《流量透明化ipfix流量分析解决方案技术白皮书》由会员分享,可在线阅读,更多相关《流量透明化ipfix流量分析解决方案技术白皮书(23页珍藏版)》请在金锄头文库上搜索。
1、流量透明化-IPFIX流量分析解决方案技术白皮书流量透明化-IPFIX流量分析解决方案技术白皮书福建星网锐捷网络有限公司版权所有 侵权必究目录1方案背景11.1问题的提出11.2问题的归纳11.3问题的解决21.3.1网管方式21.3.2数据包监听方式21.3.3基于流(Flow)技术的方式21.3.4解决方法的评估32IPFIX技术介绍42.1IPFIX技术概述42.2IPFIX技术价值63网络透明化解决方案73.1解决方案组成73.2Exporter设备功能83.3Collector设备功能83.4Analyzer设备功能83.5Analyzer设备报表93.6业务功能展示103.6.1网
2、络用户分区管理103.6.2应用流量分析113.6.3流量目标地址统计133.6.4带宽使用实时统计143.6.5网内流量趋势163.6.6高效便捷的流量管理174网络透明化解决方案组网模式及应用184.1网络透明化解决方案组网模式184.2网络透明化解决方案应用195结束语211 方案背景1.1 问题的提出“无法被量化的将无法改进”。管理和优化网络首先要进行测量。随着 IT、网络技术的迅猛发展和企业信息化程度的不断提高,各种网络应用越来越丰富,各种应用时时刻刻都在争夺有限的网络带宽,从而导致网络管理的难度不断增大。因此,如何保证网络的可用性和关键业务的畅通运行,对用户业务发展将起到至关重要的
3、作用。随着网络的规模越来越大,IT服务的完善,网络管理者也会提出一下问题:1. 当前的上网流量占用多大带宽?这些带宽主要谁在占用?这些占用是允许的吗?在 WWW 访问之外,是不是有大量的 FTP 等下载?是允许的吗?2. DMZ 区的服务器有多少是内网用户在访问,有多少是外网用户在访问?如果是内网用户访问多(比如 DNS),是不是考虑将其迁移到服务器区?外网用户的访问有时间规律吗? 3. 外联的服务器是提供特定用户访问吗?哪个访问流量最大?最大流量占用的用户是合法的吗?服务器是不是该扩容了?有非法用户访问这些服务器吗? 4. 这些关键的业务服务器的带宽够用吗?是不是考虑一台服务器提供多个业务服
4、务或者多台服务器提供一个业务服务?除了生产业务外, 这些服务器是不是还提供其它无关的业务, 导致影响性能?谁访问这些服务器更多一些?这些服务器在哪个时间段最繁忙? 5. 部门用户用于工作(访问业务服务器)的流量有多大?用于上网的流量有多大?谁更多地使用互联网?是必要的吗?谁占用的网络带宽最大?这些占用是必要的吗?哪个用户在非法扫描网络?是否有用户提供非法的下载(WWW/FTP)服务? 1.2 问题的归纳这些问题都是流量分析问题。归结起来,所有的流量问题大致包含: 1. 这些宝贵的网络带宽谁在占用?一定时间内,谁占用最多? 2. 这些流量到底包含哪些内容?是数据库通讯,还是 g,还是网页访问HT
5、TP,还是 FTP 下载? 3. 这些流量是生产业务产生的流量吗?是必要的吗? 4. 这些流量中是否包含病毒流量?或者禁止使用的流量 (比如 ftp 下载) ? 如果把这些问题进一步分析,会发现,这其实涉及到两个问题: 1. 流量的分布问题;是指全网中,哪些点流量大,哪些点流量小?2. 流量的构成问题;对于特定的点,流量的组成是什么?由谁发起的?目的地在哪里?1.3 问题的解决要解决这些流量问题,不是一件容易的事情,常规的方法有几种: 1.3.1 网管方式 网管方式通过启动 SNMP,来获取流量信息。但是,SNMP 只能获取流量的字节数,无法获取字节的构成,更无法获取流量的发起方。 该方法可以
