劉紅梅

（電子科技大學(xué)成都學(xué)院，四川 成都 611731）

0 引 言

網(wǎng)絡(luò)功能虛擬化是一種虛擬化技術(shù)，常用于使用軟件解決方案替代傳統(tǒng)網(wǎng)絡(luò)硬件提供的功能。功能虛擬化和軟件定義網(wǎng)絡(luò)都可以使用OpenFlow技術(shù)來實現(xiàn)。軟件定義網(wǎng)絡(luò)將傳統(tǒng)網(wǎng)絡(luò)硬件分為數(shù)據(jù)平面和控制平面兩部分，實現(xiàn)高效的網(wǎng)絡(luò)配置和管理。 網(wǎng)絡(luò)功能虛擬化技術(shù)則將諸如防火墻和負(fù)載平衡等傳統(tǒng)服務(wù)進行虛擬化，從而使服務(wù)提供商能夠動態(tài)地向他們的客戶提供這些服務(wù)。基于網(wǎng)絡(luò)功能虛擬化技術(shù)，本文提出了以一個網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，該系統(tǒng)的實現(xiàn)無須額外的硬件成本。

1 系統(tǒng)結(jié)構(gòu)

在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，流量監(jiān)控系統(tǒng)通常使用物理交換機。在這種環(huán)境下，為了檢索NetFlow數(shù)據(jù)進行分析，物理交換機應(yīng)該能夠支持NetFlow協(xié)議。我們的目標(biāo)是通過使用虛擬化技術(shù)重新建模這個系統(tǒng)架構(gòu)，提高網(wǎng)絡(luò)管理的靈活性。本文提出了一個包含虛擬交換機、OpenFlow控制器和流量測量服務(wù)的網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)。

該系統(tǒng)由三個節(jié)點組成：一個數(shù)據(jù)節(jié)點、一個網(wǎng)絡(luò)節(jié)點和一個網(wǎng)絡(luò)節(jié)點備份。網(wǎng)絡(luò)流量通過虛擬交換機輸入到系統(tǒng)，測量服務(wù)計算流量，將收集到的數(shù)據(jù)通過消息服務(wù)發(fā)送到數(shù)據(jù)節(jié)點。數(shù)據(jù)輸入服務(wù)將數(shù)據(jù)發(fā)送到數(shù)據(jù)庫，當(dāng)數(shù)據(jù)輸入服務(wù)在數(shù)據(jù)中檢測到惡意軟件活動、違反政策、協(xié)議異常、病毒檢測、帶寬異常等問題時，它使用OpenFlow控制器中的應(yīng)用程序接口（API）來控制虛擬交換機。系統(tǒng)的架構(gòu)如圖1所示。網(wǎng)絡(luò)節(jié)點使用消息服務(wù)進行檢查：如果主節(jié)點離線或發(fā)生故障，則由從節(jié)點將替換它。這確保了通過網(wǎng)絡(luò)節(jié)點的Internet接入不會被中斷。網(wǎng)絡(luò)管理員可以使用Web界面來評估網(wǎng)絡(luò)的狀態(tài)，如圖2所示。

圖1 系統(tǒng)架構(gòu)

圖2 流量管理系統(tǒng)Web頁面

2 模塊功能設(shè)計

為了實現(xiàn)網(wǎng)絡(luò)功能的虛擬化，設(shè)計了一個網(wǎng)絡(luò)節(jié)點，用于控制虛擬交換機和計算網(wǎng)絡(luò)流量。網(wǎng)絡(luò)節(jié)點包括四個服務(wù)模塊。Open vSwitch服務(wù)模塊負(fù)責(zé)處理進入虛擬路由器的網(wǎng)絡(luò)流量，隨后OpenFlow控制器檢測網(wǎng)絡(luò)流量。當(dāng)沒有檢測到問題時，允許流量通過Open vSwitch并轉(zhuǎn)移到物理網(wǎng)絡(luò)環(huán)境中的網(wǎng)關(guān)。測量服務(wù)的iptables過濾器用于計算網(wǎng)絡(luò)流量的字節(jié)數(shù)以及數(shù)據(jù)包是用于輸入還是輸出，然后將所有數(shù)據(jù)發(fā)送到第四個服務(wù)，即消息服務(wù)。每個統(tǒng)計數(shù)據(jù)項由消息服務(wù)根據(jù)高級消息隊列協(xié)議（AMQP）存儲在一個數(shù)據(jù)節(jié)點中。

