关键字 网络流量 流量采集 NetFlow
对于一个有效的网络管理系统来说，管理功能的实现都 或多或少的依赖于网络流量信息的获取。因此网络流量信息 采集可以说是网络管理系统得以实现的核心。无论是流量费 用统计还是用来分析、预测网络运行状况，对于原始数据的 可靠性和完整性的要求都是比较高的。使用一种较为合理的 网络流量采集技术，不仅使所采集的原始数据较为准确、完 整，而且对网络上相关设备的影响较小。目前有 4 种常用的 方法用于网络流量数据的采集分析：
为了同时保证静态数据的完整性和机密性，可以先对保 护对象进行加密处理，然后同样按照上述方式对其完整性进 行保护。为此，保护系统只需要增加相应的加密/解密子系统 即可。
参考文献
[1]张千里,陈光英.《网络安全新技术》.北京：人民邮 电出版社，2003 年
[2]李克洪,王大玲,董晓梅.《实用密码学与计算机数据 安全》.沈阳：东北大学出版社，1997 年
(1)基于侦听网络数据包的包分析模式； (2)基于路由器 MIB 库的 SNMP 代理模式； (3)基于安插网络探针（PROBE）技术的 IP 流量数据捕获 形式； (4)基于网络数据流(NETFLOW)技术的数据流捕获形式。 前两种是比较传统的方法。基于侦听网络数据包的包分析模 式的优点是：容易实现。缺点是：a.工作站设备的浪费；b 增加网络的故障点,c.只能得到有关网络流量大小的信息，但 是无法提供流量中有关应用类型的信息。基于 SNMP 的网络信 息采集系统的优点是：可以有效地解决包监听模式的缺点。 缺点：a.采集的网络流量数据没有经过任何处理，因此对数 据采集数据库的性能要求很高，相应的对机器硬盘空间的要 求也很高；b.对网络带宽造成一定的损耗;c.对路由器的 CPU 和内存资源占用较大；d.由于记录很多，因此选择一个好的 采集间隔就比较困难，而且随着网络使用情况的变化，该间 隔可能会不适用，从而导致数据的丢失。第三种技术出现较 晚，虽然技术先进，但由于其实现依赖于固定厂家的专有设 备，故具有一定的限制性。 下面介绍一种新的网络流量数据采集方法，也就是基于 网络数据流技术的数据流捕获形式。它可以有效地解决传统 采集方式中存在的缺点，并且提高网络使用的效率，减轻路 由器的负载情况，也就是在路由器上配置 NetFlow，通过配 置的 NetFlow 数据输出 UDP 来进行网络信息采集。
护中输出，应该在配置模式下使用如下的操作：
任务
命令
第一步，把 NetFlow 高速缓 Ip flow-export ip-address
存条目输出到工作站
udp-port[version 1]
第二步，配置 NetFlow 发送 ipflow-export
信息的版本(1/5),如果你 version{1|5[origin-as|pe 使用接收软件采用版本 5。 er-as]}
第三步，配置 NetFlow 所使 ip flow-export source 用 的 源 接 口 以 指 定 输 出 interface
NetFlow 数据的源
2.3 管理 NetFlow 交换统计数据 用于显示或者清除 NetFlow 交换的统计数据。NetFlow
的统计数据包括 IP 包的大小、IP 流的交换缓存信息、以及
2.2 配置 NetFlow 数据输出
Netflow 交换信息可以输出到网络管理应用程序中，为
了在信息流到期时，将 NetFlow 高速缓存中的保留的 NetFlow
交换的统计信息输出到一个工作站。在输出数据时，可以指
定发送的信息的格式版本。 将一个 NetFlow 流的交换统计数据从 NetFlow 缓存的维
网络天地
计算机与信息技术
·55·
或者网络规划的参考。
参考文献
[1]谢希仁. 计算机网络. 大连理工大学出版社 [2]谭思亮. 监听与隐藏—网络侦听揭秘与数据保护技 术. 求是科技. 人民邮电出版社 [3]何海涛，罗笑南，郭清顺. NetFlow 在边界网流量 采集中的应用.计算机工程与应用 [4]李文印，周国治，张福春. 网络计费系统数据采集
图 1 NetFlow 数据报文 报文头中的版本信息（Version number）来决定如何理 解这些数据报文；记录个数（Record count）字段表明该数 据报文中包含的流信息记录的个数，可以用它来对记录进行 索引；序列号（Sequence number）字段可用来判断 NetFlow 报Байду номын сангаас是否有丢失的情况发生。
网络天地
计算机与信息技术
·53·
网络管理中流量采集技术的应用
牛丽君 郭宇明 朱晓梅
（大连交通大学电气信息学院 大连 116028）
摘 要 对于网络管理员来说，理解网络流量的特性，了解用户的网络行为是网络管理的重要内容，这可以通过网络
流量采集与分析来实现。本文介绍了几种流量采集技术以及各自的优缺点，并重点介绍了网络管理中的 NetFlow 技术的应用。
技术研究.计算机应用
[5]
收稿日期：6 月 23 日
修改日期：7 月 7 日
作者简介：牛丽君（1979—），女，硕士研究生，主要研
