网络通信 频道

NetFlow技术与高校网络管理

      随着网络应用的蓬勃发展,很多学校网络带宽大幅增加,而网络使用的效能却没有成正比的提升。要做到有效的网络管理,就需要通过网络监控机制搜集相关信息,主动找出问题点并加以解决。 NetFlow 就是一种提供网络流量相关信息的协议,网管人员通过NetFlow 可以快速有效地掌握所管辖网络的状态。接下来我们会依序介绍NetFlow 与之前网络管理机制的差异及其运作机制,最后介绍目前NetFlow 的相关应用。 NetFlow的由来。

    传统上的网络管理者通常是通过SNMP (Simple Network Management Protocol) 协议的工具从支持SNMP的网络设施搜集网络流量数据,虽然通过这种方式取得信息不会造成处理上过重的负担,但是SNMP 提供的只是粗糙、简略的资料。这些信息只能让管理者发现问题,却无法进一步解决问题。

    那么有没有另外一种能提供更详细网络信息的技术呢?网络探针(sniffer) 或是类似的监听工具开始被部署在网络设备上,用来捕捉流过的数据包并将数据包加以翻译,找出数据包头中字段的相关信息,并进一步分析其内容以取得更详细的信息。

    虽然通过数据包监听工具可以取得更详细的网络信息,但监听工具通常专注在单一网络数据包的内容,所以网络管理者很难从监听工具所提供的信息来掌握整体网络的状态。此外,分析数据包非常耗费时间,而且数据包监听所储存并需要分析的数据量非常庞大,对于资源和人员的消耗是惊人的,这种方式显然不适合高校环境下的网络管理。

    NetFlow 便是在这种情况下应运而生并成为网管人员热门工具的,越来越多的学校在通过这一工具了解网络使用情形。NetFlow 不仅能提供更详细的网络信息,而且其分析方式避免了网络频宽及运算资源过重的负担。 NetFlow 运作机制

    NetFlow 是由Cisco 公司的Darren Kerr 和Barry Bruins 在1996 年开发的一套网络流量监测技术,目前已内建在大部分Cisco 路由器上,Juniper、Ex-treme、港湾网络等网络设备供货商也支持NetFlow 技术,它已逐渐成为大家都能接受的标准。   NetFlow 本身是一套网络流量统计协议,其主要原理是根据网络数据包传输时,连续相邻的数据包通常是往相同目的地IP 地址传送的特性,配合cache 快取机制,当网络管理者开启路由器或交换机接口的NetFlow 功能时,设备会在接收数据包时分析其数据包的标头部分来取得流量资料,并将所接到的数据包流量信息汇整成一笔一笔的Flow,在NetFlow 协议中Flow 是被定义为两端点间单一方向连续的数据流,这意味着每一个网络的连接都会被分别纪录成两笔Flow 数据,其中一笔记录从客户端连到服务器端,另外随着一笔纪录从服务器端连回到客户端的信息。

    网络设备通过以下字段来区分每一笔Flow:来源IP 地址(source IP address)、来源端口号(source port number)、目的IP 位址(destination IP address)、目的端口号(destination port number)、协议种类(protocol type)、服务种类(type of service)及路由器输入接口(router input interface),任何时间当设备接收到新的数据包时,会检视这七个字段来判断这个数据包是否属于任何已记录的Flow,有的话则将新收集到的数据包的相关流量信息整合到对应的Flow 记录中,如果找不到数据包对应的Flow 记录,便产生一个新的Flow 记录来储存相关的流量信息。由于设备内高速缓存的空间有限,无法无限制地容纳持续增加的Flow 纪录,所以NetFlow 协议也定义了终结Flow记录的机制,来维持网络设备中储存Flow 信息的空间。

    只要下面三种情况任何一个成立,路由器就会通过UDP 数据包将终止的Flow 纪录汇出到使用者事先指定的NetFlow 数据收集设备上:当数据包内字段flag 显示传输协议中传输完成的讯息如TCP FIN 时;流量停止超过15 秒;流量持续传送,每30 分钟会自动终止。

    虽然大部分的网络硬件供货商都支持NetFlow,但NetFlow版本有很多,其中NetFlow Version 5 是常见的Netflow 数据格式,包含以下几个字段:Source IP Address (源主机IP 地址)、Destination IP Address (目的主机IP 位址)、Source TCP/UDP Port (源主机所使用的端口号)、Destination TCP/UDP Port (目的主机所使用的端口号)、Next Hop Address (下一个端点的地址)、Source AS Number (来源主机所属的AS 编号)、Destination AS number (目的主机所属的AS 编号)、Source Prefix Mask (来源主机所属网域的子网掩码)、Destination Prefix Mask (目的主机所属网络的子网掩码)、Protocol (使用的通讯协议)、TCP Flag (数据包控制标记)、Type of Service (QoS需求参数)、Start sysUpTime (起始时间)、End sysUpTime (终止时间)、Input ifIndex (信息流流入接口编号)、Output ifindex (信息流流出接口编号)、Packet Count (数据包数量)、Byte Count (Byte数量)。

    支持NetFlow 功能的网络设备将其所收集到的Flow 信息以UDP 数据包送往预先设置好的流量接收主机,配合NetFlow 相关收集软件,将这些原始流量资料作适当的处理、储存以提供后续的相关应用。 NetFlow在网络安全上的相关应用

 

0
相关文章