NETFLOW教程080729.docVIP

NetFlow教程 NetFlow介绍 NetFlow的产生原因 由网络设备进行原始统计信息的汇聚可以大大减少网络设备输出的数据量，降低对上层管理服务器的配置要求，提高上层管理系统的扩展性和工作效率。 虽然SNMP有助于容量规划，但无法提取流量特征，而只有了解了特征，才能保证业务连续性，确定是否需要增加容量才能提高利用率保证，以及评估QoS参数是否符合目标服务水平要求等 流量特征提取遇到的另一个困难是，许多新应用每次使用的端口都不相同，它们每次都动态选择新端口使用。 NetFlow技术的起源 　　NetFlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667。NetFlow技术首先被用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流(Flow)进行测量和统计。经过多年的技术演进，NetFlow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC芯片实现，而对流经网络设备的IP数据流进行特征分析和测量的功能也已更加成熟，成为了当今互联网领域公认的最主要的IP/MPLS流量分析和计量行业标准，同时也被广泛用于网络安全管理。利用NetFlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。 什么是NetFlow 通过分析网络中不同Flow间的差别，可以发现判断任何两个IP数据包是否属于同一个Flow。实际上可以通过分析IP数据包的以下7个属性来实现： 源IP地址（Source IP address） 目的IP地址（Destination IP address） 源端口号（Source port number） 目的端口号（Destination port number） 协议类型（Protocol type） 服务类型（Type of service） 输入/输出接口（Input/Output interface） 将路由器的所有数据包分成很多有以上信息的7字段值的单向IP数据流，称为网流（NetFlow）。流量信息是基于每个流做统计的。 网流设备是通过IP数据包中的七元组信息来识别网流的。网流设备上有专门的缓存，用于暂存网流初步的统计数据。当网流设备配置了网流统计功能并启动了网流转发功能后，网流设备会周期性的把网流统计数据发出，网流收集器会接收这些数据并进行处理。 厂商支持情况??? ??? Flow的版本差异通常直观的表现在其输出报文格式上。目前业内常见的主流Flow格式有以下几种： Table1 主流Flow Flow名称? 代表厂商 主要版本 备注?? NetFlow Cisco V1、V5、V7、V8、V9?? 应用最广 CFlowd? Juniper? V5、V8? 厂商跟进力度不高?? sFlow? Foundry、HP、Alcatel、NEC、Extreme等 V4、V5? 实时性较强，具备突出的第二~七层信息描述能力??? NetStream 华为 ?V5、V8、V9? 与NetFlow较为类似?? IPFIX IETF标准规范 ?RFC 3917? 以NetFlow V9为蓝本 支持协议 IETF: RFC3954/RFC3955 RFC3954：Cisco Systems NetFlow Services Export Version 9? RFC3955：Evaluation of Candidate Protocols for IP Flow Information Export (IPFIX)? RFC 3917：Requirements for IP Flow Information Export (IPFIX)? NetFlow工作原理 NetFlow先记录下初始化IP包的数据，如IP协议类型、服务种类（ToS）、接口标识等，为了更有效对数据进行匹配和计数NetFlow让随后的数据在同一个数据流中进行传输，同时，对它们使用各自相应的服务，如安全性过滤、QoS策略、流量策划等。实时数据被存储在NetFlow的缓存中，通过读取的操作指令就可以重新找回。 NetFlow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息，输出数据的方式有三种： ·简单高效UDP传输协议方式（传统方式）。但由于采用了UDP协议，数据传输的可靠性是不保证的。 ·SNMP?MIB方式。管理服务器可以通过SNMP协议访问网络设备NetFlow?MIB库中存储的数据流Top?N统计结果。 ·可靠的SCTP传输协议方式。利用SCTP传输协议，支持拥塞识别，