NetFlow的应用例子.doc

NetFlow 的应用例子 来源：51CTO ?? 作者：雨天 ?? 责编：豆豆技术应用 内容摘要：基于SNMP的网络系统只能监测设备端口的流量大小，在端口发生拥塞或出现P2P、病毒等异常流量时，基于SNMP的网管系统是没办法提供端口用户的IP地址和流量协议分布等情况的。这样对于持续拥塞的端口，网络管理人员要带协议分析工具到现场通过端口镜像等模式来读取端口的流量内容来解决问题，而端口间歇流量异常的问题就很难处理。 　　现在很多单位都部署了基于SNMP的网管系统，通过SNMP网管系统实现了对网络设备的端口流量、设备的CPU、内存等指标的管理，但基于SNMP的网络系统只能监测设备端口的流量大小，在端口发生拥塞或出现P2P、病毒等异常流量时，基于SNMP的网管系统是没办法提供端口用户的IP地址和流量协议分布等情况的。这样对于持续拥塞的端口，网络管理人员要带协议分析工具到现场通过端口镜像等模式来读取端口的流量内容来解决问题，而端口间歇流量异常的问题就很难处理。 　　为了解决SNMP网管的管理盲区，我们利用Netflow提供的网络流量的三层、四层信息， 　　完成对网络流量含量的分析，与SNMP网管配合对网络流量实现全面监测。 　　NetFlow 的监测应用例子1：分支的路由资源利用状态 　　这篇文章是基于利用福禄克网络的NFT (NetFlow Tracker) 的功能和界面来实现的。您可以下载试用版，有效期到2009年6月。 　　首先假设我们在这个简单的网络上，把分支的路由器启动了NetFlow，可以对互联网端口（红色）的流量进行长期的监测。NetFlow数据通过网络送到信息中心的NetFlow采集器上。 　　长期监测的好处是可以提供正常时的状态，我们一般称为基线。我们可以看看在一周内，从分支发送到互联网的流量中，有多少是连接到信息中心的。通过一些NetFlow分析软件，可以提供NetFlow的统计报表：饼图、柱状图、图表等。 　　我们关心的数据包括： 　　带宽利用率？正常的最大、平均，出现异常时可以有基准依据分辨异常的类型。 　　平常的应用分布，发报源列表，对话列表？这些都是越细越长越好。 有多少分支的流量是与信息中心进行的？业务与可能非业务的资源占用比较 　　信息中心的那些服务器利用率最多？对于规划资源和优化提供帮助 　　非信息中心的应用为何？对于非业务流量进一步了解/控制 　　如果出现大流量时，分辨出差异，找出流量由谁发出，到哪里？ 　　带宽利用率： 　　有一点要留意，如果只依靠NetFlow来监测端口的利用率，是不准确的，因为NetFlow只能对IP流进行统计。所以最好以SNMP的数据为基础。但由于现今的流大部分为IP流，在广域网上便更少非IP流，在大部分情况下可以从NetFlow得到很好的数据。基于统计，可以生成基线，作为告警的依据。 　　平常的应用分布，发报源列表，对话列表？这些都是越细越长越好。 　　一般的NetFlow流数据都以1分钟为输出单位，所以NetFlow的统计粒度一般最少可以到1分钟。每个分析最好可以如下的应用报告：可以按端口利用率、字节率或包数量列出。 　　有多少分支的流量是与信息中心（业务）进行的： 　　在NetFlow数据中，所有的IP源和目标地址都会被记录。我们可把分支流量分成以数据中心IP地址为源或目标的流量和其他，分别列出便可。在一些NetFlow 分析软件，可以加入过滤条件实现这分析（在报告中，DataCenter代表以下子网范围）。 　　非信息中心的应用、用户为何？ 　　与找出导向信息中心的流量多少相反，可以先用非信息中心的方法找出流量多少。对于比较高级的NetFlow分析软件，还可以进一步对这流量的内容分析 　　然后对这些流量列出其应用或其他列表。从NFT，可以用（右鼠标键来选这） 　　生成需要的应用报告 　　信息中心的那些服务器利用度最多（用户/连接/字节） 　　在某时段，按服务器照顾的对话数量排序，方便发现是否有对服务器进行端口扫描的情况。在NFT （NetFlow Tracker）有一报告（Destination Address Popularity）可以同时列出流量中各个目标地址的用户和连接数量。 　　在这个例子，85.17.215.10这个站点对服务器进行多个对话，从NetFlow数据再深入分析，找到对话的协议端口，看得出是在做端口扫描： 　　报告和告警： 　　在大多数情况下，网管员都不希望盯着以上的报告，所以定期生成报告的能力和当异常状态出现时，最好能提供告警（通过SNMP Trap或EMAIL等方式）。告警的考虑主要是：需要基线和不要太敏感。除了手动输入基线外，可以利用学习的平均值加上偏离标准差来定义敏感度，然后定义偏离时间的长短，来决定告警。概念是如果偏离的时间持续比较长（