收藏
下载资源

netflow技术介绍

上传人:小** 文档编号:93481010 上传时间:2019-07-22 格式:DOC 页数:54 大小:1.73MB
返回 下载 相关 举报
netflow技术介绍_第1页
第1页 / 共54页
netflow技术介绍_第2页
第2页 / 共54页
netflow技术介绍_第3页
第3页 / 共54页
netflow技术介绍_第4页
第4页 / 共54页
netflow技术介绍_第5页
第5页 / 共54页
点击查看更多>>
资源描述

《netflow技术介绍》由会员分享,可在线阅读,更多相关《netflow技术介绍(54页珍藏版)》请在金锄头文库上搜索。

1、1 . 流量流向监测技术1.1 概述传统的网络流量监测技术的局限性SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能,而且SNMP采集的数据是基于端口的,无法提供端到端的准确的流量信息,因此对流向的统计手段不明确。利用RMON探针对运营商网络进行流量和流向管理可以部分弥补SNMP的技术局限性,其业务分析和协议分析功能较强。但是,采用RMON探针建设的流量监测系统也有处理性能不足和难以在大型网络普遍部署的局限性。提出新的流量监测技术为克服现有网管系统对网络流量和流向分析功能的技术局限性,运营商迫切需要寻找一种功能丰富、成熟稳定的新技术,对现有管理系统中流量信息的采集和分析方式进行改

2、造和升级。新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征,既可以对网络中各个链路的带宽使用率进行统计,又可以对每条链路上不同类型业务的流量和流向进行分析和统计。本文主要介绍应用广泛的Cisco NetFlow技术、华为 Netstream技术、Sflow 、Cflowd 和IPFIX 以及支持上述流监测技术的厂家和设备情况 。1.2 相关厂家及设备供应商 支持的流 设备列表CiscoNetFlowCisco - 800、1700、2600、1800、2800、3800、4500、6500、7200、7300、7500、7600、10000

3、、12000、CRS-1 3ComNetFlow8800系列交换机AdtranNetFlowNetVanta 3200、3305、4305、5305、1524、1624、3430、3448、3130、340和344RiverbedNetFlow请参考Riverbed白皮书EnterasysNetFlow请参考Enterasys白皮书 Extreme NetworksNetFlowAlpine 3800系列、BlackDiamond 6800系列、BlackDiamond 8800系列、BlackDiamond 10808、BlackDiamond 12804C、BlackDiamond 128

4、04R、Summit X450系列、Summit i系列(不支持输入/输出接口、octets和最初及最后次数)Foundry NetworksNetFlow、sFlow BigIron系列、FastIron系列、IronPoint系列、NetIron系列、 SecureIron系列、ServerIron系列 Juniper NetworksNetFlow、J-Flow 请参考Juniper Networks白皮书(针对Netflow不支持取样间隔参数、最初和最后次数以秒单位存储)Huawei NetStream请参考Huawei白皮书H3CNetStream请参考H3C白皮书Nortel IP

5、FIX5500和8600系列 AlaxalA NetworkssFlowAX7800R、AX7800S、AX7700R、AX5400S AlcatelsFlowOmniSwitch 6850、OmniSwitch 9000 Allied TelesissFlowSwitchBlade 7800R系列、SwitchBlade 7800S系列、SwitchBlade 5400S系列 Comtec SystemssFlow!-Rex 16Gi、24Gi和24Gi-ComboForce10 NetworkssFlowE系列Hewlett-PackardsFlowProCurve 2800系列、ProC

6、urve 3400cl系列、ProCurve 3500yl系列、ProCurve 4200vl系列、ProCurve 5300xl系列、ProCurve 5400zl系列、ProCurve 6200yl系列、ProCurve 6400cl系列、ProCurve 9300m系列、ProCurve Routing Switch 9408sl HitachisFlowGR4000、GS4000、GS3000NECsFlowIP8800/R400系列、IP8800/S400系列、IP8800/S300系列2 Netflow2.1 流原理netflow 的信息单元是flow。flow是一个单向的带有唯一

