据(历史数据、实时数据)、告警规则配置数据、告警信息数据、服务资源数据和用户权限配置数据。
webService应用服务:与图形化部分紧密结合,监控系统的应用管理、呈现层采用weB架构实现,通过weB2.0、aJaX、weBSeRViCe、JSCRipt等技术,实现完整的B/S模式的应用管理、数据呈现等核心功能。通过管理控制台集成了网络拓扑管理、网络监控、故障管理、报表管理、服务资源管理、资产管理和系统管理等。方便用户统一执行管理任务。门户功能模块可归纳为三种类型:门户基本框架和管理功能:提供门户通用服务和基本功能。包含用户管理,门户系统权限管理等。对其它系统的集成功能:主要提供对于系统监控管理,流程管理,分析报表集成。管理门户将作为这些系统的统一访问入口,并为用户提供单一登录功能。开发定制的特定服务模块:开发用户要求的日志和审计功能模块,用户访问统计模块。
数据流分析探针:监控系统的性能数据采集能够支持秒级单位的采样周期。能够提供原始采样频率的数据。监控系统经过一段时间的记录,能够通过对性能数据的对比,生成相应的阀值告警事件。监控系统通过web访问的方式为用户展示物理拓扑结构,并通过物理拓扑结构为用户提供全网的性能和状态信息,并通过颜色表现表示出来,帮助用户及时发现网络潜在的故障隐患点,从而为用户提供管理数据的分析、诊断机制和运维管理流程。
2.1.3网络健康度评估部分
评价指标主要包括可用带宽、单双向时延、单双向时延抖动和单双向丢包。可用带宽直接影响网络业务的质量、网络对即将开展业务的支撑能力以及网络的扩容规划和设计。单向时延、单向时延抖动和单向丢包之所以不可缺少是由于业务服务器和客户终端内容交互的非对称造成的。评估方式由系统采用基于端到端的网络性能质量测试方法,指标是端到端之间的指标而不是单个设备、某一段甚至某一跳之间链路的指标。端到端的含义包括业务的起始点和业务的终止点整条路径,是业务传输的全部环节,端到端的单向时延是从一个测量点(一个具体的ip地址)到另外一个测量点的数据报文传递所用的时间,这个时间是转发时延、排队时延和传输时延的总和,通过一系列测试后可以得出现有网络健康度情况。
2.1.4运维流程部分
网络运维流程从功能上可以划分为六个模块,各模块功能如下:
任务工单管理。该模块实现临时性任务管理功能,如派发给县公司的任务工单、接收来自公司的任务工单、部门内部用于任务分配的个人任务以及部门之间用于项目管理的部门任务等。
业务流程管理。该模块实现对例行性网络运维业务流程的管理功能,如资源调度流程、故障处理流程、网络优化流程和业务开发流程,这些流程一般可分解为定义良好的任务、角色、规则和过程,通过与人和各种应用系统的交互来进行工作流程的执行和监控,达到提高网络运维效率和网络管理水平的目的。
统一工作任务列表。该模块为用户提供统一工作任务列表,包括当前任务、新建任务、已派发任务、已处理任务、阅知任务和待发任务。通过统一工作任务列表可以接收处理来自各方面的任务工单及来自工作流系统的业务流程。
工作任务统计分析。该模块实现对个人工作和组织工作的统计分析功能,包括派发任务数量、接收任务数量、不同难度任务所占比例、任务完成及时率、任务完成质量及绩效指标完成情况等。
接口适配。该模块提供与网管部分、图形部分以及资源管理平台的接口适配功能,通过系统之间的数据交换和应用集成达到部分业务流程自动化的目标。
工作流管理系统。工作流管理系统是用于定义、实现和管理工作流运行的一套软件系统,通过与人和各种应用系统的交互来进行业务流程的执行和监控。工作流管理系统是网络运维流程支撑平台的核心,包括图形化建模工具、工作流引擎、管理监控工具和工作任务列表四个主要功能模块。
2.2技术优越性
2.2.1网络故障查找直观明了,图形化网络监控管理系统的特点是实体图形的大量使用,把网络连接、设备位置、机房或房间布局、故障点描述等通过具体的图形表现出来,再与网络管理系统各个监测功能模块集成,就可以直观明了的对各类故障情况进行图形化描述,信息网络运维人员可通过该系统了解故障的等级、类别、具置,并以此得出相应的处理办法,直接节约了普通故障查找的人力和时间,提高了工作效率。
2.2.2网管系统功能全面,由六大模块组成,包括数据采集组件、综合网管服务、weBService应用组件、ie显示层组件、数据流分析探针、外部数据库,涵盖层次化管理、拓扑管理、网络监控管理、ip地址管理、主机服务器管理、数据流分析、故障报警管理和报表管理多项功能,还可通过相关功能模块对整体或部分网络系统健康度进行评估,以此为依据指定相应的网络整改方案。
2.2.3信息网络运维流程明确,可通过网络运维部分人为或自动进行运维工单下达,实现完备的流程化操作,包括任务工单管理、业务流程管理、统一工作任务列表、工作任务统计分析和工作流管理,从接受运维任务、任务分析、制定运维方式、资源调拨、人员派遣、运维操作、完成任务和对应不同变数选择相应调配方式完成运维流程。
3.图形化网络监控管理系统的应用
3.1系统中图形部分的应用
该部分应用包括系统本身操作界面图形和具体信息网络拓扑信息及实际物理环境图形的规划编制。首先是操作界面图形的规划编制,涵盖层次化管理、拓扑管理、网络监控管理、ip地址管理、主机服务器管理、数据流分析、故障报警管理、报表管理和系统管理,以及各大类下面具体分类的操作界面图形,如下图所示:
其次是具体信息网络拓扑信息及实际物理环境图形的规划编制,要收集公司范围内所有网络节点的信息资料和办公环境图纸,确定网络节点物理位置,具体到网络设备、网络线缆、网络通道、安全设备、服务器的布点状态,以及信息机房和办公室的布局图纸,如下图所示:
然后用具体的网络设备图形反应实际网络连接情况,如下图:
最后可根据图形的详细显示得出网络故障节点位置和严重程度等信息,极大的便利了网络运维工作。
3.2系统中网络管理功能部分的应用
网络管理功能部分是整个监控管理系统的核心组成,通过snmp协议读取和写入交换机、路由器、服务器等信息设备策略和数据信息,主要通过人工录入和自动搜索相结合的手段进行设备发现和链路获取,整合分析数据实现层次化管理、拓扑管理、网络监控管理、ip地址管理、主机服务器管理、数据流分析、故障报警管理和报表管理多项功能,再通过设定网络管理系统本身的报警策略定制报警数值和临界点等信息,以图形颜色标示、声音、短信或邮件等方式对系统管理员进行告警。
网络管理功能部分是整个系统的核心,图形部分的功能显示、网络整体健康度评价和运行维护人员流程管控,都要通过功能部分进行实现和链接。
4.结论
图形化网络监控管理系统在信息网络运维中的应用,将解决网络运维侧重于对网络设备本身或网络的维护与管理的问题,解决各类网管系统之间信息无法互通、管理内容庞杂、操作界面多样等问题带来的局限性,大大降低了信息网络系统的运行风险,提高运维工作效率,实现对全网的综合管理,包括全网故障分析、故障定位、全网性能综合分析等功能,能够从总体上提高企业的全网综合管理水平和运维工作效果。
【参考文献】
[1]张玮,唐学文,马颖.图形化校园网络监控系统的设计与实现.计算机与现代化[J],2007,5:72.
