NetFlow網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)的應(yīng)用和設(shè)計(jì)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

目前國(guó)內(nèi)電信運(yùn)營(yíng)商已建的網(wǎng)絡(luò)管理系統(tǒng)所能實(shí)現(xiàn)的流量監(jiān)測(cè)功能非常有限，遠(yuǎn)遠(yuǎn)不能滿足運(yùn)營(yíng)商的迫切需要。

1、互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用及現(xiàn)狀

1.1 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用

流量監(jiān)測(cè)技術(shù)的應(yīng)用主要包括以下幾個(gè)方面:

a)為網(wǎng)絡(luò)出口互聯(lián)鏈路的設(shè)置提供決策支持

通過對(duì)網(wǎng)絡(luò)出口流量和流向的分析，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對(duì)其他外部網(wǎng)絡(luò)的訪問情況，從而有效地選擇與其他網(wǎng)絡(luò)的互聯(lián)方式和互聯(lián)地點(diǎn)，節(jié)約互聯(lián)鏈路費(fèi)用。

b)掌握用戶對(duì)其他運(yùn)營(yíng)商的訪問情況

通過對(duì)與其他網(wǎng)絡(luò)互聯(lián)流量的監(jiān)控，分析網(wǎng)絡(luò)內(nèi)部用戶訪問其他外部網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)和主要流量的去向，準(zhǔn)確掌握內(nèi)部用戶對(duì)外網(wǎng)的興趣點(diǎn)，找到最多應(yīng)用的熱點(diǎn)信息內(nèi)容。根據(jù)分析結(jié)果進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)，將用戶感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

c)評(píng)估分支網(wǎng)絡(luò)的成本和價(jià)值

通過對(duì)各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小、去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況，從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開展情況，并作出價(jià)值評(píng)估。

d)提供重要應(yīng)用和大客戶統(tǒng)計(jì)分析

通過對(duì)重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析，掌握重要應(yīng)用和大客戶的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析，有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

e)基于IP的計(jì)費(fèi)應(yīng)用和服務(wù)等級(jí)協(xié)議(SLA)的校驗(yàn)服務(wù)

通過對(duì)大客戶接入電路上的流量進(jìn)行監(jiān)控分析，可以統(tǒng)計(jì)出業(yè)務(wù)類型、服務(wù)等級(jí)、通信時(shí)間和時(shí)長(zhǎng)、通信數(shù)據(jù)量等參數(shù)，為基于IP的計(jì)費(fèi)應(yīng)用和SLA的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)。

f)掌握網(wǎng)絡(luò)狀況

通過對(duì)網(wǎng)絡(luò)中一些特定流量的長(zhǎng)期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時(shí)發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大前實(shí)施防范措施，進(jìn)而提升網(wǎng)絡(luò)的整體質(zhì)量及效能。

g)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常通信的檢測(cè)，重點(diǎn)防范分布式拒絕服務(wù)(DDoS)的攻擊和大范圍的蠕蟲病毒發(fā)作

通過對(duì)網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性。通過與網(wǎng)絡(luò)通信正?；€的比對(duì)，管理員對(duì)出現(xiàn)的異常通信可以快速定性是否為網(wǎng)絡(luò)安全攻擊，確定安全攻擊的類型，評(píng)估本次攻擊的危險(xiǎn)程度及可能造成的影響范圍，并采用相應(yīng)技術(shù)手段實(shí)施事故應(yīng)急處理。

h)為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)依據(jù)

通過流量分析，可以為多出口的流量負(fù)載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定QoS等網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。

1.2 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)現(xiàn)狀分析

目前國(guó)內(nèi)電信運(yùn)營(yíng)商的運(yùn)維部門大都還沒有建設(shè)一套能夠完全滿足管理需求的互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)系統(tǒng)?，F(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)雖然可以提供業(yè)務(wù)流量監(jiān)測(cè)手段，但基本上只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如利用免費(fèi)的MRTG和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)，對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡(jiǎn)單的端口級(jí)流量監(jiān)視和統(tǒng)計(jì);或采用在網(wǎng)絡(luò)中部分重點(diǎn)業(yè)務(wù)接入點(diǎn)(POP)加裝遠(yuǎn)程監(jiān)控(RMON)探針的方式，利用RMON I/Ⅱ協(xié)議對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。

上述兩種被普遍采用的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)都有著明顯的技術(shù)局限性。

SNMP采集端口的數(shù)據(jù)主要是在網(wǎng)元層用來監(jiān)控網(wǎng)絡(luò)流量和設(shè)備的性能，而且SNMP采集的數(shù)據(jù)是基于端口的，無法提供端到端的準(zhǔn)確的流量信息，因此對(duì)流向的統(tǒng)計(jì)手段不明確。

利用RMON探針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)SNMP的技術(shù)局限性，其業(yè)務(wù)分析和協(xié)議分析功能較強(qiáng)。但是，采用RMON探針建設(shè)的流量監(jiān)測(cè)系統(tǒng)也有處理性能不足和難以在大型網(wǎng)絡(luò)普遍部署的局限性。

