《NETFLOW技术介绍》由会员分享,可在线阅读,更多相关《NETFLOW技术介绍(135页珍藏版)》请在金锄头文库上搜索。
1、NETFLOW技术介绍1 .流量流向监测技术1.1 概述传统的网络流量监测技术的局限性SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能,而且SNMP采集的数据是基于端口的,无法提供端到端的准确的流量信息,因此对流向的统计手段不明确。利用RMON探针对运营商网络进行流量和流向管理可以部分弥补SNMP的技术局限性,其业务分析和协议分析功能较强。但是,采用RMON探针建设的流量监测系统也有处理性能不足和难以在大型网络普遍部署的局限性。提出新的流量监测技术为克服现有网管系统对网络流量和流向分析功能的技术局限性,运营商迫切需要寻找一种功能丰富、成熟稳定的新技术,对现有管理系统中流量信息的
2、采集和分析方式进行改造和升级。新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征,既可以对网络中各个链路的带宽使用率进行统计,又可以对每条链路上不同类型业务的流量和流向进行分析和统计。本文主要介绍应用广泛的CiscoNetFlow技术、华为Netstream技术、Sflow、Cflowd和1PFIX以及支持上述流监测技术的厂家和设备情况。1.2 相关厂家及设备供应商支持的流设备列表CiscoNetFlowCisco-800、1700、2600、1800、2800、3800、4500、6500、7200、7300、7500、7600100001
3、2000、CRS-13ComNetFlow8800系列交换AdtranNetFIowRiverbedNetFlowEnterasysNetFIowExtremeNetworksNetFlowNetVanta32003305、4305、5305、1524、1624、3430、3448、3430、340和344请参考Riverbed白皮书请参考Enterasys白皮书Alpine3800系20、BlackDiamond6800系列、BlackDiamond8800系列、BlackDiamond2 Netflow2.1 流原理netflow的信息单元是flow。flow是一个单向的带有唯一标识字节组
4、的传输流。基本的标识为:source-IP-address,source-port,destination-IP-address,destination-portIP-protocol,TOS,inputinterfaceIDO当路由器接收到一个没有flow入口的数据包时,一个flow的结构将被初始化以保存其状态信息如:交换的字节数、IP地址、端口、自治区域等。随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数,直至这个flow中止并输出。Netflow功能是在一个路由器内独立完成,它不涉及路由器之间的任何连接设置协议,也不要求对数据包本身或其它任何网络设备进行任何外部
5、修改。Netflow交换中要创建一个信息高速缓存,第一个数据包到来时,路由器利用标准的快速交换处理信息包,同时生成一个Netflow高速缓存,随后到来的数据包即可以依据高速缓存信息被交换,对于所有活动信息流,在Netflow高速缓存中保留相应的信息流信息。当一定时间内没有相应的数据包通过,则结束这个数据流的交换和统计,并释放高速缓存,数据输出的条件在后续部分描述。在netflow中到期的flow被绑在UDP数据报中发出。在V5的版本中最多30个flow记录,发一次floWoVI中25个记录,V8中28个记录。至少每秒锐Hi虽然netflow只提供单向的流量统计。如果希望得到表现双向的统计数据,
6、netflow提供了“canned”的SQL程序来获得一个IP地址对的流量统计数据。典型的路由器netflow的资源占用率为8%30%o一般情况下一个netflow收集器接收3-5个路由器的netflow输出。2.2 输出缓存条件NetFlow是通过建立高速缓存来实现的,该缓存存放所有活动的流信息。当有一个报文符合流定义时,NetFlow缓存将被建立。缓存终止并输出数据的条件如下:*传输完成(当看到TCPFIN或RST标志)*缓存满*非活动时间超时。空闲流超过n秒,默认15秒,可通过Router(config)#ipflow-cachetimeoutinactive130改变默认值*活动时间超
7、时。流超过n分钟,默认30分可通过 Router(config)# ipflow-cachetimeoutactive20改变默认值NetFlow缓存如图1所示。SrdlSrdPaddDstliDslPaddProicxdTOSRgs1100000A2sreMsksreASOOA2DS1局DS1ASNextHopBytes/FkiActive.IdeFa1.0173.100.21.2FaftO10.0,227.12118010110000W2.12450QA212A1510J0232152817454Fa1.0173.100.3.2F改010.0.227.1264002dgi.(261%15:
8、2d15I0J023274041.5iFa1.0173.100.20.2FaftO10.0,227.121180101000000A1I2A180OOA1.124ISI0J023214281145.53Fa1,0173.100.6.2FaftO10.0,227.126400221019.13018019.(24IS10JQ23210401745141.CreateandupdatetowsinNetFbwcache2.ExpirationV&d13rdPadd同1DslPaddProladTOSHgs11000如2SrcMskSrcAS0QA2DslDslMskASNextHop用AcliwI
9、deFaLO173.100.21.2FattO10.0,227.12II8010IIOOO0QA21245HM2,241510JQ2321528190043.Aggregation/, Inaciolimarexpred (15c is&信ull| Active timer expired (30 irin (1800 sec) is deiau hj NdRow cache is Lil |dd?s1 Haws are expired)RSTcr FIHTCPRag4.Eiportversione.g. Proloco l-Port Aggrelion Scheme Beccmes5. Tr
10、ansport protocolPa)lo3d(Flows)rroiocaPkts&cPcriDsiPorlBytes.1 Pkl11IlCW0M2DsiPorl1528Aggreted Flews- Eiport Version8 or 9Ibn-AggregaiedFbws-ExportVersion5or9图1NetFlowCache示例2.3Netflow报文格式说明2.3.1 VI头格式Version 1字段值Version0x0001Count该报文含有的流记录数System该设备启动的时间(毫秒)UptimeUNIX Seconds自0000 UTC 1970计的时间(秒)UNI
11、X自0000UTC1970计剩余NanoSenconds时间(十亿分之一秒)输出报文格式3bytesrcaddrdstaddrnexthopinputdPktsdOctetsfirstLastsrcportPadlPad2Bytes0-34-78-1112-1314-1516-1920-2324-2728-3132-3334-3536outputdstportprottosTcp_flagsPad3reserved字段srcaddrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPadl源ip地址目的ip地址下一跳路由器地
12、址SNMP入口接口iflndexSNMP出口接口iflndex该流的Packets数该流的Bytes数流开始系统时间流结束系统时间四层源端口四层目的端口未用(0)37prot四层协议(如TCP=6,UDP=17)38tos服务类型39Tcp_flagsCumulativeORofTCPflags40Pad2未用(0)41-42Pad3未用(0)43reserved保留2.3.2V5头格式Version51234567G910111213141531161716192021222324252627262930biteVersbnCountSystemUptimeUNIXSecondsUNIXNa
13、noSecondsFlowSequenceNumberReservedEnginTypeEnginID备注:红色部分是Version5较Version1新添字段。字段Version0x0005CountSystem该报文含有的流记录数该设备启动的时间(毫秒)UptimeUNIXSeconds自0000UTC1970计的时UNIXNanoSencondsSequenceNumberEngineType间(秒)自0000UTC1970计剩余时间(十亿分之一秒)流序号流转发引擎,0代表RP,1代表VIP/LCEngineIDVIP或LC插槽号码输出报文格式备注:红色部分是Version5不同于Version1的字段。Version5新增了4个字段用以标示自治域和掩码位。012bytesrcaddrdstaddrnexthopinputdPktsoutputdO
