广电类科技期刊网络流量分析新技术:NetFlow

　　摘要：本文简要阐述思科公司新之采集分析技术NetFlow已成为网络流量分析阵营不可或缺之基础技术，简要介绍NetFlow协议之处理流程及配置，并与SNMP协议进行举例比较。

　　关键词：广电类科技期刊,NETFLOW,SNMP,思科公司,NetFlow v9版本,处理流程,配置实例,差别

　　一、前言

　　近年来，随着互联网在全球之迅速发展与各种互联网应用之快速普及，互联网已成为人

　　们日常工作生活中不可或缺之信息承载工具。多数企业IT运维部门目前还没有建设一套能

　　够完全满足对网络与其承载之各类业务进行及时、准确之流量与流向分析系统。大部分网管

　　系统还只是采用一些通用型之网络链路使用率监视软件，如MRTG，利用SNMP协议对网络之

　　重点链路与互联点进行简单之端口级流量监视与统计。利用SNMP协议能够对被监视之各个

　　网络端口进出之数据包数与字节数进行采集，但采集到之流量信息较为粗糙。而且SNMP协

　　议还无法区分网络层数据流量中各种不同类型客户业务在总流量中之分布状况，也无法对进

　　出之流量进行流向分析。于是一种新之采集分析工具-NetFlow营运而生。

　　二、NetFlow简介

　　NetFlow是思科公司提出之用于描述通过路由器之连接信息之协议。其工作原理是：NetFlow利用标准之交换模式处理数据流之第一个IP包数据，生成NetFlow 缓存，随后同样之数据基于缓存信息在同一个数据流中进行传输，不再匹配相关之访问控制等策略，NetFlow缓存同时包含了随后数据流之统计信息。目前最常用是NetFlow v9版本。

　　1、NetFlow之处理机制

　　由于NetFlow技术支持所有类型之网络端口类型，所以每台内置有NetFlow 功能之思科网络设备都可以作为网络中一台能够测量、采集与输出网络流量与流向管理信息之数据采集器。而且因为Netflow实现之管理功能是由网络设备本身完成之。处理流程如下图所示：

　　在预处理阶段，Netflow可以首先根据网络管理之需要对特定级别之数据流进行过滤或对高速网络端口进行数据包抽样，这样可以在确保需要之管理信息被采集与统计之同时，减少网络设备之处理负荷，增加全系统之可扩展性。

　　在后处理阶段，Netflow可以选择把采集到之数据流原始统计信息全部输出，由上层管理服务器统一接收后再进行数据之分类处理与汇总;也可以选择由网络设备自身对原始统计信息进行多种形式之数据汇聚，只把汇总后之统计结果发送给上层管理服务器。由网络设备进行原始统计信息之汇聚可以大大减少网络设备输出之数据量，降低对上层管理服务器之配置要求，提高上层管理系统之扩展性与工作效率。

　　Netflow支持同时向两个管理服务器地址输出采集到之网络流量与流向统计信息，输出数据之方式有三种：

　　简单高效UDP传输协议方式(传统方式)。但由于采用了UDP协议，数据传输之可靠性是不保证之。

　　SNMP MIB方式。管理服务器可以通过SNMP协议访问网络设备Netflow MIB库中存储之数据流Top N统计结果。

　　可靠之SCTP传输协议方式。利用SCTP传输协议，支持拥塞识别，重传与排队机制，确保Netflow统计结果数据正确发送给上层管理服务器。

　　2. NetFlow配置实例

　　首先判断流量之流向后，就可以选择合适之网络设备端口，实施Neflow配置，采集

　　该端口入流量之NetFlow数据。 以下是在Cisco 7609路由器GigabitEthernet9/1端口上打开NetFlow之配置实例：

　　ip flow-export source Loopback0

　　ip flow-export version 9 origin-as

　　ip flow-export destination 61.235.*.249 9900

　　ip flow-sampling-mode packet-interval 1000

　　interface GigabitEthernet9/1

　　ip flow ingress

　　通过该配置把流入到GigabitEthernet9/1之NetFlow数据送到NetFlow采集器61.235.*.249之9900端口，该实例中采用sampled模式，采样间隔为1000:1。

　　三、NetFlow与SNMP之不同

　　SNMP所针对之信息一般都围绕网元设备展开，如Interface吞吐率、接收到之坏帧数

　　量、CPU/RAM利用率等。而NetFlow正如同它之名字一样，其所关注之重点在于网络链路上

　　所传输流量之特征信息，并且这些信息能够更直接之反映出当前网络上访问行为分布以及合

　　同客户此时所得到之真实之服务质量水平。

　　NetFlow与SNMP之主要差异可以从以下几点得到说明：

　　1.NetFlow关注流量特征，SNMP关注设备状态;

　　2.NetFlow直接围绕Session会话连接进行数据提取，而SNMP则以物理接口为基本单位进行数据统计;

　　3.从Agent角度来看，NetFlow采用数据主动推送技术，SNMP则主要采取被动轮询机制;

　　4.NetFlow数据信息更为丰富、描述能力更强;

　　5.NetFlow支持抽样操作，具备良好之扩展弹性，能够更好适应高端网络实际需求;

　　6.SNMP功能通常随着设备销售而免费提供，而在很多现有设备中，NetFlow作为增值功能则需要额外购买许可License或特定软件包。

　　下面对千兆链路之流量分析举例，NetFlow与SNMP应用之差别：

　　使用SNMP协议结合MRTG查看到千兆链路，仅能看出流出流入方向之总流量，对于其中具体地址段，协议及业务无所知晓。如图所示：

　　使用NetFlow协议结合某网管查看到千兆链路之流量，通过选择不同之监测条件，查看该千兆所承载之协议、业务、源及目之地址等不同之信息，下图为按监测条件“目之地址段”显示之流量图：

　　四、总结

　　由于Netflow实现之管理功能是由网络设备本身完成，无需对网络拓扑进行改变就能平滑升级，并且可以对网络中各个链路之带宽使用率进行统计，也可以对每条链路上传输不同类型业务之流量与流向进行分析与统计，综上所述，在网络流量流向分析系统中， NetFlow已经成为一个重要之数据提取方式，为高端网络骨干链路之实时流量采集分析提供高效、准确之数据摘要提取服务，是网络流量分析阵营不可或缺之基础技术。

　　参考文献

　　[1] NetFlow Overview

　　[2] NetFlow Export Datagram Format

　　[3] 丛锁，吴甘沙，张伟等。网络状态参数监测与MRTG之应用

　　[4] 崔毅东，张晖，徐惠民。基于NetFlow技术之网络流量统计

《广电类科技期刊网络流量分析新技术:NetFlow》

本文由职称驿站首发，您身边的高端学术顾问

文章名称： 广电类科技期刊网络流量分析新技术:NetFlow

文章地址： https://m.zhichengyz.com/p-28032