數(shù)據(jù)節(jié)點用于處理從網(wǎng)絡(luò)節(jié)點收集的數(shù)據(jù)提供四種服務(wù)：Web服務(wù)、數(shù)據(jù)處理服務(wù)、消息服務(wù)和數(shù)據(jù)庫服務(wù)。數(shù)據(jù)處理服務(wù)用于格式化數(shù)據(jù)，消息服務(wù)負(fù)責(zé)處理AMQP中的數(shù)據(jù)。數(shù)據(jù)處理服務(wù)還用于檢測數(shù)據(jù)中的問題。當(dāng)檢測到有問題的數(shù)據(jù)時，數(shù)據(jù)處理服務(wù)會通知管理Open vSwitch的OpenFlow控制器。OpenFlow控制器可以限制源數(shù)據(jù)流量以防止惡意入侵，并將處理后的數(shù)據(jù)發(fā)送到數(shù)據(jù)庫。這些數(shù)據(jù)將會顯示在Web界面中，數(shù)據(jù)處理服務(wù)是使用Python實現(xiàn)的。在這個過程中，必須頻繁地寫入和讀取數(shù)據(jù)。因此，使用NoSQL數(shù)據(jù)庫架構(gòu)MongoDB。

使用OpenStack Neutron L3解決方案來備份網(wǎng)絡(luò)。使用的主要技術(shù)是虛擬路由器冗余協(xié)議 （VRRP）。兩個節(jié)點使用消息服務(wù)保持連接，每個節(jié)點都確保另一個節(jié)點處于活動狀態(tài)。當(dāng)網(wǎng)絡(luò)流量進入時，首先由主節(jié)點進行評估。當(dāng)消息服務(wù)節(jié)點無法檢測到對方時，網(wǎng)絡(luò)流量被轉(zhuǎn)移到從節(jié)點。使用VRRP可以保證用戶在使用網(wǎng)絡(luò)服務(wù)時服務(wù)不中斷。VRRP 解決方案的第一部分是在兩個節(jié)點之間創(chuàng)建一個虛擬路由器。主節(jié)點使用 Open vSwitch 創(chuàng)建虛擬路由器、高可用性（HA）網(wǎng)絡(luò)和 HA 端口。網(wǎng)絡(luò)代理構(gòu)建接口和HA配置文件，然后向從節(jié)點發(fā)送消息。從節(jié)點獲取消息并設(shè)置與主節(jié)點相同的配置，然后保持與主節(jié)點的連接。VRRP解決方案的第二部分是讓從節(jié)點在主節(jié)點發(fā)生故障時替換主節(jié)點。當(dāng)主節(jié)點中的虛擬路由器發(fā)生故障或離線時，網(wǎng)絡(luò)代理將消息發(fā)送到從節(jié)點。從節(jié)點根據(jù)配置文件啟動一個虛擬路由器。如果主節(jié)點中的網(wǎng)絡(luò)代理發(fā)生故障或離線，從節(jié)點無法檢測到主節(jié)點的連接時，會自動啟動虛擬路由器。

3 流量監(jiān)控機制

流量監(jiān)控機制分為兩部分：實時監(jiān)控功能和統(tǒng)計數(shù)據(jù)分析。實時監(jiān)控功能與OpenFlow 控制器相結(jié)合，以管理進入系統(tǒng)的流量。流量數(shù)據(jù)的統(tǒng)計分析由NetFlow顯示。網(wǎng)絡(luò)管理員可以使用這些實時監(jiān)控功能來檢測網(wǎng)絡(luò)行為異常和統(tǒng)計數(shù)據(jù)來分析網(wǎng)絡(luò)流量。

