随着网络应用的蓬勃发展,很多企业的网络带宽大幅增加,而网络使用的效能却没有成正比的提升。要做到有效的网络管理,就需要通过网络监控机制搜集相关信息,主动找出问题点并加以解决。NetFlow 就是一种提供网络流量相关信息的协议,网管人员通过NetFlow 可以快速有效地掌握所管辖网络的状态。
传统上的网络管理者通常是通过SNMP (Simple Network Management Protocol) 协议的工具从支持SNMP的网络设施搜集网络流量数据,虽然通过这种方式取得信息不会造成处理上过重的负担,但是SNMP 提供的只是粗糙、简略的资料。这些信息只能让管理者发现问题,却无法进一步解决问题。
那么有没有另外一种能提供更详细网络信息的技术呢?网络探针(sniffer) 或是类似的监听工具开始被部署在网络设备上,用来捕捉流过的数据包并将数据包加以翻译,找出数据包头中字段的相关信息,并进一步分析其内容以取得更详细的信息。
虽然通过数据包监听工具可以取得更详细的网络信息,但监听工具通常专注在单一网络数据包的内容,所以网络管理者很难从监听工具所提供的信息来掌握整体网络的状态。此外,分析数据包非常耗费时间,而且数据包监听所储存并需要分析的数据量非常庞大,对于资源和人员的消耗是惊人的,这种方式显然不适合企业环境下的网络管理。
什么是NetFlow
NetFlow 是由Cisco 公司的Darren Kerr 和Barry Bruins 在1996 年开发的一套网络流量监测技术,目前已内建在大部分Cisco 路由器上,Juniper、Ex-treme、港湾网络等网络设备供货商也支持NetFlow 技术,它已逐渐成为大家都能接受的标准。NetFlow 本身是一套网络流量统计协议,其主要原理是根据网络数据包传输时,连续相邻的数据包通常是往相同目的地IP 地址传送的特性,配合cache 快取机制,当网络管理者开启路由器或交换机接口的NetFlow 功能时,设备会在接收数据包时分析其数据包的标头部分来取得流量资料,并将所接到的数据包流量信息汇整成一笔一笔的Flow,在NetFlow 协议中Flow 是被定义为两端点间单一方向连续的数据流,这意味着每一个网络的连接都会被分别纪录成两笔Flow 数据,其中一笔记录从客户端连到服务器端,另外随着一笔纪录从服务器端连回到客户端的信息。
网络设备通过以下字段来区分每一笔Flow:来源IP 地址(source IP address)、来源端口号(source port number)、目的IP 位址(destination IP address)、目的端口号(destination port number)、协议种类(protocol type)、服务种类(type of service)及路由器输入接口(router input interface),任何时间当设备接收到新的数据包时,会检视这七个字段来判断这个数据包是否属于任何已记录的Flow,有的话则将新收集到的数据包的相关流量信息整合到对应的Flow 记录中,如果找不到数据包对应的Flow 记录,便产生一个新的Flow 记录来储存相关的流量信息。由于设备内高速缓存的空间有限,无法无限制地容纳持续增加的Flow 纪录,所以NetFlow 协议也定义了终结Flow记录的机制,来维持网络设备中储存Flow 信息的空间。
摩卡流量分析的优势
摩卡流量分析(Mocha NTA)不仅支持Netflow协议,还支持Netstream、Sflow、Cflow、IPFIX等各厂家协议标准;无论是哪种Flow格式,都定义了数据交互的标准格式,摩卡能够通过这些格式规范支持业内几乎所有的主流网络设备,如Cisco、Foundry、Extreme、Juniper、华为、H3C等,保证了对采集目标设备流量良好的兼容性。
摩卡流量分析为用户提供多种TOP N分析,对相关应用的流量和数据包的分析,对网络中运行的应用有直观的了解、网络中运行的协议也可以清晰展现、实时查看网络中相关接口的状态、确认流量流出的相关情况、帮助管理人员了解到网络中哪个用户正在大量的下载或者上传数据,确认网络问题、网络攻击、网络扫描、网络异常的所在有着极高的助力并提供了有力的依据。
图1 |
摩卡流量分析还为用户提供了提供应用映射功能,基于三层协议号、端口号,可识别上千种已知应用(比如:HTTP应用、FTP应用、MAIL应用、BT、电驴、病毒攻击等等),并且用户可以根据自身的情况来进行自定义应用映射,当网内出现新应用的时候,很容易进行新应用的识别,这样管理人员就可以很清晰的了解到网络中的应用情况。
图2 |