NetFlow網絡流量監(jiān)測技術的應用和設計

申請免費試用、咨詢電話：400-8352-114

目前國內電信運營商已建的網絡管理系統(tǒng)所能實現(xiàn)的流量監(jiān)測功能非常有限，遠遠不能滿足運營商的迫切需要。

1、互聯(lián)網業(yè)務流量監(jiān)測技術的應用及現(xiàn)狀

1.1 互聯(lián)網業(yè)務流量監(jiān)測技術的應用

流量監(jiān)測技術的應用主要包括以下幾個方面:

a)為網絡出口互聯(lián)鏈路的設置提供決策支持

通過對網絡出口流量和流向的分析，可以詳細了解網絡內部用戶對其他外部網絡的訪問情況，從而有效地選擇與其他網絡的互聯(lián)方式和互聯(lián)地點，節(jié)約互聯(lián)鏈路費用。

b)掌握用戶對其他運營商的訪問情況

通過對與其他網絡互聯(lián)流量的監(jiān)控，分析網絡內部用戶訪問其他外部網絡的業(yè)務特點和主要流量的去向，準確掌握內部用戶對外網的興趣點，找到最多應用的熱點信息內容。根據分析結果進行相應網絡內容的建設，將用戶感興趣的熱點信息內容放到內部網絡，減輕互聯(lián)鏈路的壓力。

c)評估分支網絡的成本和價值

通過對各個分支網絡出入流量的監(jiān)控，分析流量的大小、去向及內容組成，了解各分支網絡占用帶寬的情況，從而反映其占用的網絡成本，也可以了解其業(yè)務開展情況，并作出價值評估。

d)提供重要應用和大客戶統(tǒng)計分析

通過對重要應用和大客戶的流量進行統(tǒng)計分析，掌握重要應用和大客戶的流量狀況，進行網絡帶寬的成本分析，有助于在網絡服務質量和網絡成本之間取得最佳平衡。

e)基于IP的計費應用和服務等級協(xié)議(SLA)的校驗服務

通過對大客戶接入電路上的流量進行監(jiān)控分析，可以統(tǒng)計出業(yè)務類型、服務等級、通信時間和時長、通信數據量等參數，為基于IP的計費應用和SLA的校驗服務提供數據依據。

f)掌握網絡狀況

通過對網絡中一些特定流量的長期監(jiān)控，有助于網管人員了解網絡的流量模型，所形成的基準數據可供網管人員正確分析網絡使用狀況，并可及時發(fā)布異常警訊，在故障事件爆發(fā)或擴大前實施防范措施，進而提升網絡的整體質量及效能。

g)實現(xiàn)對網絡異常通信的檢測，重點防范分布式拒絕服務(DDoS)的攻擊和大范圍的蠕蟲病毒發(fā)作

通過對網絡內流量的實時分析，有助于及時發(fā)現(xiàn)網絡中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性。通過與網絡通信正常基線的比對，管理員對出現(xiàn)的異常通信可以快速定性是否為網絡安全攻擊，確定安全攻擊的類型，評估本次攻擊的危險程度及可能造成的影響范圍，并采用相應技術手段實施事故應急處理。

h)為網絡優(yōu)化提供數據依據

通過流量分析，可以為多出口的流量負載均衡、重要鏈路的帶寬設置、路由選擇和設定QoS等網絡優(yōu)化措施提供數據依據。

1.2 互聯(lián)網業(yè)務流量監(jiān)測技術現(xiàn)狀分析

目前國內電信運營商的運維部門大都還沒有建設一套能夠完全滿足管理需求的互聯(lián)網業(yè)務流量監(jiān)測系統(tǒng)?，F(xiàn)有的網絡管理系統(tǒng)雖然可以提供業(yè)務流量監(jiān)測手段，但基本上只是采用一些通用型的網絡鏈路使用率監(jiān)視軟件，如利用免費的MRTG和簡單網絡管理協(xié)議(SNMP)，對網絡的重點鏈路和互聯(lián)點進行簡單的端口級流量監(jiān)視和統(tǒng)計;或采用在網絡中部分重點業(yè)務接入點(POP)加裝遠程監(jiān)控(RMON)探針的方式，利用RMON I/Ⅱ協(xié)議對網絡中部分端口進行網絡流量和上層業(yè)務流量的監(jiān)視和采集。