网络流量监控与分析篇5
关键词:三网融合;iptV;监管措施;平台建设
中图分类号:tp393.08文献标识码:a文章编号:1006-3315(2016)02-188-003
三网融合对于我国提升信息通信业水平和经济社会发展具有重大意义。电信网、互联网和广播电视网的融合在为相关行业和设备厂商带来发展机会的同时,也带来了新的网络和信息安全问题。
本文将对三网融合网络信息安全技术监管平台建设进行研究,详细阐述三网融合网络信息安全技术监管平台的建设思路和总体框架。
一、建设目标
国务院三网融合工作协调小组办公室在《关于三网融合试点工作有关问题的通知》中明确要求:“试点地区电信主管部门负责制定网络信息安全技术管控平台的属地化建设方案。”
加强网络信息安全平台建设的顶层设计成为当前全国和各省三网融合工作顺利开展的前提保障。在三网融合的技术管控手段方面,要考虑三网既有的风险与隐患,同时对融合后可能出现的新隐患进行防范和解决,可以从终端层面、网络层面、应用层面等多角度入手,构建三网融合下网络信息安全监控平台,充分发挥政府主管部门、行业和企业各自的资源和优势,对网络信息安全问题进行全方位的监控。
平台的建设目标是通过加强顶层设计、统筹计划、整合资源,实现事先预警、事中可控、事后可溯源,建成全网的监测、预警、跟踪和处置等综合技术能力,能够在三网融合新时期的社会维稳、经济发展、反失窃密、网络反恐、打击犯罪和国家安全等方面起到核心而有力的技术支撑作用。
因此必须建设强有力的监控手段,实现涵盖电信网、互联网和广播电视网三大网络的网络和信息内容的可管可控。重点需要实现以下几方面能力:
(1)基础资源的掌控能力。实现对ip、域名、网站、各种网络应用、用户信息的管理能力。
(2)网络信息安全事件的发现能力。实现对网络攻击事件、信息内容事件等的监测发现和提前预警能力。
(3)舆情信息的分析能力。通过平台及时掌握一定规模的省内相关的网络舆论的动态、导向、特点和趋势,可以对维稳相关的特定事件和对象进行跟踪其发生、发展、扩散、演变的轨迹等。
(4)特定信息和目标的管控能力。通过平台能够对省内的网站、域名、ip甚至软件应用进行实时管控。
(5)信息源的溯源定位能力。通过平台能对指定的信息源目标(一般为ip、时间信息)的发送者或接受者,在限定的时间内及时溯源关联到其用户属性以及地理位置信息,为公安、反恐等部门的处置提供支持。
同时,面对三网融合下对音视频、图像等更高的监控要求,还应具备以下几方面的手段和能力:
(1)应当具备文本、语音、视频、图片、文档等多媒体文件格式进行分析的能力,分析技术应包含语义分析、模式识别等内容,手段包含关键字比对,图像特征分析、视频流拆帧、语音识别等。
(2)应当可以从各种途径获取分析数据来源,包含和通讯设备建立信令接口、传输分光、端口镜像等,包含模数转换的能力,可以处理模拟信号。
(3)应当采用集中的方式,以减少投资规模,并支持线性扩容,处理能力随着规模的扩大线性增长,支持集中原则下的分布式处理,可以在多中心的模式下利用云计算实现分布式规模化服务能力。
(4)应当具备将信安监控的处理能力转化为社会价值的途径,对外提供定向的搜索服务,为各大企业提供舆情服务,充分利用闲置的平台服务能力。
二、建设思路
系统建设思路是“建设基础数据环境与提高控管手段并行,加强监管能力与提高对涉网管理部门技术支持服务能力并重”。三网融合下的网络信息安全管控平台应当集中部署,分散部署的投资太大。监控中心应采用云计算和hadoop的设计模式,将监控任务分布式处理,分给多台云计算设备来执行。(见下图1)
监控中心的相关必备要求如下:
(1)支持和各大运营商之间的数据采集接口(包含分光、信令监控等多种模式),其中分光应在省网核心层面进行;支持数据输入接口,方便阻断指令;
(2)支持与三网融合的软交换汇接中心数据采集接口;支持数据输入接口,方便阻断指令;
(3)监控中心应具备至少2G以上的直连带宽,并随着监控内容的增加逐渐扩容,中心应托管在专业的数据机房,有专人维护,并保证7*24小时的不间断服务;
(4)具备各类内容监控能力,随时更新监控的列表;
(5)具备各种协议、内容格式转换的能力,支持对各种内容进行生成并记录mD5摘要。
三、总体架构
基于三网融合下的网络信息安全技术监管平台应当包括云计算资源池、信息采集模块等各个子系统,具体组织架构如下图2:
同时,需要满足以下系统要求:
(1)基于云计算的服务模式,支持线性扩容,资源随时动态调度。
(2)模块设计基于开源的Hadoop开发模式,支持全局动态调度资源和并行处理。
(3)具备采集运营商网络、通讯设备上分光数据或信令监控的能力。
(4)具备DnS流量采集能力,可直接采集到DnSCache服务器的通信报文,获取报文中包含的域名信息和域名对应的ip地址信息。
(5)分权分域,支持分级按角色权限管理,具备灵活的工作流设计功能。
(6)爬虫模块作为信息采集的来源,要求能做到分布式服务、可查询工作状态、监控资源更新状态避免重复下载、具备断点续传能力、具备链接分析能力、可按照参数自动遍历网站;
(7)文字内容分析模块具备语义分析能力,可以灵活定义不同关联关系的关键字组。
(8)图像分析模块具备色情内容的识别能力,并可以灵活定义图像特征,以便发现相似的图像内容,具备为图像生成mD5的能力,避免充分识别相同的文件。
(9)声音分析模块具备关键字(组)声音识别发现能力,并记录命中的时间。
(10)视频分析模块具备关键帧拆帧能力,并利用静态图像识别和声音分析模块进行分析和检索;
(11)具备公共舆情监控的接口,可以为政府、企业等提供舆情监控服务。
(12)提供公共搜索接口,可以建立搜索参数,及时找到相关的信息。
(13)对外提供数据下达、上报的服务接口,以便和外接进行数据同步。
(14)提供备案流程、身份查询流程等服务。
(15)通过接口可以对信息安全违规内容进行阻断。
在具体功能模块方面,应当至少包括三网融合后的网络基础资源数据库、点网络单元监控子系统、网络安全监管子系统与信息安全监控子系统。
4.2.3.1基础资源管理子系统。三网融合后,广电网、通信网、互联网三网间的边界变模糊了,但针对网络基础资源的管理,应该紧紧围绕网络的基本要素ip和域名进行精确化的管理,对ip和域名相关的使用者信息、注册信息、备案信息、服务情况和存活状态等进行详细的采集和记录。
网络基础资源管理需要相应it系统的支撑,该系统的主要功能应包括:
(1)建立统一完整的ip信息库,包括省内ip地址的用户信息和地理位置信息;
(2)建立ip地址数据信息的及时更新机制和监测比对手段;
(3)建立固定宽带、移动上网的ip溯源系统,并将广电宽带用户和动态ip的用户信息纳入到统一管理中。
(4)建立统一完整的省内接入网站数据库,网站信息包括网站备案状态、备案信息、域名信息、存活状态、网络服务状况和访问流量情况等。
(5)建立网站主动发现机制,包括对互联网音视频网站的及时发现。对我省接入的互联网站实现全量发现、采集和验证分析,自动与工信部的域名查询系统进行接口,通过接口进行域名备案与否的查询,一旦发现是未备案域名要及时进行告警。
(6)建立对网站备案信息真实性的核验机制,即通过与公安身份证信息比对、工商营业执照信息比对、质监组织机构代码证比对,电话拨测和ip反查,对网站主办者身份信息、联系方式、接入商信息实现自动、半自动的核实,以确定网站备案信息的真实性,确保网站备案信息的准确性。
4.2.3.2重点网络单元监控子系统。基于三网融合的重点网络单元监控子系统采用分布式的数据采集方案,通过多层面采集任务的协同处理,通过数据与业务的分散化,实现全面、及时的报文信息获取。重点网络单元监控子系统结构如下图3所示:
重点网络单元监控子系统将利用已有数据源如互联网国际出口、短信息、搜索引擎等和新建数据源如互联网省级出口、重要iDC机房、重要信息系统、互联网网站、论坛、博客、社交网站、微博客等。各个通道的数据获取功能如下:
1.互联网国际出口数据获取
系统具备基于互联网国际出口监测数据的聚类、多业务应用数据监测、用户ip地址访问统计、热点与敏感事件监测等能力,提供灵活可操作可定制的开放接口功能。
2.互联网省级出口数据获取
系统具备基于互联网省级、城域网出口监测数据的聚类、多业务应用数据监测、用户ip地址访问统计、热点与敏感事件监测等能力。
3.移动网应用协议分析
通过对移动网的Gn口(电信为pDSn口)的流量进行镜像分光,对移动网上的各类应用进行协议分析,以及用户访问情况审计。
