NETFLOW原理及应用
网络流量分析NetFlow协议解析
网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。而NetFlow协议作为其中一种流量分析的关键工具,在网络管理领域中被
广泛应用。本文将对NetFlow协议进行详细解析,介绍其原理、功能
和应用。
一、NetFlow协议简介
NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。它能够提供流量统计、流量分析和流量监控等功能。NetFlow协议通过
在路由器和交换机上收集、处理和导出流量数据,为网络管理员提供
实时的流量信息和网络性能的评估。
二、NetFlow协议的工作原理
NetFlow协议的工作原理可以分为三个阶段:数据收集、数据处理
和数据导出。
1. 数据收集
在网络中的路由器和交换机上,通过配置使其能够将经过设备的流
量数据进行收集。NetFlow支持两种收集方式:Full Flow和Sampled Flow。Full Flow是指完整地收集每一个流量数据进行处理;Sampled Flow是指以一定的频率采样流量数据进行处理,减少处理开销。
2. 数据处理
收集到的流量数据会经过设备内部的处理引擎进行处理。处理引擎会提取关键信息,如源IP地址、目的IP地址、源端口、目的端口、协议类型等,并基于这些信息生成流记录。
3. 数据导出
处理后的流记录会根据配置的规则进行导出。导出方式有两种:NetFlow v5和NetFlow v9。NetFlow v5是早期版本,具有广泛的兼容性;NetFlow v9则是最新版本,支持更多的字段,并且具有灵活的配置能力。
三、NetFlow协议的功能
怎样使用NetFlow分析网络异常流量
一、前言
近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。
本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,其中重点讲述了NetFlow分析在互联网异常流量防护中的应用及典型案例。
二、NetFlow简介
本文对互联网异常流量的特征分析主要基于NetFlow数据,因此首先对NetFlow做简单介绍。
1. NetFlow概念
NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
2. NetFlow数据采集
针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。
Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow数据,其它许多厂家也提供类似的采集软件。
下例为利用NFC2.0采集的网络流量数据实例:
Netflow 网络异常流量的监测原理
Netflow 网络异常流量的监测原理
Netflow 对网络数据的采集具有大覆盖小成本的明显优势,在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式,却有着明显的不同。使得这类产品在定位和实现的功能上和传统大IDS/IPS也不一样。
Network Behavior Anomaly Detection(网络行为异常检测)是NetFlow安全的原理基础。Netflow流量数据只能分析到协议的第四层,只能够分析到IP 地址、协议和端口号,但是受限制于无法进行包的内容分析,这样就无法得到网络中一些病毒、木马行为的报文特征。它是从网络流量的行为特征的统计数据进行网络异常的判定的。
网络行为的异常很大一方面是对网络基线数据的违背,反应到一个监控网段范围,往往呈现的就是网络流量的激增和突减。而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式,TCP的流量模型等等来进行判断。GenieATM对网络异常流量的NBAD的检测具体如下面三点:
1.1流量异常(Traffic Anomaly) 侦测
