網路流量統計分析及其管理意函




蕭漢威、陳年興

國立中山大學電子計算機中心
高雄市鼓山區蓮海路70號
TEL:(07) 5252000 EXT.2511
EMAIL:hwhsaio@cc.nsysu.edu.tw,nschen@cc.nsysu.edu.tw

摘要

網路的發展在近年來持續的成長,如何讓現有有限的頻寬做最好的應用是現今網管工作人員重要的課題,但要能有效的掌握現階段的網路使用情形,網路流量分析是不可或缺的評估項目。本文嘗試由網路傳輸流量來討論南部高屏區網的使用情況,並針對四項較為重要的網路服務, Web、Telnet、Mail 及 Ftp 來討論其在一週內的使用情形。更進而討論五所大學對中山大學相互間的網路使用狀況,希望能藉此讓大家對南部區網的使用的概況有一個較深入的了解。

關鍵字:網路流量、NetFlow、高屏區網、網路管理

一、 緒論

暸解和掌握網路上的使用狀況一直是網路管理者非常關切的問題,因為在目前網路頻寬不足的狀況下,如何對現有的網路做調整和對未來的設備擴充作預估,這些重要的評估都必須在對於現階段網路的使用狀況能有充分了解的基礎上,才能客觀的做出合理的決定。要了解網路狀況最重要的關鍵在於瞭解網路的流量及相關各類網路服務的使用情形。本文是針對高屏區網的流量做一個初步的統計分析,希望能讓大家對高屏區網的網路使用情形有進一步的認識。

中山大學為台灣學術網路南部的高屏區網中心,高雄縣市、屏東縣市及台東、澎湖等網路流量皆經由中山大學與 TANet 的主要幹道相連接,若能由高屏區網中心來對網路上各項服務的資料流量做一個統計分析,則一方面可以了解在南部地區的TANet 使用者整體習性,另一方面則可做為未來下一代網路規劃和改善網路效能之參考依據。

本文希望以時間軸來分析不同網路服務的流量狀況,首先以每一小時的時間區隔來看每日各時段內各項網路服務的使用狀況,藉以初步了解各項網路服務在每天的使用流量,並找出最高和最低的時段,以提供系統管理者做備份、mirror或整理系統的較佳時間。進一步以一日的時間區隔來看一週使用狀況對高屏區的學術網路使用者而言,各項網路服務在一週內的使用情形。其次我們以中山大學校內對台大、清華、中央、交大,成大等校各項網路服務的每週和每日的流量分析,藉以了解中山與各校間的網路使用狀況。

二、 資料收集

對於本文所討論的流量資料,主要是以中山大學高屏區網中心的主要路由器 Cisco 7513 為核心。此台路由器是以 OC3 的介面接上 Cisco Light Stream 1010 ATM Switch 再往北以 DS3 的線路連接成大,為高屏區 TANet 的幹道交換路由的重心(如圖一),所以以此做為收集網路流量分析的資料來源,所能涵蓋的面是高屏地區最廣的,除了能考慮中山大學本身的流量反應外,還能對所有高屏區網下所有各級學校 TANet 的流量做分析。

分析的資料來源主要以 Cisco 所提供的 NetFlow [1,2] 資料為原始資料來源,並以一台 Pentium 133 PC 為收集資料的主機,依每小時為單位將各筆記錄依 IP 和服務的 TCP Port 做分類。最後再依所需要討論的項目來做統計和進一步的分析。

 

圖一 高屏區網架構圖

三、 統計資料

以下我們分三小節來說明網路流量分析情況:3.1 整體網路流量,這是指所有經過路由器(Cisco 7513)的全部網路流量,這些流量反應出一週內每一天的流量分佈,由此可以看出各時段的網路整體使用情況。3.2 是各項網路服務流量分析,這裡分別針對四項較為重要的網路服務 WebTelnetMailFtp 來討論,希望能藉此看出在高屏區網中這四項網路服務的使用情形。3.3 是各校網路流量分析,是針對中山大學和台大、中央、交大、清華、成大之間的WebTelnetMailFtp四項網路服務使用情況來討論。

3.1 整體流量分析

對於每日的流量而言,我們首先著注在於一日之中每小時的流量狀況,我們取樣於 8/31 (星期一)9/6(星期日) 一週內的資料來看。

 

就整體流量來看星期一至星期五的每日反應走勢差不了太多,都是早上610時為流量的最低時段,而高峰則出現在下午或午夜前後而星期六的流量就明顯較平常日少,這應與暑假期間星期六放假有關。而星期日上午611 時是一週內流量最低的時段。

由此可知在高屏區網內若要 Mirror 其他的網站或傳輸大量的資料時最好是利用每日早上 610 時,不但可以平衡網路使用頻寬而且能得到較快的傳輸速度。而若要對較重要的網路伺服器做調整,或是機房的維修則可以利用星期日上午 611 時,因為在這段時間內所造成的影響較小。

 