4.iDC、重要信息系统关口监控
通过在iDC机房、重要信息系统出入口部署流控和审计设备,实现对iDC机房、重要信息系统内运行数据的全方位监测和管控能力。提供包括基础信息统计、用户访问情况审计、网络信息安全信息监测等目标。
5.DnS解析数据获取
通过对省内DnS解析服务器进行镜像分光,以获取用户访问解析记录,实现全量域名发现、被动域名监测等功能。
4.2.3.3网络安全监控子系统。能够对融合后的网络开展网络安全事件监测,发现重要的信息安全事件,及时预警,通报相关责任单位和部门;对遭受攻击的单位网络能够进行追踪溯源。调整优化相关企业和单位网络结构,将网络安全监测平台向地市延伸,进一步加强监测发现及预警等系统能力。
网络安全监控子系统由安全事件监测与安全信息获取模块、网络安全数据融合与关联分析模块、网络安全综合资源库、应急控制与主动防御模块、域名安全监管模块等构成,其中:
1.安全事件监测与安全信息获取模块的主要功能是全面发现和获取网络安全事件和网络安全威胁信息,主要由8个子系统组成,包括:基于报文特征的安全监测、基于流特征的安全监测、面向域名体系的安全监测、面向路由体系的安全监测、恶意代码综合捕获分析、面向weB应用的安全监测、高危网络安全漏洞检测、外部安全事件数据接收子系统等。
2.网络安全数据融合与关联分析模块的主要功能是各个监控系统的数据进行整合分析,结合获取ip地址分配使用情况和域名解析使用情况信息,实现对多源、异构的网络安全监测数据的融合统一,并在数据融合的基础上实现对网络安全数据的全面高效的分析。除高性能多元数据融合、海量数据关联分析功能外,该系统还包括用来获取ip分配使用信息和域名解析使用信息的两个子系统――ip溯源定位系统、域名解析跟踪记录系统,而与域名相关的域名解析跟踪记录功能则列入域名安全监管子系统中实现。
3.应急控制与主动防御模块的主要功能是根据国家整体网络安全应急防护要求和在特定时期、针对为特定部门和系统提供专项防护和主动防御支撑的要求,提供对攻击源的切断、受控系统的接管、域名基础设施的备份系统启用等应急功能。主要包括域名控管与应急控制子系统、域名体系的备份系统、基于路由体系的应急控制系统、网络安全主动防御子系统等部分。
4.网络安全综合资源库的主要功能是保存漏洞信息、恶意的代码样本及分析报告、各种监测策略、应急控制策略、恶意服务器信息、受攻击主机和服务器等信息,并为整个平台的监测、应急控制和业务协同提供安全知识信息。
上述系统通过各种数据接口规范,从互联网国际出入口、省网络出入口、部分重要地市网络和部分重要iDC,以及党政军和重要信息系统网络获取原始监测数据,并将形成的网络安全知识信息和安全控制策略反馈给各个网络系统,从而构成一个闭合的监测和控制系统。
4.2.3.4信息安全监控子系统
三网融合下的信息安全监控子系统主要包括基于三网融合的网络音视频监管、网站内容监管、网络舆情监测等组成部分。(见下图4)
系统主要功能包括:
(1)网站内容监管系统,根据内容对网站进行精细化分类,并对网站进出流量、内容提供监测甚至管控能力。
(2)网络音视频监管系统,在互联网国际出入口和省际出入口上对音视频流的封堵、监测、侦控功能。
(3)网络舆情监测系统,对互联网上敏感信息、热点话题进行监测发现。
参考文献:
[1胡云.三网融合的技术基础和应用分析,信息化研究[J],2011(2)
[2]徐林林,吴迪.三网融合进程中的相关问题探讨[J]中国新通信,2013(13)
[3]赵靓,夏敏,吴岭.三网融合发展研究[J]科技创新导报,2011(5)
[4]李苑,张剑,曾剑秋.三网融合现状及发展策略[J]中国通信,2011(3)
[5]郝文江,武捷.三网融合中的安全风险及防范技术研究[J]信息网络安全,2012(1)
网络流量监控与分析篇6
CapsaFree
网络分析工具,用于监控、故障排除和分析。来自Colasoft的CapsaFree提供了识别和监控超过300种不同协议的能力。用户可以记录网络配置文件,创建定制报告和设置自定义报警触发条件。此外,Capsa提供邮件监控,自动保存邮件内容以及易于使用的tCp时序图。
ZenossCore
一个集成的网络和系统管理平台,ZenossCore具备可用性,性能,事件,系统和网络设备配置的监控能力。随着数据流通过Snmp,SSH,wmi,JmX和Syslog,该平台提供了灵活的监控日志和事件管理。此外,该工具针对虚拟和云基础架构,包括VmwareeSX,提供专门的监控功能。
networkminer
有时,不仅需要分析网络流量。软件安全公司netresec的networkminer是一种基于windows的网络取证分析工具,设计用来收集有关网络中的主机和数据,而非流量。它能够抓包甚至解析pCap文件,以帮助用户监测网络中主机的oS,主机名,以及开放端口。此工具方便文件、证书的重组传输,而无需耗费额外的流量。
theDude
在指定子网内自动扫描设备。theDude能够绘制网络地图,监控运行设备的服务器并在服务器有问题时自动告警。能够运行在windows,Linuxwine,Darwine和macoS,并支持设备的Snmp,iCmp,DnS和tCp监控。
angryipScanner
一种轻量级ip扫描工具,使用多线程扫描技术快速扫描,结果能够保存到CSV,tXt,XmL或ip-port列表文件中。基于Java的灵活框架,并且能够通过插件扩展额外信息收集功能。
wireShark
wireShark是一种网络协议分析工具,使用户能够深入分析网络活动,涵盖上百种协议以及各主要平台,包括windows,Linux,oSX,Solaris,FreeBSD和netBSD。数十种抓包文件格式的读写功能,通过GUi或ttY-mode浏览数据。
Fluentd
日志搜索和分析工具Splunk的企业版价格比较土豪。不愿支付这笔资金的企业可用Fluentd作为替代来实现基本功能。Fluentd作为一种开源日志收集工具,可与elasticSearch和Kibana结合使用。这是一对开源工具,提供搜索引擎和webUi功能,与Fluentd结合使用可实现数据收集、分析并图形化。
tCConcole
此工具极大推进了网络可视化。由非盈利性安全研究公司teamCymru提供,tCConcole提供网络恶意行为的历史视图,以及网络通信数据,交叉比对该组织收集的全球关于恶意行为的统计数据。该工具免费,但只有愿意与teamCymru数据库分享网络信息的组织才能获得。
Zenmap
最好用的免费网络安全工具之一,通过GUi使所有nmap(networkmapper,用于网络发现和安全审计)功能更易于实现。为初学者设计,同时为nmap老兵提供高级功能。Zenmap将保存常用的扫描配置文件作为模板,从而方便扫描设置。扫描结果可以通过一个可搜索的数据库保存,以便跨时间对比分析。
网络流量监控与分析篇7
关键字:视频监控;故障诊断;网络性能预警;自动巡检
中图分类号:tp393文献标识码:a文章编号:1009-3044(2016)31-0205-03
1背景
电网视频监控平台是智能电网的一个重要组成部分,广泛应用于电网的建设、生产、运行、经营等方面,通过对电力系统中设备、线路及周边环境等生产、经营要素的实时监视及记录,为事故分析提供相关图像资料,是对“四遥”(遥测、遥信、遥控、遥调)功能的进一步补充-“遥视”。
新疆电网统一视频监控平台的建设,使不同的视频监控系统能够互联互通,实现统一监控、分级控制、分域管理。目前,视频监控平台共接入15000多个视频监控点位,覆盖了各部门各地州营业厅、变电站、输电线路、信息机房、库房、机关大楼等各个场所,支撑各部门、各单位的视频应用需求。
新疆电网统一视频监控平台所涉及设备型号及数量规模越来越大、产品种类越来越多、设备也越来越复杂,同时由于新疆地域广袤、监控场所分布不均匀,运维检修难度较大。另外,平台目前主要提供粗犷型的设备接入状态信息(设备离/在线状态),无法对具体原因进行分析、定位,对于出现故障的设备无法做出快速响应,与运维检修人员故障排查、运维检修脱节,对于设备检修流程缺少有效的跟踪,对平台运行维护造成了新的困难。因此,需要开展对监控设备故障和网络通道故障的分析、精确定位,以及检修过程精益化管控的研究和应用。
2故障诊断关键技术