為克服現(xiàn)有網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，運(yùn)營(yíng)商迫切需要尋找一種功能豐富、成熟穩(wěn)定的新技術(shù)，對(duì)現(xiàn)有管理系統(tǒng)中流量信息的采集和分析方式進(jìn)行改造和升級(jí)。新的流量信息采集和分析技術(shù)應(yīng)具備對(duì)運(yùn)營(yíng)商的運(yùn)行網(wǎng)絡(luò)影響小、無需對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行改變就能平滑升級(jí)的技術(shù)特征，既可以對(duì)網(wǎng)絡(luò)中各個(gè)鏈路的帶寬使用率進(jìn)行統(tǒng)計(jì)，又可以對(duì)每條鏈路上不同類型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。本文主要討論功能強(qiáng)大、應(yīng)用廣泛的NetFlow技術(shù)。

2、流量監(jiān)測(cè)系統(tǒng)建設(shè)方案中需要考慮的問題

2.1 NetFlow技術(shù)簡(jiǎn)介

NetFlow是Cisco公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，該技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)交換進(jìn)行加速，并可同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的IP數(shù)據(jù)流(Flow)進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)過多年的技術(shù)演進(jìn)，NetFlow原來用于數(shù)據(jù)交換加速的功能已經(jīng)逐步改由網(wǎng)絡(luò)設(shè)備中的專用集成電路(ASIC)芯片實(shí)現(xiàn)，而對(duì)流經(jīng)網(wǎng)絡(luò)設(shè)備的IP Flow進(jìn)行測(cè)量和統(tǒng)計(jì)的功能卻更加成熟，并成為當(dāng)今互聯(lián)網(wǎng)領(lǐng)域公認(rèn)的最主要的IP流量分析、統(tǒng)計(jì)和計(jì)費(fèi)行業(yè)標(biāo)準(zhǔn)。

為對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中不同類型的業(yè)務(wù)流進(jìn)行準(zhǔn)確的流量和流向分析與計(jì)量，首先需要對(duì)網(wǎng)絡(luò)中傳輸?shù)母鞣N類型數(shù)據(jù)包進(jìn)行區(qū)分。由于IP網(wǎng)絡(luò)的非面向連接特性，網(wǎng)絡(luò)中不同類型業(yè)務(wù)的通信可能是任意一臺(tái)終端設(shè)備向另一臺(tái)終端設(shè)備發(fā)送的一組IP數(shù)據(jù)包，這組數(shù)據(jù)包實(shí)際上就構(gòu)成了運(yùn)營(yíng)商網(wǎng)絡(luò)中某種業(yè)務(wù)的一個(gè) Flow。如果管理系統(tǒng)能對(duì)全網(wǎng)傳送的所有Flow進(jìn)行區(qū)分，準(zhǔn)確記錄傳送時(shí)間、傳送方向和Flow的大小，就可以對(duì)運(yùn)營(yíng)商全網(wǎng)所有業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。

通過分析網(wǎng)絡(luò)中不同F(xiàn)low之間的差別，可以發(fā)現(xiàn)判斷任何兩個(gè)IP數(shù)據(jù)包是否屬于同一個(gè)Flow，實(shí)際上可以通過分析IP數(shù)據(jù)包的以下7個(gè)屬性來實(shí)現(xiàn):

a)源IP地址;

b)目標(biāo)IP地址;

c)源通信端口號(hào);

d)目標(biāo)通信端口號(hào);

e)第三層協(xié)議類型;

f)服務(wù)類型(TOS)字節(jié);

g)網(wǎng)絡(luò)設(shè)備輸入或輸出的邏輯網(wǎng)絡(luò)端口(iflndex)。

Cisco公司的NetFlow技術(shù)就是利用分析IP數(shù)據(jù)包的上述7個(gè)屬性，快速區(qū)分網(wǎng)絡(luò)中傳送的各種不同類型業(yè)務(wù)的Flow。對(duì)區(qū)分出的每個(gè) Flow，NetFlow技術(shù)可以進(jìn)行單獨(dú)跟蹤和準(zhǔn)確計(jì)量，記錄其傳送方向和目的地等流向特性，統(tǒng)計(jì)其起始和結(jié)束時(shí)間、服務(wù)類型、包含的數(shù)據(jù)包數(shù)量和字節(jié)數(shù)量等流量信息。

在NetFlow技術(shù)的演進(jìn)過程中，Cisco公司一共開發(fā)出了NetFlow V1、NetFlow V5、NetFlow V7、NetFlow V8和NetFlow V9等5個(gè)主要的實(shí)用版本。

下面對(duì)網(wǎng)絡(luò)流量和流向分析系統(tǒng)中最常用的NetFlow V5數(shù)據(jù)輸出的數(shù)據(jù)包格式作一簡(jiǎn)單介紹。

圖1為NetFlow V5輸出數(shù)據(jù)包的包頭格式。圖2為包含在每個(gè)NetFlow V5輸出數(shù)據(jù)包中的具體Flow的流量和流向統(tǒng)計(jì)信息的數(shù)據(jù)格式。

圖1 NetFlow V5輸出數(shù)據(jù)包的包頭格式

圖2 NetFlow V5輸出數(shù)據(jù)包中每個(gè)Flow的具體流量和流向統(tǒng)計(jì)信息格式