一種空管自動(dòng)化系統(tǒng)網(wǎng)絡(luò)流量監(jiān)控的設(shè)計(jì)與實(shí)現(xiàn)

黃耀鵬

（中國(guó)民用航空中南地區(qū)空中交通管理局廣西分局，南寧 530000）

0 引言

空管自動(dòng)化系統(tǒng)是空管運(yùn)行的核心設(shè)備之一，其網(wǎng)絡(luò)處理的信息源復(fù)雜，安全要求高，因此系統(tǒng)對(duì)網(wǎng)絡(luò)的監(jiān)控也成為了各個(gè)設(shè)備廠家設(shè)計(jì)系統(tǒng)必須考慮的一個(gè)關(guān)鍵內(nèi)容。網(wǎng)絡(luò)流量的分析一方面可以提前預(yù)測(cè)定位系統(tǒng)故障的節(jié)點(diǎn)及相應(yīng)的后臺(tái)軟件模塊的效率，另一方面也可以為系統(tǒng)的優(yōu)化設(shè)計(jì)、設(shè)備擴(kuò)容分析提供思路。本文從實(shí)際出發(fā)設(shè)計(jì)一種空管自動(dòng)化系統(tǒng)網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，為相關(guān)研究拋磚引玉。

1 流量監(jiān)控的設(shè)計(jì)

1.1 傳統(tǒng)思路設(shè)計(jì)

傳統(tǒng)的網(wǎng)絡(luò)流量監(jiān)控設(shè)計(jì)主要通過(guò)對(duì)局域網(wǎng)內(nèi)部的數(shù)據(jù)包進(jìn)行抓包分析，數(shù)據(jù)包在經(jīng)過(guò)路由器或防火墻時(shí)，通過(guò)網(wǎng)絡(luò)設(shè)備定義不同的規(guī)則進(jìn)行規(guī)則的匹配，進(jìn)而識(shí)別不同的應(yīng)用類(lèi)型，如果將其應(yīng)用到空管自動(dòng)化系統(tǒng)，則是一種網(wǎng)絡(luò)設(shè)備的規(guī)則定義。通過(guò)內(nèi)部消息頭的分析，系統(tǒng)從TCP/IP鏈接的SYN包可以快速獲取到源IP、目的IP及相應(yīng)的端口。如若將其進(jìn)行簡(jiǎn)單的應(yīng)用，為了符合設(shè)備廠家內(nèi)部消息的多樣性，可以通過(guò)tcpdump工具進(jìn)行。安裝好相關(guān)軟件后，可以在控制臺(tái)中輸入：tcpdumpie1000g0-s100-w/tmp/les.pcap。實(shí)現(xiàn)簡(jiǎn)單的抓包?；跀?shù)據(jù)的多樣分析，-s一般要指定大一點(diǎn)，因?yàn)橐粋€(gè)數(shù)據(jù)包除了實(shí)際數(shù)據(jù)外，還有各個(gè)協(xié)議層加的包頭，TCP的所有包頭有54個(gè)字節(jié)，如果-s參數(shù)指定的數(shù)字小于54，那么實(shí)際傳輸?shù)臄?shù)據(jù)都抓不到。當(dāng)然，這種思路的設(shè)計(jì)有一定的限制，在針對(duì)一些較為基礎(chǔ)的設(shè)計(jì)上往往軟件沒(méi)有相應(yīng)的IANA注冊(cè)端口，有的是基于不常見(jiàn)的端口，甚至有針對(duì)IP層負(fù)荷的加密。此時(shí)，抓包分析無(wú)法完全分析所有數(shù)據(jù)。

1.2 改進(jìn)設(shè)計(jì)

針對(duì)上述的情況，此處提出一種基于深度包檢測(cè)技術(shù)的流量監(jiān)控。在數(shù)據(jù)的傳輸過(guò)程，如果資源出現(xiàn)不足時(shí)，系統(tǒng)會(huì)產(chǎn)生堵塞，導(dǎo)致網(wǎng)絡(luò)性能下降，為了緩解此類(lèi)情況，各空管自動(dòng)化廠家做了相應(yīng)的處理，例如萊斯自動(dòng)化在監(jiān)控的設(shè)計(jì)上通過(guò)文件參數(shù)的控制（例如設(shè)置Pnclear參數(shù)控制過(guò)期消息讀或者不讀，pflag參數(shù)控制阻塞與非阻塞）。在設(shè)計(jì)上可以通過(guò)優(yōu)先隊(duì)列進(jìn)行消息的調(diào)度。如果設(shè)備的每一端口有一個(gè)基于隊(duì)列的輸入或者輸出，則可以通過(guò)業(yè)務(wù)的重要程度進(jìn)行分級(jí)設(shè)計(jì)，如操作權(quán)限下的管制席位高于自由權(quán)限下的管制席位，有扇區(qū)的席位高于無(wú)扇區(qū)的席位。借此定義隊(duì)列，通過(guò)隊(duì)列的等級(jí)進(jìn)行排序進(jìn)而進(jìn)行流量的監(jiān)控。

