IP城域网流量流向分析

1、ip城域网流量流向分析程小芳（四川通信科研规划设计有限责任公司，成都610041）摘要：针对互联网时代运营商宽带网络所面临的挑战，本文提出了 1p城域网流量流向分析方法，从网络 流虽监控关键技术、及关键技术优势及相关应用方向入手，结合电信城域网a现网流量，介绍了ip城域网流量 分析方法、优势，及在互联网时代的应用价值。关键词：ip； flow；流量分析；流向分析1引言随着运营商重组及全业务的经营，宽带垄断经营局面 已被打破，各家运营商网络同质化趋势明显，市场竞争均 渐趋向服务型竞争。互联网业务和各类型押能终端的快进 发展，电信城域网a宽带网络流彊呈宜线増长，网络中爭 载的业务也越來越丰富，而流

2、量增长并未同步带來收入堤 长，基础网络建设陷入“拥塞一扩容一再拥塞”的局面， 为更好的了解网络中的业务，及时学握网络流量特征，以 实现为网络建设提供依据和网络带宽配置最优化，我们启 动了流疑分析及流量本地化课题研究：通过现网流量和业 务的深入分析，总结探索ip网络流量特征、用户行为乏 惯，及网络流彊增长趋势模型；纳入ip网络建设、规划、 维护中得以应用。木文通过对流量的深入分析，了解用户使用行为和习 惯，根据现网流最特征，捉供合理的、科学的网络建设和 规划依据，以提面网络资源利用率和提升客户感知。2网络流量分类及流量流向分析关键 技术2. 1网络流量的分类网络流量按照共包含信息内容的不同可以分

3、为四类：（1）网络节点端口流量：是网络节点设备端口流入 和流出的数据包的信息统计，包括数据包的个数、字节 数、包大小分布、丢包数等非常多的统计信息。监视节点 端口流量的典型工具是mrtg （ multi router traffic grapher）,另外现网许多网管也提供这些功能。mrtg的 功能单一，它使用snmp协议访问网络节点攻取mib信息 （包括网络节端口流量），然后通过web方式输出结果。（2）端到端的ip流量：是在网络层从一个源到一个 h的ip包的统计信息。相对于网络节点端口流量而言，端 到端的ip流量包含了更为丰富的信息，通过对它的分析， 可以了解到网络中的用户都访问了哪些li

4、的网络，是网经 分析、规划、设计和优化的重要依据。目前采用端到端 ip流量的典型工具包括sniffer. flow和流呈探针等， 根据共不同的特点，分别适用于不同范围的流量采集。（3）业务层流量：该流量除了包含端到端ip流量笊 信息外，还包含了第四层（tcp层）的端口信息。显而易 见，它包含了应用服务的种类信息，利用这些信息可以侮 更详细的分析。sniffer、flow和流量探针等工具也映 现了这个层面的流量信息采集。（4）完整的用户业务数据流量：该流量对于安全、性 能等方面的分析非常有效。例如捕捉黑客的来访数据包刖 以制止某些犯罪行为或得到重要的证据。由于捕捉完成笊 用户业务数据需要超强的捕

5、获能力和超高的硬盘存储速反 和容最，需提供长时间的完整的用户业务数据流呈采集。2.2流量流向分析的关键技术在ip网络中，不同的网络分析技术可以实现不同的分 析目标需求。日常的网络分析需求可以大至分为：网络故 障分析、网络质量分析、网络流量流向分析、网络应用分 析。网络故障分析、质量分析主耍是针对网络设备及性链 的分析，通过分种分析技术保障网络的正常运行。网络流 量流向、应用分析主要是针对网络中承载的流量进行分 析，获得各种分析数拥，如流量构成情况、流向情况等， 用于日常网络分析、优化。本节将主要对流量流向分析技 术进行介绍。网络中流量流向分析是一个热点问题，通过流量流向分析，可以得到网络流量的

6、发展趋势，发现网络中存在笊 瓶颈，及时进行网络优化调整。网络流向分析主要是通过 一些数据包采集技术，如sniffer. flow、硕件探钊 等，检测出网络设备中数据流的流向信息。由于网络带说 的快速增长，sniffer及硬件探针技术已不能满足网络咔 带宽的需求，h前骨干网屮常用的分析技术为flow方式（如思科的netflow）。n etfolw的工作原理：netflow利用标准的交挨 模式处理数据流的每一个ip包数据，生成netflow线 存，随后同样的数据某于缓存信息在同一个数据流中进行 传输，不再匹配相关的访问控制等策略，netflow缓有 同时包含了随后数据流的统计信息。当在一个接口上配

