三种采集技术实现网络流量分析

　　所谓网络流量分析，是指通过一定的技术手段，实时监测用户网络七层结构中各层的流量分布，进行协议、流量的综合分析，从而有效的发现、预防网络流量和应用上的瓶颈，为网络性能的优化提供依据。

　　通过流量分析帮助管理人员了解到网络中哪个用户正在大量的下载或者上传数据，判定出网络中是哪个用户在占用了大量的带宽，是由于哪个用户造成了网络的缓慢。

　　通过流量分析管理，可以使网络管理人员掌握网络负载状况，及时发现网络结构的不合理，或是网络性能瓶颈，根据网内应用及不同业务使用情况，为用户提供高品质的网络服务，避免了网络带宽和服务器瓶颈问题。

　　通过流量分析管理，可以使网络管理人员快速掌握网络流量的实时状况，网内应用及不同业务在不同的时间段的使用情况，快速展示某个时间段内的流量概况，帮助管理人员分析网络流量的忙闲时。

　　网络流量分析的实现技术？

　　目前市面上的网络流量分析软件很多，但是实现方式大致分为三类，通过这三种网络流量分析的采集技术，来实现网络流量的分析。

　　1、网卡的混杂模式就是指网卡能接受所有通过它的数据流，不管是什么格式，什么地址的。具体的地址转发则是在接受到数据后由MAC层来进行。通过网卡的混杂模式，可以接收网络中所有的数据流，接收到后进行处理分析。

　　2、端口镜像（Port mirroring），也叫做端口扫描或端口监控功能，是在很多管理型交换机中的一个功能，其被用在一个网络交换机上来发送所有分组的拷贝，在一个交换机端口查看来监控在另一个交换机端口的网络连接。也就是把所有的交换机端口的数据，都拷贝一份到这个端口上，所有的数据都进行采集。

　　3、通过协议如netflow或者netstream等。

　　根据需求和采集技术特点选择

　　上述的三种技术，各有各的优点和缺点，其中的网络混杂模式，主要用于一个比较小的网络中，一般一个小的局域网内使用，比如网吧等，通过这种技术实现的软件比较多，如果sniffer等。缺点也很明显，就是对网络带宽的占用比较大。建议在非关键性的小网络中使用。

　　另外一种通过端口镜像实现，特点是通过交换机来实现，缺点也比较明显，就是所有的端口的数据都要拷贝一份给监控端口，增加了交换机的负担，比较严重的影响交换机的性能。一般在公司网络的出口交换机上使用，比如监控公司中人员的互联网连接等。

　　第三种通过思科的netflow协议或者华为的netstream协议，特点是占用网络带宽最小，切采集的数据最全，一般用在比较大的企业网络中，原理就是交换机本身将通过的数据计数，而不做数据的拷贝。这样，就大大降低了交换机的负担。市面上的软件也比较多，比较重要的厂商如摩卡软件等。下面以摩卡软件的NTA软件来举例说明网络流量分析的功能。

　　摩卡软件网络流量分析的优势

　　摩卡软件在行业内具有十年的IT运维管理经验，摩卡软件在全国超过23家的大客户现场积累了深厚的应用平台运维管理经验，其中对于网络流量监控的优势在于：

　　支持协议种类多：从思科的netflow到华为的netstream，到IPFIX、sflow等都支持。

　　表 支持协议种类多

　　适用的范围比较广：从宏观上监控整个网络中的流量，从二层到七层，所有的流量的情况。

图一 适用范围广

　　支持自定义的应用的监控：软件支持自定义的网络应用的监控。

　　友好的用户界面：从用户的界面出发，更容易读懂和使用。

图二 用户界面