返回
流量分析新贵NetFlow介绍

流量分析新贵NetFlow介绍

ID:38419669

大小:136.50 KB

页数:7页

时间:2019-06-12

流量分析新贵NetFlow介绍_第1页
流量分析新贵NetFlow介绍_第2页
流量分析新贵NetFlow介绍_第3页
流量分析新贵NetFlow介绍_第4页
流量分析新贵NetFlow介绍_第5页
资源描述:

《流量分析新贵NetFlow介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、流量分析新贵NetFlow介绍2006年8月9日电脑商网东软姚伟栋IP网络承载能力与所提供的应用业务规模向来都是相辅相成的,一方面IP网络的建设将给新应用技术的推广提供有效的实施平台,另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求,从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中,另外一个问题却是毋庸置疑的凸现了出来,那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来,如何保证有限的IP资源能够被合理应用的到主要利润业务中。以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。什

2、么是Flow在最开始,Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念,其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中,数据包将通过几个给定的特征定义归并到特定的集合中,这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外,还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中,而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息,从而提高了网元设备的路由转发效率。作为网元设备内部路由机制优化的副产物,Flow记录能够

3、提供传统SNMPMIB无法比拟的丰富信息,因此Flow数据被广泛用于高端网络流量测量技术的支撑,以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。相对于会话(“Session”)而言,“Flow”具备更细致的标识特征,在传统的TCP/IP五元组的基础上增加了一些新的域值,至少包括以下几个字段:Ø 源IP地址Ø 目的IP地址Ø 源端口Ø 目的端口Ø IP层协议类型Ø ToS服务类型Ø 输入物理端口以上七个字段可以唯一地确定任意一个数据包属于哪个特定的Flow,换而言之任何一个字段出现了差异都意味着一个新Flow的发生。在实际

4、软件实现中,Flow所包含的字段定义及数量将会随着厂商甚至协议版本的不同而出现变化(如包含AS信息、Next_Hop等),业界因此也相应地出现了各种不同的实现版本。而在这些不同的Flow版本中,NetFlow得益于Cisco公司在网络设备行业内无与伦比的领袖地位而获得最大范围的认同。有多少种FlowFlow的版本差异通常直观的表现在其输出报文格式上。目前业内常见的主流Flow格式大致有以下几种:表格2业内常见的Flow类型Flow名称代表厂商主要版本备注NetFlowCiscoV1、V5、V7、V8、V9应用最广CFlowdJuniperV5、V8厂商跟进力度不高sFlowFound

5、ry、HP、Alcatel、NEC、Extreme等V4、V5实时性较强,具备突出的第二~七层信息描述能力NetStream华为V5、V8、V9与NetFlow较为类似IPFIXIETF标准规范RFC3917以NetFlowV9为蓝本 随着IETF对IPFIX的标准化,网络流量分析的数据采集协议也将也将逐步转移到NetFlowV9/IPFIX标准上来。因此,下文将以NetFlowV9为例介绍Flow的详细内容。NetFlow的运行机制NetFlow的运行可分解为以下几个关键功能单元,包括:3.1Cache缓存空间NetFlowCache是所有活跃Flow统计信息的存储位置,所有具备相

6、同关键字段的数据包都将在该Cache相应表项中进行数据累计,如数据包数量、字节数等。除了被称之为MainCache的上述缓存之外,部分支持Aggregation机制的网元设备还需提供相应的聚合缓存(AggregationCache),最终的输出报文将包含该聚合缓存的汇总结果,从而能够有效降低NetFlow流量对网络带宽的占用;3.2可配置的Cache维护机制一般情况下Cache空间的占用是与所监控的Flow数量呈正比的,但是当链路中充斥着大量的短连接Session时,Flow表项数量可能会因为没有得到及时释放而过多占用有限的Cache空间。为此,NetFlow提供了一种非常复杂、高效

7、的算法以快速定位一个数据包在该Cache中的位置或判断是否应新建表项,并且通过管理员给定的阀值进行各类表项的超时导出,从而及时释放老的表项以容纳新建Flow信息。Cache表项Timed-Out操作可由以下几项因素进行驱动:Ø 该表项已经空闲了指定的时间长度(InactiveTimer,缺省15seconds);Ø 长连接会话强制超时(ActiveTimer,缺省30minutes);Ø 缓存空间耗尽所触发的强制超时;Ø TCPFIN/RST触发的超时。3

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。