7、置 netflow时，这个接口就不再使用其他的交换模式。 netflow收集器从路由器或都交换机等n etflow源设 备采集原始的数据流信息，然后发送给netflow分析峑 进行汇总的统计分析，生产报表结果等。而且，利托 netflow交换,可以把数据输出到一个远端工作站，以 便进一步处理。netflow工作原理图如图1所示。统计査询图1 netflow工作原理示愆图一个netflow流定义为在一个源ip地址和目的ip地 址间传输的单向数据包流。通过7个字段（field）识别一 个流：源ip地址、11的ip地址、源端口、11的端口、协议 类型、服务类型及路由器的输入（input）接口。当收到

8、一 个数据包，路由器将查询这7个字段以决定，如果数据包 属于已冇的流，相应流增加统计，否则创建一个新的流。基于flow的网络流量分析，h前可以实现流量流向矩 阵、topn与基线的分析方法。流戢流向矩阵是根据物理 拓扑模式描述正常“网络活动的模型”；通过分析模型屮 的所冇流量构成，可以计算出当时网络屮各链路的流 量、流向情况。通过这种方法，可以在网络优化前就得到 优化后的流量情况。如通过监测网络中接入层的入流量， 可以获得这些流量访问的流向及相应的流量大小。而根据 传统的对全网的路山i办议的分析可以获得该采集点访问各 个方向时通过链路的信息。结合这两个分析结果，可以得 到该釆集点访问各个方向时所

9、通过链路的流量情况。top n与基线分析的形式是最基木流分析的方式。進 过这种方式可以将注意力放到那些超过阀值的流记录。经 过运用flow监测-段时间的网络流量，建立起一个基于 时间的正常流量模型。该模型対监测网络的各个时间段穴 的各种协议流量建立一个动态流量基线。当某一时段，杲 一协议流量与当前基线不符吋，可以判断网络流量中出js 异常。3流量流向分析应用实践3.1城域网a流量分析方法通过对本城域网a现冇监控手段的分析和长时间数挺 提取、分析，城域网a流量流向采用netflow进行长吋 间监控网络流量，建立了一个基于吋间的正常流量棣 型；宽带用户流量特征采用aaa系统进行长期数据采集 和深入

10、研究，建立了一个基于宽带用户行为特征的流昼 测算模型。本节主耍介绍采用aaa系统实现的各类用户流量特彳if 分析的应用实例。本次用户流量特征分析方法主要包括： 现网数据采集、数据分析、流量测算模型建立、效果验讪 评估等。3. 2城域网a流量测算3.2.1用户流量测算模型城域网a中，主要包括公众宽带用户流量、专线用广 流量、iptv用户流最，通过aaa系统实现这三类业务基 本用户类型的采集分析。公众宽带用户流量和专线用户流量主耍以web、 p2p视频、p2p下载、及时通信、游戏流戢为主；承载于 bras设备。iptv流量分为直播流量和点播流量；承载丁 sr设备。通过城域网affl户分类，城域网a

11、流流量模型如图2所示。公众宽带用户流量测算模型公众用户承载tbras 上，bras上行链路公众宽带入流量为：v公众=e n公点x w公众）x 0l公众i=不同速率模板cr上行链路公众宽带入流量为：v“=en翻xwxolxr；i=不同速率模板或：v=en公众| x wcr公闵x 0l公众；公众宽带用户流址（vq （bras）不同速率公众用户数（n公q不同速率忙时平均带宽（w:q在线集中比（01曲）i 出城域网比例1ptv至区域中心流量专线川尸流垃（匕丿（bras/sr）iptv用户流呈(v iptv)点播命中率（a ）i至pop点流£不同速率专线用户数（n.,q不同速率忙时平均带宽（w