3.2各項網路服務流量分析

同樣的我們取樣於 8/31 (星期一)9/6(星期日) 一週內的資料對於 WebTelnetMailFtp 等四項服務來看,得到如下之服務流量圖表。

若以這四項網路服務的使用狀況而言,以流量的分佈來看,Ftp Web 是較大的用量,而 Telnet Mail 的服務所造成的流量較小,整體來看大多是每日早上69時是流量較低時,下午和淩晨的流量較大。而這四種網路服務以 Telnet 所造成的流量最為規律,甚至連星期六和星期日也無太大的變化。這點我們可由以下一週內的流量分佈更明顯的看出來。

這裡我們要提出來雖然以流量狀況來看 Telnet 所產生的流量並不會太大,但就Telnet 的封包數目來看會有另一層的考量。如下圖所示。

Telnet 所造成的封包數量非常可觀,因為封包路由的處理是路由器和交換器的重要工作,而網路的效能除了最重要的頻寬外,設備也是重要的關鍵,由此可知我們在評估網路的使用狀況時除了傳輸量外,所產生的封包數也是我們要考量的重點。

 

3.3各校網路流量分析

在這一節中我們將考慮中山校內對台大、中央、交大、清華、成大等五校 WebTelnetMailFtp 等四項服務的流量分佈狀況,各校的流量討論都依原始 IP 和目的 IP 分成兩個部分:由中山流到各校,由各校流進中山的流量。

 

 

 

3.3.1中山對台大

由以上分佈資料來看,中山與台大間的四種網路服務中仍以 Ftp 的網路服務較多,而比較起來由中山流進台大的流量要比台大流進中山明顯的多些,這些應該是因為中山學生使用網路的人數相對於台大使用網路的人口來的少,而所產生的網路服務需求量相對較少的原因。

3.3.2中山對中央

由以上分佈來看,中山到中央和中央到中山間的流量較為平衡,同樣的仍是以 Ftp 的網路服務為最多。但整體來說中山與台大間的傳輸量比中山對中央來的多。

 

 

 

3.3.2中山對交大

9/5 12:00 後交大的機房應在維修,所以由路由器 Cisco 7513)上無法擷取到任何由交大傳出的資料,而由 8/319/4 日的流量來看仍是以 Ftp 的用量在四項服務中最多。

 

3.3.2中山對清華

中山流進清華間的流量除了 Ftp 仍佔大多數外, Mail 相對於各校的使用也較多,而清華流進中山的 Ftp 的使用狀況都較為集中於某些時段。

 

 

 

3.3.2中山對成大

由中山流進成大的網路流量是各校間比較起來最多的,相信這是因為中山所提供的網路服務是較為滿足成大現階段網路需求所造成的。

 

 

四、資料反應之管理意函

由以上的資料來看,高屏區網中心的網路資源使用是以一日來看早上6 10 是傳輸較低的時段,所以若要 Mirror 其他的網站或傳輸大量的資料時最好利用這個時段,一般而言星期一到星期五在下午14時後使用量就逐漸增加一直過了午夜 2 時後就明顯減少,而星期日早上 611 時是一週流量最少時,相信此時應該是最適合做較大規模維修或系統重整的時機。

而在使用的網路服務來看 Ftp Web 為最多,而 Telnet 的使用量在一天甚至一週內都最為規律,但若就封包的數目來看,則 Telnet 的封包數量最多,其次為 Web 。這是因為各種服務所產生的封包大小不同所造成的象現,

另外就中山對台大、中央、交大、清華、成大的流量來看,Ftp 所佔的比例還是遠遠高出其他的各項服務,其中以中山與成大的間流量最多,而由中山流入各校的資料量比各校流入中山的流量明顯的多出許多,這應是與中山學生使用網路的人數與各校相比來的少,造成中山的網路服務需求量,相對於各校要少的多所造成的影響。

五、結論

本文是藉由擷取到的網路流量資料依時間軸做一個簡單的分析,並就 WebTelnetMailFtp等四項較為重要的網路服務做探討,希望能藉此讓大家對南部高屏區網和中山大學的網路使用情形更加的清楚。

探索網路流量相當等於去了解網路上使用者的行為反應,這對了解網路生態環境,並對現有網路資源做最有價值運用的提供了一個重要的指標。不但如此對於未來下一代的網路規劃,現階段網路流量亦是一個重要的參考依據。相關於這方面的研究相信是我們值得努力的方向。

在未來,我們希望能對整個高屏區網做長時間的分析和檢視。對於各項網路服務的成長或減緩做完整的記錄。以利於未來調整網路頻寬的使用分配上做更詳細的依據。更進一步我們希望能用近年來新發展的 Data Mining 的技術能對這些許許多多的各式網路流量做分析和探討,希望能在未來的網管技術上有些進一步的發展。

 

參考文獻:

[1] "NetFlow Switching Developer's Interface" Sep 1996 http://www.cisco.com/warp/public/732/netflow/nfsdi_tc.htm

[2] The interactive online library of product information from Cisco Systems. Feb 1998.