互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用和設(shè)計(jì)

0、前言

隨著寬帶互聯(lián)網(wǎng)在中國(guó)的迅速發(fā)展，全國(guó)各大電信運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)模都在不斷擴(kuò)張，網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，網(wǎng)絡(luò)業(yè)務(wù)日趨豐富，網(wǎng)絡(luò)流量高速增長(zhǎng)。電信運(yùn)營(yíng)商需要通過(guò)可靠、有效的網(wǎng)絡(luò)業(yè)務(wù)流量監(jiān)測(cè)系統(tǒng)對(duì)其網(wǎng)絡(luò)以及網(wǎng)絡(luò)所承載的各類業(yè)務(wù)進(jìn)行及時(shí)、準(zhǔn)確的流量和流向分析，進(jìn)而挖掘網(wǎng)絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)。

目前國(guó)內(nèi)電信運(yùn)營(yíng)商已建的網(wǎng)絡(luò)管理系統(tǒng)所能實(shí)現(xiàn)的流量監(jiān)測(cè)功能非常有限，遠(yuǎn)遠(yuǎn)不能滿足運(yùn)營(yíng)商的迫切需要。

1、互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用及現(xiàn)狀

1.1　互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用

流量監(jiān)測(cè)技術(shù)的應(yīng)用主要包括以下幾個(gè)方面：

a）為網(wǎng)絡(luò)出口互聯(lián)鏈路的設(shè)置提供決策支持

通過(guò)對(duì)網(wǎng)絡(luò)出口流量和流向的分析，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對(duì)其他外部網(wǎng)絡(luò)的訪問(wèn)情況，從而有效地選擇與其他網(wǎng)絡(luò)的互聯(lián)方式和互聯(lián)地點(diǎn)，節(jié)約互聯(lián)鏈路費(fèi)用。

b）掌握用戶對(duì)其他運(yùn)營(yíng)商的訪問(wèn)情況

通過(guò)對(duì)與其他網(wǎng)絡(luò)互聯(lián)流量的監(jiān)控，分析網(wǎng)絡(luò)內(nèi)部用戶訪問(wèn)其他外部網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)和主要流量的去向，準(zhǔn)確掌握內(nèi)部用戶對(duì)外網(wǎng)的興趣點(diǎn)，找到最多應(yīng)用的熱點(diǎn)信

息內(nèi)容。根據(jù)分析結(jié)果進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)，將用戶感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

c）評(píng)估分支網(wǎng)絡(luò)的成本和價(jià)值

通過(guò)對(duì)各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小、去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況，從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開(kāi)展情況，并作出價(jià)值評(píng)估。

d）提供重要應(yīng)用和大客戶統(tǒng)計(jì)分析

通過(guò)對(duì)重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析，掌握重要應(yīng)用和大客戶的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析，有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

e）基于ip的計(jì)費(fèi)應(yīng)用和服務(wù)等級(jí)協(xié)議（sla）的校驗(yàn)服務(wù)

通過(guò)對(duì)大客戶接入電路上的流量進(jìn)行監(jiān)控分析，可以統(tǒng)計(jì)出業(yè)務(wù)類型、服務(wù)等級(jí)、通信時(shí)間和時(shí)長(zhǎng)、通信數(shù)據(jù)量等參數(shù)，為基于ip的計(jì)費(fèi)應(yīng)用和sla的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)。

f）掌握網(wǎng)絡(luò)狀況

通過(guò)對(duì)網(wǎng)絡(luò)中一些特定流量的長(zhǎng)期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時(shí)發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大前實(shí)施防范措施，進(jìn)而提升網(wǎng)絡(luò)的整體質(zhì)量及效能。

g）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常通信的檢測(cè)，重點(diǎn)防范分布式拒絕服務(wù)（ddos）的攻擊和大范圍的蠕蟲(chóng)病毒發(fā)作

