Internet/Intranet的部署和使用正在迅猛成長,并且導(dǎo)致了企業(yè)和消費(fèi)者計(jì)算模式的重大轉(zhuǎn)變。市場已經(jīng)提出了對流量統(tǒng)計(jì)和管理技術(shù)的需求,并要求這一技術(shù)能有效提供記錄網(wǎng)絡(luò)和應(yīng)用資源利用率所必須的信息。為此,Cisco系統(tǒng)公司在其IOS交換體系結(jié)構(gòu)中引入一種新的交換技術(shù)——NetFlow交換。NetFlow交換在虛擬局域網(wǎng)(VLAN)技術(shù)的基礎(chǔ)上,在同一個(gè)平臺(tái)上提供了交換和路由兩種功能。
Cisco路由和交換平臺(tái)中的NetFlow服務(wù)可提供內(nèi)置在快速、最優(yōu)和CEF交換路徑之中的網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)功能。NetFlow服務(wù)可利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價(jià)值,并可在最大限度減小對路由器/交換機(jī)性能的影響的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息。特別是作為其交換功能的一部分,它能夠?yàn)槠髽I(yè)提供網(wǎng)絡(luò)的容量規(guī)劃、趨勢分析以及數(shù)據(jù)優(yōu)先級等方面的信息,這些統(tǒng)計(jì)信息包括用戶、協(xié)議、端口和服務(wù)類型等。NetFlow交換可以部署在網(wǎng)絡(luò)中的任何位置,作為對現(xiàn)有尋徑基礎(chǔ)設(shè)施的擴(kuò)展。NetFlow還可對訪問列表進(jìn)行有效的處理,進(jìn)而實(shí)現(xiàn)數(shù)據(jù)包過濾和安全性服務(wù)。NetFlow數(shù)據(jù)可被用于多種多樣的用途,如網(wǎng)絡(luò)管理與規(guī)劃、企業(yè)財(cái)務(wù)、基于利用率的計(jì)費(fèi)以及針對市場營銷目的的數(shù)據(jù)倉庫和數(shù)據(jù)采集等。
一、NetFlow交換及其特點(diǎn)
NetFlow交換在網(wǎng)絡(luò)層實(shí)現(xiàn)高性能的交換,它提供一個(gè)高效的機(jī)制,可以用來處理安全訪問列表,從而不必像其他交換方式那樣,為完成同樣的任務(wù)而付出很高的性能代價(jià)。NetFlow交換識(shí)別主機(jī)之間的網(wǎng)絡(luò)流量,并在提供相關(guān)服務(wù)的同時(shí),對網(wǎng)絡(luò)流量中的分組進(jìn)行交換。在傳統(tǒng)的網(wǎng)絡(luò)交換中,每一個(gè)輸入分組是單獨(dú)處理的,路由器為每個(gè)分組進(jìn)行一系列獨(dú)立的查詢,利用一系列函數(shù)去檢查訪問列表、獲取記賬數(shù)據(jù)、交換該分組。然后將它發(fā)送(即交換)到目的地。這些查詢包括確定是否采用安全訪問過濾,以及更新網(wǎng)絡(luò)統(tǒng)計(jì)計(jì)賬記錄。而在NetFlow交換中,查詢過程僅對分組流中的第一個(gè)分組進(jìn)行,當(dāng)一個(gè)網(wǎng)絡(luò)流被識(shí)別并確定了與其相關(guān)的服務(wù)后,那么后面所有的分組都作為該信息流的一部分,在面向連接的基礎(chǔ)上進(jìn)行處理,這樣就繞過了訪問列表的檢查,進(jìn)而依次對分組進(jìn)行交換和獲取統(tǒng)計(jì)信息。
NetFlow交換中要?jiǎng)?chuàng)建一個(gè)信息流高速緩存,里面包含對所有活動(dòng)信息流進(jìn)行交換和訪問列表檢查所需要的信息,利用標(biāo)準(zhǔn)的快速交換路徑先處理信息流中的第一個(gè)分組,這樣就生成了NetFlow高速緩存,這樣每個(gè)信息流都與一個(gè)即將到來的接口端口號和要發(fā)出的接口端口號相關(guān)聯(lián),并且有一個(gè)特定的安全訪問權(quán)限和加密策略。高速緩存中還包含用于數(shù)據(jù)流統(tǒng)計(jì)的條目。隨著后面分組的交換,這些條目也不斷地更新。NetFlow高速緩存被創(chuàng)建后,那些被標(biāo)識(shí)為屬于現(xiàn)有的一個(gè)信息流的分組即可以依據(jù)高速緩存信息被交換,從而繞過了安全訪問列表檢查。對于所有活動(dòng)信息流,在NetFlow高速緩存中保留相應(yīng)的信息。
