基于NetFlow网络流量分析的研究及应用[1]

收稿日期:2003208216.
作者简介:孟学军(19712),男,讲师;武汉,武汉大学网络教育学院(430072).
基于Net Flow 网络流量分析的研究及应用
孟学军
武汉大学
网络教育学院
吴黎兵
武汉大学计算中心
石　岗
武汉大学网络教育学院
摘要:在分析Net Flow 交换及其特点的基础上设计了一个具体的网络流量分析模型.它的主要特点是提供了数据输出网关和计费接口,易于扩展.该模型重点讨论了数据采集点的选择和采样间隔等关键参数的设置方法.
关　键　词:Net Flow ;数据采集;采样间隔
中图分类号:TP393.03 文献标识码:A 文章编号:167124512(2003)S120253203
网络流量分析对一个网络的管理来说是不可缺少的重要组成部分.网管人员可以利用它来监控网络的数据流量,分析网络的使用情况及性能,尽早发现网络的瓶颈,便于调整网络的路由,合理分配网络流量,保证网络高效、稳定、可靠地运行.
1　Net Flow 交换及其特点
Net Flow 交换在网络层实现高性能的交换,
它提供一个高效的机制,可用来处理安全访问列表,不必像其他传统的交换方式那样,为完成同样的任务而付出很高的性能代价.Net Flow 交换识别主机之间的网络流量,并在提供相关服务的同时,对网络流量中的分组进行交换.在Net Flow 交换中,查询过程仅对分组流中的第一个分组进行,在一个网络流被识别并确定了与其相关的服务后,那么后面所有的分组都作为该信息流的一部分,在面向连接的基础上进行处理,这样就绕过了访问列表的检查,进而依次对分组进行交换和获取统计信息.Net Flow 记录的流包含了丰富的信息,它使用源和目的端点的IP 地址和传输层端口号、协议类型、服务类型(Tos )以及输入接口等来标记网络流.可用来捕获、显示和分析网络流信息.Net Flow 不需要其他硬件流量设备的支持,开启和关闭非常方便.
2　系统实现的基本原理与技术
2.1　数据采集系统框架
a .N FCD 模块:系统后台控制服务器,监视
和控制N FCollector 和N FO GW 的操作状态.
b .N FCollector 模块:流量收集器,接收来自路由器的Net Flow 数据,并进行过滤、总结、集合和数据管理等功能.
c .N FCU I 模块:用户配置接口,为用户和Net Flow 提供一个交互界面.用户可以方便地对Net Flow 进行配置及查看内部的一些运行情况,
比如计划集信息、过滤器信息、源地址和目的地址、发送数据的IP 地址以及正在接受数据的情况.
d .N FO GW 模块:数据输出网关,通过网关
以SOC KET 方式发送信息到其他网管分析软件,如Cisco 公司的Net Flow FlowAnalyzer 流量分析软件.例如将这些数据应用到网络仿真中,仿真出实际网络运行的性能参数,为网络设计和规划、营运维护等广泛领域服务.
e .N FAnalyzer 模块:提供图形用户界面(GU I )分析和显示来自N FCollector 的Net Flow 数据.数据可以以多种集合方式观看,并配有不同的图形、分类和图表功能.
数据系统采集框架见图1.2.2　Net Flow 数据格式
Net Flow 以UDP 数据报输出信息流.版本1
的格式是最初颁布的版本;版本5是最新的增强版[1],增加了边界网关协议(B GP4)自治系统(AS )信息和流顺序号.版本5的流记录格式为(0～3)Scraddr ,源IP 地址;(4～7)Dstaddr ,目的IP
地址;(8～11)Nexthop ,下一个“跳”路由器的IP
地址;(12～15)input and output ,输入和输出接口的SNMP 索引;(16～19)dPkts ,流中的信息包;
第31卷增刊 华　中　科　技　大　学　学　报(自然科学版) Vol.31　Sup.2003年　10月 J.Huazhong Univ.of Sci.&Tech.(Nature Science Edition ) Oct.　2003
图1　数据采集系统框架
(20～23)dOctets,在流的信息包中第3层字节的总数;(24～27)First,流起始时的SysUptime;(28～31)Last,收到流的最后的信息包时的SysUp2 time;…
2.3　配置Net Flow交换
Net Flow的数据输出要求先在路由器或交换机上定制Net Flow流输出,并选择输出流的版本、个数、缓存区的大小等,配置相应Net Flow流收集器的IP地址、端口等信息.另外,需要在Net Flow 流收集器端、配置接收端口号、设置汇聚、过滤策略、流量文件存放目录、格式等.