通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性。通過(guò)與網(wǎng)絡(luò)通信正?；€的比對(duì)，管理員對(duì)出現(xiàn)的異常通信可以快速定性是否為網(wǎng)絡(luò)安全攻擊，確定安全攻擊的類型，評(píng)估本次攻擊的危險(xiǎn)程度及可能造成的影響范圍，并采用相應(yīng)技術(shù)手段實(shí)施事故應(yīng)急處理。

h）為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)依據(jù)

通過(guò)流量分析，可以為多出口的流量負(fù)載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定qos等網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。

1.2　互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)現(xiàn)狀分析

目前國(guó)內(nèi)電信運(yùn)營(yíng)商的運(yùn)維部門大都還沒(méi)有建設(shè)一套能夠完全滿足管理需求的互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)系統(tǒng)?，F(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)雖然可以提供業(yè)務(wù)流量監(jiān)測(cè)手段，但基本上只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如利用免費(fèi)的mrtg和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（snmp），對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡(jiǎn)單的端口級(jí)流量監(jiān)視和統(tǒng)計(jì)；或采用在網(wǎng)絡(luò)中部分重點(diǎn)業(yè)務(wù)接入點(diǎn)（pop）加裝遠(yuǎn)程監(jiān)控（rmon）探針的方式，利用rmon i/ⅱ協(xié)議對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。

上述兩種被普遍采用的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)都有著明顯的技術(shù)局限性。

snmp采集端口的數(shù)據(jù)主要是在網(wǎng)元層用來(lái)監(jiān)控網(wǎng)絡(luò)流量和設(shè)備的性能，而且snmp采集的數(shù)據(jù)是基于端口的，無(wú)法提供端到端的準(zhǔn)確的流量信息，因此對(duì)流向的統(tǒng)計(jì)手段不明確。

利用rmon探針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)snmp的技術(shù)局限性，其業(yè)務(wù)分析和協(xié)議分析功能較強(qiáng)。但是，采用rmon探針建設(shè)的流量監(jiān)測(cè)系統(tǒng)也有處理性能不足和難以在大型網(wǎng)絡(luò)普遍部署的局限性。

為克服現(xiàn)有網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，運(yùn)營(yíng)商迫切需要尋找一種功能豐富、成熟穩(wěn)定的新技術(shù)，對(duì)現(xiàn)有管理系統(tǒng)中流量信息的采集和分析方式進(jìn)行改造和升級(jí)。新的流量信息采集和分析技術(shù)應(yīng)具備對(duì)運(yùn)營(yíng)商的運(yùn)行網(wǎng)絡(luò)影響小、無(wú)需對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行改變就能平滑升級(jí)的技術(shù)特征，既可以對(duì)網(wǎng)絡(luò)中各個(gè)鏈路的帶寬使用率進(jìn)行統(tǒng)計(jì)，又可以對(duì)每條鏈路上不同類型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。本文主要討論功能強(qiáng)大、應(yīng)用廣泛的netflow技術(shù)。

2、流量監(jiān)測(cè)系統(tǒng)建設(shè)方案中需要考慮的問(wèn)題

2.1　netflow技術(shù)簡(jiǎn)介

netflow是cisco公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，該技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)交換進(jìn)行加速，并可同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的ip數(shù)據(jù)流（flow）進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)過(guò)多年的技術(shù)演進(jìn)，netflow原來(lái)用于數(shù)據(jù)交換加速的功能已經(jīng)逐步改由網(wǎng)絡(luò)設(shè)備中的專用集成電路（asic）芯片實(shí)現(xiàn)，而對(duì)流經(jīng)網(wǎng)絡(luò)設(shè)備的ip flow進(jìn)行測(cè)量和統(tǒng)計(jì)的功能卻更加成熟，并成為當(dāng)今互聯(lián)網(wǎng)領(lǐng)域公認(rèn)的最主要的ip流量分析、統(tǒng)計(jì)和計(jì)費(fèi)行業(yè)標(biāo)準(zhǔn)。