TCP連接需要通過(guò)3次握手，這要求系統(tǒng)必須設(shè)置相應(yīng)的緩沖區(qū)，同時(shí)也給予設(shè)計(jì)提供相應(yīng)的控制權(quán)限，只要控制所在消息的發(fā)送及接受的網(wǎng)絡(luò)緩沖區(qū)大小即可完成對(duì)該消息類(lèi)型的簡(jiǎn)單流量控制，防止阻塞，提高性能。鑒于上述的機(jī)制，可以通過(guò)在傳統(tǒng)的抓包分析上，增加對(duì)應(yīng)用層協(xié)議的識(shí)別。一般的流量控制時(shí)通過(guò)5tuple的分析，但是多數(shù)無(wú)法考慮源端口、目的端口以及應(yīng)用協(xié)議。在網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包上，系統(tǒng)對(duì)OSI七層協(xié)議中的應(yīng)用層協(xié)議進(jìn)行信息重組，不同應(yīng)用在此處將會(huì)對(duì)應(yīng)不同的協(xié)議類(lèi)型進(jìn)行區(qū)別，有關(guān)文獻(xiàn)將其稱(chēng)為協(xié)議指紋。這可以解決沒(méi)有在IANA注冊(cè)過(guò)的端口問(wèn)題，系統(tǒng)如果獲取到的指紋信息是特殊字符則根據(jù)檢測(cè)方式的不同將其分為掩碼和特征碼結(jié)合以及正則表達(dá)式分析兩種方式。正則表達(dá)式在處理上有較為成熟的經(jīng)驗(yàn)可以借鑒，因此整體的系統(tǒng)實(shí)現(xiàn)也較為簡(jiǎn)單。

2 系統(tǒng)的整體實(shí)現(xiàn)

由于大多數(shù)自動(dòng)化的消息轉(zhuǎn)發(fā)都是基于內(nèi)部網(wǎng)絡(luò)的UDP組播，系統(tǒng)可以在網(wǎng)絡(luò)中獲取相應(yīng)的數(shù)據(jù)進(jìn)行分析。為了保持在用系統(tǒng)的穩(wěn)定性，系統(tǒng)不直接加入自動(dòng)化系統(tǒng)的內(nèi)部局域網(wǎng)，而是通過(guò)網(wǎng)絡(luò)（網(wǎng)絡(luò)流量監(jiān)控PC機(jī)）轉(zhuǎn)串口再進(jìn)行串口轉(zhuǎn)網(wǎng)絡(luò)（自動(dòng)化交換機(jī)）的方式進(jìn)行介入。通過(guò)部署一套基于WINDOWS的軟件對(duì)局域網(wǎng)數(shù)據(jù)分析。為了提高系統(tǒng)開(kāi)發(fā)效率，此處采用C#進(jìn)行軟件的設(shè)計(jì)與實(shí)現(xiàn)。

萊斯自動(dòng)化系統(tǒng)提供了基于SNMP協(xié)議的監(jiān)控信息數(shù)據(jù)流，因此系統(tǒng)可以通過(guò)SNMP響應(yīng)報(bào)文的分析進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)，主要模塊包括流量采集子系統(tǒng)和數(shù)據(jù)分析顯示子系統(tǒng)。為了提高實(shí)現(xiàn)效率及優(yōu)化系統(tǒng)性能，此處采集子系統(tǒng)將引用snmpsharpnet庫(kù)。其主要的SNMP的語(yǔ)句有snmpget和snmpwalk，前者可以通過(guò)oid進(jìn)行查找，后者則可以返回一個(gè)組的數(shù)據(jù)。

Snmpwalk返回的數(shù)據(jù)將在系統(tǒng)內(nèi)部通過(guò)軟件消息的形式傳遞給系統(tǒng)數(shù)據(jù)分析及顯示模塊。該模塊通過(guò)數(shù)據(jù)接收和正則表達(dá)式處理數(shù)據(jù)。針對(duì)報(bào)頭標(biāo)識(shí)、源IP地址、端口號(hào)進(jìn)行分析，最終生成一份以管制席位為標(biāo)識(shí)的用戶報(bào)告。

3 結(jié)束語(yǔ)

本文基于實(shí)際運(yùn)行提出一種空管自動(dòng)化系統(tǒng)網(wǎng)絡(luò)流量監(jiān)控的方案，分析了傳統(tǒng)設(shè)計(jì)思路的同時(shí)提出了改進(jìn)設(shè)計(jì)，并通過(guò)C#設(shè)計(jì)了軟件，該軟件在空管自動(dòng)化的實(shí)際運(yùn)維中有較為豐富的應(yīng)用方式，為提高現(xiàn)場(chǎng)運(yùn)維效率、增強(qiáng)安全保障力度提供技術(shù)支持。