您的位置:360文档中心› 流量透明化-IPFIX流量分析解决方案技术白皮书

流量透明化-IPFIX流量分析解决方案技术白皮书

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

流量透明化-IPFIX流量分析解决方案

技术白皮书

福建星网锐捷网络有限公司

版权所有侵权必究

目录

1 方案背景 (1)

1.1 问题的提出 (1)

1.2 问题的归纳 (1)

1.3 问题的解决 (2)

1.3.1 网管方式 (2)

1.3.2 数据包监听方式 (2)

1.3.3 基于流(Flow)技术的方式 (2)

1.3.4 解决方法的评估 (3)

2 IPFIX技术介绍 (4)

2.1 IPFIX技术概述 (4)

2.2 IPFIX技术价值 (6)

3 网络透明化解决方案 (7)

3.1 解决方案组成 (7)

3.2 Exporter设备功能 (8)

3.3 Collector设备功能 (8)

3.4 Analyzer设备功能 (8)

3.5 Analyzer设备报表 (9)

3.6 业务功能展示 (10)

3.6.1 网络用户分区管理 (10)

3.6.2 应用流量分析 (11)

3.6.3 流量目标地址统计 (13)

3.6.4 带宽使用实时统计 (14)

3.6.5 网内流量趋势 (16)

3.6.6 高效便捷的流量管理 (16)

4 网络透明化解决方案组网模式及应用 (18)

4.1 网络透明化解决方案组网模式 (18)

4.2 网络透明化解决方案应用 (19)

5 结束语 (21)

1 方案背景1.1 问题的提出

“无法被量化的将无法改进”。管理和优化网络首先要进行测量。随着IT、网络技术的迅猛发

展和企业信息化程度的不断提高,各种网络应用越来越丰富,各种应用时时刻刻都在争夺有

限的网络带宽,从而导致网络管理的难度不断增大。因此,如何保证网络的可用性和关键业

务的畅通运行,对用户业务发展将起到至关重要的作用。

随着网络的规模越来越大,IT服务的完善,网络管理者也会提出一下问题:

1. 当前的上网流量占用多大带宽?这些带宽主要谁在占用?这些占用是允许的吗?在

WWW 访问之外,是不是有大量的FTP 等下载?是允许的吗?

2. DMZ 区的服务器有多少是内网用户在访问,有多少是外网用户在访问?如果是内网用户

访问多(比如DNS),是不是考虑将其迁移到服务器区?外网用户的访问有时间规律吗?

3. 外联的服务器是提供特定用户访问吗?哪个访问流量最大?最大流量占用的用户是合法

的吗?服务器是不是该扩容了?有非法用户访问这些服务器吗?

4. 这些关键的业务服务器的带宽够用吗?是不是考虑一台服务器提供多个业务服务或者多

台服务器提供一个业务服务?除了生产业务外,这些服务器是不是还提供其它无关的业

务,导致影响性能?谁访问这些服务器更多一些?这些服务器在哪个时间段最繁忙?

5. 部门用户用于工作(访问业务服务器)的流量有多大?用于上网的流量有多大?谁更多

地使用互联网?是必要的吗?谁占用的网络带宽最大?这些占用是必要的吗?哪个用户

在非法扫描网络?是否有用户提供非法的下载(WWW/FTP)服务?

1.2 问题的归纳

这些问题都是流量分析问题。归结起来,所有的流量问题大致包含:

1. 这些宝贵的网络带宽谁在占用?一定时间内,谁占用最多?

2. 这些流量到底包含哪些内容?是数据库通讯,还是ping,还是网页访问HTTP,还是FTP

下载?

3. 这些流量是生产业务产生的流量吗?是必要的吗?

4. 这些流量中是否包含病毒流量?或者禁止使用的流量(比如ftp 下载)?

如果把这些问题进一步分析,会发现,这其实涉及到两个问题:

1. 流量的分布问题;是指全网中,哪些点流量大,哪些点流量小?

2. 流量的构成问题;对于特定的点,流量的组成是什么?由谁发起的?目的地在哪里?1.3 问题的解决

要解决这些流量问题,不是一件容易的事情,常规的方法有几种:

1.3.1 网管方式

网管方式通过启动SNMP,来获取流量信息。但是,SNMP 只能获取流量的字节数,无法获

取字节的构成,更无法获取流量的发起方。该方法可以解决流量的分布问题,无法解决流量

的构成问题。

该方式主要用于设备的管理,而不适用于精细的流量分析。

1.3.2 数据包监听方式

该方法是将关注的流量串联到或者镜像到分析仪器(包括软件分析,比如sniffer),通过分析

仪器来获取流量的构成和细节。该方法可以做到流量的精细化分析,做到2-7 层的流量分

析,但是,缺点也很明显,只有在部署分析仪器的地方进行流量分析,如果做到全网多节点

流量监控,必须部署多个分析仪器,导致部署成本急剧上升。

该方式可以很好解决流量的构成问题,但几乎无法解决流量的分布问题。该方式适用于对少

量关键点的监控,常用于专业工程师的故障诊断,不适合大规模日常使用。

1.3.3 基于流(Flow)技术的方式

该方式是让网络设备在转发数据流量的同时,生成特定的流量信息,然后将流量信息发送到

特定的分析模块,进而实现对流量的分析。

该方式的优势是明显的,理想情况下,如果让网络中的每台网络设备均发出流量信息,那么

就可以轻松解决流量的分布问题,同时解决流量的构成问题。缺点是各厂商提供的流分析技

术都是私有技术无法通用。

也正是基于此,国际化流量监控标准技术IPFIX(IP Information flow Export)应运而生。1.3.4 解决方法的评估

网管方式无法进行流量构成分析,不再讨论。

对于数据包监听方式和流(Flow)技术的方式:由于分析仪器的昂贵,监听方式不适用于大

规模部署,而且分析到7 层应用后,容易使用户隐私受到侵犯;

而流(Flow)技术的分析方式功能均衡而强大,对流量的分析只到业务字节,不涉及应用级,

无隐私顾虑。如果以监控20 个物理端口为例进行投资估算,监听方式在几十万甚至上百万

人民币数量级,基于流(Flow)技术的流量分析方式成本大大降低。因此,流(Flow)技术

方式更适合网络流量分析。

相关文档
最新文档