為對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中不同類型的業(yè)務(wù)流進(jìn)行準(zhǔn)確的流量和流向分析與計(jì)量，首先需要對(duì)網(wǎng)絡(luò)中傳輸?shù)母鞣N類型數(shù)據(jù)包進(jìn)行區(qū)分。由于ip網(wǎng)絡(luò)的非面向連接特性，網(wǎng)絡(luò)中不同類型業(yè)務(wù)的通信可能是任意一臺(tái)終端設(shè)備向另一臺(tái)終端設(shè)備發(fā)送的一組ip數(shù)據(jù)包，這組數(shù)據(jù)包實(shí)際上就構(gòu)成了運(yùn)營(yíng)商網(wǎng)絡(luò)中某種業(yè)務(wù)的一個(gè)flow。如果管理系統(tǒng)能對(duì)全網(wǎng)傳送的所有flow進(jìn)行區(qū)分，準(zhǔn)確記錄傳送時(shí)間、傳送方向和flow的大小，就可以對(duì)運(yùn)營(yíng)商全網(wǎng)所有業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。

通過(guò)分析網(wǎng)絡(luò)中不同flow之間的差別，可以發(fā)現(xiàn)判斷任何兩個(gè)ip數(shù)據(jù)包是否屬于同一個(gè)flow，實(shí)際上可以通過(guò)

分析ip數(shù)據(jù)包的以下7個(gè)屬性來(lái)實(shí)現(xiàn)：

　　a）源ip地址；

　　b）目標(biāo)ip地址；

　　c）源通信端口號(hào)；

　　d）目標(biāo)通信端口號(hào)；

　　e）第三層協(xié)議類型；

　　f）服務(wù)類型（tos）字節(jié)；

　　g）網(wǎng)絡(luò)設(shè)備輸入或輸出的邏輯網(wǎng)絡(luò)端口（iflndex）。

cisco公司的netflow技術(shù)就是利用分析ip數(shù)據(jù)包的上述7個(gè)屬性，快速區(qū)分網(wǎng)絡(luò)中傳送的各種不同類型業(yè)務(wù)的flow。對(duì)區(qū)分出的每個(gè)flow，netflow技術(shù)可以進(jìn)行單獨(dú)跟蹤和準(zhǔn)確計(jì)量，記錄其傳送方向和目的地等流向特性，統(tǒng)計(jì)其起始和結(jié)束時(shí)間、服務(wù)類型、包含的數(shù)據(jù)包數(shù)量和字節(jié)數(shù)量等流量信息。

在netflow技術(shù)的演進(jìn)過(guò)程中，cisco公司一共開(kāi)發(fā)出了netflow v1、netflow v5、netflow v7、netflow v8和netflow v9等5個(gè)主要的實(shí)用版本。

下面對(duì)網(wǎng)絡(luò)流量和流向分析系統(tǒng)中最常用的netflow v5數(shù)據(jù)輸出的數(shù)據(jù)包格式作一簡(jiǎn)單介紹。

圖1為netflow v5輸出數(shù)據(jù)包的包頭格式。圖2為包含在每個(gè)netflow v5輸出數(shù)據(jù)包中的具體flow的流量和流向統(tǒng)計(jì)信息的數(shù)據(jù)格式。

netflow的數(shù)據(jù)輸出要求先在路由器和交換機(jī)上定制netflow流輸出，并選擇輸出流的版本、個(gè)數(shù)、緩沖區(qū)的大小等，配置相應(yīng)netflow流量收集器（flowcollector）的ip地址、端口等信息。此時(shí)路由器或交換機(jī)即可以用戶數(shù)據(jù)報(bào)協(xié)議（udp）的方式向外發(fā)送流信息，然后在netflow flowcollector端配置接收端口號(hào)，設(shè)置匯聚、過(guò)濾策略和流量文件存放目錄、格式等。netflow有非采樣和采樣兩種使用模式。

