（计算机系统结构专业论文）网络测量方法及体系结构.pdf

摘要 互联网从产7 t - 坌i j 今天，不断发展壮大，具有各种各样复杂的网络应用。因此， 网络测量对于网络管理、规划和发展都具有重要意义。网络测量可以采集网络中 数据包传输的详细信息。根据数据包级的测量数据，我们可以判定网络的特性， 定位网络故障，调整协议或者是理解用户的行为等。 网络测量方法主要有被动测量和主动测量。被动测量是由测量仪观察和记录 网络中一点数据包流量的过程，被动测量设备不会产生任何的数据流量。主动测 量是由测量主机产生的数据包去探测网络并且记录测量数据的过程。 网络业务流量测量的体系结构主要由流量仪、读数器和管理器组成。流量仪 从数据包中收集数据产生流量数据。读数器从流量仪中读取使用数据。管理器通 过向流量仪传送配置数据和规则集从而指定了收集数据的标准，同时规定了读数 器采集流量数据的频率。 通过对网络测量技术的学习，将其应用于工作量测量及网络监控中。首先确 定流量测量及监控的方法，然后进行模块的设计和实现。该系统分别由五个模块 组成，包括测量点的选择、路由器配置、数据采集和存储、数据处理以及数据输 出。逐一实现上述模块，安装调试并投入运行。 关键字：网络测量；被动测量；主动测量；测量体系结构；采样 a b s t r a c t t h ee v o l u t i o no ft h ei n t e r a c th a sb e e na c c o m p a n i e db yt h ed e v e l o p m e n t ，g r o w t h ， a n du s eo faw i d ev a r i e t yo fn e t w o r ka p p l i c a t i o n s i ti si m p o r t a n tt on e t w o r k m a n a g e m e n t n e t w o r kp l a n n i n g a n dn e t w o r k d e v e l o p m e n t n e t w o r k t r a f f i c m e a s u r e m e n tp r o 、，i d e sam e a n st oc o l l e c ta n da n a l y z ed a t ar e g a r d i n gt h eo p e r a t i o n a n dp e r f o r m a n c eo fn e t w o r kp r o t o c o l s w i t hp a c k e t - l e v e lm e a s u r e m e n ti n f o r m a t i o n ，i t i s p o s s i b l e t oh a v ea l li n s i g h ti n t ot h en e t w o r kc h a r a c t e r i z a t i o n ，n e t w o r k t r o u b l e s h o o t i n g ，p r o t o c o ld e b u g g i n g ，o rt h eb e h a v i o ro f a ni n t e r n e tu s e r n e t w o r kt r a f f i cm e a s u r e m e n tm e t h o di sc o n s i s t e do fp a s s i v em e a s u r e m e n ta n d a c t i v em e a s u r e m e n t p a s s i v em e a s u r e m e n tm e t e ri su s e dt oo b s e r v ea n dr e c o r dt h e p a c k e to i lan e t w o r kp o s i t i o n ，w i t h o u ti n j e c t i n ga n yt r a f f i co n t ot h en e t w o r k a c t i v e m e a s u r e m e n th s e sp a c k e tg e n e r a t e db yam e a s u r e m e n td e v i c et op r o b et h ei n t e r a c t a n dm e a s u r ei t sc h a r a c t e r i s t i c s 。 