流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内(因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型),流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线,再根据网络正常的网络流量模型来动态分析网络中的异常流量,以期最早时间发现网络中流量的激增和突减。针对不同的网络监测范围,用户可使用定义不同的流量基线模板进行监控。系统支持自动建立及更新流量基线,也允许管理员手动设定和调整基线的参数和取值期间,并排除某些受异常流量攻击的特定日列入计算,以免影响基线的准确性。通过参数的设定,系统能根据对网络效能的影响,将网络异常流量的严重性分为多个等级,包括:正常、中度异常(yellow)、高度异常(red),并允许使用者透过参数设定,对每个检测范围设定合适的参数。
netflow analyzer原理
netflow analyzer原理
NetFlow Analyzer是一种用于网络流量分析的工具,可以帮助网络管理员监控和管理网络流量。它的原理是通过收集和分析网络设备上的NetFlow数据,提供实时的流量统计和分析报告。
NetFlow是一种由思科开发的网络流量记录和分析技术,它可以在网络设备上捕获流经设备的数据包,并将相关信息记录下来。这些信息包括源IP地址、目的IP地址、源端口、目的端口、协议类型、数据包数量、数据包大小等。NetFlow Analyzer通过解析这些信息,可以得到关于网络流量的详细信息,包括流量的来源、目的地、协议、端口等。
NetFlow Analyzer的工作原理可以分为三个主要步骤:数据收集、数据分析和报告生成。首先,它通过与网络设备进行通信,收集和获取NetFlow数据。这些数据可以通过网络设备上的NetFlow功能或者通过配置路由器、交换机等设备来获取。一旦数据被获取到,NetFlow Analyzer会对这些数据进行解析和分析。
在数据分析阶段,NetFlow Analyzer会对收集到的NetFlow数据进行处理和分析。它会根据设定的规则和算法,对流量数据进行分类和统计。例如,可以根据源IP地址或目的IP地址对流量进行分类,统计每个IP地址的流量量;也可以根据端口号或协议类型对流量进行分类,统计每个端口或协议的流量量。通过对这些数据的分
析,可以得到网络流量的整体情况和特征。
在报告生成阶段,NetFlow Analyzer会根据分析得到的结果生成报告。报告可以以图表、表格等形式展示,并提供详细的统计数据和分析结果。这些报告可以帮助网络管理员了解网络的使用情况,发现异常流量和网络瓶颈,并采取相应的措施进行优化和改进。
netflow原理
1、Natflow原理:
2、输出流信息的格式
3、natflow用途
a)网络监控
b)应用监控
c)用户监控
d)网络规划
e)安全分析
f)记账
3、netflow网络设备的配置和相关参数
Cisco Netflow配置命令
a)ip route-cache flow 在接口上配置Netflow采样。
b)ip flow-export destination ip_address port 将Netflow的采样信息输出到Netflow的流量分
析系统上,这里2055是NI系统的Netflow默认端口号,如果是其他的Netflow系统可以在下面的命令行里更改端口号,NI系统也可以在全局配置下更改端口号。
c)ip flow-export source interface_name 配置发送Netflow采样信息的源接口,建议使用
Loopback接口。 ip flow-export version 5 配置Netflow的版本号为5。
d)ip flow-cache timeout active x 生成告警和显示故障排除数据为x分
钟。 snmp-server ifindex persist 全局启用ifIndex持续化(接口名)。
配置举例:
router#configure terminal
router(config)#interface FastEthernet 0/0
router(config-if)#ip route-cache flow
router(config-if)#exit
router(config)#ip flow-export destination 10.10.10.25 2055
NetFlow协议介绍
Network Data Analyzer
NetFlow FlowCollectors
NetFlow FlowAnalyzer
图形化显示 NetFlow 数据 由 NetFlow FlowCollector(s) 提供数据 基于时间的分析和数据排序 配置路由器和 FlowCollectors 直方图、条形图和饼图 输出数据到电子表格
解释:这一段时刻,该路由器上的数据包都发往了哪些tcp/udp端口? 发到这些端口的数据的包数,字节大小,总流数目是多少?