电网监控设备与网络故障诊断分析技术研究,是进一步提升平台实用化水平,通过故障诊断分析定位、融合设备检修流程等方法,实现对故障设备的快速分析定位协助运维检修人员做好设备故障排查、运维检修工作。主要实现以下目标:
1)通过故障精确诊断分析功能,实现对平台接入设备的实时状态监测,对于离线设备进行快速故障诊断分析、问题定位,并告知运维检修人员进行设备故障检修。
2)通过与现有设备检修流程高效融合,在设备运维检修过程中,实现对运维检修各环节中所涉及的检修人员、响应时间、检修流程进行全过程跟踪。
3)通过大数据分析策略实现对故障原因、故障设备类型、故障频率、典型故障区域、典型故障场景等多维度分析,为后续视频监控建设选型、网络配置标准化提供数据支撑。
2.1网络性能预警技术
网络故障在视频监控故障类中的发生率占比超过50%,而视频信息丢失、带宽不足、路由配置错误、时延过大等情况,是网络故障的最常见情况,因此需要形成以通信网络信道性能预测为中心的关键技术研究。
视频传输是基于internet网络的应用中对网络时延要求较高,一般有两种预测时延的方法:一种是根据时延数据之间的关系,进行拟合,预测未来的时延;另一种通过构建internet的网络模型,实现对时延的预测。后一种方法相对于前一种方法有着更好的预测效果,这是因为后者不但能够包含时延数据之间的规律,而且能够更好地反映出当前的网络状况以及未来时刻网络的状况和时延情况。
本课题采用隐马尔科夫(Hmm,Hiddenmarkovmodel)的方法构建internet网络模型,预测internet网络时延。该方法通过预测未来时刻的可观测状态值,准确表示时延数据集的规律以及internet网络的特性;同时,该方法对于未来的可观测状态的预测有较高的准确性,能够更好地对internet时延敏感的应用作出决策。
2.2视频质量分析技术
将常见视频质量故障类型、原因、采取的检修方法,以故障缺陷库和知识库的形式固化在监控平台中,通过视频图像质量分析的方法结合缺陷库和故障知识库,在巡检工单或检修方案中给出故障检修建议。按照视频图像质量、系统登录情况、网络信号丢失率等故障分类,自动填写检修工单,视频质量故障分析表如下所示:
2.3故障自动巡检方法
人工方式通过监控画面巡检,发现故障的效率非常低,而且不能精确定位故障原因。因此,需要研究设备故障自动巡检功能,通过设置任务的定期重复执行来实现,如下图1所示:
对故障诊断任务设置每日、每天、每月执行的方式,简化工作人员重复建立故障诊断任盏墓ぷ髁浚提高工作效率。同时,诊断功能对任务诊断到的异常设备自动生成工单在夜间进行下发,次日可以在设备运维人员的账号上看到设备工单,进而进行消缺。
3故障诊断实施方案
3.1故障知识库与运行缺陷库构建
在构建知识库的基础上,通过对设备故障原因、故障类型、故障频率、典型故障区域、典型故障场景等多维度分析,形成设备运行缺陷库。通过对具体设备故障或网络故障的进行细分,实现对设备故障的定位,精确到单个路由器,例如设备网络不通时,经过哪些路由后网络不通,大大简化设备故障的消除。
通过平台设备运行数据综合统计和分析功能的建设,实现对平台视频设备历史运行情况多时间维度的统计和分析,可以方便运维和检修人员对重点故障区域和故障设备类型制定针对性整改方案,有效提高平台指标情况。并通过对历史数据信息进行多维度统计分析为运维检修人员提供重点故障区域和设备类型等信息,为运维检修人员进行针对性整改提供决策数据辅助。
3.2故障诊断业务架构
电网统一视频监控平台为各业务领域下的变电站、输电线路、营业厅、变电站、办公大楼、应急场所等视频监控应用场景提供视频源,实现实时视频、录像回放、运行工况、资源管理、资源调度等业务功能。新增设备故障精确分析诊断功能,实现设备运行故障快速诊断分析定位,规范设备检修流程,形成设备运行缺陷库。
故障诊断分析定位:通过网络跟踪的技术对电网统一视频监控平台设备运行故障进行诊断分析,协助运维检修人员快速定位、分析、排查故障的原因。通过网络故障诊断,能够精确到监控设备所经过的的故障路由位置(ip地址)。
检修流程标准化:通过设备诊断结果与设备检修流程的高效融合,实现设备检修流程各环节的实时跟踪处理,规范设备检修流程。
缺陷库:通过对设备故障原因、故障类型、故障频率、典型故障区域、典型故障场景等多维度分析,形成设备运行缺陷库。
统计分析:对设备接入故障信息进行多维度统计分析,可以按照监控设备部署区域或者运维区域进行故障统计,生成设备故障统计分析报表、图表。
4实现与展望
电网监控设备与网络故障诊断分析技术,已经在新疆电网统一视频监控平台中推广应用,各全疆地州通过巡检功能对本地区设备进行定期全面检测,可以对全疆13地州15000余路视频情况进行定期诊断。
通过电网视频监控设备离线率原因分析、网络通道故障预测和定位、设备检修流程各环节实时跟踪处理,构建视l监控设备和网络运维检修标准化流程、多维度分析运行缺陷库、故障情况实时跟踪和检索机制、历史运行情况多时间维度的统计和分析功能,为后续设备选型、制定标准化网络配置、设备运行情况分析、重点故障区域和故障设备类型制定整改方案等过程提供辅助决策数据。
视频监控设备与网络故障诊断分析技术,对于规模越来越大、业务越来越多、设备越来越复杂的电网系统的安全运行,以及监控平台的运维检修具有较高的实用价值和推广意义,。后续,对于信息通信系统和资源的运维管控,会趋于在统一管控平台上实现,例如网络和通信网管、设备管理系统、运维检修平台等,将会出现一个统一的、协同的运维管控平台。
参考文献:
[1]GuoDongLi,pengFeiJin,KaiLi.ResearchofDelaypredictionBasedonRBFneuralnetwork[J].informatiomtechnologyJournal,2014(3).
[2]高杨.视频质量诊断算法研究与实现[D].沈阳:东北大学,2011.
[3]吴贵达.基于internet的动态网络资源管理―网络故障监控与性能趋势分析[D].西安:西北工业大学,2004.
网络流量监控与分析篇8
关键词:智能开关站、合并单元、智能终端、智能测控装置
中图分类号:S611文献标识码:a
本工程以厂家最新的智能化产品为依托,结合华中网局对湖北省智能化变电站的具体要求,较为完整的形成了湖北省内第一个500kV智能开关站监控系统的设计,目前已经带电运行,效果良好。
葛洲坝水电站曾经是世界上最大的低水头大流量、径流式水电站,至今已投运30余年。自2012年开始进行500kV开关站改造,为简化二次接线,提高设备的利用率和互操作性,本次500kV开关站改造基于ieC61850标准进行设计,将传统开关站改造成统一平台、统一规约、能充分发挥智能化设备优势的智能开关站。而在智能开关站的设计中。涵盖了数据采集、数据传输、数据管理功能的监控系统设计正是其核心部分。
500kV智能开关站监控系统通过智能汇控柜采集开关、刀闸信息;通过合并单元采集Ct、pt信息;通过智能终端实现对开关、刀闸的控制;通过智能测控装置共享各种一次设备信息;通过记录分析仪监测和分析网络状态;通过分层分布式的网络结构来有效传输各种GooSe和mmS报文。
1系统结构
葛洲坝500kV开关站计算机监控系统建立在ieC61850通信技术规范基础上,按分层分布式整站数字化实现开关站内智能电气设备间的信息共享和互操作性。
开关站计算机监控系统网络架构从整体上分为三层:站控层、间隔层和过程层。间隔层将采集和处理后的数据信号,经网络传输到站级监控层。各单元测控装置相互独立,互不影响,功能上不依赖于站控计算机。
站级监控层网络采用100m的双星型以太网。间隔级网络的传输速率需满足系统的实时性要求,采用双星型以太网。间隔级设备到站控层之间的通信采用ieC61850标准。
(1)站控层网络
通过相关网络与站控层其它设备、间隔层网络通信,可传输mmS报文和GooSe报文,站控层网络采用双重化高速以太网结构。
站级控制层包括2台主机兼操作员工作站(配置核心数据加固软件)、1台工程师工作站、2套网关、2台工业级交换机、1台通信工作站、1套时钟同步接收装置(包括1套二级子钟,15套时钟同步扩展装置)、1套网络记录分析仪、1套二次系统安全防护、站控层网络交换机以及其它配套接口设备(包括网络打印机、控制台、音响报警装置、终端延长器、KVm等)。
配置一台葛洲坝电厂监控系统远程终端计算机(nC2000),通过两台工业级交换机和网关连接,以便开关站能够查看整个葛洲坝电厂设备运行状况。