at r a f f i cf l o wm o d e li n c l u d e sm e t e r s ，m e t e rr e a d e r sa n dm a n a g e r s m e t e r sg a t h e r d a t af r o mp a c k e t ss o a st op r o d u c ef l o wd a t a m e t e rr e a d e r sc o l l e c tf l o wd a t af r o m m e t e r s m a n a g e r ss p e c i f yr e a l t i m ed a t ar e d u c t i o nb yd o w n l o a d i n gc o n f i g u r a t i o nd a t a ( c a l l e d 、r u l e s e t s ) t om e t e r s ，w h i l es p e c i f y i n gt h ef r e q u e n c yi n t e r v a la tw h i c hm e t e r r e a d e r sr e a df l o wd a t a 1a p p l i e dt h ew o r k l o a dm e a s u r e m e n ta n dn e t w o r km o n i t o r i n gt oa ni s p s n e “v o r km a n a g e m e n tb ys t u d y i n gn e t w o r km e a s u r e m e n t t h ep r o j e c t sc o n t a i nc h o i c e o fm o n i t o r i n gs i t e s ，c o n f i g u r a t i o no fr o u t e r s ，c o l l e c t i o na n ds t o r a g eo fd a t a ，d a t a p r o c e s s i n ga n do u t p m 。la c c o m p l i s h e dt h ea b o v em o d u l e ，i n s t a l l e da n du p d a t e dt h e s y s t e m ， k e 州 o r d s ：n e t w o r km e a s u r e m e n t ；p a s s i v em e a s u r e m e n t ；a c t i v em e a s u r e m e n t ； m e a s u r ea r c h i t e c t u r e ；s a m p l i n g 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨洼盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的蜕明并表示了谢意。 学位论文作者签名：穆l 绅 签字日期： 矽2 年，2 - 月哆日 学位论文版权使用授权书 本学位论文作者完全了解苤盗盘鲎有关保留、使用学位论文的规定。 特授权墨生盘鲎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：袁j 绛 签字同期：p z 年j 2 月侈日 j 导师签名： 趑媚 签字日期：口2 年f 2 月，日 第一章绪论 第一章绪论 1 1 网络浏量概述 1 1 1 号i 畜 当今时代，互联网谯全球范围内急剥膨胀，业务萃申类繁多，性能不断增强， 互联程度不断加深。随祷网络的复杂程度越来越商，但系统级管理水平却越来越 羝。嚣嚣辩嘲络暇务的译徐主簧还傍整在感觉帮掰能麴爆嚣。掌捶t n t e m e t 瓣行 为是网络规划、网络管理和网络安全、新网络协议设计等诸多研究工作的重疆前 提，瓣筵近年来对大援模互联黼络测簸及蕊能努撬鹣磷究成为本镁域被关注懿热 点。其中网络测避是研究i n t e r n e t 的优先基础。 过去五年中，1 e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 的i p p m ( i n t e m e tp r o t o c o l p e r f o r m a n c em e t r i c s ) 工作组必互联煳约测辍做了很多的工作，拥有众多的 r f c ( r e q u e s tf o rc o m m e n t s ) 和实验草案。另外还裔许多的组织、大学机构致力于 网终溅量鹣磺究。其中主要袁n l a n r 弼( t h e n a t i o n a ll a b o r a t o r yf o ra p p l i e d n e t w o r kr e s e a r c h ) 和c a i d a 2 1 ( c o o p e r a t i v ea s s o c i a t i o nf o ri n t e m e td a t a a n a l y s i s ) 。 n l a n r 韵测= 量和网络分析工作组( m e a s u r e m e n ta n dn e t w o r ka n a l y s i s g r o u p ) 酶鳍标怒描述海往能连接两络( h p c ) 的行为，宙被渤溺量分析醛】和主 动测量分，卡厅【”两个研究堰目组成。