流量透明化-IPFIX流量分析解决方案技术白皮书.doc

流量透明化-IPFIX流量分析解决方案技术白皮书 目录 1 方案背景 1 1.1 问题的提出 1 1.2 问题的归纳 1 1.3 问题的解决 2 1.3.1 网管方式 2 1.3.2 数据包监听方式 2 1.3.3 基于流（Flow）技术的方式 2 1.3.4 解决方法的评估 3 2 IPFIX技术介绍 4 2.1 IPFIX技术概述 4 2.2 IPFIX技术价值 6 3 网络透明化解决方案 7 3.1 解决方案组成 7 3.2 Exporter设备功能 8 3.3 Collector设备功能 8 3.4 Analyzer设备功能 8 3.5 Analyzer设备报表 9 3.6 业务功能展示 10 3.6.1 网络用户分区管理 10 3.6.2 应用流量分析 11 3.6.3 流量目标地址统计 13 3.6.4 带宽使用实时统计 14 3.6.5 网内流量趋势 16 3.6.6 高效便捷的流量管理 17 4 网络透明化解决方案组网模式及应用 18 4.1 网络透明化解决方案组网模式 18 4.2 网络透明化解决方案应用 19 5 结束语 21 方案背景 问题的提出 “无法被量化的将无法改进”。管理和优化网络首先要进行测量。随着 IT、网络技术的迅猛发展和企业信息化程度的不断提高，各种网络应用越来越丰富，各种应用时时刻刻都在争夺有限的网络带宽，从而导致网络管理的难度不断增大。因此，如何保证网络的可用性和关键业务的畅通运行，对用户业务发展将起到至关重要的作用。 随着网络的规模越来越大，IT服务的完善，网络管理者也会提出一下问题： 当前的上网流量占用多大带宽？这些带宽主要谁在占用？这些占用是允许的吗？在 WWW 访问之外，是不是有大量的 FTP 等下载？是允许的吗？ DMZ 区的服务器有多少是内网用户在访问，有多少是外网用户在访问？如果是内网用户访问多（比如 DNS），是不是考虑将其迁移到服务器区？外网用户的访问有时间规律吗？ 外联的服务器是提供特定用户访问吗？哪个访问流量最大？最大流量占用的用户是合法的吗？服务器是不是该扩容了？有非法用户访问这些服务器吗？ 这些关键的业务服务器的带宽够用吗？是不是考虑一台服务器提供多个业务服务或者多台服务器提供一个业务服务？除了生产业务外， 这些服务器是不是还提供其它无关的业务， 导致影响性能？谁访问这些服务器更多一些？这些服务器在哪个时间段最繁忙？ 部门用户用于工作（访问业务服务器）的流量有多大？用于上网的流量有多大？谁更多地使用互联网？是必要的吗？谁占用的网络带宽最大？这些占用是必要的吗？哪个用户在非法扫描网络？是否有用户提供非法的下载（WWW/FTP）服务？ 问题的归纳 这些问题都是流量分析问题。归结起来，所有的流量问题大致包含： 这些宝贵的网络带宽谁在占用？一定时间内，谁占用最多？ 这些流量到底包含哪些内容？是数据库通讯，还是 ping，还是网页访问HTTP，还是 FTP 下载？ 这些流量是生产业务产生的流量吗？是必要的吗？ 这些流量中是否包含病毒流量？或者禁止使用的流量 （比如 ftp 下载） ？ 如果把这些问题进一步分析，会发现，这其实涉及到两个问题： 流量的分布问题；是指全网中，哪些点流量大，哪些点流量小？ 流量的构成问题；对于特定的点，流量的组成是什么？由谁发起的？目的地在哪里？ 问题的解决 要解决这些流量问题，不是一件容易的事情，常规的方法有几种： 网管方式 网管方式通过启动 SNMP，来获取流量信息。但是，SNMP 只能获取流量的字节数，无法获取字节的构成，更无法获取流量的发起方。 该方法可以解决流量的分布问题，无法解决流量的构成问题。 该方式主要用于设备的管理，而不适用于精细的流量分析。 数据包监听方式 该方法是将关注的流量串联到或者镜像到分析仪器（包括软件分析，比如sniffer），通过分析仪器来获取流量的构成和细节。该方法可以做到流量的精细化分析，做到 2－7 层的流量分析，但是，缺点也很明显，只有在部署分析仪器的地方进行流量分析， 如果做到全网多节点流量监控， 必须部署多个分析仪器，导致部署成本急剧上升。 该方式可以很好解决流量的构成问题，但几乎无法解决流量的分布问题。 该方式适用于对少量关键点的监控，常用于专业工程师的故障诊断，不适合大规模日常使用。 基于流（Flow）技术的方式 该方式是让网络设备在转发数据流量的同时，生成特定的流量信息，然后将流量信息发送到特定的分析模块，进而实现对流量的分析。 该方式的优势是明显的，理想情况下，如果让网络中的每台网络设备均发出流量信息，那么就可以轻松解决流量的分布问题，同时解决流量的构成问题。缺点是各厂商提供的流分析技术都是私有技术无法通用。 也正是基于此，国际化流量监控标准技术IP