(2)间隔层网络
通过相关网络与本间隔其它设备、其它间隔设备、站控层设备通信,可传输mmS报文和GooSe报文,间隔层网络采用双重化高速以太网结构。
间隔层设备包括各间隔测控装置、公用测控装置以及其他智能接口设备。间隔层设备及过程层智能设备一起组屏安装于GiS室一次设备附近,取代传统的现地汇控柜。
测控装置按间隔配置,每台断路器配置1台测控装置,装于各断路器智能控制柜内;每段母线pt配置1台测控装置,装于公用测控柜内;全站配置2台测控装置用于开关站直流系统、400V站用电、6kV站用电等,单独组一面公用测控柜。
单套测控装置pCS-9821在过程层接入i网,在i、ii网之间增加一台流量控制交换机pCS-9882B,获取ii网相关信息。专用流量控制交换机可有效防止i、ii网发生网络风暴。
另外配备一台6KVSeL保护装置配套用通讯管理机(pmC-1380),用于采集6KVSeL保护及6KV系统相关信息,并通过通信接入6KV公用LCU盘(现地)。通讯管理机安装在公用LCU盘内。
(3)过程层网络
通过相关网络完成间隔层与过程层设备、间隔层设备之间以及过程层设备之间通信,可传输SV和GooSe报文,过程层网络采用双重化高速以太网结构。
过程层设备包括电流电压互感器合并单元、智能终端(或智能操作箱)等,均按双套冗余配置,装于各间隔断路器智能控制柜内。
(4)网络通信介质
主控制室、辅助盘室及GiS二次盘柜室内网络通信介质宜采用超五类屏蔽双绞线;主控制室、辅助盘室至GiS二次盘柜室及户外的通信介质应采用单模铠装光缆,所有户内或户外光缆禁止使用塑料光缆。
(5)通信接口设备
设置2套网关和交换机,用于实现500kV开关站监控系统与大江电厂计算机监控系统及华中网调之间的通信协议转换,应能将500kV开关站监控系统的所有信息上送大江电厂中控室及华中网调,并能接收和执行大江电厂中控室及华中网调下发的操作控制命令。
设置1套通信工作站,实现将站内非数字化智能设备,如直流、UpS及6kV系统等设备进行通信规约转换,通过串口/光纤接入开关站监控系统。接入屏柜应有装设光纤接线盒、配线架等设备,以便配线整齐可靠;要求将所有的非ieC61850标准信息转换为mmS协议。
2计算机监控系统的功能
计算机监控系统的功能将包括但不限于:
1)实时数据采集与处理2)报警处理3)事件顺序记录和事故追忆功能
4)控制功能5)在线统计计算6)画面显示和打印7)时钟同步
8)与远方调度的信息交换9)双机切换10)系统的自诊断和自恢复
11)维护功能12)防误闭锁功能13)遥控选择检同期、检无压功能
14)CVt在线监测功能15)程序化控制功能16)交换机的状态监视功能17)五防操作票系统
3合并单元配置
1)合并单元按间隔配置,应提供足够的输入接口接收本间隔电流互感器的电流信号、电压互感器的电压信号及来自母线电压合并单元的母线电压信号。
2)保护用合并单元按断路器双重化配置,测量用合并单元按断路器单套配置,每个断路器间隔配置3个mU。每个合并单元mU配置足够的ieC61850-9协议及ieC60044-8的Ft3协议的接口及以太网接口(SV网),能同时满足保护、测控、录波、计量等二次设备使用要求。
3)边断路器合并单元(保护单套)的接口分配为:线路保护(或进线)、母线保护、断路器保护、开关间短引线保护、SV组网、安稳1路、备用1路;边断路器合并单元(测量)的接口分配为:测控装置、备用1路;
4)中间断路器合并单元(保护单套)的接口分配为:线路保护、进线保护、断路器保护、上开关间短引线保护、下开关间短引线保护、SV组网、安稳1路、备用1路;中断路器合并单元(测量)的接口分配为:测控装置、备用1路;
5)并联电抗器合并单元的接口分配为:电抗器保护1套、电抗器保护2套、SV组网、备用1路;电抗器合并单元(测量)的接口分配为:测控装置、备用1路;
6)母线电压合并单元(单套)的接口分配为:1#线路mU、2#线路mU、3#线路mU、4#线路mU、5#线路mU、6#线路mU、SV组网、备用2路。
7)合并单元分别装于各间隔断路器智能控制柜内。
4智能终端配置及功能
(1)智能终端配置
1)智能终端按断路器双重化配置,每个智能终端配置足够的以太网接口,按照ieC61850-8-1协议通讯。
2)边断路器智能终端的接口分配为:线路保护、母线保护、断路器保护、电抗器保护、短引线保护、GooSe组网、备用2路;
3)中断路器智能终端的接口分配为:线路保护、进线保护、断路器保护、电抗器保护、上开关间短引线保护、下开关间短引线保护、GooSe组网、备用1路;
4)智能终端分别装于各间隔断路器智能控制柜内。
(2)智能终端功能:1)智能终端应能实现对GiS设备的位置信号采集和监视、模拟量信号采集与显示、远方/就地控制、告警和闭锁、信号及操作事件的记录与上传等一系列功能。
2)智能终端应具有断路器操作箱功能,包含分合闸回路、合后监视、重合闸、操作电源监视和控制回路断线监视、断路器防跳、三相不一致保护及各种压力闭锁功能等功能。
3)接收保护跳合闸命令、测控的手合/手分断路器命令及隔离刀闸、地刀等GooSe命令;输入断路器位置、隔离刀闸及地刀位置、断路器本体信号(含压力低闭锁重合闸等);跳合闸自保持功能;控制回路断线监视、跳合闸压力监视与闭锁功能等;
4)智能终端应具备三跳硬接点输入接口,可灵活配置的保护点对点接口(最大考虑10个)和GooSe网络接口;
5)至少提供两组分相跳闸接点和一组合闸接点;
6)具备对时功能、事件报文记录功能;
7)跳、合闸命令需可靠校验;
8)智能终端的动作时间应不大于7ms;
9)智能终端具备跳/合闸命令输出的监测功能。当智能终端接收到跳闸命令后,应通过GooSe网发出收到跳令的报文;
10)智能终端的告警信息通过GooSe上送。
5基于ieC61850标准的网络通信记录与分析系统
(1)记录分析仪由记录仪和分析系统组成,接入开关站计算机监控系统记录仪通过网络交换机设置的侦听端口和远动专线RS232端口存储记录所有原始通信报文,要求记录仪能够在500kV开关站现场环境下连续至少存储一个月通讯的原始数据,并且不发生死机现象;
(2)记录分析仪要求确保被测试开关站计算机监控系统网络通信正常运行情况下,具备同时存储基于ieC61850自动化系统开关站内网络通信、与大江电厂监控中心和网络通信需要侦听记录点的带时标完整网络通讯报文,通过规约分析系统对记录报文按逻辑通道进行分析。具备故障报文统计定位和应用报文统计定位功能,故障报文分析包括tCp/ip链路建立与中断、报文校验错误、单报文不完整,报文时序错、通信中断和控制过程不完整以及报文与标准规约不符合性错误等;应用报文分析包括初始化、各遥信、遥测、控制、GooSe等报文查询解析定位功能。能够直观显示通信规约整个过程,具备显示分析报文的类型、报文内容,跟随报文给出明确的报文分析结果;能够根据逻辑通道、时间等关键字对报文内容等单个或组合条件进行查询原始记录报文,辅助维护人员分析开关站计算机监控系统站内通讯以及与大江电厂中控室通信中存在的问题。
(3)记录分析仪能够发现开关站计算机监控系统网络通讯故障隐患和帮助对网络通信缺陷及事故的事后分析,通过完整正确记录与分析,正确分析通讯故障而造成的开关站计算机监控系统以及与大江电厂监控中心和调度端自动化系统之间信息误报、漏报、遥控失败等具体原因,完善开关站网络通信信息传送机制,为提高了开关站计算机监控系统安全运行以及对监控系统设备状态评估提供重要的技术手段。
6智能测控装置
智能测控装置具有以下功能:
1)交流量采集及处理功能:通过采集Ct、pt合并单元数字量信号,实现进出线电流、电压、有功功率、无功功率、功率因素及频率等的测量功能。
2)开关量采集及就地报警功能:通过GooSe网络或直接采集开关位置信号、GiS设备故障、报警信号等,并通过智能测控装置就地报警
3)脉冲计数功能:具有出线电度等脉冲量采集功能,包括正向有功电度、反向有功电度、正向无功电度、反向无功电度等。
4)4~20ma模拟量采集功能具有4~20ma模拟量采集功能。
5)遥控输出功能:接收电站计算机监控系统下达的操作命令,实现对有关断路器、刀闸、地刀的分/合操作。
6)就地操作功能:可以通过菜单、模拟屏操作把手及触摸屏三种方式实现对开关、刀闸的就地操作。
7)同期功能
具有断路器同期功能,包括检无压、检同期及退出三种方式。