被动测璧分析项目，定义了被动包头踪遗文件 格式，用于研究高速环境下测量点工作量状况，提供了一些将踪迹文件和原始数 据转换咸藏疆统净结暴的工其，铡热：t s h 2 a s c ，将封蚓暇痔包头( t i m es e q u e n c e h e a d e r ，t s h ) 转换成a s c i i 格式。主动测蹙分析项目采用全网格结构，即每一 令黢测熹怒够溺试繇套英它患翡结构，测试往运辩闷、篷丢失奉、掇棼结梭等。 n l a n r 侧重于理论研究和分析。与其合作的另个组织是c a i d a ，其主疆宗 旨迢拓展合作溺餮豹范围，掇供网络溺量鹩工具鞠分丰斤，键迸全球互联弼蘩蕃出酶 设计与维护。它提供了众多的测量工具1 2 1 ，例如，c o r a l r e e f 楚实时地从被动网 络靛测器中采集分析数据的软件包，s k i t t e r 是运用主动探测网络的方法来分析拓 扑缝槐积性熊的工具。我国的寒毫大学和嚣安交惩大学瞧在霹络测量方嚣联枣研 究。 1 1 2 网络测量概述 i n t e r n e t 是由复杂的通汛设备和信号组成， # 常难予分析诊断，然恧对其深 入了解是互联网发展的重要部分。 第章绪论 互联网测量的四个主要研究方向是网络拓扑的绘制；工作鬣测量；性能测量； 路出动奁嫂律。 ( 1 ) 网络辅扑的绘制 互联溺中耨的连接隧薅都哥能发生，麸e l 到兜纾接入。这些耱璎瀑缝椽支 持了多种的新技术和产晶，包括实时的音频和视频、远稷教育、视频会议等，以 及多种多样的网络协议。在这样的环境中绘铜网络拓矜怒很困难静。潍i 激躯 s k i t t e r 2 1 是一个动惑发现翱描述全球曩联网拓扑结构的工艇。在豇联网中的指定 路裰采集全球连接信息和r t t ( r o u n dt r i pt i m e ) 值及潞径数据，包括数据包 怎榉从a 端到b 端，距离多长。它从美国潮内的六台救测器出发监测全球燕围 内的3 0 0 0 0 台目的主机”】。 s k i t t e r 发送一系列i c m p 数据氢，为每个数据毽设嚣t t l ( t i m et ol i v e ) 俊， 类似于t r a c e r o u t e 应用。在源到目的路径中的每一跳均消耗t t l 值，并且将t t l 僮等于。鹣数据镪逶掇给源主：辊，并褥这些数据惫丢弃。该工蒸氇分析频率秘路 由转换模式，即什么时候、多久在两台终端之间改变路幽路径。 ( 2 ) 工作鬣测量 工作擞的测蹩需要采集网络中一点的数据流铸息，例如，w 出路如器、交换 机或独立监控设备完成。这些数据可应用于多种分析，例如数据流的应用缎成， 数搬包大小豹分审，数撰包至l 达闲翳瓣勰、性麓、路径妖度等，搜我稍裁够设诗 下一代网络设备和结构。特别值得注意的感数据流矩阵，它是一个表，代表有多 少数据流获指定灞网络漉囱撩定磊静潮络，表遮静信怠辩路出谈计和网络蓥穑斡 投资具有黧大优化作用。 数据流矩阵对子优化网络拓手卜设计或者决定同层路国策略( r o u t ep e e r i n g ) 具有点接的 乍用。嗣屡踞出是指两个同意彼此交换路出信息的自治系统闻的关 舯# 1 2 1 5 1 捌t b 啦e # j 辨啪t 0 l_lil - ib ll l 1 1 。胡 壮抽列魁摊芟殊脒臻鬻燕 i t 瓣湖铀褂盯巅；翱 图卜1 ：美国间其他几个圈家的i p 流羹表 墨钎妒 辩露绪蘧 系。如果数掘流从个围家流向另个国家则形成国家数据流矩阵。对于公菸政 策和国际商业尤为重要。图1 - 1 最示了美国和其他几个豳窳的i p 流量。 作为工 乍爨特性另辨一个例予是数据包大小。数搬包大小分布和到达模式 魏统计霹网终路出琴 l 交换设鍪戆设诗蜇雾誊实疆。交换个数据惫匏藐费巍每个 数摇篷黎每个字萤缀或。工律量馥爨裁纯硬箨霸较释绻擒设计戆福痊蠡潦。竣鞭 研究表嚷，在数攒包大小的分r 蠢中，小数据包占有优羚。4 0 - 4 4 个字节静小数据 包包含了t c p 确认和控制片断，t e l n e t 数据包只包含了一个字符，即t e l n e t 会话 过程中的击键字符。另一方面7 5 的数据包小于5 5 2 宇带”3 。几乎半数的数掘包 是4 0 一4 4 字节：”。 逶道蛰谈娄鏖分褥数据滚熬缀成蕊穰重要懿。痤l 予瓣壤涟路餐稳定，t c p 协议大多携带爨瀛行驹应鼹，铡如w e b ，e - m a i l , n e w s 镣。因此，数据流中平均鸯 9 5 的t c p 字节“。1 ，9 0 的t c p 数据包“”，其余大多数是u d p 数据包和少量的i p v 6 、 i c m p 等数据包。在使用t c p 和u d p 的应用中，w e b 怒占绝对主要的应用，当 客户端和服务器端数糕滚一起统计时，它缀成了7 5 字节移7 0 豹数据包捌。另 终，数蠢滚盘d n s ，s m 四，鞭 莓遨蹙窿焉缀或。s m t p 平筠占瓣5 懿字节和数 据包，f t p 穴翡s 的字节襄离于3 豹数摄包弼。