究方向：信息与通信系统；郭宇明，男，研究生导师，主要
研究方向：数字信息处理
上接第 52 页 有些时候其机密性也是一个不容忽视的问题。
*可以获得比较详细的信息，利于计费，分析等用途； *可以节省网络带宽和路由器 CPU 资源； *便于集中的统一管理，尤其是适于类似网络中心的单位 使用； *配置简单 但也有一定的缺点： *只能使用在没有配置虚网的接口上； *对硬件平台的配置要求比较高； *不便与分布式的管理。
4 结束语
总的来说，在路由器上配置 NetFlow，好处还是显而易 见的。特别是对于网络流量负荷比较大的网络，可以有效的 节省网络带宽和处理资源，从而减少用户从网络上取得信息 的延迟时间。通过配置 NetFlow，网络管理者还可以方便有 效的对网络流量进行分析、处理以便作为计费或者流量控制
完成 IP 路由器配置后，可以进行以下的配置：
任务
命令
第一步，指定接口，进 Interface type slot/port-
入接口配置模式
adapter（Cisco 7500 系列路由
器）
第二步，指定信息流交 Ip route_cache flow
换
一般，NetFlow 高速缓存的默认大小可以满足需要。然
Ogg 格式比特流逆映射还原为 packets 媒体流，以备播放解 码或以 RTP 封装进行 UDP 传输 。其中间环节是把 page 中的 segment 单元数据按顺序重组为 packet,同样媒体数据在内 存中的复制只有一次，其过程可用三个函数转换来表述： ogg_sync_pageout （ ） Æ ogg_stream_pagein （ ） Æ ogg_stream_packetout（）,媒体数据复制发生在第一个函数 ogg_sync_pageout（）。
flow-cache
目的个数。该条目数可以是 1024 entries number
到 524288。默认值是 65536。
Cisco 建议不要修改 NetFlow 高速缓存条目，对这个功能不
正确的应用会引发网络问题。可以在全局配置模式下利用 no ip
flow-cache entries 返回默认的 NetFlow 高速缓存条目。
的失效时间将 30 个信息流“老化”。如果只剩下一个自由信
息流，那么 NetFlow 就自动老化 30 个信息流，而不考虑这些
信息流的以实际存在的时间是多少。这样做是为了保证总可
以得到自由的信息流条目。
在全局配置的模式下，进行以下操作定制 NetFlow 缓存
的条目数量：
任务
命令
改变 NetFlow 高速缓存中保留的条 Ip
[3]袁津生,吴砚农.《计算机网络安全基础》.北京：人
民邮电出版社，2002 年 [4] [ 以 色 列 ]Oded Goldreich 著 ，《 Foundations of
Cryptography：Basic Tools》，北京：机械工业出版社，2003 年
[5] [美]William Stallings 著,杨明等译.《密码编码 学与网络安全：原理与实践》（第 2 版）.北京：电子工业出 版社，2002 年
[6] 卢开澄著.《计算机密码学——计算机网络中的数据 保密与安全》（第 2 版）.北京：清华大学出版社，1998 年
收稿日期:5 月 25 日 修改日期:6 月 4 日 作者简介：熊小兵，硕士，讲师，主要研究方向：网络 通信与信息安全
上接第 33 页 ogg_stream_packetin()Æogg_stream_pageout()。 将
而还可以增加或减少高速缓存中保留的条数目，来满足信息
流比率的需要。默认只是 64K 流动高速缓存条目，每个高速
缓存条目大约占用 64bytes 的存储空间。假定高速缓存中的
条目数为默认值，那么大概就需要 4MB 的 DRAM。每次从自由
流队列中取走一个新的信息流，就会检查自由流的个数，如
果只剩下几个自由信息流，那么 NetFlow 就试图用一个缩短
2 具体配置
以下内容描述了在路由器上 NetFlow 的配置和维护。
·54·
计算机与信息技术
网络天地
2.1 配置 NetFlow 交换 NetFlow 交换是可用的交换模式之一。当在一个接口上
配置 NetFlow 时，这个接口就不能使用其它的交换模式了。 还有，利用 NetFlow 交换，可以把数据输出到一个远端工作 站，以便进一步处理它们。在一个路由器中，NetFlow 交换 涉及到标识数据包信息流、执行交换和处理访问列表。它不 涉及路由器之间的任何连接设置协议，也不涉及对其它任何 网络设备或端点工作站的连接设置协议。它也不要求对数据 包本身或其它任何网络设备进行任何外部修改。所以， NetFlow 交换对现有的网络，包括端点工作站、应用软件以 及诸如局域网交换机是完全透明的。并且，由于 NetFlow 交 换是在每一个互联网设备上独立运行的，不需要在网络中的 每个路由器中都操作它，网络规划人员可以在路由器/接口的 基础上有选择地激活 NetFlow 交换，从而就可以在特定的网 络位置上进行数据流交换、控制和记账。