NetFlow網(wǎng)絡(luò)流量監(jiān)測技術(shù)的應(yīng)用和設(shè)計

申請免費試用、咨詢電話：400-8352-114

目前國內(nèi)電信運營商已建的網(wǎng)絡(luò)管理系統(tǒng)所能實現(xiàn)的流量監(jiān)測功能非常有限，遠遠不能滿足運營商的迫切需要。

1、互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)的應(yīng)用及現(xiàn)狀

1.1 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)的應(yīng)用

流量監(jiān)測技術(shù)的應(yīng)用主要包括以下幾個方面:

a)為網(wǎng)絡(luò)出口互聯(lián)鏈路的設(shè)置提供決策支持

通過對網(wǎng)絡(luò)出口流量和流向的分析，可以詳細了解網(wǎng)絡(luò)內(nèi)部用戶對其他外部網(wǎng)絡(luò)的訪問情況，從而有效地選擇與其他網(wǎng)絡(luò)的互聯(lián)方式和互聯(lián)地點，節(jié)約互聯(lián)鏈路費用。

b)掌握用戶對其他運營商的訪問情況

通過對與其他網(wǎng)絡(luò)互聯(lián)流量的監(jiān)控，分析網(wǎng)絡(luò)內(nèi)部用戶訪問其他外部網(wǎng)絡(luò)的業(yè)務(wù)特點和主要流量的去向，準(zhǔn)確掌握內(nèi)部用戶對外網(wǎng)的興趣點，找到最多應(yīng)用的熱點信息內(nèi)容。根據(jù)分析結(jié)果進行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)，將用戶感興趣的熱點信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

c)評估分支網(wǎng)絡(luò)的成本和價值

通過對各個分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小、去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況，從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開展情況，并作出價值評估。

d)提供重要應(yīng)用和大客戶統(tǒng)計分析

通過對重要應(yīng)用和大客戶的流量進行統(tǒng)計分析，掌握重要應(yīng)用和大客戶的流量狀況，進行網(wǎng)絡(luò)帶寬的成本分析，有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

e)基于IP的計費應(yīng)用和服務(wù)等級協(xié)議(SLA)的校驗服務(wù)

通過對大客戶接入電路上的流量進行監(jiān)控分析，可以統(tǒng)計出業(yè)務(wù)類型、服務(wù)等級、通信時間和時長、通信數(shù)據(jù)量等參數(shù)，為基于IP的計費應(yīng)用和SLA的校驗服務(wù)提供數(shù)據(jù)依據(jù)。

f)掌握網(wǎng)絡(luò)狀況

通過對網(wǎng)絡(luò)中一些特定流量的長期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時發(fā)布異常警訊，在故障事件爆發(fā)或擴大前實施防范措施，進而提升網(wǎng)絡(luò)的整體質(zhì)量及效能。

g)實現(xiàn)對網(wǎng)絡(luò)異常通信的檢測，重點防范分布式拒絕服務(wù)(DDoS)的攻擊和大范圍的蠕蟲病毒發(fā)作

通過對網(wǎng)絡(luò)內(nèi)流量的實時分析，有助于及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性。通過與網(wǎng)絡(luò)通信正?；€的比對，管理員對出現(xiàn)的異常通信可以快速定性是否為網(wǎng)絡(luò)安全攻擊，確定安全攻擊的類型，評估本次攻擊的危險程度及可能造成的影響范圍，并采用相應(yīng)技術(shù)手段實施事故應(yīng)急處理。

h)為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)依據(jù)

通過流量分析，可以為多出口的流量負載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定QoS等網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。

1.2 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)現(xiàn)狀分析

目前國內(nèi)電信運營商的運維部門大都還沒有建設(shè)一套能夠完全滿足管理需求的互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測系統(tǒng)?，F(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)雖然可以提供業(yè)務(wù)流量監(jiān)測手段，但基本上只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如利用免費的MRTG和簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)，對網(wǎng)絡(luò)的重點鏈路和互聯(lián)點進行簡單的端口級流量監(jiān)視和統(tǒng)計;或采用在網(wǎng)絡(luò)中部分重點業(yè)務(wù)接入點(POP)加裝遠程監(jiān)控(RMON)探針的方式，利用RMON I/Ⅱ協(xié)議對網(wǎng)絡(luò)中部分端口進行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。

上述兩種被普遍采用的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)都有著明顯的技術(shù)局限性。

SNMP采集端口的數(shù)據(jù)主要是在網(wǎng)元層用來監(jiān)控網(wǎng)絡(luò)流量和設(shè)備的性能，而且SNMP采集的數(shù)據(jù)是基于端口的，無法提供端到端的準(zhǔn)確的流量信息，因此對流向的統(tǒng)計手段不明確。

利用RMON探針對運營商網(wǎng)絡(luò)進行流量和流向管理可以部分彌補SNMP的技術(shù)局限性，其業(yè)務(wù)分析和協(xié)議分析功能較強。但是，采用RMON探針建設(shè)的流量監(jiān)測系統(tǒng)也有處理性能不足和難以在大型網(wǎng)絡(luò)普遍部署的局限性。