FlowCollector Aggregation Schemes 里面可以找到 所有的 Aggregation
FlowCollector Aggregation Schemes
应用
Routing 和 Peering
index:
0xc1a21
start time:11:29:22 2004-6-9
router:
192.168.254.2 end time:11:29:25 2004-6-9
src IP:
192.168.231.55 protocol: 6
dst IP:
202.112.43.18 tos:
NetFlow 基于使用情况的计费功能,使得所有者 能从现在的 Cisco 系统结构中获得更多的利润,而 且计费手段更为经济。
NetFlow 的应用例子
NetFlow的应用例子
来源:51CTO 作者:雨天责编:豆豆技术应用
现在很多单位都部署了基于SNMP的网管系统,通过SNMP网管系统实现了对网络设备的端口流量、设备的CPU、内存等指标的管理,但基于SNMP的网络系统只能监测设备端口的流量大小,在端口发生拥塞或出现P2P、病毒等异常流量时,基于SNMP的网管系统是没办法提供端口用户的IP地址和流量协议分布等情况的。这样对于持续拥塞的端口,网络管理人员要带协议分析工具到现场通过端口镜像等模式来读取端口的流量内容来解决问题,而端口间歇流量异常的问题就很难处理。
为了解决SNMP网管的管理盲区,我们利用Netflow提供的网络流量的三层、四层信息,
完成对网络流量含量的分析,与SNMP网管配合对网络流量实现全面监测。
NetFlow 的监测应用例子1:分支的路由资源利用状态
这篇文章是基于利用福禄克网络的NFT (NetFlow Tracker) 的功能和界面来实现的。您可以下载试用版,有效期到20 09年6月。
首先假设我们在这个简单的网络上,把分支的路由器启动了NetFlow,可以对互联网端口(红色)的流量进行长期的监测。NetFlow数据通过网络送到信息中心的NetFlow采集器上。
长期监测的好处是可以提供"正常"时的状态,我们一般称为"基线"。我们可以看看在一周内,从分支发送到互联网的流量中,有多少是连接到信息中心的。通过一些NetFlow分析软件,可以提供NetFlow的统计报表:饼图、柱状图、图表等。
我们关心的数据包括:
带宽利用率?正常的最大、平均,出现异常时可以有基准依据分辨异常的类型。
基于NetFlow的分布式用户管理及计费系统
基于NetFlow的分布式用户管理及计费系统
在数字化时代的浪潮中,网络技术如同一座巨大的信息海洋,承载着无尽的数据流。而在这波涛汹涌的海洋里,NetFlow技术犹如一艘精准的导航船,为网络流量的监控和管理提供了强
有力的支持。今天,我们要探讨的,是基于NetFlow的分布式用户管理及计费系统,这是一
片充满挑战与机遇的新大陆。
首先,让我们来理解一下NetFlow。NetFlow是IP网络中的一种流量统计协议,它能够对
经过的网络流量进行测量和分析。想象一下,如果网络流量是一条河流,那么NetFlow就是
一把尺子,能够测量这条河流的流量、速度和方向。这种技术的应用,使得网络管理员能够对网络的使用情况有一个清晰的了解,从而进行有效的管理和优化。
然而,随着网络规模的不断扩大和用户需求的多样化,传统的集中式用户管理及计费系统已经难以满足现代网络的需求。这时,分布式用户管理及计费系统应运而生,它就像是一支灵活的舰队,能够在广阔的网络海洋中自由航行,实现资源的最优分配和利用。
分布式用户管理及计费系统的核心在于“分布”。它将原本集中在单一服务器上的用户管理和
计费功能分散到多个服务器上,这些服务器分布在不同的地理位置,形成一个强大的网络。这样做的好处是显而易见的:提高了系统的可靠性和稳定性;增强了数据处理能力;更重要的是,它能够根据用户的地理位置提供更加个性化的服务。
但是,要实现这样一个系统并非易事。我们需要面对的是一系列技术挑战:如何保证数据在不同服务器之间的一致性?如何处理大量的并发请求?如何确保计费的准确性和公正性?这些问题就像是海上的风浪,需要我们一一克服。
NetFlow学习笔记
NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。Netflow由Cisco创造。
工作原理:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。NetFlow有两个核心的组件:NetFlow缓存,存储IP流信息;NetFlow的数据导出或传输机制,NetFlow利用此机制将数据发送到网络管理采集器。
概念:一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
确定Flow的标识:SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface
数据采集格式
NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式,下例为NFC2.0采集的一种流量数据实例,本文的分析都基于这种格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1
数据中各字段的含义如下:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议
netflow技术讲解
IP网络承载能力与所提供的应用业务规模向来都是相辅相成的,一方面IP网络的建设将给新应用技术的推广提供有效的实施平台,另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求,从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中,另外一个问题却是毋庸置疑的凸现了出来,那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来,如何保证有限的IP资源能够被合理应用的到主要利润业务中。