8)闭锁与连锁功能:实现断路器、隔离开关、接地开关操作的闭锁与连锁,应包括硬接线闭锁和软件逻辑闭锁。
9)GpS对时功能:装置应具有与GpS对时功能,对时脉冲或iRiG-B码从电站计算机监控系统GpS时钟装置获取。
10)通信功能
装置应配置双以太网口,通信速率不小于100mbps。
11)人机接口功能:装置应具有人机接口功能,配置大液晶屏(不小于160*240),能显示电气主接线、断路器/刀闸位置、电气量以及运行、报警信息。
12)装置自检和告警功能:装置应具有自检和告警功能,告警信号通过i/o方式或通信方式送至电站计算机监控系统。
7智能汇控柜
1)每个断路器间隔配置1个现地智能汇控柜,柜内装设本断路器及其两侧的隔离开关、接地开关及相关的进线或出线(含电抗器)隔离开关、接地开关等设备现地控制、监视及与外部电气连接所需的元件。
2)每段母线配置1个现地智能汇控柜。柜内装设本段母线所连接的母线电压互感器及母线快速接地开关等设备现地控制、监视及与外部电气连接所需的元件(包括微型断路器等)。
4)所有GiS设备的远方控制和监视由计算机监控系统站控层计算机完成。现地智能控制柜完成对GiS设备的现地常规监控,并设有与计算机监控系统连接的i/o接口。
5)现地智能汇控柜能够完成GiS所有信息的就地采集、处理等功能,完成对GiS的电气联锁、智能控制(含断路器三相不一致跳闸、储能电机的自动控制、隔离开关及接地开关的操作及驱动等)、就地报警、断路器的分合闸计数等相关功能。
6)每个智能汇控柜面板上设有模拟接线,对本间隔开关设备的运行状态采用指示灯进行清晰的显示。
网络流量监控与分析篇9
结合校园网络实际面临到的问题,我们应借助网络应用层监测技术,使用相关流控设备,做好流量管控,既可让教育公众双网运作顺畅、有限带宽资源得到有效应用,又可提高网络性能。
关键词:Dpi;智能流量管理系统;管理策略
CampusnetworkapplicationLayertrafficmonitoringandFlowControlequipmenttoStudy
taowei-tian
(networkmanagementCenteroftraditionalChinesemedicineinGansu,Lanzhou730000,China)
abstract:withexportsofcampusnetworkbandwidthincreasesandnewapplicationsdevelopment,thetraditionalportandip-basedtrafficmanagementdifficulttomeettherequirements,andhasbroughtvariousproblems.withquantitativeanalysisbasedonnetworkplanningandoptimizationisparticularlyimportantandurgent.
withtheactualfacestothecampusnetwork,weshoulddrawthenetworkapplication-levelmonitoringtechnology,use-relatedflowcontrolequipment,goodflowcontrol,onlytoallowthesmoothoperationofthedualnetworktoeducatethepublic,limitedbandwidth,theeffectiveapplicationofresources,butalsoimprovethenetworkperformance.
Keywords:Dpi;intelligenttrafficmanagementsystem;managementstrategy
随着大学校园上网规模的增加,Bt、p2p、视频下载等应用风行,尽管已经多次升级线路带宽,却发现上网还是卡,带宽还是不够用。各式病毒攻击也伴随而来,更是恼人的问题。使得校园网流量管理变得异常困难,大量带宽被非核心业务占用,而传统的基于端口和ip的流量管理难以满足要求;面对众多的用户及复杂多元的网络应用,给校园网络管理带来很大的威胁,网络管理人员经常遭遇下列问题:网络占用率较高不能查明原因、带宽不足需优化而缺乏统计数据、网络突然中断不能查明原因等、希望获得详细的网络管理报表用来网络优化或升级需要而没有现成资料。
针对上述校园网络实际面临到的问题,我认为追根究底是要做好流量管控,使用应用层流量分析管理技术和产品,即可实现这方面的管理效果,这就需要做到:1)了解网络应用流量监测技术;2)合理的使用流量管理产品。下面,分别就这两方面做以阐述:
1网络应用流量监测原理及办法
我们知道,传统的流量和带宽管理是基于oSiL2~L4层,通过ip包头的五元组(源地址、目的地址、源端口、目的端口以及协议类型)信息进行分析,通常我们称此为“普通报文检测”。“普通报文检测”仅分析ip包的4层以下的内容,通过端口号来识别应用类型。而当前网络上的一些应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络(例如p2p下载软件大多采用动态协商端口机制),此时采用L2~L4层的传统检测方法就无能为力了。
为了识别诸如基于开放端口、随机端口甚至采用加密方式等进行传输的应用类型,网络流量应用识别基本技术Dpi、DFi技术应运而生。也有文献称之为业务识别技术。
1.1网络流量应用识别基本技术
1.1.1Dpi
Dpi全称为“Deeppacketinspection”,称为“深度包检测”。Dpi技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。当ip数据包、tCp或UDp数据流经过基于Dpi技术的流量管理系统时,该系统通过深入读取ip包载荷的内容,来对oSi7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
Dpi技术通常采用如下的数据包分析方法:
传输层端口分析。许多应用使用默认的传输层端口号,例如Http协议使用80端口。
特征字匹配分析。一些应用在应用层协议头,或者应用层负荷中的特定位置中包含特征字段,通过特征字段的识别实现数据包检查、监控和分析。
通信交互过程分析。对多个会话的事务交互过程进行监控分析,包括包长度、发送的包数目等,实现对网络业务的检查、监控和分析。
Dpi技术是达到应用层流控目标的基本方法,通过Dpi技术,把流细分为对应具体的应用流,在分离流量的基础上,定义带宽通道,从而使网络中的流量根据应用各行其道,优化宽带服务,提高网络运行效率和服务品质,保障关键应用,获得更好的用户体验。
Dpi实现应用粒度控制的流程是:识别分析控制报告,其中识别准确度是关键,是评估流控产品的重要指标。
1.1.2DFi
DFi(Deep/DynamicFlowinspection,深度/动态流检测)与Dpi进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFi更关注于网络流量特征的通用性,因此,DFi技术并不对网络流量进行深度的报文检测,而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析,来获取业务类型、业务状态。
2网络流量管理产品
2.1智能管理
早期的网络流量管理方式是在路由器、防火墙或局域网交换机上使用简单的带宽管理或QoS来实现(至今一些单位的简易流控需求仍沿用这种方式),但这种控制方式需要人为干涉,操作复杂,无法做到智能管理,所以不能满足网络管理中复杂策略的精细程度和灵活程度需要。
智能流量管理系统是一款专业的L7应用层流量管理产品,适用于大中型企业、校园网、城域网等流量大、应用复杂的网络化境;通过监控网络流量,分析流量行为,设置流控策略,分时段、按用户、按应用实现流量控制和带宽保障,全面提升带宽利用价值。智能流量管理系统融合了Dpi和DFi两种技术,具有四个显著特征。
1)精确而广泛的应用识别能力:对应用的识别是进行流量控制的基础。智能流量管理系统应用识别库能覆盖各种主流应用,特别是结合国内网络应用的实际情况,提供对迅雷、QQ等本土应用的识别。另外,智能流量管理系统能够对诸如QQ这种具有即时消息、文件传输、音频视频、游戏等多种子协议的网络应用,提供精细化的子应用识别。