一般來(lái)說(shuō)，netflow flowcollector都選用unix工作站來(lái)收集數(shù)據(jù)，netflow flowcollector收集的數(shù)據(jù)將存放在本地磁盤中（路徑由用戶定義）。同時(shí)，它也可以通過(guò)網(wǎng)關(guān)以socket方式發(fā)送信息到其他網(wǎng)管分析軟件，或直接讀取存放在netflow flowcollector工作站中的數(shù)據(jù)文件，對(duì)其進(jìn)行分析處理。

netflow記錄的流包含了豐富的信息，非常適合于網(wǎng)絡(luò)性能分析。netflow不需要其他硬件流量設(shè)備的支持，開(kāi)啟和關(guān)閉都非常方便，因此在國(guó)外已有很多運(yùn)營(yíng)商用它來(lái)收集流量，服務(wù)于網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)和優(yōu)化等領(lǐng)域。但開(kāi)啟netflow需要消耗一定的路由器資源（cpu和內(nèi)存）。

根據(jù)netflow的特點(diǎn)，該技術(shù)非常適用于大型網(wǎng)絡(luò)。netflow采集實(shí)施成本較低、安裝方便，而且不受速率的限制，是目前運(yùn)營(yíng)商流量監(jiān)測(cè)的首選技術(shù)。

采集到的netflow數(shù)據(jù)，結(jié)合邊界網(wǎng)關(guān)協(xié)議（bgp）路由信息，可以更加精確地分析路由信息和互聯(lián)流量的自治域（as）屬性。

2.2　流量采集對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響評(píng)估

2.2.1　帶寬占用

采用netflow方案不要求處理從某個(gè)接口接受到的每個(gè)數(shù)據(jù)包，用來(lái)對(duì)被監(jiān)控路由器進(jìn)行流量分析的數(shù)據(jù)來(lái)自采集到的netflow數(shù)據(jù)，從路由器送出的非采樣netflow數(shù)據(jù)不到流經(jīng)該路由器數(shù)據(jù)量的1%，使用采樣netflow時(shí)數(shù)據(jù)更為大大減少。根據(jù)計(jì)算，在采樣率為1000：1時(shí)，對(duì)10gbit/s的流量進(jìn)行netflow分析，只產(chǎn)生1.3mbit/s的流量。因此，netflow產(chǎn)生的這部分流量對(duì)于骨干網(wǎng)的帶寬占用很少。

2.2.2　路由器性能消耗

利用netflow技術(shù)實(shí)現(xiàn)流量監(jiān)測(cè)需要路由器開(kāi)啟netflow協(xié)議以配合采集數(shù)據(jù)，因此會(huì)對(duì)路由器的cpu造成一定的負(fù)擔(dān)。cisco公司和juniper公司等路由器廠家都針對(duì)這些問(wèn)題作了詳細(xì)的研究。不同的產(chǎn)品系列和netflow協(xié)議是否經(jīng)過(guò)采樣等，對(duì)cpu的影響程度也不同。

根據(jù)cisco公司的“netflow performance analysis”白皮書(shū)，在非采樣方式下，路由器開(kāi)啟netflow后，其cpu使用狀況如下：

a）如果有10 000條同時(shí)在線的flow，則路由器的cpu使用率平均增加7.14%；

b）如果有45 000條同時(shí)在線的flow，則路由器的cpu使用率平均增加19.16%；

c）如果有65 000條同時(shí)在線的flow，則路由器的cpu使用率平均增加22.98%。

這些數(shù)據(jù)是基于不同的產(chǎn)品系列進(jìn)行測(cè)試的平均值。

在采樣方式下開(kāi)啟netflow對(duì)路由器的cpu影響會(huì)更小。根據(jù)cisco公司的資料顯示，12000系列的路由器在非采樣方式下需要增加23.5%的cpu使用率來(lái)處理65 000條flow，而在采用100:1的采樣率時(shí)cpu使用率僅增加3%。在不同的采樣率下，cpu的負(fù)擔(dān)增加程度也不同。

路由器上不同類型的線卡對(duì)netflow的支持情況也有所不同。仍以cisco公司路由器為例，engine 3和engine 4+的線卡是采用專門的硬件來(lái)處理netflow數(shù)據(jù)，開(kāi)啟netflow對(duì)路由器性能影響較??；而通常認(rèn)為engine 2的線卡開(kāi)啟netflow對(duì)路由器性能的影響相對(duì)較大。

