ROMN

RMON 是简单网络管理协议

( SNM P: Simp le Network M anagement Pro toco l ) 网络管理架构中的一部

分 , 是一系列远程网络监控 M IB (Management Information Base) 的统称。其中 RMON

21用于管理物理层

和链路层的信息 , RMON

22 用于管理网络层和应用层的信息 , 为分析应用层以上的行为特征提供数

据

[ 6 ]

。

RMON 分成多个组。RMON

21用于流量采集的分组是 filter和 cap ture。通过它们 , RMON 设备可检

查每个数据帧 (链路层 ) 的帧头、 IP头或者载荷中的特征字符串 , 然后把符合条件的数据帧放进缓存。
管理员可以通过 SNMP GET操作读取捕获的数据帧。可见 RMON提供的信息非常丰富。

RMON

22用于流量采集的分组有 p rotocolD ir, alHost和 alMatrix。管理员通过这 3个分组可掌握某种

业务流量中的 IP地址及其进出的数据包数和字节数 , 也可掌握某种业务流量中的会话记录 (源 /目的地
址对 ) , 包括每个会话所交换的数据包数和字节数。由于 RMON

22需先定义每种应用协议 , 再分析这些

应用流量中的 IP地址及相应的使用量 , 所以 RMON

22不能发现数据流中的新应用。

xFlow

xFlow是以流为单位输出流量信息的技术。基于流汇聚流量信息 , 使 xFlow 的数据量比 RMON

21小

很多 ; 携带路由信息 , 又使 xFlow的信息量比 RMON

22大。xFlow的典型代表是 Cisco的 NetFlow。

N etFlow对流的定义包括 7个关键元素 : 输入接口、源 IP地址、目的 IP地址、协议号、源端口号、

目的端口号和 ToS。其中输入接口指数据包流进网络设备的接口 , 其他 6个元素都是 IP包的相关字段。

NetFlow把有 7个相同关键元素的所有数据包理解成同一个流 , 并为每个流建立记录 , 统计流量信息。

不同版本的 NetFlow, 其输出结果也不一样。以最常用的 NetFlow v5为例 , 在它所输出的流记录中 ,

除了 7个关键元素外 , 还包括时间信息、路由信息和流量信息等。时间信息 : 流的起始时间和终止时
间 ; 流量信息 : 总包数和总字节数 ; 路由信息 : 下一跳地址、源自治域 (AS : Autonomous System )
号、目的 AS号、源 IP地址掩码和目的 IP地址掩码

[ 7 ]

。

N etFlow除了通过用户数据协议

(UD P: U ser D atagram Protocol) 包输出以上流信息外 , 还可通过

Telnet等方式提供所有数据包包长在各个长度区间中的分布比例 , 也可提供各种协议的总流数、流 / s、

包 / s、包 /流、持续时长 /流、字节 /包等统计信息。

　探针

RMON 和 NetFlow都内嵌于设备 , 它们的实施效果视设备的支持程度而异。但探针则是独立于网络

设备而存在 , 直接从通信链路中采集流量。

探针可捕获整个数据包 , 信息量最为完整。但由于探针独立于网络设备工作 , 所以没有路由的信

息 , 缺乏对网络的整体视图。

探针主要采用深度报文检测 (DP I: Deep Packet Inspection) 技术使应用程序通信管理设备能深入分

析传输控制协议 ( TCP: Transm ission Control Protocol) 或 UDP通信流量的内容。当 IP数据包、 TCP数
据流或 UDP包经过设备时 , 不但对 TCP / IP等传统的五元组的方式进行分析 , 同时对报文载荷进行分
析 , 所以可有效地剔除因隧道、加密等方式伪造各位业务的情况

[ 8

～

12 ]

。

目前探针主要有两种组网方式 : 串接和旁挂。串接方式是在链路中直接串接探针 , 以达到采集和控

制流量的目的。旁挂方式是通过在旁路检测模式下发送伪装的干扰数据包控制各种连接 , 从而达到限制
流量的目的。

串接方式的控制精度高 , 但可能影响其他应用性能 , 单端口容量受到一定限制。而旁挂方式不会对

整个网络造成任何影响 , 系统可扩展性强 , 但控制精度不如串接方式高。

　三种流量监测方法比较分析

RMON , xFlow和探针各有特点。RMON 采集的信息非常丰富 , 物理层到应用层的信息都可以采集。

xFlow采集的信息涵盖物理层到传输层的大部分信息。探针采集的信息也非常完整 , 包括链路层到应用

层的所有信息。RMON , xFlow和探针的信息采集范围如图 1所示。