2)优异的产品性能及安全性保障:智能流量管理系统对用户网络中的所有流量进行处理,能够承受巨大的流量压力,特别是在配置复杂策略情况下,不会造成设备性能的下降。另外,设备是以串接方式接入用户网络,具有良好的安全性,在设备出现运行断电或异常情况时,能够保障用户业务的畅通。
3)强大的控制能力:智能流量管理系统能够根据用户的实际需求,提供强大而完善的控制手段。通过不同时间段、不同用户、不同网络应用、不同控制动作等条件,实现不同情景下的策略配置。我们知道任何网络流量的使用都和人的因素密不可分,智能流量管理系统能够对用户进行灵活的分类管理,从而使控制策略更加符合实际需要。
4)清晰而全面的信息查询:智能流量管理系统不仅能实现对网络流量的控制,而且能帮助网络管理者对异常问题进行定位,以及通过网络应用现状的分析实现对网络的优化。智能流量管理系统通过柱状图、饼状图、走势图等图表,以及从不同的分析角度,可向用户提供清晰而全面的实时信息查询、历史日志查询、以及自动生成报表等功能。
2.2国内外产品介绍
国外厂商,以CiscoSCe、allot、packteer、Sendvine、aCenet、maxnet。产品特性能好,解决方案和产品成熟,均有用户管理系统(可能为动态ip环境中使用,将用户帐号和流量策略结合来控制流量),除aCenet外,其主流产品功能相对单一,但非常专业。
国内厂商中,比较优秀的有畅讯信通的QQSG、南京信风、宽广、华为SiG、金御等,国内产品适合国情,国内应用的识别率相对国外产品高,存在问题是产品性能宣传强,但实际使用,尤其是在策略较多情况下性能差,个别产品有poS接口(适合部分国内运营商),价格较国外厂商有较大优势,功能较多,但在流量管理领域,属于发展期,不够成熟。
2.3设备的选择
2.3.1硬件技术
流量管理设备硬件技术主要有三种:intelX86架构、aSiC技术和np技术,由于X86架构处理速度相对较慢,单个芯片的可扩展性较差,所以大部分厂家的低端产品采用X86架构,高端产品采用aSiC或np技术,以适用于不同的网络环境需求。
2.3.2工作模式
1)路由模式:通过网关模式串接在用户网络链路中,所有流量都通过网关处理,对内网用户上网行为和数据包实施控制、拦截、流量管理等功能。若将设备作为internet出口网关,设备的防火墙功能保障组织网络安全,nat功能内网用户上网,实现基本的路由功能等。
2)网桥模式:同样串接在用户网络链路中,如同连接在出口网关和内网交换机之间的“智能网线”,对流经流控设备的所有数据流进行控制、拦截、流量管理等操作。网桥模式主要适用于不希望更改网络结构、路由配置、ip配置的用户。
3)旁路模式:即在出换机中配置镜像端口,将流控设备的广域网口同镜像端口相连,实现对内网数据包的监听。
采用旁路模式部署的流控设备,将与交换机的镜像端口相连,部署实施简单,完全不影响原有的网络结构,降低了网络单点故障的发生概率。
2.3.3性能要求
1)应用协议的识别与分类(种类和准确性),流控策略的普适性及长效性;
有些通过应用层特征码来控制p2p的流控策略,如果不能及时更新特征码或特征码变得不可知,就可能导致流控失败,一个近期的例子:Bt通讯协议加密及迅雷通讯协议发生变化导致专门的p2p流控设备失效。好的流控设备不依赖于应用的特征码,因此可以经得起时间及应用软件协议变化的考验。
2)流控策略的全面性
普通设备的只对p2p应用做控制,好的设备对所有流量的带宽、会话数、总流量和应用做控制。由于流量的多样性,单靠一两种策略是不能管理好的,必须实行全面的流控策略才能达到流量管理的目的。
3)看监控对象及流控策略的精细度
好的设备既可以监控出口网关处的流量又可以监控来源网络的流量分布;
普通设备的控制精度只能达到ip一级或网关一级,好的设备可以对每一源ip的不同应用分别做带宽及会话数的控制,而且只有这样才能保障关键应用及其它应用的服务质量以及相同等级用户上网体验的一致性。
4)看流量数据存储及处理方式
好的设备可以将流量数据输出到专门的流量分析工作站,将流量存储、分析、统计、查询功能和流量捕捉功能分开,保证了流量分析设备的运行效率和流量数据存储的可持续性。
5)应尽可能使用性能可靠、管理方便、特别是在有故障时能够自动旁路的设备,避免故障点的出现。
2.4设备优缺点
流控设备不是万能的,还要了解其缺点。
首先,因为它的工作原理和防病毒一样属于事后起作用,所以其优点是精准,其缺点是:1)总有部分(10~30%)流量不可识别,例如ip碎片、加密流量等;2)性能会持续下降,当特征码越来越多时,性能就会越来越低,这种趋势发展到一定程度就会使流控设备成为网络中新的性能瓶颈;3)由于要频繁更新特征码,因此一、设备后期维护难度大,总体拥有成本高;二、对厂家的依赖程度高,厂家停产、倒闭等不可抗力因素使得购买其产品成为一种行为。其次,要区别对待基于应用层的带宽分析技术和控制技术,确定有未知流量的存在对于7层带宽分析技术来说是一种间接的成果,但是对于基于其上的带宽控制技术来说就是现实的噩梦,因为它要先识别再做控制,所以这部分流量永远无法得到有效的控制,当某种未知流量短期内突然增大时,流控措施就会马上失效,例如,08年新版迅雷的快速普及就导致了不少流控设备失效,特别是一些国外的设备。
3总结
综上所述,只有做到网络应用流量监测技术和网络流量管理设备的深入了解,才能针对校园网所面临的问题,选择好适合自己需要的网络流量管理设备,做到“心中有数、有的放矢”。
参考文献:
[1]聂瑞华.基于Dpi技术的校园网络带宽管理[J].计算机技术与发展,2009(4).
[2]马科.业务识别与管理系统和网络流量的管理[J].现代电信科技,2008(4).
网络流量监控与分析篇10
【关键词】全台网监控管理系统开发模式平台架构监控对象监控管理模式
扬州电视台全台网主干平台建成之后,全台网各业务板块成为了有机的整体,在保障全台网安全运行的前提下,有必要对全台网主干平台和各业务板块的运行状态和业务流程进行监管。全台网监控管理系统平台通过与各业务板块交换信息,可以实现对各业务板块的服务器、网络设备、存储设备、应用软件等软硬件资源和设备运行状况的实时监测监控。而各业务板块本身的监控管理系统则负责对各业务板块内部运行状况进行监控管理,在统一的监控管理界面下,实现运行数据的实时收集、归纳、分析以及运行状况实时监控、业务属性管理、系统设置管理等。
一.全台网监控管理系统开发模式
1.通用产品集成和个性化定制开发相结合
根据监控类型的不同,全台网监控管理系统可选择通用产品集成和个性化定制开发相结合模式。各个业务板块的监控管理属于二级监控系统,由各个业务板块采用通用产品集成监控模式,通过接口将核心监控数据汇总提交到一级监控系统。主干平台的监控管理属于一级监控,采用个性化定制开发模式,将各个业务板块提供的数据进行汇总分析,将不同业务板块监控管理进行统一设计和界面集成,以实现统一监控。
2.全台网监控管理平台与第三方网络管理平台整合
全台网监控管理平台应可与第三方网络管理平台实现全面的整合,全台网监控管理系统软件应可与其它系统管理软件实现无缝集成,比如在非编制作系统中,可实现与全台设备管理系统的统一监控管理等,全台网监控管理系统应可以实现通过email、mSn、短信等多种手段,将系统运营数据、故障信息等按照策略发送给相关的管理人员,以简化全台网运营管理,改善网络管理员的工作环境,并可对采集的数据进行统计分析,做到提前预警,提升全台网的整体运营水平。
3.采用B/S模式设计
全台网监控管理系统应用软件应采用基于web技术的B/S模式设计,用户可以在同一个web界面上管理所有的设备。用户可在远端,通过web浏览器连接到控制台,直接进行远程交互控制,无需在被监测服务器等设备上安装监测,监控进程作为服务运行于监测主机上,监视信息平台及其应用的运行状况、发送故障警告、自动生成信息平台性能分析报告等,用户可以通过测览器了解信息平台运行状况、配置系统信息等。
二.全台网监控管理系统平台架构
全台网监控管理系统平台架构采用两级分层监控模式。
1.一级监控
主干平台监控及全台统一监控为一级监控,各业务板块将各自的平台类监控、业务类监控统一汇总至主干平台进行统一监控。一级监控用于实现it基础架构的核心网络和全台网主要业务的监控,可以进行集中部署,一级监控强调业务流程、数据流量的运行监控,以及子网数据汇总后的全台统一的监控数据统计分析等功能,包括对主干平台的eSB服务流程、emB服务流量、数据库服务器、核心层交换机、汇聚层交换机、功能器、核心工作站等的监控。