以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。
什么是Flow
在最开始,Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念,其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中,数据包将通过几个给定的特征定义归并到特定的集合中,这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外,还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中,而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息,从而提高了网元设备的路由转发效率。
作为网元设备内部路由机制优化的副产物,Flow记录能够提供传统SNMP MIB 无法比拟的丰富信息,因此Flow数据被广泛用于高端网络流量测量技术的支撑,以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。
netflow 解析
netflow 解析
NetFlow是一种网络监测功能,可以收集进入及离开网络界面的IP封包的数量及资讯。最早由思科公司研发,应用在路由器及交换器等产品上。经由分析NetFlow收集到的资讯,网络管理人员可以知道封包的来源及目的地,网络服务的种类,以及造成网络拥塞的原因。
NetFlow的版本有:
NetFlow V1:为NetFlow技术的第一个实用版本,在如今的实际网络环境中已经不建议使用。
NetFlow V5:增加了对数据流BGP AS信息的支持,是当前主要的实际应用版本。
NetFlow V7:思科Catalyst交换机设备支持的一个版本,需要利用交换机的MLS或CEF 处理引擎。
NetFlow V8:增加了网络设备对NetFlow统计数据进行自动汇聚的功能,大大降低对数据输出的带宽需求。
NetFlow的IP Flow和NetFlow Cache是两个重要的概念。IP Flow可以用于网络设备之间的流量信息交换,帮助网络管理人员更好地了解网络流量情况。而NetFlow Cache则可以用于存储NetFlow收集到的流量信息,以便后续分析和处理。
以上信息仅供参考,如有需要,建议您咨询专业技术人员。
基于NetFlow流量行为分析的网络异常检测
基于NetFlow流量行为分析的网络异常检测
随着网络攻击方式和手段的不断升级与进化,保障网络环境和网络安全已成为当今网络世界中非常重要的一个议题。在网络安全领域中,网络异常检测技术是一项非常重要的技术。它能够在网络中检测到各种异常活动,提供更加安全的网络环境,保护网络资源和用户隐私。其中,基于NetFlow流量行为分析的网络异常检测技术成为了一种非常有效的检测方法。
NetFlow是一种广泛使用的网络数据采集技术,它能够实时采集和分析网络流量数据,为网络管理员提供网络性能和安全问题的详细信息。NetFlow采集到的数据中包括源IP地址、目的IP地址、源端口、目的端口、协议类型和数据包大小等信息,这些信息能够反映出网络流量和网络连接的实时情况。
基于NetFlow流量行为分析的网络异常检测技术通过对流量数据进行分析,识别各种恶意活动或异常行为,从而提高网络安全性。具体来说,这种技术主要通过以下步骤实现:
第一步,收集NetFlow数据。该技术会收集并存储网络数据流量的所有信息,这些信息包括源IP地址、传输协议、数据包大小、数据流方向等。
第二步,数据处理。该技术会将NetFlow数据进行预处理,以便检测网络中可能存在的异常事件。这个过程通常包括数据清洗、数据筛选、数据转换和数据聚合等操作。
第三步,异常检测。经过数据处理之后,就会进入到异常检测
的阶段。对于每一个网络连接或流量数据,基于NetFlow流量行为分析的网络异常检测技术会对其进行大量的特征提取和分析,以便判断它是否是正常的网络流量还是恶意活动。
NetFlow技术原理
Snmp网管技术简介
网络管理基本知识 SNMP协议模型 SNMP的基本操作 Cisco设备SNMP配置命令
网络管理基本知识
网络设备
执行操作 Hale Waihona Puke BaiduNMP
MIB
代 理
通知
管理者
被管对象
管理者:工作站、微机等,一般位于网络系统主干或接近主干的 位置,负责发出管理操作的指令,并接收来自代理的信息 代理:一般位于被管理设备内部,把来自管理者的命令或信息请 求转换为本设备特有的指令,完成管理者的指示,或返回所在设 备的信息。代理也可以主动发送通知给管理者
二、接口配置
interface GigabitEthernet2/0/2 ip address 10.0.2.14 255.255.255.252 ip flow ingress mls netflow sampling
三、SNMP配置
snmp-server community public RO snmp ifmib ifindex persist
老化的Flow信息,采用UDP包发送到采集器 使用NetFlow版本V5,V9,一个UDP包最大可 包括30个流(Flow)
NetFlow 数据记录
使用情况
• Packet Count • Byte Count
• Start Timestamp • End Timestamp
Netflow网络流量分析技术及在局域网上的应用
.