6、解决流量的分布问题,无法解决流量的构成问题。 该方式主要用于设备的管理,而不适用于精细的流量分析。 1.3.2 数据包监听方式 该方法是将关注的流量串联到或者镜像到分析仪器(包括软件分析,比如sniffer),通过分析仪器来获取流量的构成和细节。该方法可以做到流量的精细化分析,做到 27 层的流量分析,但是,缺点也很明显,只有在部署分析仪器的地方进行流量分析, 如果做到全网多节点流量监控, 必须部署多个分析仪器,导致部署成本急剧上升。 该方式可以很好解决流量的构成问题,但几乎无法解决流量的分布问题。 该方式适用于对少量关键点的监控,常用于专业工程师的故障诊断,不适合大规模日常使用。 1.3.3
7、 基于流(Flow)技术的方式 该方式是让网络设备在转发数据流量的同时,生成特定的流量信息,然后将流量信息发送到特定的分析模块,进而实现对流量的分析。 该方式的优势是明显的,理想情况下,如果让网络中的每台网络设备均发出流量信息,那么就可以轻松解决流量的分布问题,同时解决流量的构成问题。缺点是各厂商提供的流分析技术都是私有技术无法通用。也正是基于此,国际化流量监控标准技术IPFIX(IP Information flow Export)应运而生。1.3.4 解决方法的评估网管方式无法进行流量构成分析,不再讨论。 对于数据包监听方式和流(Flow)技术的方式:由于分析仪器的昂贵,监听方式不适用于大
8、规模部署,而且分析到 7 层应用后,容易使用户隐私受到侵犯;而流(Flow)技术的分析方式功能均衡而强大,对流量的分析只到业务字节,不涉及应用级,无隐私顾虑。如果以监控 20 个物理端口为例进行投资估算,监听方式在几十万甚至上百万人民币数量级,基于流(Flow)技术的流量分析方式成本大大降低。因此,流(Flow)技术方式更适合网络流量分析。 2 IPFIX技术介绍2.1 IPFIX技术概述基于流的技术被越来越广泛地用于刻画网络传输流,它在设置QoS策略、部署应用和进行容量规划上都有着巨大的价值。但是,网络管理员却缺少一种输出传输流的标准格式。IPFIX全称为IP Flow Informatio
9、n Export,即IP数据流信息输出,它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要在于:l 统一IP数据流的统计、输出标准,这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。l 输出格式具有较强的可扩展性,因此如果流量监控的要求发生改变,网络管理员也可通过修改相应配置来实现,不必升级网络设备软件或管理工具。IPFIX定义的格式以Cisco Netflow Version 9数据输出格式作为基础,可使IP流量信息从一个输出器(Exporter)传送到收集器(Collector)。因为IPFIX是一种针对数据流特征分析、基于模板的格式输出的协议,因此具
10、有很强的可扩展性,对于不同的需求都可以定义不同的数据格式。为了较完整的输出数据,IPFIX缺省使用网络设备的七个关键域来表示每股网络流量:l 源 IP 地址l 目的 IP 地址l TCP/UDP 源端口l TCP/UDP 目的端口l 三层协议类型l 服务类型(Type-of-service)字节l 输入逻辑接口如果不同的 IP 报文中所有的七个关键域都匹配,那么这些 IP 报文都将被视为属于同一股流量。通过记录网络中这些流量的特征,如流量持续时间、流量中报文平均长度等, 我们可以了解到当前网络的应用情况,并根据这些信息对网络进行优化,安全检测,流量计费。IPFIX记录除了缺省的记录流信息,可以