對分組進(jìn)行交換,并且一個(gè)任務(wù)接一個(gè)任務(wù)地按順序?yàn)榉纸M提供服務(wù)。這種流線型處理分組的方式提高了網(wǎng)絡(luò)服務(wù)的能力,提高了Cisco IOS有關(guān)安全性、服務(wù)質(zhì)量(QoS)和網(wǎng)絡(luò)流量計(jì)賬的服務(wù)性能。同時(shí),NetFlow交換提供了以每個(gè)用戶和每個(gè)應(yīng)用(即會(huì)話)為基礎(chǔ)的更有效的服務(wù)。
二、NetFlow的數(shù)據(jù)格式
NetFlow以UDP數(shù)據(jù)報(bào)文的形式輸出信息流,它有2種格式: (1)版本1格式。這是最初發(fā)布的格式; (2)版本5格式。這是后來發(fā)布的一種加強(qiáng)格式,它增加了邊界網(wǎng)關(guān)協(xié)議(BGP)的自治系統(tǒng)(AS)信息和信息流的序列號。
在版本1和版本5 格式中,數(shù)據(jù)報(bào)文由一個(gè)頭標(biāo)信息、一個(gè)或多個(gè)信息流記錄構(gòu)成。通常情況下,接收程序不管接收哪種格式,它都會(huì)分配一個(gè)足夠大的緩沖區(qū),以便數(shù)據(jù)報(bào)文到來時(shí),可以容納下最大的數(shù)據(jù)。此外,它使用頭標(biāo)信息中的版本信息來決定如何理解這些數(shù)據(jù)報(bào)文。頭標(biāo)信息中的第二個(gè)字段是數(shù)據(jù)報(bào)文中記錄的個(gè)數(shù),可以用它來對記錄進(jìn)行索引。
因?yàn)镹etFlow輸出采用UDP協(xié)議來發(fā)送輸出的數(shù)據(jù)報(bào)文,所以可能會(huì)丟失數(shù)據(jù)。為了確定信息流輸出信息是否丟失,版本5的頭標(biāo)信息格式中包含了一個(gè)信息流序列號。這個(gè)序列號等于前一個(gè)序列號加上剛剛過去的數(shù)據(jù)報(bào)文中信息流的個(gè)數(shù)。當(dāng)接收到一個(gè)新的數(shù)據(jù)報(bào)文后,接收程序可以從頭標(biāo)信息中的序列號中提取出預(yù)期的序列號,這樣即可以獲取丟失信息流的數(shù)目。
三、配置NetFlow交換
在一個(gè)路由器中,NetFlow交換涉及到標(biāo)識(shí)分組信息流、執(zhí)行交換和處理訪問列表。它不涉及路由器之間的任何連接設(shè)置協(xié)議,也不涉及對其他任何網(wǎng)絡(luò)設(shè)備或端點(diǎn)工作站的連接設(shè)置協(xié)議。它也不要求對分組本身或其他任何網(wǎng)絡(luò)設(shè)備進(jìn)行任何外部修改。所以,NetFlow交換對現(xiàn)有的網(wǎng)絡(luò),包括端點(diǎn)工作站、應(yīng)用軟件和網(wǎng)絡(luò)設(shè)備(如局域網(wǎng)交換機(jī))是完全透明的。此外,因?yàn)镹etFlow交換在每個(gè)互聯(lián)的網(wǎng)絡(luò)設(shè)備中獨(dú)立地進(jìn)行,所以并不需要在網(wǎng)絡(luò)中的每個(gè)路由器中都操作它,網(wǎng)絡(luò)規(guī)劃人員可以在路由器/接口的基礎(chǔ)上有選擇地激活NetFlow交換(和NetFlow數(shù)據(jù)輸出),這樣就可以在特定的網(wǎng)絡(luò)位置上進(jìn)行數(shù)據(jù)流交換、控制和記賬。
在一個(gè)接口上配置NetFlow時(shí),這個(gè)接口就不再使用其他交換模式了。為了配置NetFlow交換,在接口配置模式下,利用以下面命令為IP路由啟用NetFlow交換:
ip route-cache flow
該命令的no格式可以禁用NetFlow交換,具體命令如下:
no ip route-cache flow
通常,NetFlow高速緩存的默認(rèn)值可以滿足需求。然而網(wǎng)絡(luò)管理員也可以通過增加或減少高速緩存中保留的條目數(shù),來滿足信息流比率的需要。系統(tǒng)的默認(rèn)值是64KB個(gè)流動(dòng)高速緩存條目,每個(gè)高速緩存條目大約占用64B的存儲(chǔ)空間。為了在NetFlow高速緩存中自定義條目的個(gè)數(shù),在全局配置模式下,使用下面的命令即可改變NetFlow高速緩存中保留的條目的個(gè)數(shù):