2.3　netflow采樣率的設(shè)定

在采樣方式下，路由器按照一定的采樣率采集netflow數(shù)據(jù)，流量分析系統(tǒng)接收netflow數(shù)據(jù)對(duì)網(wǎng)絡(luò)的流量進(jìn)行計(jì)算和分析，因此路由器的采樣率在很大程度上決定了分析結(jié)果的準(zhǔn)確性。如果路由器設(shè)定的采樣率過(guò)高（如1000:1或更高），流量分析的誤差將加大，尤其對(duì)小flow或混雜在大流量中的部分關(guān)鍵的小flow的分析，更容易產(chǎn)生比較大的誤差。

在路由器上開(kāi)啟netflow會(huì)消耗一些設(shè)備資源，特別是需要占用一些cpu和memory等重要資源，而且采樣率越低，對(duì)資源的占用越大。如果設(shè)置過(guò)低的netflow采樣率會(huì)對(duì)路由器的性能帶來(lái)較大的影響。因此，應(yīng)根據(jù)路由器上需要打開(kāi)的netflow功能板卡的主要類型，并結(jié)合設(shè)備上開(kāi)通的電路的流量情況靈活地設(shè)置路由器的netflow采樣率，包括100:1、500:1、1 000:1和3 000:1等。

2.4　流量采集點(diǎn)的設(shè)置

為了實(shí)現(xiàn)對(duì)所監(jiān)測(cè)網(wǎng)內(nèi)的所有流量進(jìn)行分析，首先需要合理地設(shè)置流量采集點(diǎn)。采集點(diǎn)的設(shè)置非常關(guān)鍵，直接影響到系統(tǒng)能否準(zhǔn)確地對(duì)流量進(jìn)行全面分析。下面主要針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)優(yōu)化應(yīng)用提出采集點(diǎn)設(shè)置建議方案。

由于主要是實(shí)現(xiàn)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的優(yōu)化，所以不一定需要對(duì)網(wǎng)絡(luò)中傳送的所有流量數(shù)據(jù)進(jìn)行100%的監(jiān)測(cè)。為減少對(duì)網(wǎng)絡(luò)設(shè)備的資源占用，降低對(duì)系統(tǒng)的容量要求，可以選用數(shù)據(jù)包抽樣的netflow數(shù)據(jù)采集方式，對(duì)網(wǎng)絡(luò)中的所有流量進(jìn)行統(tǒng)計(jì)。

通常情況下，運(yùn)營(yíng)商網(wǎng)絡(luò)結(jié)構(gòu)包括核心層和邊緣層兩個(gè)層次，網(wǎng)絡(luò)流量通過(guò)邊緣層的路由器匯接進(jìn)入核心層，由核心層的路由器進(jìn)行轉(zhuǎn)接。而netflow技術(shù)只能對(duì)端口的流入流量進(jìn)行分析，因此，流量采集點(diǎn)的設(shè)置主要有兩種方案可供選擇：

a）方案一：采集點(diǎn)設(shè)置在網(wǎng)絡(luò)的核心層，核心層路由器之間的互聯(lián)端口不需要開(kāi)啟netflow，核心節(jié)點(diǎn)路由器對(duì)外的互聯(lián)端口開(kāi)啟netflow流入流量采集。

該方案的優(yōu)點(diǎn)是被采集的路由器數(shù)量少，因此管理比較簡(jiǎn)單，配置工作量比較??；缺點(diǎn)是采集端口集中在核心層路由器上，增加了核心層路由器的負(fù)擔(dān)，對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響較大。

b）方案二：采集點(diǎn)設(shè)置在網(wǎng)絡(luò)的邊緣層，邊緣層路由器對(duì)外的互聯(lián)端口開(kāi)啟netflow流入流量采集，對(duì)從其他as進(jìn)入到網(wǎng)內(nèi)的流量進(jìn)行分析。