t e l n e t 占据 的数摄惫辩少予 1 的字节 3 1 。 研究表明。太多数的数据流还煨处理型的，例如h t t p ，s m t p ，d n s ，比倦绒 的大数据量传输类型( 侧f t p ) 承泼了很少的数据流。然葡越来越多的多燃体应 瑟，它秘费数据淡叠大，超过了露史l 冀裹懿疰楚丈鼗掇鏊。数努，工终量绞诗砖 予诗费移裁订价嵇貘型蘑洋其霄黧大锋蔫。实际土，i s p 正是鹾_ l l 乏佟舞计费收费 的依据，无沦愁对用户或者是i s p 乏剃结算。最后，对基础设施的投资也撼肖重 要的参考价值。只有更精确的资源消耗和价格模型才能使基础链路的投资跟上需 求的步伐。- 毽是霾嚣工份量涟量技术严熏落鹾予交换技寒，对继续追踪避套流量行必造 成了强大静藤璐。淹蕾硬黉：设蚕静不骶燹蓊，支持豹带宽也不断碧蠡，丽籀应浆 同常监控方案部攥少，即使有也者怒一些研究成果，褥缺乏必要的软硬l 拳擞持。 被动测量必须予以爨多的关注，包掰擞持监控不同的穗撩速度，接口类型的嗣络。 ( 3 ) 性能测撼 性能测量技术道常被羁络工程燎髑米诊粝网络闫趱。魄越雳来分析特定稠络 路径主静滚薰纷强，或普菜个i s p 的靛能。爱瑟戆工数发震趸提供s l a s ( s e r v i c e l e v e la g r e e m e n t s 耀务缀协议) ，确僳指定酌服务缀燕。德楚s l a 仍存在缀太的 争议，首先它没商标准测度，其次没商校正方法。 第一牵绪论 s k i t t e r 工鼹拄前1 l l ：的讨论中用于捅扑测量，同时它也能用于性能测鬣。其中 有一个模块称为s k p l n g ，测量端到端性能。例如延迟和抖动。s k i p i n g 向避端主 枫发送i c m p 晌 越皤求，并且监昕i c m p 的回复，计算链返时间和丢包率。还有 诲多其它毪瑟铡餐王 誊，最浚行熬楚所谓翡“互联弼天气掇卷”( i n t e m e t w e a t h e r r e p o r t s ) 。懑时多数主动溺囊工暴关注硷验厂商翡性穗承诺，餐是餐袁 冬多黪 问题出于没青滔赫的测量工具而无法掷决。在公共蹲搿游础中辨别和定位网络拓 扑的主要部分愚s k i t t e r 的另一项功熊，其它功能还包措：发现性能数据中的周期 性行为；寻找嘲络拓扑中心；发现寅时路出动态规律，以及与被动测量的关糕等。 ( 4 ) 臻囊渤态竣律 分褫奏实戆翌联两路奎孬为对下谯瓣终疆转、较佟其蠢妻蓑鹣赘鍪捺鼹， 通过对宏观路出动惫的观察，使我稍靛够洞悉其内部梳穗，郄中断对其它i s p 的 影响；拓扑变化对| n t e r n e t 性能的撼。响；新路由策略的影响：提高单独网络对搠 塞和拓扑变化的响应能力；辨识揍张赶链路的弱点。 s k i t t e r 寄另外一个功毙，称为s k t r a c e ，致力于从添剥爨麴路径中一个路 圭l 跳、 一令譬蓦出魏豹分橱。舅一令； 褥领蠛具有菲寒强褥鼓术襄致繁禽义，嚣浮绩l p 地址空阕躲使用效率。 总之，网络测登为网络操作者、设计者和研究者提供了一个深入了解聪联网 的窗口。这一领域的发展需要引起擞雾的关注。 1 ，2i n 络测爨方法爱测量采样黼介 在嚣终溅i 嫠磷究过程中，主器采用被羲灞萋亵生动测爨法。工箨羹灞蕊浆愆 被动测量法。性能测量采用主动测撼法。 1 2 1 网络测暇肖法 网络测量方法主簧有被动测蚤薄警勘测量，两种方法替有优缺点，分别适用 子不嚣弱测量鼹麴。 被囊溅量方法楚姨秘络中蕊禁一杰浚集滚量蕊怠，始：交换援、路蠢器藏遗 过一个单独的设籀被动地监听网络链路上的流量来收熊数据。常用形式怒馕粥揲 测器或监测器从交换机或路由器e 感接收集流量信息。徽动测量在网络上不产生 附加流量，不会对网络性能产生影响。 主动测曩方法是为了鉴溅两个指定臻蠡之翻静蚀髓蕊囱霸络中注入流壁嬲 方法。可瑶寒渗辫鼷络蘸簿，在灏篷过程牵产生蓊豹瓣络滚茧。这些流爨媳许是 为了弓 起鼹络潍体豹响应，或鸯愚为了查看网络为流鬣提供服务类型静谯艟。主 动测量增加了网络的负担，另外述浠嚣多个网络部件的参与。 1 2 2 测量采样 莲 第一誊绪论 随着高速网络的蓬勃发展，赢掇对网络流量进行全分组的测量变得越束趟困 难，出于网络中数撼量巨大，使得流懋数据库维护及数豁分析也十分困难。于是 引入了统计采样的方法。第一神采样的方式是固定时删间踊的方式，即周期性采 样鞴：第二静方式是隧祝嚣热采群1 4 j ，采群麓疆是囊羁数髓糗产生。篓三释跫漕 松采群隧，投掇播鼗分书丞鼗生成添撵时惩。渡糖果榉避免了瘸麓性行必，不猫 弓 起同步，是最为理您的采样方式。 1 3 网络测鬣体系结构 网络测量怒个分布式系统，器模块分别盈于网络中的苇同节点，i e t f 焓 密了露络数懿流溯鼙戆箨系蘩秘，魏嚣l 幢嚣汞。毫戆络测量落系结籀孛，盘篱 理器负责整个系绫翡矛常运 亍，特嬲怒在广域藏德撬下。网络涎量役霹流爨彼楚 整个网络测量的核心，它从管理器处获得测量规则，弗对每一个流经测量点的数 据包匹配测量规则，记录匹配结果，锻后把测量结果传邀到读数器。读数器的主 要任务是按照管理器的要求读取数裕。 溪l t 2 ；霓终鼗据漉测量髂系结橡 1 。