7、标识字节组的传输流。基本的标识为:source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。当路由器接收到一个没有flow入口的数据包时,一个flow的结构将被初始化以保存其状态信息如:交换的字节数、IP地址、端口、自治区域等。随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数,直至这个flow中止并输出。Netflow功能是在一个路由器内独立完成,它不涉及路由器之间的任何连接设置协议,也不要求对数据包本身或

8、其它任何网络设备进行任何外部修改。Netflow交换中要创建一个信息高速缓存,第一个数据包到来时,路由器利用标准的快速交换处理信息包,同时生成一个Netflow高速缓存,随后到来的数据包即可以依据高速缓存信息被交换,对于所有活动信息流,在Netflow高速缓存中保留相应的信息流信息。当一定时间内没有相应的数据包通过,则结束这个数据流的交换和统计,并释放高速缓存,数据输出的条件在后续部分描述。在netflow中到期的flow被绑在UDP数据报中发出。在V5的版本中最多30个flow记录,V1中25个记录,V8中28个记录。至少每秒钟发一次flow。虽然netflow只提供单向的流量统计。如果希望

9、得到表现双向的统计数据,netflow提供了“canned”的SQL程序来获得一个IP地址对的流量统计数据。典型的路由器netflow的资源占用率为830。一般情况下一个netflow收集器接收35个路由器的netflow输出。2.2 输出缓存条件NetFlow是通过建立高速缓存来实现的,该缓存存放所有活动的流信息。当有一个报文符合流定义时,NetFlow缓存将被建立。缓存终止并输出数据的条件如下:*传输完成(当看到TCP FIN或RST标志)*缓存满*非活动时间超时。空闲流超过n秒,默认15秒,可通过Router(config)# ip flow-cache timeout inactive

10、 130改变默认值*活动时间超时。流超过n分钟,默认30分钟,可通过Router(config)# ip flow-cache timeout active 20改变默认值NetFlow缓存如图1所示。图1 NetFlow Cache示例2.3 Netflow 报文格式说明2.3.1 V1 头格式字段值Version0x0001Count该报文含有的流记录数System Uptime该设备启动的时间(毫秒)UNIX Seconds自0000 UTC 1970计的时间(秒)UNIX NanoSenconds自0000 UTC 1970计剩余时间(十亿分之一秒)输出报文格式0123 bytesrc

11、addrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPad1prottosTcp_flagsPad2Pad3reservedBytes字段值0-3srcaddr源ip地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts该流的Packets数20-23dOctets该流的Bytes数24-27first流开始系统时间28-31Last流结束系统时间32-33srcport四层源端

12、口34-35dstport四层目的端口36Pad1未用(0)37prot四层协议(如TCP=6,UDP=17)38tos服务类型39Tcp_flagsCumulative OR of TCP flags40Pad2未用(0)41-42Pad3未用(0)43reserved保留2.3.2 V5头格式备注:红色部分是Version 5较Version 1新添字段。字段值Version0x0005Count该报文含有的流记录数System Uptime该设备启动的时间(毫秒)UNIX Seconds自0000 UTC 1970计的时间(秒)UNIX NanoSenconds自0000 UTC 197

13、0计剩余时间(十亿分之一秒)Sequence Number流序号Engine Type流转发引擎,0代表RP,1代表VIP/LCEngine IDVIP或LC插槽号码输出报文格式备注:红色部分是Version 5不同于Version 1的字段。Version 5新增了4个字段用以标示自治域和掩码位。0123 bytesrcaddrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPad1Tcp_flagsprottossrc_asdst_assrc_maskdst_maskpad2Bytes字段值0-3srcaddr源ip地

14、址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts该流的Packets数20-23dOctets该流的Bytes数24-27first流开始系统时间28-31Last流结束系统时间32-33srcport四层源端口34-35dstport四层目的端口36Pad1未用(0)37Tcp_flagsCumulative OR of TCP flags38prot四层协议(如TCP=6,UDP=17)39tos服务类型40-41src_as源AS号42-43dst_as目的AS号44Src_mask源地址掩码位数45Dst_mask目的地址掩码位数46-47Pad2未用(0)2.3.3 V7头格式备注:红色部分是Version 7较Version 1新添字段。字段值Version

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号