該方案的優(yōu)點(diǎn)是采集端口分散在邊緣層的多臺(tái)路由器上，相應(yīng)地減少了單臺(tái)路由器上的采集數(shù)據(jù)量和因流量采集而增加的負(fù)擔(dān)，降低了開(kāi)啟netflow對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響；缺點(diǎn)是被采集的路由器數(shù)量較多，管理的復(fù)雜程度和配置工作量都相應(yīng)加大，而且這種方案需要將采集的netflow數(shù)據(jù)從邊緣層的路由器傳送到集中設(shè)置的采集機(jī)，會(huì)在網(wǎng)內(nèi)增加一定的流量而占用網(wǎng)絡(luò)帶寬。

在實(shí)際應(yīng)用中，流量采集點(diǎn)的設(shè)置應(yīng)根據(jù)網(wǎng)絡(luò)的具體情況和管理要求來(lái)

選擇合適的方案。

圖3為運(yùn)營(yíng)商網(wǎng)絡(luò)優(yōu)化時(shí)的流量采集點(diǎn)設(shè)置示意圖。

2.5　系統(tǒng)組織方案

流量分析系統(tǒng)由采集機(jī)和分析服務(wù)器組成。被采集的路由器將netflow數(shù)據(jù)包發(fā)往netflow流量采集機(jī)，采集機(jī)將采集到的netflow數(shù)據(jù)送到分析服務(wù)器進(jìn)行分析。被采集的路由器分布在全網(wǎng)各個(gè)節(jié)點(diǎn)，當(dāng)系統(tǒng)規(guī)模較大時(shí)，需要配置多臺(tái)采集機(jī)和分析服務(wù)器。采集機(jī)和分析服務(wù)器的部署有以下兩種方案。

a）方案一：將采集機(jī)分別部署在各個(gè)核心節(jié)點(diǎn)，每個(gè)核心節(jié)點(diǎn)的采集機(jī)負(fù)責(zé)采集連接至該核心節(jié)點(diǎn)的路由器；分析服務(wù)器集中部署在網(wǎng)管中心。該方案采集機(jī)通過(guò)以太網(wǎng)接口接入核心路由器或與核心路由器連接的局域網(wǎng)交換機(jī)，實(shí)現(xiàn)與被采集路由器的互通。利用用戶數(shù)據(jù)報(bào)協(xié)議（udp）從被采集路由器上的端口采集netflow數(shù)據(jù)，再通過(guò)ip網(wǎng)絡(luò)傳送到分析服務(wù)器，由分析服務(wù)器進(jìn)行數(shù)據(jù)匯總和分析處理，如圖4所示。

該方案的優(yōu)點(diǎn)是，在至分析服務(wù)器的ip網(wǎng)絡(luò)連接出現(xiàn)突發(fā)故障時(shí)，可以充分利用采集機(jī)的存儲(chǔ)能力，暫存netflow數(shù)據(jù)，待網(wǎng)絡(luò)連接恢復(fù)時(shí)，再向分析服務(wù)器傳送；這種分布式的部署方案還可以避免單點(diǎn)出現(xiàn)故障時(shí)導(dǎo)致全網(wǎng)流量無(wú)法采集，而且采集機(jī)還可以進(jìn)行一些預(yù)處理工作，減輕分析服務(wù)器的壓力。缺點(diǎn)是每個(gè)核心節(jié)點(diǎn)都需要配備一套采集機(jī)，設(shè)備的綜合利用率不夠高，管理和維護(hù)不夠集中。

b）方案二：采集機(jī)和分析服務(wù)器集中部署，由多臺(tái)采集機(jī)共同負(fù)責(zé)采集全網(wǎng)內(nèi)的路由器。該方案采集機(jī)通過(guò)以太網(wǎng)接口接入網(wǎng)管中心，實(shí)現(xiàn)與全網(wǎng)內(nèi)被采集路由器的互通，采集機(jī)利用udp通過(guò)ip網(wǎng)絡(luò)從各節(jié)點(diǎn)被采集路由器上的端口采集netflow數(shù)據(jù)，再通過(guò)局域網(wǎng)傳送到分析服務(wù)器，由分析服務(wù)器進(jìn)行數(shù)據(jù)匯總和分析處理，如圖5所示。