4 论文课蹶背景 近年来围内互联阀发展迅猛，各个i s p 均致力于捅殿自己的网络覆盏，擞运 萤过程串最童搂的裳求是对网络的渣控和势对羁户搜蠲夔 睾糨应豹 于费。方嚣 鼹络簦控，霹以绦证骚蚤囊量，瑟方嚣遣霹毒筝螽霹络建设蒋鼹终诗费蛇依懿。 对使用量的溅爨避制订合理的徐格模式的依据，可鸯接遮焉于 | 芟费。 作者所做的主要工作如下： 根据需求。遮择工作量测量的方法，设计组成模块。包括测量点的选择、路 出器豹配嚣、数掘采巢、存储，数搬分类汇总，生残讨一赞数据，数据输出。 釜：= = 望篷笙一一 选择网络膝控方法，设计组成模块。包括监控点的滤群，数据采集、存储， 数据输出形式。 实现各功能横块。选择测量点，溅爱路出器、u n i x 服务器，数据库设计， 存德嚣始采集数援，摄撂实嚣熹求生成强。费数器，数撵输凄。 将上述模块安装调试并投入运杼。 6 第_ _ 二章网络删髓方法 第二章网络测量方法 根据不同的标准网络测量可以分为不同方式。 硬 串测量与软 孛测璧。硬馋测爨主要耀于网络滚量分捶，黉要设 专 1 魏 设备用于收集分析数据。软件i 9 1 | l 量主矮采用用户级的工具进行数据包采集。例如 把p d u m p ( s n o o p ) 。 被动测量与j 三动测量。被动测撼不向网络中注入任何数搌流，只是在测量 的网络中残察和酝录数据流量。大多数丽络涮量工兵采用这稀方法。主动测蕊由 测量设备产生的数据包探溅网络并测量性质。p i n g 和t r a c e r o u l e 应赐均能执行主 动测量。 2 。1 被动溯量 被动测量指的是在测量网络过程中没有产生或更改经何网络业务流量。这是 相对于主动测量而言，被动测赞能稳供网络中测薰点的详细信息，例如，精确的 比特或数攒包速率：数攒包对蚓；到达间蹑对闯餐。被动溅量遽过提供双测剿的 数据包组成，也能提供种调试网络应用的方法。 2 1 1 被动溯羹方法蒌零原璎 网络连接 圈2 - i ：被动测爨方法原理 被瑟测量鏊蕊本舔瑾摇胬2 - l 繇示。实俸需簧在三释情流下定义。第一释情 况实体l 代表整个因特网，实体2 代表一台单机。第二种情况实体l 代表外部网 络，实体2 代表肉部局域网。第三种情况魑因特阏的两个部分间的骨干连接。 题个实体闽的业务漉量渡控待么，依赖予系统豹耳挺，也依赖予上述应月特 殊情况。被动测羹有两个主要分类。首先悬实时处理截获的数据，例如统计每秒 镑或每分镑经过l 鑫控嚣鹣字节数。秘瓣于实嚣逶遥箍控器戆数撂量，这些绞诗数 7 繁：二瑟灏络涮餐骞渣 掘量很小。这蝗数据能用予判断愚甭可用带宽被完全利闱，是否已经饱和溅宵很 多突发的流量简峪而需要更大的带僦。第二种被动测撼方法产生文件，篡中包含 菜一羽翱周期脚艇连接点观测到麴垒部蘸部分业务流徽。这些踪迹文 孛可以艨处 理。邃穆砉法免诲疑 亍在实l 重蔽悉不鼹爨蘩魏复杂谤冀。，瞧可菠爨存数鬟淹瀑蓐 分板使蘑。 踪迹分桥非常麓要。踪迹文件包台了数据包头的祷种信息，图2 _ 2 是n l n a r 定义的踪迹文件t s h 格式。3 。由予数掘是后处理，所以必颁记录数据包到蛾时间。 时间标记过程黝精确性直接与踪避文体的精确性有关。时间标记概念形成了被动 溅量孛熬最雅都矜。 。一 0 23 0l23 毒器6 了8 季0l2s45 巷，8 拿垂 窑34 摹嚣78 孽e + 一+ 卜十一+ 一+ 一十一十一十一+ 一+ 一+ 一+ 一十一+ + + 一十一+ 一+ 一+ 一+ + + 一+ - + 一+ ”十m 十一+ 一+ + 叶 0t i m e s t a r m o ( s e c o n d s )l 时间 + 一+ + 一+ 十呻砷一十一+ * 呻“+ 畸一+ 一+ - 一女+ ”十 斗呻- + 一+ 叶叶一十一扣+ 一+ + + + _ + 1 ii n t e r f a c e # t i m e s t a m p ( m i c r o s e c o n d s ) 一一一十叶呻砷 一十“卜卜 一- 牛- e - - f - + - - - 1 - - + 2l v e r s 渤l # ki t y p e 。fs e r v i c e lt o t a ll e n 嚣h l | + 一 一+ 讳一+ ”十”十一十一+ 一一- 十一十一啼+ “十。+ 一+ + + f + 1 + ”牛“_ 叶”+ 。+ + 3i d e n t i f i c a t i o i l i f l a g s ff r a g m e n to f f s e tl + 一+ 一+ 一十一十+ 一十一+ 一+ 一十一+ _ + - + - 十一十一+ 一十+ + - + 一+ 一+ 一+ + p 1 w w 小一+ 一+ 一+ + 叶- 呻 4 i t i m et ol ；v ep r o t o o o lh e a d e ro h e m k s u m i 一十十”十”十“+ 。母。卜+ 一十一一“十”“。 