【網絡技術控】NetFlow網絡業務流量監測技術

NetFlow技術簡介

NetFlow是一種網絡數據包交換技術，該技術首先被用於網絡設備對數據交換進行加速，並可同步實現對高速轉發的IP數據流(Flow)進行測量和統計。經過多年的技術演進，NetFlow原來用於數據交換加速的功能已經逐步改為由網絡設備中的專用集成電路(ASIC)芯片實現，而對流經網絡設備的IP Flow進行測量和統計的功能卻更加成熟，併成為當今互聯網領域公認的最主要的IP流量分析、統計和計費行業標準。

NetFlow如何在網絡中監測業務流量

為對網絡中不同類型的業務流進行準確的流量和流向分析與計量，首先需要對網絡中傳輸的各種類型數據包進行區分。由於IP網絡的非面向連接特性，網絡中不同類型業務的通信可能是任意一臺終端設備向另一臺終端設備發送的一組IP數據包，這組數據包實際上就構成了網絡中某種業務的一個 Flow。如果管理系統能對全網傳送的所有Flow進行區分，準確記錄傳送時間、傳送方向和Flow的大小，就可以對全網所有業務的流量和流向進行分析和統計。

通過分析網絡中不同Flow之間的差別，可以發現判斷任何兩個IP數據包是否屬於同一個Flow，實際上可以通過分析IP數據包的以下7個屬性來實現:

◐ 源IP地址;

◐ 目標IP地址;

◐ 源通信端口號;

◐ 目標通信端口號;

◐ 第三層協議類型;

◐ 服務類型(TOS)字節;

◐ 網絡設備輸入或輸出的邏輯網絡端口(iflndex)。

NetFlow流量採集對業務網絡的影響評估

帶寬佔用

採用NetFlow方案不要求處理從某個接口接收到的每個數據包，用來對被監控設備進行流量分析的數據來自採集到的NetFlow數據。根據計算，在採樣率為1000:1時，對 10Gbit/s的流量進行NetFlow分析，只產生1.3Mbit/s的流量。因此，NetFlow產生的這部分流量對於骨幹網的帶寬佔用很少。

路由性能消耗

利用NetFlow技術實現流量監測需要路由器開啟NetFlow協議以配合採集數據，因此會對設備的CPU造成一定的負擔。如果開啟Netflow時對所有數據包100%採集時對設備的影響統計如下：

◑ 如果有10000條同時在線的Flow，則路由器的CPU使用率平均增加7.14%;

◑ 如果有45000條同時在線的Flow，則路由器的CPU使用率平均增加19.16%;

◑ 如果有65000條同時在線的Flow，則路由器的CPU使用率平均增加22.98%。

這些數據是基於不同的產品系列進行測試的平均值。然而網絡設備開啟netflow時可以在採樣方式下開啟NetFlow，這樣對路由器的CPU影響會更小。根據公司的統計資料顯示，在全數據包採集方式下需要增加 22.98%的CPU使用率來處理65 000條Flow，而在採用100:1的採樣率時CPU使用率僅增加3%。

流量採集點的設置

流量分析系統由採集機和分析服務器組成。被採集的路由器將NetFlow數據包發往NetFlow流量採集機，採集機將採集到的NetFlow數據送到分析服務器進行分析。被採集的路由器分佈在全網各個節點，當系統規模較大時，需要配置多臺採集機和分析服務器。採集機和分析服務器的部署有以下兩種方案。

方案一

將採集機分別部署在各個核心節點，每個核心節點的採集機負責採集連接至該核心節點的路由器;分析服務器集中部署在網管中心。該方案採集機通過以太網接口接入核心路由器或與核心路由器連接的局域網交換機，實現與被採集路由器的互通。利用用戶數據報協議(UDP)從被採集路由器上的端口採集 NetFlow數據，再通過IP網絡傳送到分析服務器，由分析服務器進行數據彙總和分析處理，如下圖所示。

該方案的優點是，在至分析服務器的IP網絡連接出現突發故障時，可以充分利用採集機的存儲能力，暫存NetFlow數據，待網絡連接恢復時，再向分析服務器傳送;這種分佈式的部署方案還可以避免單點出現故障時導致全網流量無法採集，而且採集機還可以進行一些預處理工作，減輕分析服務器的壓力。缺點是每個核心節點都需要配備一套採集機，設備的綜合利用率不夠高，管理和維護不夠集中。

方案二

採集機和分析服務器集中部署，由多臺採集機共同負責採集全網內的路由器。該方案採集機通過以太網接口接入網管中心，實現與全網內被採集路由器的互通，採集機利用UDP通過IP網絡從各節點被採集路由器上的端口採集NetFlow數據，再通過局域網傳送到分析服務器，由分析服務器進行數據彙總和分析處理，如下圖所示。

該方案的優點是，流量分析系統設備集中部署，便於統一管理和統一維護，也提高了設備的利用率;缺點是如果IP網絡不穩定或發生故障時，路由器的NetFlow數據將不能傳送到網管中心，處理不當可能造成NetFlow數據的丟失。

實際部署時應根據具體的要求來選擇合適的系統組織方案。

浪潮網絡全系列交換機均支持NetFlow的網絡業務流量監測技術，同時浪潮網絡的IDE（智能數字引擎）支持對NetFlow流數據的採集與展示，可同步支持除含Netflow在內的多種網絡管理與監測技術。

閱讀更多 浪潮網絡業務 的文章

關鍵字: 路由器 IP地址 通信