ip flow-cache entries number
其中number為條目的個(gè)數(shù),范圍是1024~524288,默認(rèn)值是65536。
Cisco公司的部分路由器帶有路由/交換處理器(RSP)和VIP控制器。對VIP控制器可以這樣配置:通過VIP交換接收分組,而不必每個(gè)分組都要RSP參與,這種處理稱為分散式交換,可以降低對RSP的需求。可以通過配置VIP硬件,使之進(jìn)行NetFlow交換。
為了在VIP上配置分散式交換,首先要根據(jù)所使用的協(xié)議為IP路由配置路由器,然后就可以使用下面的命令,在全局配置模式下,開始配置IP分散式交換和NetFlow交換了。
interface type slot/port-adapter/port;指定接口,并且進(jìn)入接口配置模式
ip route-cache distributed;在該接口中啟用IP分組的VIP分散式交換
ip route-cache flow; 指定信息流交換
當(dāng)RSP或VIP進(jìn)行信息流交換時(shí),它們使用信息流高速緩存取代目的地網(wǎng)絡(luò)高速緩存來交換IP分組。信息流高速緩存使用源頭和目的地的網(wǎng)絡(luò)地址、協(xié)議以及源頭和目的地的端口號來區(qū)分各條目。
 |
四、管理和使用NetFlow交換的統(tǒng)計(jì)信息
通過NetFlow交換,還可以獲取豐富的統(tǒng)計(jì)信息,這些統(tǒng)計(jì)信息包括IP分組大小的分布、IP信息流交換的高速緩存信息,以及信息流信息,例如協(xié)議、總的信息流數(shù)量和每秒的信息流數(shù)量等。上述信息可以幫助網(wǎng)絡(luò)管理員分析路由器的運(yùn)行情況。為了管理NetFlow交換的統(tǒng)計(jì)信息,可以在授權(quán)的可執(zhí)行模式下,利用“show ip cache flow”命令顯示NetFlow交換的綜合統(tǒng)計(jì)信息,以便網(wǎng)絡(luò)管理人員了解當(dāng)前網(wǎng)絡(luò)的流量以及各種應(yīng)用的數(shù)據(jù)流情況。附圖是使用該命令的輸出信息范例。 IP packet size distribution給出分組大小分布的情況(百分比),如這里的.554表明55.4%的分組數(shù)在33~64B之間;接下來的數(shù)字描述了Netflow高速緩沖區(qū)的使用情況; 后面的2個(gè)表中詳細(xì)地給出了使用各種協(xié)議的分組和當(dāng)前信息流的統(tǒng)計(jì)信息。 NetFlow交換的信息還可以輸出到網(wǎng)絡(luò)管理應(yīng)用程序中。為了在信息流到期時(shí),將NetFlow高速緩存中保留的NetFlow交換的統(tǒng)計(jì)信息輸出到一個(gè)工作站中,在全局配置模式下,利用下面的命令即可:
ip flow-export ip-address udp-port version 5 [origin-as |peer-as]
在版本5中,用這條命令來配置路由器,把NetFlow高速緩存條目輸出到工作站,可以選擇指定最初的AS或同等的AS,默認(rèn)值是2種AS都不輸出,這樣可以提高性能。為了保證數(shù)據(jù)來自有效的NetFlow源頭,Cisco公司建議接收程序檢查數(shù)據(jù)報(bào)文,首先檢查數(shù)據(jù)報(bào)文的大小,確定它至少可以容納版本字段和計(jì)數(shù)字段。然后,應(yīng)該證實(shí)版本是有效的版本1或5,而且接收到的字節(jié)數(shù)足以容納頭標(biāo)信息和對信息流記錄進(jìn)行計(jì)數(shù)。 NetFlow交換的這些信息用途很廣,可以用來為企業(yè)網(wǎng)絡(luò)管理與分析提供依據(jù),為網(wǎng)絡(luò)管理員合理規(guī)劃企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)、均衡網(wǎng)絡(luò)負(fù)載和優(yōu)化網(wǎng)絡(luò)性能提供參考等,為ISP提供計(jì)費(fèi)根據(jù)、為診斷網(wǎng)絡(luò)入侵和查找網(wǎng)絡(luò)攻擊提供線索以及幫助企業(yè)實(shí)現(xiàn)進(jìn)行數(shù)據(jù)采集等等。