一+ + 1 + ”叶”一蹲+ - + s ； s o u r c ea d d r e s s 1 一+ 一一十一+ 十一一一十一 呻呻 - + 一一噜衅q 8 l 、d e s t i n a t o na d d r e s s l + 一+ 一+ 一十一+ 啼一+ 一+ 一+ 一十一+ 一+ 一+ 一十一十一十一十叶+ + + + 一+ + 一+ - 呻十一+ 一+ 一+ 一+ + + 7 i s o u r c ep o r t b e s t i n a t i a np o r tit c p 斗一+ + 一+ 一+ 一十呻畸一+ + 一+ + 一+ 一十一+ 叶帕+ 一+ 砷呻+ 二+ + + + 一+ w + * 十一一+ 一+ + + # ； s e q u e n o en u 酏e r ； 一一一十一+ 一十。- 一一十一+ 一十十 畸 女一+ p 卜+ + a c k n o m e d g m e n t # “斑e rl + - - + - - p + _ + 一十一十叶一+ + 一+ 一+ 一+ 一十一十一+ 一牛一十+ 讳一+ + 一十一 料- 一+ 一+ 一+ 十+ + i d a t a i u i a i p r f lf 1 0 o f f s e t ir e s e r v e di r i c i s l s i y i w i n d o w j：i 8 k l h i t i h i n li + 一十一。士一呻畸一一一一一，。脚。 。 。弗二枷q 。_ 。h 嚣 譬；t s h 楱式落述文箨 实时分栅溺台商速网络，其中谶接处的数掘量太大 良难存储在内存中溅磺盘 上。这种清况恕发生在上述讨论的笫三种情形中，监控器位于骨干网络中。实时 嚣二攀瓣络弱餐方法 分析适合长期龄控旧络连接，例如数周或数月。但实时甑摭系统不适予深入分析 网络业务流量。 踪迹分褫避蜊备转速度网络。快遵潮络可以保存较小比铡熬数据爨。热型 戆鼗囊子集愚i 瑟蕊输曩毽头。! p 怠头惫含嚣逮鏊蠢爨瓣逢蔻，寻鏊蘩惑黪妖 发巍热载骧释蕊输协谈。蒋赣瑟鼹臻爨数摇龟孛趣食嚣么类型鼹盘务； 包头信息路蛾分析适用于上丽讨论的被动测量方法中的前两种。奁辩一种情 况下不能截获潍接点处的所有数据能，由单一计算机测樽的网络速率要低予猩骨 干链路或网关上的速率。截获全部数搬允许分析网络上蜜际传输前数据，埘爝予 诿试耍魏或数掇滋拣重袭。、 勇一耱截袋熬数据是赛瑾瑟魏头。这簿鼗蠢不麓簇予缓努藜，耋蘩弯孪埝 i p 包头踪迹分槲。 2 1 2 物理屡瓣髀 被动测量臻娩能以多种方式执错。搓设计测试系统附物理接技术有很大的澎 镝。不嚣匏耪骥爨忿产生不嚣楚秘越势蔑拣遥文分辨擞是穰不囊嚣。下鬻挺避 锈蘩不弱戆撼骥麓a t m 霹菇度添。 ( 1 ) a t m 涮懿 异步传输模式( a t m ) 是高速储冗燮换网络。a t m 储觉是小的固定大小的数 据包，出i p 包分解而成。a t m 嫩瀚遮网络( t 5 5 m b i t s 渤2 4 8 8 g b i f f s ) ，a t m 使 弱点到点，垒双王连接。这煮跨鼙个a t m 链接哭恣瓣令主撬翔，每一个墨枫 露育不嚣熬臻经蕊英建主撬蓬接。豢蒋遂a t m 瓣蘩孛，争圭鬟蓉莛一枣a t m 交换，连接雾个a l v l 链揍，其德轰枫袋者是终溃节点戴糟是勇筹薛交换带点。 a t m 龉撒捂； i 决方案如图2 3 所烬。由于每个主机都村一个传输线f i x ) 、糊一 个接收线( r x ) t 为了监控双工连撼，麟控器必需包含两个接收界面。全双工的数 捺流分辑要求瓣个界嚣在缓受剿遮数糖包对，一需要对姆瓣步。麴果不丽玲则滗 法建立瑟个器掰皴骚摹，无凌送行效摄分羲。 2 媛太黼澍餐 以太网怒瞬f i 口使用最广泛的厨城阿技术。基本瓢黼如潜2 - 4 。图中以嫩黼的 测量相对简单。姒太网使用广播摭术，除了发送设备外，赫他设备均能同时猎到 网络上豹业务流鼹( 包括线缆延避) 。监控器需要做黼鼹从网络上捕获每个数 鬟龟，逮录辩麓标记。 蒸嚣憋褰懑爹戆耀缮筵露懿热麓肇簿广蕹系绞。炎了获霉芟离赘整蕤帮夔磐 的安全性，大弗数网络使用网络交换机，使数据包只传送猁舀的地址。网为只宥 目的机器能祷别数据流，所以更繇搬。如果有两对机器灏使用网络，在广措系缆 中他们只能熟啭四用带宽，而交换桃以使每对机器充分利用可用带宽。邋大大 参 繁二霉网络溅鼙方法 提高了以太网性能。只有当多台主机试图向一台目的机器传送数据时，爿+ 可能造 成带宽降低。 餮2 1 3 ：a t m 测爨结稳踅 图2 珥：以太网测量綦率结构 运篓毪震健褴凑溅量变褥圈难。魏巢瓣络滚量不蒋蹩广攒发逮，我筑翔秘簸 控滚量? 存瑟静方法解决这一阕怒。首先，鞋太爵交换祝包含一令端日，撼供氍 有数掘的拷盯 ，但问题是交换机会干扰数据。如果两个数据包的源地址和醋的地 址不同，则可以同时经过交换机倦遴出去。但在交换机的数据拷贝端口，避两个 数弦包只能依次输出，则它们的时间标记产生了误羞。玛一个问题是交换机的速 第一二章网络测量方法 度可能比网线的速度快，交换机会减少向拥挤的端口传送数据，造成踪迹文件丢 包。 2 1 3 被动测量方法实现 被动测量系统时常以某种分析目的而设计，不同类型的分析需要不同的精确 程度。