NetFlow协议介绍.ppt

移动IP网管二期培训,NetFlow协议介绍,什么是NetFlow,1996年，Cisco系统公司的DarrenKerr和BarryBruins开发了一种流量轮廓监控技术，即NetFlow。作为业界事实标准，NetFlow描述了路由器输出关于被路由套接字对（theroutedsocketpairs）统计信息的方法。目前Cisco的绝大多数路由器集成了该特性，Juniper、Extreme以及其他厂商也有集成该特性的路由器和交换机；,理解NetFlow,NetFlow是Cisco发布的一款用于分析网络数据包信息的工具包。利用Netflow技术可以监测网络上的IP流（IPflow）信息。采集到的netflow流量信息可以帮助进行网络规划，网络管理，流量计费和病毒检测等等。,为什么需要netflow?,路由器，交换机A在某种意义上是黑盒子管理员不知道黑盒子里面发生了什么黑盒子里面的数据都在干什么，谁发出的，到哪里去，流量大小等等指标,NetFlowServices能做什么,NetFlowServices使网络管理员能从他们的数据网络获取IP流信息，这些信息解答了谁、什么、何去何从、何时、IP流量为多少等问题。导出的NetFlow数据可被广泛用于各种用途：,Usage-BasedBilling,TrafficAnalysisandMonitoringforNetworkPlanning,RouterFeatureAcceleration,NetFlow的价值,NetFlow提供的IP通信流量分析功能无需Probe提供了一套丰富的数据集，可供网络管理、流量工程、流量计费、安全分析，以及增值服务提供等NetFlow基于使用情况的计费功能，使得所有者能从现在的Cisco系统结构中获得更多的利润，而且计费手段更为经济。,流记录（flowrecord）,一段时间内网络的某个观测点所通过的一系列分组（packets）。通常的流记录分类依据由一个五元组（即源地址、目的地址、源端口、目的端口和协议类型）所组成。,理解NetFlow的关键,1.源地址2.目标地址3.源端口4.目标端口第3层协议.,基于Flow的分析！,一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号！唯一标识路由器上的一个网络连接。,NetFlow数据记录,SourceIPAddressDestinationIPAddress,NextHopAddressSourceASNumberDest.ASNumberSourcePrefixMaskDest.PrefixMask,InputInterfacePortOutputInterfacePort,TypeofServiceTCPFlagsProtocol,PacketCountByteCount,StartTimestampEndTimestamp,SourceTCP/UDPPortDestinationTCP/UDPPort,使用情况,QoS,时间,应用,Routing和Peering,接口利用率,何去何从,一条流记录样本,index:0 xc1a21router:srcIP:5dstIP:8inputifIndex:8outputifIndex:55srcport:12043dstport:80pkts:6bytes:680IPnexthop:0,starttime:11:29:222004-6-9endtime:11:29:252004-6-9protocol:6tos:0 x0srcAS:0dstAS:321srcmasklen:20dstmasklen:0TCPflags:0 x1benginetype:1engineid:0,Netflow体系架构,使设备输出NetFlow数据,开启一个接口的flowswitching功能：interfacee1/0iproute-cacheflowsampled设置输出的目的地：ipflow-exportdestinationipflow-exportversionorigin-as|peer-as设为5，缺省值为1设置用于输出数据包的源地址：ipflow-exportsource缺省情况下是具有通达目的地（采集设备）的最佳路由的接口ipflow-sampling-modepacket-interval100ipflow-cachefeature-accelerateshowipcacheflow基于路由器的数据聚集ipflow-aggregationcachecachetimeoutactive缺省情况下是15分钟shipcacheflowaggregationexportdestinationenable,NetFlowFlowCollector,接收Flow记录减小数据量过滤聚集以平面文件、二进制文件和/或压缩文件形式存储文件清理Solaris和HP-UX,FlowCollector处理流程,Filter,FilterAndThreadExample：FilterfilterApermitnexthopFilterfilterBdenyaddr55permitaddr,NetFlow的功能,根据不同的需要定制不同的计划集合(AggregationScheme)，这些计划集合包含了NetFlow发送数据中的一个或多个KeyFields和ValueFields，根据不同的需要进行选择，以满足一定的需求。,NetFlow的功能,比较典型的是对网络数据的源地址、目的地址的分析，对流量中各种应用的分析（基于协议或者端口）或者路由器上各个端口的负载等的分析。