莹
图 1 N fo 的 工作 原 理 e lw
2 2 N fo . e lw报 文格式
中 , 括 了大 部分 路 由器 和 3层 交换 机 . 包 目前 N t e -
N to e w技 术 被 应 用 在 多 种 平 台 的思 科 设 备 l f
Fo 来 源 I l w: P地 址 、 源端 口号 、 来 目的 I P地 址 、 目
高速 转发 的 I P数据 流 进 行 测量 和 统 计 ]经 过 多 .
年 的技 术演 进 , 为 了当今互 联 网领域公 认 的最主 成 要 的流量分 析 、 统计 和计 费 的行 业 标准 . N to 在 e w l f 技 术 的演进 过程 中 , 思科 公 司一共 开发 出 了 5个 主
rue 一 5 9 cni f# xt otr 6 0 ( o f g—i ei )
源 地 址 目的 地 址
rue 一6 0 cn g #pf w—epr d sn - otr 5 9( of ) i l i o x ot et a i
t n 21 2 1 8 99 i 0. 6. 6. 8 9 5 o
第1 9卷
第 4期
兰州工业高等专科学校学报
J u a fL n h u P lt c n c C l g o r l a z o oy e h i ol e n o e
网络流量分析NetFlow协议详解
网络流量分析NetFlow协议详解网络流量分析一直是网络管理和安全领域的重要任务之一。通过分析网络流量,我们可以获取有关网络设备、流量模式和潜在威胁的宝贵信息。而NetFlow协议正是一种流量分析机制,可以帮助我们实现这一目标。
一、NetFlow概述
NetFlow是一种网络协议,由思科公司于1996年提出并推广。它能够实时地收集和分析网络流量数据,帮助网络管理员监测和管理网络的性能、安全和流量负载。
二、NetFlow的工作原理
NetFlow的工作原理非常简单,它通过捕获网络设备转发的流量数据,并将其转化为可分析的格式。具体而言,NetFlow将捕获到的流量数据分为数据包头部和统计信息两部分进行存储和分析。
1. 数据包头部
NetFlow会捕获网络数据包的源IP地址、目的IP地址、源端口、目的端口以及协议类型等关键信息。这些信息对于识别网络中的流量来源、目的地以及协议类型非常重要。
2. 统计信息
除了数据包的关键信息外,NetFlow还会统计每个会话的其他关键指标。比如,数据包数量、传输速率、流量持续时间以及平均数据包
大小等。这些统计信息对于网络管理员来说非常有价值,可以帮助他
们识别网络中的异常活动、确定流量瓶颈以及进行容量规划。
三、NetFlow的应用场景
NetFlow协议在网络管理和安全领域有着广泛的应用场景。下面,
我们将重点介绍其中的几个方面。
1. 网络容量规划
通过分析流量数据,NetFlow可以提供有关网络容量规划的信息。
它可以帮助管理员识别网络中的高峰和低谷时段,进而合理规划网络
NETFLOW教程
NetFlow教程
1NetFlow介绍
1.1 NetFlow的产生原因
●由网络设备进行原始统计信息的汇聚可以大大减少网络设备输出
的数据量,降低对上层管理服务器的配置要求,提高上层管理系统的扩展性和工作效率。
●虽然SNMP有助于容量规划,但无法提取流量特征,而只有了解
了特征,才能保证业务连续性,确定是否需要增加容量才能提高利用率保证,以及评估QoS参数是否符合目标服务水平要求等
●流量特征提取遇到的另一个困难是,许多新应用每次使用的端口
都不相同,它们每次都动态选择新端口使用。
1.2 NetFlow技术的起源
NetFlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的,并于同年5月注册为美国专利,专利号为6,243,667。NetFlow技术首先被用于网络设备对数据交换进行加速,并可同步实现对高速转发的IP数据流(Flow)进行测量和统计。经过多年的技术演进,NetFlow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC芯片实现,而对流经网络设备的IP数据流进行特征分析和测量的功能也已更加成熟,成为了当今互联网领域公认的最主要的
IP/MPLS流量分析和计量行业标准,同时也被广泛用于网络安全管理。利用NetFlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量,并提供网络运行的准确统计数据,这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。
1.3 什么是NetFlow
●通过分析网络中不同Flow间的差别,可以发现判断任何两个IP
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ If an engine 3 line card has 256M bytes of memory, NetFlow allocates 256M/16/64=256k entries.