如果耍测量当今互联网的协议混合度，则获得的数据并不严格要求，不需 要精确的时问标记和l o o t e 截获数据包，随机的数据包丢失不会影响统计结果。 ( 1 ) 基于软件测量方法 最简单最快速的被动测量系统是运行u n i x 程序t c p d u m p ，这个程序可在多 种u n i x 系统中运行。它将在指定的网络接口上监听，捕获所有的数据流，记录 所有源自和到达指定接口的数据包，或与某个网络连接相关的t c p 分组。t c p d u m p 能以两种方式运行，或者将截获数据存到文件，或者在屏幕中显示。 基于软件的监控系统需要操作系统内核的支持。在多数操作系统中内核包含 网络堆栈为应用和网卡间提供接口。在通常操作中，产生两种包过滤。首先网卡 只将与这台机器有关的数据包传送到网络堆栈，对于点到点网络系统即为所有数 据包，对于以太网这样的广播系统，则只是数据流量的一小部分。其次，操作 系统内核处理一部分，其它的转送适当的应用处理。 图2 5 显示了u n i x 内核中的网络层。使t c p d u m p 运行的接口是数据包截获 接口，它可通过c 库函数l i b p c a p 存取， 提供了唯一进入踪迹文件的方法。为 了截获所有数据包，需要将网卡设为混杂模式。在这种模式下，网卡将向网络中 所有数据包提供网络堆栈，而不仅是与本地有关的包。这些包通常在内核中将被 丢弃，需要时转发给p c a p 接口。 软件监控解决方案会产生延迟，并且缓冲区的存在减少了时间标记的精确 性，增加了丢包的可能性。首先这些问题发生在硬件层，网卡不可能捕获到网络 上的每一个数据包。通常的应用过程中，丢弃的数据包通过可靠连接的t c p 栈 得到修正。但在监控情况下，数据包的丢失会影响分析的准确性。另一方面，为 了提高性能，网卡会缓冲数据包流，然后中断一次主机，传送一批数据包，而不 是一次一个。这样记录的数据包到达时间不是其实际的到达时间。 软件解决方案主要优点是方便、花费少，不需要硬件投入。适用于数据测量 精度不高的条件下。 ( 2 ) 基于硬件测量方法 硬件解决方案可以解决许多软件方案的缺陷。基于硬件被动测量的一个例子 是o c x m o n 监控器，它通过分光器( o p t i c a ls p l i t t e r ) 打散光纤连接器中的光束， 收集数据包头信息。 第_ 二攀瓣终测鼙方法 硬件方案中同样有许多监控系统运行在用户接口中，并在系统中存储数据。 网卡中运行的时间标记、时钟同步、缓包计数器、业务流过滤传送到主机前，时 划标记要尽可能接避于实际离线时脚。理想状态是数掘镪一到达网卡就立即识录 瓣裁，遗免在嚣缓 孛秘嚣欧。妇暴一个季冗器毒多令接掰粼辩镶嚣步攫重要。翔 莱数据包被两个器蕊截获，必须绦掩辩赫同步。 网e 内梭 睡络纛鞭 卜一 图2 一j ：基于软件的网络监控器配髯 数菇包撼获按舞 硬馋系统孛，氆秘缓、串匿都要捡焱数据毽丢失。设谤趣磐戆系统缝舞袋鹗璜 豹系统丢包数豢。为了傈证测量懿可纛性，在系统串每一个可能丢包瓣点都蘩进 行检验，这包括爝行在主机上控制赂控卡数据传输的存储软件。 监视器中只稃有部分数据，然而软件方案中，操作系统和监测应用程序梭验 所有业务流，然后决定哪些应该保稃。硬件也能完成这项功能，在尽可能晕的测 量点丢弃不必要约数攒包。 硬掌 ；整灞系绞鹃主要缺点蓬成本藏。臻銎藏尧壹专门鬻予瓣络釜控豹疆 警方 案还为数不多。盼j ：费用的限制，硬件靛测系统主要用予离精确度或离速网络中。 2 2 主动测量 主动测量怒在瓣络中弓| 入特臻数据包，著记录这黧数撵怠在嚣络中传送豹 对隧；我翻繁霹l 瓣p i n g 秘t r a c e r o u t e 都蘸焉子主动测爨系统中，下嚣余终麓予 p i n g 的主动测量方法。 2 2 1 基于p i n g 的主动测量方法原璞 1 2 第：帮隧络掰鼙方法 基于p i n g 的j ：动测量方法原理怒使用i c m p 协议，也就是p i n g 命令。向远 端主机发送用户指定大小的数据包，并从远端主机强制邀回响应。代表性工媳是 s l a c 开发的p i n g e r “。在这种测爨方法中，节点的选择尤为重要，如果簧傈 涯测量颓零l 送弦，必矮选择可靠豹溅繁嬉点，要求魏下： 通过主牵a 名谈别可靠、轻受簸、不停机的主机佟必p i n g 的对象。倒翔， 域名服务器，邮件网关，尤其怒具有现代t c p 堆栈的u n i x 主机，不适宜 选择w w w 服务器和路由器。 主机应该肖高度可用性。必修建7 * 2 4 小时开机。在被选为监控主机前， 连续鉴控浚茎李趸几个月，在墓麓茨几个嚣内，其w 到遮率达妥9 8 。 主凌具有u p s 电源。 主机名不能经常更改。并且熙脊一个i p 地址。 - 尽量选择麒：有d n s 别名的主机。 2 2 。2 主动测豢蚋劐度 逶露主动溅爨方法主要测量响蔽辩潮f 往返毫移数，娃痨、丢毫率、确淼辩 间交往、可到运往等。 对于许多t c p 连接来洗，豢倪率是很好的测量迄接质量的标准。骧包率 通常是幽于排队而引起拥寨造成的。也可能悬如于网络传送未完成的数 据包拷贝造成的，出于连接躐网络设备的字节错误造成。 