為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，運營商迫切需要尋找一種功能豐富、成熟穩(wěn)定的新技術(shù)，對現(xiàn)有管理系統(tǒng)中流量信息的采集和分析方式進行改造和升級。新的流量信息采集和分析技術(shù)應(yīng)具備對運營商的運行網(wǎng)絡(luò)影響小、無需對網(wǎng)絡(luò)拓撲進行改變就能平滑升級的技術(shù)特征，既可以對網(wǎng)絡(luò)中各個鏈路的帶寬使用率進行統(tǒng)計，又可以對每條鏈路上不同類型業(yè)務(wù)的流量和流向進行分析和統(tǒng)計。本文主要討論功能強大、應(yīng)用廣泛的NetFlow技術(shù)。

2、流量監(jiān)測系統(tǒng)建設(shè)方案中需要考慮的問題

2.1 NetFlow技術(shù)簡介

NetFlow是Cisco公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，該技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)交換進行加速，并可同步實現(xiàn)對高速轉(zhuǎn)發(fā)的IP數(shù)據(jù)流(Flow)進行測量和統(tǒng)計。經(jīng)過多年的技術(shù)演進，NetFlow原來用于數(shù)據(jù)交換加速的功能已經(jīng)逐步改由網(wǎng)絡(luò)設(shè)備中的專用集成電路(ASIC)芯片實現(xiàn)，而對流經(jīng)網(wǎng)絡(luò)設(shè)備的IP Flow進行測量和統(tǒng)計的功能卻更加成熟，并成為當(dāng)今互聯(lián)網(wǎng)領(lǐng)域公認的最主要的IP流量分析、統(tǒng)計和計費行業(yè)標(biāo)準(zhǔn)。

為對運營商網(wǎng)絡(luò)中不同類型的業(yè)務(wù)流進行準(zhǔn)確的流量和流向分析與計量，首先需要對網(wǎng)絡(luò)中傳輸?shù)母鞣N類型數(shù)據(jù)包進行區(qū)分。由于IP網(wǎng)絡(luò)的非面向連接特性，網(wǎng)絡(luò)中不同類型業(yè)務(wù)的通信可能是任意一臺終端設(shè)備向另一臺終端設(shè)備發(fā)送的一組IP數(shù)據(jù)包，這組數(shù)據(jù)包實際上就構(gòu)成了運營商網(wǎng)絡(luò)中某種業(yè)務(wù)的一個 Flow。如果管理系統(tǒng)能對全網(wǎng)傳送的所有Flow進行區(qū)分，準(zhǔn)確記錄傳送時間、傳送方向和Flow的大小，就可以對運營商全網(wǎng)所有業(yè)務(wù)的流量和流向進行分析和統(tǒng)計。

通過分析網(wǎng)絡(luò)中不同F(xiàn)low之間的差別，可以發(fā)現(xiàn)判斷任何兩個IP數(shù)據(jù)包是否屬于同一個Flow，實際上可以通過分析IP數(shù)據(jù)包的以下7個屬性來實現(xiàn):

a)源IP地址;

b)目標(biāo)IP地址;

c)源通信端口號;

d)目標(biāo)通信端口號;

e)第三層協(xié)議類型;

f)服務(wù)類型(TOS)字節(jié);

g)網(wǎng)絡(luò)設(shè)備輸入或輸出的邏輯網(wǎng)絡(luò)端口(iflndex)。

Cisco公司的NetFlow技術(shù)就是利用分析IP數(shù)據(jù)包的上述7個屬性，快速區(qū)分網(wǎng)絡(luò)中傳送的各種不同類型業(yè)務(wù)的Flow。對區(qū)分出的每個 Flow，NetFlow技術(shù)可以進行單獨跟蹤和準(zhǔn)確計量，記錄其傳送方向和目的地等流向特性，統(tǒng)計其起始和結(jié)束時間、服務(wù)類型、包含的數(shù)據(jù)包數(shù)量和字節(jié)數(shù)量等流量信息。

在NetFlow技術(shù)的演進過程中，Cisco公司一共開發(fā)出了NetFlow V1、NetFlow V5、NetFlow V7、NetFlow V8和NetFlow V9等5個主要的實用版本。

下面對網(wǎng)絡(luò)流量和流向分析系統(tǒng)中最常用的NetFlow V5數(shù)據(jù)輸出的數(shù)據(jù)包格式作一簡單介紹。

圖1為NetFlow V5輸出數(shù)據(jù)包的包頭格式。圖2為包含在每個NetFlow V5輸出數(shù)據(jù)包中的具體Flow的流量和流向統(tǒng)計信息的數(shù)據(jù)格式。

圖1 NetFlow V5輸出數(shù)據(jù)包的包頭格式

圖2 NetFlow V5輸出數(shù)據(jù)包中每個Flow的具體流量和流向統(tǒng)計信息格式