Netflow的版本演进
❖ Netflow V1,为Netflow技术的第一个实用版本。支持IOS 11.1,11.2, 11.3和12.0,但在如今的实际网络环境中已经不建议使用。
❖ Netflow V5,增加了对数据流BGP AS信息的支持,是当前主要的实 际应用版本。支持IOS 11.1CA和12.0及其后续IOS版本。
NET FLOW原理
What is flow?
A flow is identified as a unidirectional stream of packets between a given source and destination —both defined by a network-layer IP address and transport-layer source and destination port numbers.
❖ 3.可靠的SCTP传输协议方式。利用SCTP传输协议,支持 拥塞识别,重传和排队机制,确保Netflow统计结果数据 正确发送给上层管理服务器。
❖ NetFlow is very efficient, the amount of export data being about 1.5% of the switched traffic in the router.
By default
❖ A flow is identified as the combination of the following seven key fields:
• Source IP address • Destination IP address • Source port number • Destination port number • Layer 3 protocol type • ToS byte • Input logical interface (ifIndex)
value Sent the template regularly (configurable),
because of UDP
NetFlow Version 9 Headerቤተ መጻሕፍቲ ባይዱFormat
Exporting the Version 5 Record Format
NetFlow Version 9 Export Packet Example
❖ Version 9 is an export protocol
No changes to the metering process
❖ Version 9 based on templates and separate flow records
Templates composed of type and length Flow records composed of template ID and
NetFlow Overview
❖ NetFlow is a technology that collects traffic flow statistics on routing devices.
❖ NetFlow has been used for a variety of applications, including traffic engineering, usage-based billing, and denial of service (DoS) attack monitoring .
❖ NetFlow Export datagrams may consist of up to 30 flow records for version 5 or 9 flow export
❖ NetFlow Export datagram consists of a header and a sequence of flow records
❖ Netflow V7,思科Catalyst交换机设备支持的一个Netflow版本,需要 利用交换机的MLS或CEF处理引擎。
❖ Netflow V8,增加了网络设备对Netflow统计数据进行自动汇聚的功能 (共支持11种数据汇聚模式),可以大大降低对数据输出的带宽需求。 支持IOS12.0(3)T,12.0(3)S,12.1及其后续IOS版本。
❖ The header contains information such as sequence number, record count and sysuptime. The flow record contains flow information, for example IP addresses, ports, and routing information.
❖ Netflow V9,一种全新的灵活和可扩展的Netflow数据输出格式,采用 了基于模板(Template)的统计数据输出。方便添加需要输出的数据 域和支持多种Netflow新功能,如Multicase Netflow,MPLS Aware Netflow,BGP Next Hop V9,Netflow for IPv6等。支持 IOS12.0(24)S和12.3T及其后续IOS版本。在2003年思科公司的 Netflow V9还被IETF组织从5个候选方案中确定为IPFIX(IP Flow Information Export)标准。
NetFlow Infrastructure
❖ Netflow支持同时向两个管理服务器地址输出采集到的网 络流量和流向统计信息,输出数据的方式有三种:
❖ 1.简单高效UDP传输协议方式(传统方式)。但由于采用 了UDP协议,数据传输的可靠性是不保证的。
❖ 2.SNMP MIB方式。管理服务器可以通过SNMP协议访问 网络设备Netflow MIB库中存储的数据流Top N统计结果。