,Aggregation,Aggregation是cisco公司定制好的对网络连接监控的内容以DestPort这个Aggregation为例：Keyfield:dstportValuefields:packetcount,bytecount,flowcount解释：这一段时刻，该路由器上的数据包都发往了哪些tcp/udp端口？发到这些端口的数据的包数，字节大小，总流数目是多少？FlowCollectorAggregationSchemes里面可以找到所有的Aggregation,FlowCollectorAggregationSchemes,FlowCollector目录结构,安装好的目录结构：（注意红色标记）,FlowCollector目录结构,Data目录下存放的是输出的netflow记录文件最有价值的记录内容就在这里！/opt/CSCOnfc/Data/2003_04_21//DestPort78|6367|557723|85380|9836608|864296991|61921981|8836|790568|43382|5319|520273|38583|2695|161981|130Bin目录下./nfcollectorstatus|show-tech|clean|start|stopall|nfcgw|collection,FlowCollector目录结构,Config目录下nfconfig.file(core!)配置文件部分内容：ThreadrouterportAggregationDestportPeriod5Port9995StateActiveDataSetPath/opt/CSCOnfc/DataCompressionNoBinaryNoMaxUsage500,NetworkDataAnalyzer,图形化显示NetFlow数据由NetFlowFlowCollector(s)提供数据基于时间的分析和数据排序配置路由器和FlowCollectors直方图、条形图和饼图输出数据到电子表格,NetFlowFlowCollectors,NetFlowFlowAnalyzer,NetFlow版本,NetflowV1，为Netflow技术的第一个实用版本。在如今的实际网络环境中已经不建议使用NetflowV5，增加了对数据流BGPAS信息的支持，是当前主要的实际应用版本。NetflowV7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。NetflowV8，增加了网络设备对Netflow统计数据进行自动汇聚的功能，可以大大降低对数据输出的带宽需求。NetflowV9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如MulticaseNetflow，MPLSAwareNetflow，BGPNextHopV9，NetflowforIPv6等。,NetFlow平台支持,*SupportforNetFlowExportv1,v5,andv8on1600and2500platformsistargetedforCiscoIOSsoftwarerelease12.0(5)T.NetFlowsupportfortheseplatformswillnotbeavailableintheCiscoIOS12.0mainlinerelease.,CiscoIOS软件版本支持,支持的NetFlow输出版本,支持的Cisco硬件平台,11.1CA,11.1CC11.2,11.2P11.2P11.3,11.3T12.012.0T12.0S12.0(3)Tandlater12.0(3)Sandlater12.04XEN/A12.0(6)S,v1,v5v1v1v1v1,v5v1,v5v1,v5,v8v1,v5,v8v7v8,7200,7500,RSP70007200,7500,RSP7000RouteSwitchModule(RSM),11.2(10)Pandlater7200,7500,RSP70001720,2600,3600,4500,4700,AS5800,7200,uBR7200,7500,RSP7000,RSM1720,2600,3600,4500,4700,AS5800,7200,uBR7200,7500,RSP7000,RSM,MGX8800RPM,BPX86001400*,1600*,1720,2500*,2600,3600,4500,4700,AS5800,AS5300*,7200,uBR7200,7500,RSP7000,RSM,MGX8800RPM,BPX86507100Catalyst5KNetFlowFeatureCard(NFFC)Catalyst6KwithMSFCcard12000,*SupportforNetFlowExportv1,v5,andv8onAS5300platformistargetedforCiscoIOSsoftwarerelease12.0(7)XR.,NetFlow的安装,gzipd./fdcount-p9996-c5started:TueMar1109:32:142003ended:TueMar1109:32:162003AverageNetFlowdataarrivalratesonport9996are2.50datagrams/sec,30.00flows/datagram,2.17packets/f