11、基于模板的格式随意选择。锐捷交换机IPFIX记录的流信息非常丰富,基本流输出如下信息(可随意调整选择):l 流开始时间l 流结束时间l 流的字节数l 流的报文数l 源IP地址l 目的IP地址l 源端口号l 目的端口号l 入接口l 出接口l 协议类型l IP TOSl TCP Flagsl 下一跳IP地址l 下一跳BGP地址l 源BGP AS Numberl 目的BGP AS Numberl 最小报文长度l 最大报文长度l 报文最小TTLl 报文最大TTL锐捷交换机IPFIX流信息有如下特点:l 除了基本的流统计信息外,还记录TCP Flags、最小报文长度、最大报文长度、最小TTL、最大TTL
12、,通过这些信息可以对网络攻击和网络安全进行分析。l 除了基本的流统计信息外,还记录下一跳IP地址、下一跳BGP地址、源BGP AS Number目的BGP AS Number、出接口,通过这些信息可以对网络故障和网络规划进行分析。l 流的标识(关键字)不只上述规定的7元素,还包括下一跳IP地址、下一跳BGP地址、源BGP AS Number目的BGP AS Number、出接口,当流的7元素没有改变时,而是网络拓扑改变时(比如下一跳地址改变),那么也会作为一个新的流,这些信息有助于分析网络环境的改变、或者网络拓扑抖动等问题。2.2 IPFIX技术价值1. IPFIX统一了流量监控标准,通过使用
13、单一的、一致的模型,简化了流输出架构。随着IPFIX标准更广泛地为网络设备厂商采用,网络管理员不用再为支持多个流报告应用而操心,每个应用都有自己的流输出格式。IPFIX让他们可以使用一个符合这项标准的流报告应用程序。此外,IPFIX的可扩展性使得网络管理员不必在传输流监测或报告需求发生变化时修改或升级设备配置。2. IPFIX标准关注网络升级时的流输出可扩展性。随着MPLS、IPv6和多播路由等网络技术的日益普及,管理员也需要更好地了解它们对网络环境的影响,这种可扩展性就变得越来越重要。为了确保这种可扩展性的轻松实现,IPFIX兼容设备将输出模板,这些模板详细说明那些为输出而配置的流“特征”。
14、流的采集和报告应用程序可以被用来读取这些模板,以了解哪些“特征”被输出,因此网络管理员不需要调整应用程序配置。3. IPFIX RFC定义了不同的流输出应用,包括基于使用的统计、传输流分布、传输流工程、攻击/入侵检测和QoS监测。例如,支持IPFIX的流报告应用程序通过读取服务类型字节流“特征”,可以显示每一个等级的QoS服务会消费多少网络传输流。此外,流量报告应用还可以显示应用和用户如何根据服务类型策略分类。支持IPFIX攻击/入侵检测的应用将能够提供基准协议(Baseline)和地址数据来确定网络异常现象。4. IPFIX描述对于流量输出至关重要的众多规则,包括时间戳、时间同步、流终止、数
15、据包分段和多播流行为。例如,传送多播应用流的IPFIX兼容设备应当输出反映每一个进入设备接口的流记录。此外,这类设备应当输出通过多播传送给同一台设备上所有输出接口每个数据包的流记录。同使用多播输出行为一样,RFC中列出的其他规则使网络设备厂商可以更好地了解IPFIX标准的支持要求,以及它如何在已有的技术中实现集成。3 网络透明化解决方案3.1 解决方案组成IPFIX是基于“流”的概念,一个流是指,来自相同的子接口,有相同的源和目的IP 地址,协议类型,相同的源和目的协议端口号,以及相同ToS的报文,通常为5 元组。IPFIX会记录这个流的统计信息,包括:时间戳,报文数,总的字节数。网络透明化解决方案包括:流量采样设备(Exporter)、流量采集设备(Collector)、数据分析处理设备(Analyser),三个设备之间的关系如下图所示: 图:解决方案的组成l Export设备对网络流进行分析处理,提取符合条件的流统计信息,并将统计信息输出给Collector设备。l Collector设