上述兩種被普遍采用的網絡流量監(jiān)測系統(tǒng)都有著明顯的技術局限性。

SNMP采集端口的數據主要是在網元層用來監(jiān)控網絡流量和設備的性能，而且SNMP采集的數據是基于端口的，無法提供端到端的準確的流量信息，因此對流向的統(tǒng)計手段不明確。

利用RMON探針對運營商網絡進行流量和流向管理可以部分彌補SNMP的技術局限性，其業(yè)務分析和協(xié)議分析功能較強。但是，采用RMON探針建設的流量監(jiān)測系統(tǒng)也有處理性能不足和難以在大型網絡普遍部署的局限性。

為克服現(xiàn)有網管系統(tǒng)對網絡流量和流向分析功能的技術局限性，運營商迫切需要尋找一種功能豐富、成熟穩(wěn)定的新技術，對現(xiàn)有管理系統(tǒng)中流量信息的采集和分析方式進行改造和升級。新的流量信息采集和分析技術應具備對運營商的運行網絡影響小、無需對網絡拓撲進行改變就能平滑升級的技術特征，既可以對網絡中各個鏈路的帶寬使用率進行統(tǒng)計，又可以對每條鏈路上不同類型業(yè)務的流量和流向進行分析和統(tǒng)計。本文主要討論功能強大、應用廣泛的NetFlow技術。

2、流量監(jiān)測系統(tǒng)建設方案中需要考慮的問題

2.1 NetFlow技術簡介

NetFlow是Cisco公司提出的網絡數據包交換技術，該技術首先被用于網絡設備對數據交換進行加速，并可同步實現(xiàn)對高速轉發(fā)的IP數據流(Flow)進行測量和統(tǒng)計。經過多年的技術演進，NetFlow原來用于數據交換加速的功能已經逐步改由網絡設備中的專用集成電路(ASIC)芯片實現(xiàn)，而對流經網絡設備的IP Flow進行測量和統(tǒng)計的功能卻更加成熟，并成為當今互聯(lián)網領域公認的最主要的IP流量分析、統(tǒng)計和計費行業(yè)標準。

為對運營商網絡中不同類型的業(yè)務流進行準確的流量和流向分析與計量，首先需要對網絡中傳輸的各種類型數據包進行區(qū)分。由于IP網絡的非面向連接特性，網絡中不同類型業(yè)務的通信可能是任意一臺終端設備向另一臺終端設備發(fā)送的一組IP數據包，這組數據包實際上就構成了運營商網絡中某種業(yè)務的一個 Flow。如果管理系統(tǒng)能對全網傳送的所有Flow進行區(qū)分，準確記錄傳送時間、傳送方向和Flow的大小，就可以對運營商全網所有業(yè)務的流量和流向進行分析和統(tǒng)計。

通過分析網絡中不同F(xiàn)low之間的差別，可以發(fā)現(xiàn)判斷任何兩個IP數據包是否屬于同一個Flow，實際上可以通過分析IP數據包的以下7個屬性來實現(xiàn):

a)源IP地址;

b)目標IP地址;

c)源通信端口號;

d)目標通信端口號;

e)第三層協(xié)議類型;

f)服務類型(TOS)字節(jié);

g)網絡設備輸入或輸出的邏輯網絡端口(iflndex)。

Cisco公司的NetFlow技術就是利用分析IP數據包的上述7個屬性，快速區(qū)分網絡中傳送的各種不同類型業(yè)務的Flow。對區(qū)分出的每個 Flow，NetFlow技術可以進行單獨跟蹤和準確計量，記錄其傳送方向和目的地等流向特性，統(tǒng)計其起始和結束時間、服務類型、包含的數據包數量和字節(jié)數量等流量信息。

在NetFlow技術的演進過程中，Cisco公司一共開發(fā)出了NetFlow V1、NetFlow V5、NetFlow V7、NetFlow V8和NetFlow V9等5個主要的實用版本。

下面對網絡流量和流向分析系統(tǒng)中最常用的NetFlow V5數據輸出的數據包格式作一簡單介紹。

圖1為NetFlow V5輸出數據包的包頭格式。圖2為包含在每個NetFlow V5輸出數據包中的具體Flow的流量和流向統(tǒng)計信息的數據格式。

圖1 NetFlow V5輸出數據包的包頭格式

圖2 NetFlow V5輸出數據包中每個Flow的具體流量和流向統(tǒng)計信息格式