IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

基于单采集器实现的多种流协议分析

2008年08月09日
/

网络业界基于流(Flow)的分析技术

主要有NetFlow、sFlow、cFlow和NetStream四种。NetFlow是Cisco公司的独有技术,它既是一种流量分析协议,又是一种流交换技术,同时也是业界主要的IP计费方式。通过NetFlow可以回答有关IP流量方面的问题,比如谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等。Netflow协议的主要版本有V5、V8和V9。其中应用较为广泛的是V5和V8版本。NetFlow凭借Cisco网络产品市场占有率的优势而成为当今应用最为广泛的流量分析技术。

sFlow是由InMon、HP和Foundry Networks联合开发的一种网络监测技术,它采用数据流随机采样技术,可以适应超大网络流量环境下的流量分析,让用户可以详细、实时地分析网络传输流的性能、趋势和存在的问题。目前,仅有HP、Foundry和 Extreme Networks等厂商的部分型号的交换机支持sFlow。

cFlow与Netflow原理及机制基本一样,是Juniper公司特有的流协议技术。

NetStream是H3C公司提出的一种网流技术,与NetFlow技术的原理类似,但在实现机制上增加了出方向流统计功能(NetFlow只支持入方向的流统计)。Netstream全面支持多核CPU以及全分布式处理,大幅度提升了设备整机网流分析的处理能力,为用户进行网络通讯流量的管理、分析和计费提供了一种经济的大容量解决方案。

流量分析技术的发展趋势

传统的基于SNMP的NMS软件能对网络设备的整体流量进行监控,可以获得设备端口的实时或者历史的流入/流出带宽、丢包、误包等性能指标,而无法对具体协议种类和应用流量组成做进一步分析。而在基于网络探针(Probe)的分析技术中,“探针”和软件之间的接口一般是私有接口,第三方软件无法使用,并且此种软硬件相结合的解决方案通常都价格昂贵、部署也不是很方便。基于实时抓包的分析技术虽然提供了详细的协议分析数据,但缺少对于用户流量访问的统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长时间进行统计和分析的要求。

在基于Flow的流分析技术中,网络流(Network Flow)通常被定义为指定源节点和目的节点之间传输的单向数据包/帧序列。通常,网络设备(3层交换机、路由器等)本身提供了基于IP包头的分析功能,负责网络流数据的分析和整理,按照一定的条件和定义的数据格式向流采集器(Flow Collector)输出数据,然后通过相关的软件将采集到的流数据进行整理、分析和客户端展现。这种基于流协议的分析方法具有价格低廉、部署方便的优点,可以适应长时间、大流量环境下的数据采集和分析。最近,IETF的技术人员正在制订IPFIX(IP Flow Information Export)规范,使得网络中流量统计信息的格式趋于标准化。IPFIX基于Cisco的NetFlow V9设计,可以设定数据输出的模板格式,具有很强的可扩展性。

基于单采集器的多种流协议分析的实现

目前国内厂商对于流协议分析的各种软件产品,通常安装单个采集器只支持分析一种流协议。在面向大型行业用户大规模网络环境的流量监控中,为实现对遍布在全网中的多个核心设备的流协议分析,需要安装多台数据采集服务器并部署多个流量采集探针。这样不仅增加整个流量分析系统部署的工作量及难度,同时也大大增加了用户的投资成本。

摩卡网络流量分析( Mocha Network Traffic Analyzer )产品,是摩卡软件公司( Mocha Software Co., Ltd. )针对各行业用户的网络系统,通过支持各种厂家的流量分析协议,以实现对全网通信流量的监控、分析和统计的流量分析软件,可以有效解决用户关于当前网络流量分别由哪些应用(协议)组成、各占多大的比例,哪些用户的访问数据量最大,分别使用什么协议,数据源和目的地是什么等问题。

Mocha NTA产品支持多种网络流协议分析技术,包括Netflow、sflow、cflow、IPFIX、NetStream等各厂家协议标准。无论是哪种Flow格式,都定义了数据交互的标准格式,摩卡能够通过支持这些格式规范实现对业内所有主流网络设备,如Cisco、Foundry、Extreme、Juniper、华为、H3C的数据流量分析,保证了对流量采集设备良好的兼容性。与众多国内厂家流协议分析技术不同的是,Mocha NTA产品支持同时在多个不同厂家的网络设备上开启Flow分析协议,通过将多台设备的Flow数据同时发往Mocha NTA的一个流量采集器的指定端口,实现了基于单个采集器的多种流协议的数据流量分析。

Mocha NTA流量分析系统的架构非常易于部署,只需要在企业内部网络中部署一台摩卡流量采集分析器,然后将所有需要进行流量监控的网络设备的流量数据发送摩卡流量采集分析器即可。摩卡流量采集器(Mocha Flow Collector)既可以和Mocha BSM 网管系统部署在同一台机器上,也可独立部署在网络中的任何位置。IT管理人员可以通过终端浏览器访问到全网数据流量的监控和统计数据,及时发现网络中的异常流量事件,并加以处理。

总结

Mocha NTA产品允许用户通过统一的展现入口——Portal,实现对全网所有数据通信流量的集中监控。这种基于单采集器的多种流协议分析的实现方式,使用户可以通过一台数据采集器即可同时监控全网中所有启用NetFlow、Sflow、NetStream的网络设备的流量数据,不仅降低了整个系统部署的复杂程度,也为用户监控多台设备节省了大量投资,达到了事半功倍的效果。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点