隨著網(wǎng)絡應用的蓬勃發(fā)展,很多企業(yè)的網(wǎng)絡帶寬大幅增加,而網(wǎng)絡使用的效能卻沒有成正比的提升。要做到有效的網(wǎng)絡管理,就需要通過網(wǎng)絡監(jiān)控機制搜集相關信息,主動找出問題點并加以解決。NetFlow 就是一種提供網(wǎng)絡流量相關信息的協(xié)議,網(wǎng)管人員通過NetFlow 可以快速有效地掌握所管轄網(wǎng)絡的狀態(tài)。
傳統(tǒng)上的網(wǎng)絡管理者通常是通過SNMP (Simple Network Management Protocol) 協(xié)議的工具從支持SNMP的網(wǎng)絡設施搜集網(wǎng)絡流量數(shù)據(jù),雖然通過這種方式取得信息不會造成處理上過重的負擔,但是SNMP 提供的只是粗糙、簡略的資料。這些信息只能讓管理者發(fā)現(xiàn)問題,卻無法進一步解決問題。
那么有沒有另外一種能提供更詳細網(wǎng)絡信息的技術呢?網(wǎng)絡探針(sniffer) 或是類似的監(jiān)聽工具開始被部署在網(wǎng)絡設備上,用來捕捉流過的數(shù)據(jù)包并將數(shù)據(jù)包加以翻譯,找出數(shù)據(jù)包頭中字段的相關信息,并進一步分析其內(nèi)容以取得更詳細的信息。
雖然通過數(shù)據(jù)包監(jiān)聽工具可以取得更詳細的網(wǎng)絡信息,但監(jiān)聽工具通常專注在單一網(wǎng)絡數(shù)據(jù)包的內(nèi)容,所以網(wǎng)絡管理者很難從監(jiān)聽工具所提供的信息來掌握整體網(wǎng)絡的狀態(tài)。此外,分析數(shù)據(jù)包非常耗費時間,而且數(shù)據(jù)包監(jiān)聽所儲存并需要分析的數(shù)據(jù)量非常龐大,對于資源和人員的消耗是驚人的,這種方式顯然不適合企業(yè)環(huán)境下的網(wǎng)絡管理。
什么是NetFlow
NetFlow 是由Cisco 公司的Darren Kerr 和Barry Bruins 在1996 年開發(fā)的一套網(wǎng)絡流量監(jiān)測技術,目前已內(nèi)建在大部分Cisco 路由器上,Juniper、Ex-treme、港灣網(wǎng)絡等網(wǎng)絡設備供貨商也支持NetFlow 技術,它已逐漸成為大家都能接受的標準。NetFlow 本身是一套網(wǎng)絡流量統(tǒng)計協(xié)議,其主要原理是根據(jù)網(wǎng)絡數(shù)據(jù)包傳輸時,連續(xù)相鄰的數(shù)據(jù)包通常是往相同目的地IP 地址傳送的特性,配合cache 快取機制,當網(wǎng)絡管理者開啟路由器或交換機接口的NetFlow 功能時,設備會在接收數(shù)據(jù)包時分析其數(shù)據(jù)包的標頭部分來取得流量資料,并將所接到的數(shù)據(jù)包流量信息匯整成一筆一筆的Flow,在NetFlow 協(xié)議中Flow 是被定義為兩端點間單一方向連續(xù)的數(shù)據(jù)流,這意味著每一個網(wǎng)絡的連接都會被分別紀錄成兩筆Flow 數(shù)據(jù),其中一筆記錄從客戶端連到服務器端,另外隨著一筆紀錄從服務器端連回到客戶端的信息。
網(wǎng)絡設備通過以下字段來區(qū)分每一筆Flow:來源IP 地址(source IP address)、來源端口號(source port number)、目的IP 位址(destination IP address)、目的端口號(destination port number)、協(xié)議種類(protocol type)、服務種類(type of service)及路由器輸入接口(router input interface),任何時間當設備接收到新的數(shù)據(jù)包時,會檢視這七個字段來判斷這個數(shù)據(jù)包是否屬于任何已記錄的Flow,有的話則將新收集到的數(shù)據(jù)包的相關流量信息整合到對應的Flow 記錄中,如果找不到數(shù)據(jù)包對應的Flow 記錄,便產(chǎn)生一個新的Flow 記錄來儲存相關的流量信息。由于設備內(nèi)高速緩存的空間有限,無法無限制地容納持續(xù)增加的Flow 紀錄,所以NetFlow 協(xié)議也定義了終結(jié)Flow記錄的機制,來維持網(wǎng)絡設備中儲存Flow 信息的空間。
摩卡流量分析的優(yōu)勢
摩卡流量分析(Mocha NTA)不僅支持Netflow協(xié)議,還支持Netstream、Sflow、Cflow、IPFIX等各廠家協(xié)議標準;無論是哪種Flow格式,都定義了數(shù)據(jù)交互的標準格式,摩卡能夠通過這些格式規(guī)范支持業(yè)內(nèi)幾乎所有的主流網(wǎng)絡設備,如Cisco、Foundry、Extreme、Juniper、華為、H3C等,保證了對采集目標設備流量良好的兼容性。
摩卡流量分析為用戶提供多種TOP N分析,對相關應用的流量和數(shù)據(jù)包的分析,對網(wǎng)絡中運行的應用有直觀的了解、網(wǎng)絡中運行的協(xié)議也可以清晰展現(xiàn)、實時查看網(wǎng)絡中相關接口的狀態(tài)、確認流量流出的相關情況、幫助管理人員了解到網(wǎng)絡中哪個用戶正在大量的下載或者上傳數(shù)據(jù),確認網(wǎng)絡問題、網(wǎng)絡攻擊、網(wǎng)絡掃描、網(wǎng)絡異常的所在有著極高的助力并提供了有力的依據(jù)。
 |
| 圖1 |
摩卡流量分析還為用戶提供了提供應用映射功能,基于三層協(xié)議號、端口號,可識別上千種已知應用(比如:HTTP應用、FTP應用、MAIL應用、BT、電驢、病毒攻擊等等),并且用戶可以根據(jù)自身的情況來進行自定義應用映射,當網(wǎng)內(nèi)出現(xiàn)新應用的時候,很容易進行新應用的識別,這樣管理人員就可以很清晰的了解到網(wǎng)絡中的應用情況。
 |
| 圖2 |