該方案的優(yōu)點(diǎn)是，流量分析系統(tǒng)設(shè)備集中部署，便于統(tǒng)一管理和統(tǒng)一維護(hù)，也提高了設(shè)備的利用率；缺點(diǎn)是如果ip網(wǎng)絡(luò)不穩(wěn)定或發(fā)生故障時(shí)，路由器的netflow數(shù)據(jù)將不能傳送到網(wǎng)管中心，處理不當(dāng)可能造成netflow數(shù)據(jù)的丟失。

實(shí)際部署時(shí)應(yīng)根據(jù)具體的要求來(lái)選擇合適的系統(tǒng)組織方案。

2.6　系統(tǒng)處理能力估算模型的分析

2.6.1　計(jì)算數(shù)據(jù)的取定

首先取定以下計(jì)算數(shù)據(jù)：

a）一個(gè)netflow v5輸出數(shù)據(jù)包的包長(zhǎng)為1 500 byte；

b）一個(gè)netflow v5輸出數(shù)據(jù)包中包括的flow的數(shù)量為30；

c）網(wǎng)絡(luò)流量中數(shù)據(jù)包的平均包長(zhǎng)為384 byte；

d）采樣率：500:1

其中，netflow v5輸出數(shù)據(jù)包的包長(zhǎng)及其包括的flow的數(shù)量是確定的，而網(wǎng)絡(luò)流量中數(shù)據(jù)包的平均包長(zhǎng)、采樣率則需要根據(jù)具體的網(wǎng)絡(luò)狀況進(jìn)行取定。

2.6.2　系統(tǒng)處理能力

流量分析系統(tǒng)實(shí)現(xiàn)對(duì)netflow數(shù)據(jù)的采集和分析處理，本文采用“每秒處理flow數(shù)”來(lái)衡量系統(tǒng)的處理能力。

在估算系統(tǒng)處理能力時(shí)，首先要計(jì)算系統(tǒng)需要分析的流量大?。╣bit/s），然后根據(jù)前面已經(jīng)取定的計(jì)算數(shù)據(jù)，系統(tǒng)每秒需要進(jìn)行處理的flow數(shù)量為：（系統(tǒng)需要分析的流量大小×1024×1024×1024）/（500×384×8）

2.6.3　流量數(shù)據(jù)采集帶寬

采集netflow數(shù)據(jù)需要占用一定的網(wǎng)絡(luò)帶寬。

計(jì)算出系統(tǒng)每秒需要進(jìn)行處理的flow數(shù)量之后，就可以計(jì)算出采集netflow數(shù)據(jù)需要的網(wǎng)絡(luò)帶寬（mbit/s）最大為：（系統(tǒng)每秒需要進(jìn)行處理的flow數(shù)量/30）×1500×8/1024/1024

3、應(yīng)用價(jià)值與前景

netflow是cisco公司的ios軟件的一部分，其當(dāng)前的版本9目前正在由ietf以ipfix的名稱進(jìn)行標(biāo)準(zhǔn)化。除cisco公司外的廠商，如enterasys公司和juniper公司等，也在該標(biāo)準(zhǔn)形成的過(guò)程中發(fā)揮著積極的作用，并已表示有興趣采用ipfix，這就使得netflow/ipfix更具吸引力了。

但netflow技術(shù)也有一定的局限性，比如它無(wú)法提供應(yīng)用的反應(yīng)時(shí)間?？紤]到不斷增長(zhǎng)的動(dòng)態(tài)端口分配趨勢(shì)，netflow在根據(jù)端口特征識(shí)別應(yīng)用方面的能力也還需要提高。

隨著流量監(jiān)測(cè)技術(shù)的不斷改進(jìn)和完善，互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)系統(tǒng)必將為提高寬帶互聯(lián)網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)質(zhì)量和管理水平發(fā)揮更為重要的作用。