12、u在线集中比（0l专线）iptv用户数（n：）节目频道数（p）节目码率（bw）点播用户在线比（）_）标清频道使用率（a）廿点数童（m）图3宽带用户流量曲线图参数描述获取方式ngbras上不同速率公众用户数通过资源管理系统获得w：枷不同速率公众用户数忙时平均使用带宽可通过aaa, dpi系统采集数据计算获須公众用户在线集中比可通过网管和资源管理系统采集数据计并)'用户流疑出城域网比例可通过网管采集链路流虽计算获得农1公众宽带用户流暈测算模型参数说明参数描述获mx方式nprviiptv用户数通过资源管理系统获得bw,标淸或髙淸节目的码率由节目源提供01心标淸或鬲淸节目频道数虽由节口源提供畀

13、点播用户并发化通过ptv平台采集获得p,用户标淸频道使用率标淸用户为1,高淸用户为高清节口源与 标淸节目源的比值ipop点点播命中率通过iptv平台采集获得m城域网内bras/sr. pop点数虽通过网管、iptv平台采集获得表2iptvjij户流录测算模型参数说明图2城域网a流录模巾图公众宽带用户流戢测算模型参数详细说明见表1所示。 iptv用户流量测算模型iptv用户除少数地市承载于二平面sr上，大部分地 市承载于bras上，所有bras/sr上行链路入流最为：v1ptv=e bwx rx mb,s+e niptvix bwx ojgx p.x （1-a ）i=sd, hd 所有bras/

14、sr至pop量为：vlptv=ebwjxp,xmp-ben1pivxbw,xoluricastx b/ ai=sd, hdiptv用户流尿测算模型参数详细说明见表2所示。 专线用户流量测算模型专线用户承载于bras和sr上，bras/sr卜-联口下行流量为：v=ev,cr上联口下行 流量为：v池二ev, xy 丫 为用户流量出城域网比例m为单个专线用户忙时峰值流量，朋 管实现全省专线用户流量进行采集。3.2.2模型验证通过aaa系统实现监测城域网a宽帝 用户，并提取每类型用户峰值代入模型 中进行测算。从aaa系统现网流量山 线，城域网a流量峰值出现在20点30至 22点，所以本次取值主要是提供

15、这个时页 段上网宽带用户流量，宽带用户流量i# 线如图3所示。抽样1台bras-周釆样数据分析见表3所列。注：此台bras上仅承载了公众宽带用户；所以无法对 iptv业务进行验证。利用抽样bras的采样数据，计算城域网a 4月出口 流量如表4所示。根据aaa对单台宽带用户采样数据，计算获取的城场 网a流量现状，与网管采集数据基本吻合，误差在5%以 内。说明该测试方式是可行的，英中数据取值需在相应系 统进行长期跟踪、优化。目前流量流向分析方式种类较少，我们在流量流向分 析方面也只是进行了初步尝试工，并在木文中做了简要介 绍。随着流量流向需求的紧迫及技术的发展，相信将会有 更多的方法涌现，使流量流

16、向能在网络建设、规划及维廿 中发挥更大的作用。4结朿语随着网络技术的迅速发展，业务种类的增加，各类分 析需求也会不断扩大，将会对网络分析提出新的要求。只 有对分析方法不断创新，通过各种有效手段，才能充分挖 掘网络的潜力、利用网络资源，为网络建设优化提供依 据，从而捉高企业竞争力。参考文献1 white paper netflow services an（ appl icat. i ons: hl t p: /ww. cisco com/warp/pub lie/ cc/pd/iosw/ioft/netflet/tech/napps_wp him2 杜鑫，杨英杰，常徳显.基于特征分布分析笊 网络

17、流最监测系统计算机工程,2009.3 谢喜秋，梁洁，彭巍.网络流屋采集工具的分 析和比较计算机工程，2001农3 bras -周采样数据表日期用户类型用户占比 （市场）忙时平均使用 带宽/kbps（计算）放号用户数 （资源）在线总用户数 （aaa）在线集中比 （计算）bras 出 口 流fi/gbps（汁算）bras 出 口wr4月17日心以下40%254710155120172%14. 114.34m （含）-8m52%2808m （含）以上8%3544月18日4m以下40%247710154927169%13.613.81m （含）-8m52%2798m （含）以上8%4074月19日以下40%250710155169873%14. 114.24m （含）-8m52%2718m （含）以上8%3974月20日4m以下10%254710155333275%15.015.34m （含）-8m52%2848m （含）以上8%4084月21日41!以下40%255710155282274%15.015.34m （含）-8m52%2888m （含）以上8%4044月22日4m以下10%250710155232574%14.014. 14m （含）-8m52%261