所謂網(wǎng)絡(luò)流量分析，是指通過(guò)一定的技術(shù)手段，實(shí)時(shí)監(jiān)測(cè)用戶網(wǎng)絡(luò)七層結(jié)構(gòu)中各層的流量分布，進(jìn)行協(xié)議、流量的綜合分析，從而有效的發(fā)現(xiàn)、預(yù)防網(wǎng)絡(luò)流量和應(yīng)用上的瓶頸，為網(wǎng)絡(luò)性能的優(yōu)化提供依據(jù)。

通過(guò)流量分析幫助管理人員了解到網(wǎng)絡(luò)中哪個(gè)用戶正在大量的下載或者上傳數(shù)據(jù)，判定出網(wǎng)絡(luò)中是哪個(gè)用戶在占用了大量的帶寬，是由于哪個(gè)用戶造成了網(wǎng)絡(luò)的緩慢。

通過(guò)流量分析管理，可以使網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)負(fù)載狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，根據(jù)網(wǎng)內(nèi)應(yīng)用及不同業(yè)務(wù)使用情況，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問(wèn)題。

通過(guò)流量分析管理，可以使網(wǎng)絡(luò)管理人員快速掌握網(wǎng)絡(luò)流量的實(shí)時(shí)狀況，網(wǎng)內(nèi)應(yīng)用及不同業(yè)務(wù)在不同的時(shí)間段的使用情況，快速展示某個(gè)時(shí)間段內(nèi)的流量概況，幫助管理人員分析網(wǎng)絡(luò)流量的忙閑時(shí)。

網(wǎng)絡(luò)流量分析的實(shí)現(xiàn)技術(shù)？

目前市面上的網(wǎng)絡(luò)流量分析軟件很多，但是實(shí)現(xiàn)方式大致分為三類，通過(guò)這三種網(wǎng)絡(luò)流量分析的采集技術(shù)，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)流量的分析。

1、網(wǎng)卡的混雜模式就是指網(wǎng)卡能接受所有通過(guò)它的數(shù)據(jù)流，不管是什么格式，什么地址的。具體的地址轉(zhuǎn)發(fā)則是在接受到數(shù)據(jù)后由MAC層來(lái)進(jìn)行。通過(guò)網(wǎng)卡的混雜模式，可以接收網(wǎng)絡(luò)中所有的數(shù)據(jù)流，接收到后進(jìn)行處理分析。

2、端口鏡像（Port mirroring），也叫做端口掃描或端口監(jiān)控功能，是在很多管理型交換機(jī)中的一個(gè)功能，其被用在一個(gè)網(wǎng)絡(luò)交換機(jī)上來(lái)發(fā)送所有分組的拷貝，在一個(gè)交換機(jī)端口查看來(lái)監(jiān)控在另一個(gè)交換機(jī)端口的網(wǎng)絡(luò)連接。也就是把所有的交換機(jī)端口的數(shù)據(jù)，都拷貝一份到這個(gè)端口上，所有的數(shù)據(jù)都進(jìn)行采集。

3、通過(guò)協(xié)議如netflow或者netstream等。

根據(jù)需求和采集技術(shù)特點(diǎn)選擇

上述的三種技術(shù)，各有各的優(yōu)點(diǎn)和缺點(diǎn)，其中的網(wǎng)絡(luò)混雜模式，主要用于一個(gè)比較小的網(wǎng)絡(luò)中，一般一個(gè)小的局域網(wǎng)內(nèi)使用，比如網(wǎng)吧等，通過(guò)這種技術(shù)實(shí)現(xiàn)的軟件比較多，如果sniffer等。缺點(diǎn)也很明顯，就是對(duì)網(wǎng)絡(luò)帶寬的占用比較大。建議在非關(guān)鍵性的小網(wǎng)絡(luò)中使用。

另外一種通過(guò)端口鏡像實(shí)現(xiàn)，特點(diǎn)是通過(guò)交換機(jī)來(lái)實(shí)現(xiàn)，缺點(diǎn)也比較明顯，就是所有的端口的數(shù)據(jù)都要拷貝一份給監(jiān)控端口，增加了交換機(jī)的負(fù)擔(dān)，比較嚴(yán)重的影響交換機(jī)的性能。一般在公司網(wǎng)絡(luò)的出口交換機(jī)上使用，比如監(jiān)控公司中人員的互聯(lián)網(wǎng)連接等。

第三種通過(guò)思科的netflow協(xié)議或者華為的netstream協(xié)議，特點(diǎn)是占用網(wǎng)絡(luò)帶寬最小，切采集的數(shù)據(jù)最全，一般用在比較大的企業(yè)網(wǎng)絡(luò)中，原理就是交換機(jī)本身將通過(guò)的數(shù)據(jù)計(jì)數(shù)，而不做數(shù)據(jù)的拷貝。這樣，就大大降低了交換機(jī)的負(fù)擔(dān)。市面上的軟件也比較多，比較重要的廠商如摩卡軟件等。下面以摩卡軟件的NTA軟件來(lái)舉例說(shuō)明網(wǎng)絡(luò)流量分析的功能。

摩卡軟件網(wǎng)絡(luò)流量分析的優(yōu)勢(shì)

摩卡軟件在行業(yè)內(nèi)具有十年的IT運(yùn)維管理經(jīng)驗(yàn)，摩卡軟件在全國(guó)超過(guò)23家的大客戶現(xiàn)場(chǎng)積累了深厚的應(yīng)用平臺(tái)運(yùn)維管理經(jīng)驗(yàn)，其中對(duì)于網(wǎng)絡(luò)流量監(jiān)控的優(yōu)勢(shì)在于：

支持協(xié)議種類多：從思科的netflow到華為的netstream，到IPFIX、sflow等都支持。

Flow名稱	代表廠商	主要版本	備注
NetFlow	Cisco	V1、V5、V7、V8、V9	應(yīng)用最廣
CFlowd	Juniper	V5、V8	廠商跟進(jìn)力度不高
sFlow	Foundry、HP、Alcatel、NEC、Extreme等	V4、V5	實(shí)時(shí)性較強(qiáng)，具備突出的第二~七層信息描述能力
NetStream	華為	V5、V8、V9	與NetFlow較為類似
IPFIX	IETF標(biāo)準(zhǔn)規(guī)范	RFC 3917	以NetFlow V9為藍(lán)本

適用的范圍比較廣：從宏觀上監(jiān)控整個(gè)網(wǎng)絡(luò)中的流量，從二層到七層，所有的流量的情況。

圖1

支持自定義的應(yīng)用的監(jiān)控：軟件支持自定義的網(wǎng)絡(luò)應(yīng)用的監(jiān)控。

友好的用戶界面：從用戶的界面出發(fā)，更容易讀懂和使用。

圖2