實現(xiàn)實時流量監(jiān)控功能的一種方法是使用網(wǎng)絡(luò)命名空間。OpenFlow系統(tǒng)使用 ip netns命令創(chuàng)建網(wǎng)絡(luò)命名空間，以便命名空間從主機繼承配置。當(dāng)命名空間用于創(chuàng)建虛擬路由器時，流量將進入特定的命名空間。命名空間在iptable過濾器中創(chuàng)建規(guī)則，如果傳入流量的源IP與規(guī)則匹配，則將收集此流量數(shù)據(jù)。收集到的數(shù)據(jù)會定期發(fā)送到數(shù)據(jù)節(jié)點供管理員分析。

統(tǒng)計數(shù)據(jù)分析的實現(xiàn)方式與實現(xiàn)實時流量監(jiān)控功能類似。系統(tǒng)使用ip netns命令創(chuàng)建網(wǎng)絡(luò)命名空間和虛擬路由器。Open vSwitch支持NetFlow協(xié)議通過虛擬路由器收集所有數(shù)據(jù)包信息。該數(shù)據(jù)包信息將被轉(zhuǎn)換為 NetFlow 數(shù)據(jù)并發(fā)送到數(shù)據(jù)節(jié)點，該數(shù)據(jù)節(jié)點通過流捕獲的方式定期收集數(shù)據(jù)。

本系統(tǒng)中的網(wǎng)絡(luò)監(jiān)控和流量測量是兩個重要的功能。為了便于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進行管理，設(shè)置了一個限值K，以供實時流量監(jiān)控時參考。當(dāng)實時流量大于K時，OpenFlow控制器會對這個流量進行一些動作。

數(shù)據(jù)節(jié)點接收到實時數(shù)據(jù)后，對數(shù)據(jù)進行格式化。格式包括了最后更新時間、檢查時間、字節(jié)和數(shù)據(jù)包信息。對于統(tǒng)計分析，使用NetFlow數(shù)據(jù)格式，其格式包括源IP、目的IP、協(xié)議類型、源端口、目的端口、字節(jié)和數(shù)據(jù)包。

可以根據(jù)實時流量服務(wù)中的統(tǒng)計數(shù)據(jù)來設(shè)置K。例如，可以根據(jù)單日數(shù)據(jù)的統(tǒng)計來設(shè)置K?？梢园褑稳战y(tǒng)計數(shù)據(jù)看成一個正態(tài)分布，剔除異常值后，將K設(shè)置為其均值。K的計算過程如算法1所示?？紤]了正態(tài)分布的68-95-99.7規(guī)則，即68.27%的數(shù)據(jù)分布在第一個標(biāo)準(zhǔn)差范圍內(nèi)，95.45%的數(shù)據(jù)分布在第二個標(biāo)準(zhǔn)差范圍內(nèi)，99.73%的數(shù)據(jù)分布在第三個標(biāo)準(zhǔn)差范圍內(nèi)。

算法1 限制K計算輸入：統(tǒng)計數(shù)據(jù)X輸出：K值1.計算均值：；2.計算方差：；3.計算標(biāo)準(zhǔn)差： ；4.計算異常值：；5.For i = 1 to len（X）6. If On ＞= -3 and On ＜= 3 then 7. xi = 0；8. End if 9.End for 10.11.Return K；

為了幫助網(wǎng)絡(luò)管理員有效地管理網(wǎng)絡(luò)，設(shè)計了一個Web管理頁面。該網(wǎng)頁由實時流量狀態(tài)監(jiān)控、統(tǒng)計數(shù)據(jù)查詢、虛擬路由器狀態(tài)三個功能組成。網(wǎng)頁管理頁面默認(rèn)在索引頁面顯示實時流量數(shù)據(jù)，會自動加載當(dāng)天采集的實時流量數(shù)據(jù)。根據(jù)配置設(shè)置，每分鐘將數(shù)據(jù)寫入數(shù)據(jù)庫。統(tǒng)計數(shù)據(jù)查詢頁面提供了一天內(nèi)從NetFlow捕獲中收集的信息。每天上午12點將捕獲的數(shù)據(jù)發(fā)送到數(shù)據(jù)庫，這些數(shù)據(jù)可以通過這個查詢頁面進行查詢，在對所有數(shù)據(jù)進行排序后，會自動在該頁面顯示前20個來源IP。網(wǎng)絡(luò)管理員可以參考這些信息來自適應(yīng)地設(shè)置監(jiān)控系統(tǒng)的K值。路由器狀態(tài)頁面顯示路由器的狀態(tài)：指示哪個路由器提供網(wǎng)絡(luò)服務(wù)，并顯示其他路由器處于工作、待機或離線狀態(tài)。網(wǎng)絡(luò)管理員可以通過該頁面快速告知操作整個網(wǎng)絡(luò)的狀態(tài)。