configure terminal/进入全局配置模式/
interface interface3/0/0/指定接口,进入接口配置模式/
ip route2cache distributed/在接口上启动IP 信息包的V IP分布交换/
ip route2cache flow/指定流交换/
ip flow2export1.1.15.10version5peer2as/将Net Flow缓存的存入项传送到工作站/
3　
需要重点考虑的两个问题
3.1　数据采集点的选择
Cisco7500系列路由器除了有一个集成的路由/交换处理器(RSP)并使用路由缓存来转发信息包外,它还使用了多功能接口处理器(V IP).这个基于RISC的接口处理器接受并缓存来自RSP 的路由信息.使用了路由缓存,V IP卡就可在本地作出交换决定,不需要RSP的参与就可加速总的吞吐量.由于V IP从RSP卸载了这些IP交换和服务功能,因此RSP可以将其所有CPU周期用于处理其他关键任务.因此,使用V IP的分布式体系结构是Cisco7500可伸缩性的关键.文献[2]通过在实际运行网络的GSR12012和Cata2 lyst6509两种典型路由设备上开启Net Flow进行测试,实际评估了其对网络性能的影响.试验数据表明:开启Net Flow对具有V IP分布交换功能的12012的CPU利用率无任何影响,内存下降也不明显;而对不具有V IP分布交换功能的6509影响较为明显,CPU利用率下降超过5%,内存下降也大.因此,数据采集点放在C7507上合适.这样,不会造成网络拥塞,如图2所示.
图2　边界路由器和中心交换机位置分布
3.2　采样间隔
考虑到网络流量在不同的时间段内是不均衡的,如果在全部时间段内采取不变的间隔采样,必定造成N FCollector与路由器的频繁通信,进而影响路由器的性能.如果根据信道的繁忙程度设定不同的取样间隔,就可减少通信频度,提高路由器的利用率.
根据排队论,客户端发起的会话请求可以用分段平稳泊松流来模型化[3].因此,可以认为在平衡状态下t时间内路由器建立的会话次数为泊松分布.
P[n(t)=m]=e-λt(λt)m/(m!)(1) t时间缓存内的平均会话个数 n为:
n=∑m
i=1
i P[n(t)=i]=∑
m
i=1
e-λt
(λt)i
(i-1)!,
(2)式中λ是会话到达流的强度.此时若设缓存区的长度为m,则t时间内不溢出的概率是:
p=∑
m
i=1
P[n(t)=i]=e-λt∑
m
i=1
(λt)i
i!
.(3)由于流量为分段的平稳泊松流,因此,如果以小时为单位对其进行分段,则每个时间段上的到达流强度λi=1-24,利用(3)式,根据给定的P和λi 可以计算出t i值作为该时间段内的采样间隔.
借助已完成的数据采集工具,可以收集到任何地点的网络流量情况.这为下一步的数据分析提供了丰富的数据资源以及数据间的联系等重要信息.在随后的分析工作中,将尝试分离出可能影响数据流的各个因素(包括网络主机的数量、用户的访问特性、网络通信协议算法及网络的拓扑结构).通过对现有的网络框架增加网络监测和流量分析功能,可以改善网络环境的整体安全性.
参考文献
[1]Cisco Systems公司.Cisco IOS交换服务.北京:电子工
452 华　中　科　技　大　学　学　报(自然科学版) 第31卷
业出版社,1999.
[2]梁喜秋,梁　洁.Net Flow 对网络性能的影响.广州通
信技术,2002,22(3):24～26
[3]丁　伟,吴剑章.基于会话的网络计费管理系统.小型
微型计算机系统,1998,19(1):10～13
R esearch and application of net work traff ic analysis based on N etFlow
Meng X uej un W u L ibi ng S
hi
Gang
Abstract :
The paper designs a material network traffic analysis model after analyzing Net Flow exchange and its key characteristics.Adapting and extension are main trait of the model by providing data output gateway and IP accounting interface.At the end of the paper ,some key parameters ,such as choice of data collection site and sampling interval are discussed in detail based on network traffic model.K ey w ords :Net Flow ;data collection ;sampling interval
Meng Xuejun Lect.;School of Network Education ,Wuhan University ,Wuhan 430072,China.
552增刊 孟学军等:基于Net Flow 网络流量分析的研究及应用 。