晌应时潮躐往返对朔( r t t ) 羽日与灞点距离有关，霉麓上戆点闻路鸯每一跳鹈筵送。距离影镌霹文光 纤中光遂襁略地表达，即d i s t a n c e ( 0 6 + c ) ，其中c 为光速。则往返时闻r 粗略地袭达如下： r = 2 8 ( d i s t a n c e ( o 6 + c ) + h o p s * d e l a y ) 公式( 2 - 1 ) d i s t a n c e ：灏个节点翊距离 h o p s ： 穗个节点闻路由跳数 d e l a y ：两个节点问路由每一跳的延迟 可到达憾：如果向被测主机发送数据包，在预定的时间间隔内，收到对 方氇邑狻翻嚣确谈，列被测繁蠡穗为霹到达瞧。 可用瞧：给定时闯下，在指定翡时闽闽隔离( 豹等于t ) ，测试盼丢色攀 和往返蜒迟低于预定的极限，则称两个测试主机间的网络可用性。 2 2 3 基于p i n g 的主动测量系统缀成 基于p i n g 的主动测量系统组成撷圈2 - 6 所示。 旃二鞲网络测鬟方法 远端监控站点 监控童机。在此主机上运行p i n g 命令，采集h n g 数据，提供短捌分析 和报告。 存罄分掰站点。萄浚运行谯鼹一个蘸点上。存楼旗点献夔控主瓿激怒粼 静霹潮黼溺采集数据并虽存鹚。为分褥站煮提供存橙数据，可域w e b 兹 形式提供报告。 鬻2 一s ：基予p i n g 籍主魂裁耋系绞缀成 幸 第二章弼络溅鼙蒋系结拇 第三章网络测量体系结构 本章根据不髑的阚络测量层露挺擞了基于网络级的数撂滚测量体系缕梅翻 基于窖户应餍鲍溺缨溺璧箨系嫠秘。 3 。1 基于丽缭缀的数据流溅器体系结梅 基于网络擞的数掘流测量体系结构【7 】由流量仪、读数器及管理器组成，缩构 图如图1 2 。 3 ， ，1 滚塞毂 监务流量溅鹫穰篓酌菝心莛流爨铰。滚塞便霾测缀过潮终土一点静数攥毽并 把它们分类成为菜个组。对每一个逡样的组，流量仅将聚集某些属性，铡如瓣溅 到组的数据包馨妇字节数量。这些被测爨的业务组可以对成于一个用户，个擞机 系统，一个网络，组网络，一个特殊的传输地址，或糟邀些属性的任意缎合等， 馥l 漉塞搜靛配鬻决定。 我稻羲设遮奄两络熬露出器或遵务璧监控莰鹭装备有滚量蔽溅量孵臻流鬟。 蓠先定义监务淡( t r a f f i cf l o w ) 静概念，它逻辑上等徐予一个话路或连谈。熬攥 流是业务流的部分，设定有开始和终止时间。数据流的属性值是数字熊喻，例 如源或目的地址、数据包计数、字节数等等，反映了程开始和终止时间内糙锨的 豢件。一个绘建靛数据流开始对阅魁强定的，筵止黠阕骧数据流教发展磷增长。 鼙予瑟连接辫丽缮漆滚，秘魏糟，逮逮定交无法螽潺我霞一令繁舂怼特 定源，嚣薛遗缝酾数搀包是否是一个数据流静一部分，簿一个数据毽是宠念独立 的。流量仪有一媳规则集。规则集舱够根据数据流的耩憔使判断出需要测激的数 据流；流量仪从观测到的数据包中澈熊属性值，并利用邀魑属性值判定数据包属 于哪个数据流。这种将数据包分类成数据瀛构方法提供了一零巾经济实用的网络测 量方法。 豫了数攥滚秘流壁佼，盘务滚餐= 测量模燮还毽蠹慧瑾嚣、读数器蠢努瓣斑建， 它们之间的褶甄关系如图1 2 。 管理器；流擞测量管理器是一个配跹流量仪并且拣制读数器的应用。崧向流 量仪发送配置命令，管理流量仪和读数器的操作。可以将读数器和管理器燃台程 一个弱终实俸孛。 滚量莰：位子溺鲎节点。校摄瓤麓选择洼建记录辫络孪亍蕊。在数据被存德藤 流量仪可以收寨、转换、预处理记录。被处理和存储的数据称为使用数攒。 读数器：从 芥c 量仪中传送使用信息，提供给分析臌用。 分折应用；处理使用数据，为网络管理提供信息和报告。 第二章嗣络0 1 0 挝体系结构 3 1 2 流量仪与泼数器老问的关系 从流量仪到溪数器之闯传送酶是使用僚怠( u s a g ed a t a ) 。流量仪良数据流记 录排列方式存储披用信息，称为流量表( f l o wt a b l e ) 。读数器w 以多种方式采集 流量仪数攒。例如，可以使用f t p 下载整个流量表，或者每次只读出当前数据 渡过录。读数嚣可以扶一个或多个滤量仪中采集数据，媳可以迮任傍融间采集， 不需要采集同步。 3 1 3 管瓒器与流量俊之间静关系 管理器负责配置和控制一个或多个流量仪。流量仪的配置储息包括数据游l 说 明，例如黧测量哪个数据流，怎样被采集等等；流量仪控制参数，例如，数据流 豹嚣活动瓣闲，始暴在这令嚣寸闼内，没有躞测到莱个数搬漉豹数据包，刘数据滚 被认为结束，成为空闲。 在低遴秘络串，逶鬻蕊褥溪衰羧旗餐。餐在鬻速圈络中，磨予数据量聚大， 测量过程中需要使用拙样方法。 一 一个流量仅可以浠时运行几个努精予不同管瑷器的斌刚集，同时经何管遴器 都可以为一个流蹩仪下裁一组规则集。 3 1 4 管理器与读数器之间的关系 管瑾器受责配置季鞋注翻一个或多个读数器。一个读数器哭对应予一个管理 器。读数器必须知道f 列信息硝能慕集数据： 流餐仪瞧一标谈。例如网络名或地址； 多长时到从流鬟仪中聚集一次使用数据； 要采集哪些数据流、己泶； 要采集数嬷滚邋录魏曝些露瞧蠖； 3 。1 5 多个流量仪或读数器的处理 圈3