4 實驗評估

實驗環(huán)境由三臺硬件規(guī)格相同的計算機組成：12核英特爾志強E-5645處理器、32 GB內(nèi)存和1 GB網(wǎng)絡(luò)卡。使用Helium版本作為OpenFlow控制器，使用Open vSwitch 2.5.0版本，使用OpenStack Newton版本。Python的版本是3.5.1。在真實的網(wǎng)絡(luò)環(huán)境中構(gòu)建了所提出的系統(tǒng)，該系統(tǒng)捕獲連接到互聯(lián)網(wǎng)的計算機的流量，實驗的拓?fù)浼軜?gòu)如圖3所示。

圖3 實驗拓?fù)浣Y(jié)構(gòu)

使用網(wǎng)絡(luò)測試軟件iperf對虛擬路由器進行性能測量，實驗測試平臺由客戶端和服務(wù)器組成，客戶端發(fā)送大量數(shù)據(jù)包進行網(wǎng)絡(luò)壓力測試。實驗使用了TCP和UDP兩種協(xié)議。虛擬路由器和物理路由器的性能對比結(jié)果如圖4所示。由圖4（a）的結(jié)果可知，當(dāng)數(shù)據(jù)包大小增加時，網(wǎng)絡(luò)速度會增加。最大速度出現(xiàn)在數(shù)據(jù)包大小為 2 048字節(jié)的情況下。由圖4（b）所示的實驗結(jié)果可知，最大速度出現(xiàn)在數(shù)據(jù)包大小為1 024字節(jié)的時候。當(dāng)數(shù)據(jù)包大小增加到2 048字節(jié)時，物理和虛擬路由器的速度會減慢。

圖4 虛擬路由器和物理路由器的性能對比

實驗考察了不同寫入頻率下實時測量系統(tǒng)的準(zhǔn)確性，結(jié)果如圖5所示。由結(jié)果可知，數(shù)據(jù)寫入頻率越高，準(zhǔn)確度也越高。 但是，頻繁寫入數(shù)據(jù)庫可能會導(dǎo)致高流量負(fù)載。

圖5 寫入頻率與準(zhǔn)確性和負(fù)載的關(guān)系

實驗使用iperf工具來測試網(wǎng)絡(luò)系統(tǒng)高可用性（HA）功能的響應(yīng)時間。將主網(wǎng)絡(luò)節(jié)點停止，并觀察網(wǎng)絡(luò)流量的反應(yīng)。圖6顯示了最佳和最差響應(yīng)時間的實驗結(jié)果。由于當(dāng)時主網(wǎng)絡(luò)節(jié)點關(guān)閉，網(wǎng)絡(luò)流量在第6秒的時候下降為0。在最佳情況下，網(wǎng)絡(luò)流量在9秒時達到正常值，這意味著網(wǎng)絡(luò)HA功能正常工作。

圖6 最佳和最差響應(yīng)時間

5 結(jié) 論

本文基于網(wǎng)絡(luò)功能虛擬化技術(shù)來實現(xiàn)網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，并將其性能與采用傳統(tǒng)硬件架構(gòu)的系統(tǒng)進行比較。由實驗結(jié)果可知，本系統(tǒng)與傳統(tǒng)基于硬件架構(gòu)的系統(tǒng)的性能相近，并大大降低了硬件成本，提高網(wǎng)絡(luò)管理任務(wù)的靈活性。后續(xù)的研究工作將在更廣泛的網(wǎng)絡(luò)環(huán)境中測試所提出的系統(tǒng)。