2.二级监控
业务板块应用系统监控为二级监控,二级监控更强调业务系统内部的软硬件监控,二级监控在各业务系统内部实现,一方面实现对服务器、网络设备、存储设备、应用软件运行情况的实时监控,另一方面收集有关的关键数据,通过Snmp协议和miB管理信息库协议,通过接口将核心监控数据汇总提交到一级监控系统,以实现全台网的集中监控管理,包括对板块中心存储服务器、功能器、以太网交换机、光纤网交换机、各类工作站等的监控。
三.全台网监控管理系统监控对象
1.监控管理对象分类
监控管理对象可分为7个大类型,通过数据汇总实现全台统一的集中监控。(1)主干平台系统软件监控。(2)主干平台基础设备监控。(3)主干平台数据流量监控。(4)主干平台业务运行监控。(5)业务板块基础设备(网络交换设备、服务器设备、工作站设备、存储设备)监控。(6)业务板块内操作系统、数据库系统等系统软件监控。(7)业务板块应用软件监控。
2.业务流程监控管理
是针对业务系统中各种后台服务、后台自动运行软件、应用业务等进行监控管理,业务流程监控内容包括:(1)转码任务、打包任务情况。(2)传输迁移任务监控。(3)归档回迁任务监控。(4)存储空间监控。(5)工作流监控。(6)对流程引擎运行过程中的各种信息进行监控管理,包括服务执行状态监控、异常流程的跳转及中止、流程处理过程跟踪等等,可以查看图形化的流程整体运行情况,也可以查看单个流程实例的运行情况,能实时监控每档节目的制作流程,能自动记录节目制作过程中每个流程的执行人和设备号,以方便故障的查询和排除。
3.数据库监控
是针对各种数据库,包括DB2、oracle、Sybase、informix等进行监控管理,数据库监控内容包括:(1)数据库启动、停止状态。(2)数据库日志告警信息。(3)数据库表、表空间、数据文件等状态。(4)数据库客户端连接数、CpU消耗、磁盘i/o消耗情况。(5)缓冲区命中率、死锁等情况。(6)数据库的状态、性能、事件、可用性等情况。
4.中间件监控
是针对各种中间件系统(mQ、weblogic、webSphere)以及web应用(状态、性能、事件、可用性)等进行监控管理,中间件监控内容包括:(1)中间件启动、停止等运行情况。(2)死信队列(DeadLetterQueue)使用情况,死信队列被用来保存处理失败或者过期的消息。(3)连接池使用情况、客户端连接数情况。(4)重要进程运行状态。(5)交易提交、回滚、超时、响应时间等情况。
5.操作系统监控
是针对各种操作系统包括aiX、Solaris、Hp-UX、Unix、Linux、windows等进行监控管理,操作系统监控内容包括:(1)CpU、内存、交换区的使用率、空闲率。(2)磁盘i/o、网络i/o的繁忙情况。(3)关键进程、僵尸进程、消耗CpU最多的前X个进程。(4)重要文件的大小、属性、校验值、内容关键字监控。(5)文件系统空闲、使用情况、nFS监控等。(6)操作系统性能、事件、可用性。
6.网络监控
是针对各种以太网络及FC网络进行监控管理,网络监控内容包括:(1)FC网络、FC存储阵列、FC交换机。(2)网络拓扑、网络故障、网络性能、端口状态等。(3)各种交换机、服务器、应用终端的状态,各个交换机网络端口的流量。
7.硬件监控
是针对各种服务器相关硬件、存贮相关硬件包括网络、存储、主机等进行监控管理。
8.广电专业基础设备监控
是针对广电专业基础设备进行监控管理,这些设备包括:(1)视音频矩阵。(2)aD/Da、视音频处理模块。(3)时钟同步系统。
四.全台网监控管理软件组成
1.数据采集模块
用于受监控数据的采集,按照不同的采集对象,可有网络、系统、应用、硬件等各种不同的采集模块,可根据不同的应用,配置不同的数据采集模块。
2.配置模块
根据用户定义,可配置不同监控界面和监控模板,包括系统设置、监测配置、流程诊断配置和网络应用拓扑图绘制等模块。
3.用户界面模块
用户可通过用户界面查看系统实时状况、浏览报告,包括:用户整体性能界面、网络应用拓扑图、监控报告等。
4.扩展接口模块
包括开放接口模块、Snmptrap接口模块、数据库接口模块、CrystalReport接口模块等,主要作用是以监控管理系统为平台,扩展特有功能,比如扩展监控数据采集,同时也提供接口,使监控平台与用户自行开发的网管系统或其他公司的网管系统无缝集成。
5.故障管理模块
根据用户预先设定的条件,当故障发生时发送警报至相关人员,让管理员能够及时了解系统发生的故障及其故障原因,通过系统设置,自动恢复系统的正常运作。
五.全台网监控管理软件功能
1.可视性
采用拓扑图可以显示整个全台网的存储网络、设备及其相互关系,设备的图像和链接通过彩色编码显示不同的重要度,深入分析视图能够呈现子图和设备明细。
2.故障管理
基于定期的状态轮询和通知生成事件,根据事件及其重要度生成告警信息,对于异常状况给出声光报警提示,同时还可采用e-mail、短信等远程通知模式通知管理员,以便快速采取措施。
3.性能监控
持续不断地监控所有性能参数并报告设备的可用性、利用率、健康状况及趋势等,相应报表可以保存为pDF格式或打印出来用于参考。
4.wan监控
通过主动监控wan链路和路由器的性能,确保wan链路具备高可用性和优越的性能,通过及早识别性能降级,可以快速解决wan问题并减少故障运行时间。
5.服务器监控
支持对于windows、Linux和Unix等服务器的监控,除了能监控这些服务器上的CpU、内存和磁盘利用率等关键的服务器性能指标,还能对服务、URL、事件日志和流量进行监控。
6.交换机监控
通过对交换机进行不间断的监控,可以有效地管理Lan,可以识别哪个设备与哪个端口相连,哪个端口处于闲置状态,可以利用阈值告警监控端口利用率,检测并预防潜在的广播风暴。
7.windows服务监控
可以远程监控服务器上运行的关键windows服务,如果监控的服务出现问题,可通过e-mail或SmS发出通知并自动重启服务和服务器。支持监控重要的windows服务,通过连续地监控windows事件日志,保障网络安全,免受内部攻击,确保关键windows应用的高可用性。
8.告警
利用网络监控平台的强大告警功能,一旦出现故障就能发出e-mail或SmS告警,或者设置自动问题解决操作来快速修正或解决问题,从而可以降低故障时间。
六.面向业务的监控管理模式
通过使用全台网统一的监控管理系统,采用面向业务的监控管理模式,可以解决全台网高效运维管理问题。
1.机房环境监控
监控内容包括温湿度、漏水检测、空调和UpS运行状态、消防门禁状态、机房所有系统设备的运行状态等,可以记录所有设备的运行参数,当设备参数异常时,能够及时报警并提供处理支持画面,报警方式包括现场多媒体声光报警、网络客户端报警、电话语音报警、手机短信息报警等。
2.业务逻辑视图辅助管理
通过业务逻辑视图建立明确的业务目标,比如oa业务的业务人员能够随时从oa业务的管理视图中了解到业务健康性和可用性,业务逻辑视图可以让管理员及时发现与业务系统相关的各种问题,能够做到提前预警。
3.网络管理和性能监测
(1)网络设备的自动发现、生成当前网络的拓扑结构图。(2)监控网络链路和设备的运行状态,探测故障、判别故障类型并对故障定位,纠正网络故障,保证网络正常运行。(3)监控网络设备性能如CpU利用率、内存利用率、端口利用率,实现主动告警。(4)收集网络运行的统计数据、分析网络流量,对网络结构进行优化以减少网络运行故障等。
4.系统事件管理
为整个系统管理平台提供统一的操作界面,解决网络和系统中发生的各种问题。系统故障或问题管理的内容包括系统硬件、操作系统的重要问题,对管理对象进行故障检测,报告故障类型、严重级别,提供潜在问题报告并建立故障详细情况的日志。系统事件管理还提供事件通知、专家建议和事件分发处理机制。
5.系统性能分析
主要是针对操作系统的性能进行CpU、内存、磁盘空间利用率、交换区利用率等性能数据进行统计和分析,包括资源的使用率统计值和分析、性能事件的捕捉与检测,可以对性能数据进行图形化展示,并生成性能分析报告。
6.数据库系统管理
对数据库系统的性能进行多方面的监测,如数据库进程的状态、表空间的使用情况和i/o的吞吐量、读写缓存的命中率等,并可以对指定的性能指标设定阈值,一旦当性能达到瓶颈时就能执行处理动作并生成报警。