net_flow技术讲解..doc

IP网络承 载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展 需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋 庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务 中。 ??? 以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。 ??? 什么是Flow ??? 在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。 ??? 作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。 ??? 相对于会话(“Session”)而言，“Flow”具备更细致的标识特征，在传统的TCP/IP五元组的基础上增加了一些新的域值，至少包括以下几个字段： ??? 源IP地址 ??? 目的IP地址 ??? 源端口 ????目的端口 ??? IP层协议类型 ??? ToS服务类型 ??? 输入物理端口 ??? 以上七个字段可以唯一地确定任意一个数据包属于哪个特定的Flow，换而言之任何一个字段出现了差异都意味着一个新Flow的发生。 ??? 在实际软件实现中，Flow所包含的字段定义及数量将会随着厂商甚至协议版本的不同而出现变化(如包含AS信息、Next_Hop等)，业界因此也相应地 出现了各种不同的实现版本。而在这些不同的Flow版本中，NetFlow得益于Cisco公司在网络设备行业内无与伦比的领袖地位而获得最大范围的认 同。 有多少种Flow??? ??? Flow的版本差异通常直观的表现在其输出报文格式上。目前业内常见的主流Flow格式有以下几种： 表格2 业内常见的Flow类型 Flow名称? 代表厂商 主要版本 备注?? NetFlow Cisco V1、V5、V7、V8、V9?? 应用最广 CFlowd? Juniper? V5、V8? 厂商跟进力度不高?? sFlow? Foundry、HP、Alcatel、NEC、Extreme等 V4、V5? 实时性较强，具备突出的第二~七层信息描述能力??? NetStream 华为 ?V5、V8、V9? 与NetFlow较为类似?? IPFIX IETF标准规范 ?RFC 3917? 以NetFlow V9为蓝本 ??? 3.1Cache缓存空间 ??? IP网络承 载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展 需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋 庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务 中。 ??? 以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。 ??? 在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。 ??? 作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