今日頭條
官方微信
官方抖音
案例頻道 摘 要:本文主要介紹流量分析中主要使用的NetFlow技術(shù),并根據(jù)NetFlow的特點(diǎn),給出了一個(gè)基于NetFlow的網(wǎng)絡(luò)流量采集系統(tǒng)設(shè)計(jì)實(shí)例。
關(guān)鍵詞:NetFlow;流量采集;多線程
Abstract: By analyzing the principles of the widely-used NetFlow technology,this paper,according to the characteristics of data flow of NetFlow,Provides us with a practical illustration of system design on collecting data of NetFlow.
Key words: NetFlow; flow collection; multi-thread
引言
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,各種基于網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用不斷增加,這些業(yè)務(wù)和應(yīng)用對(duì)網(wǎng)絡(luò)性能和安全提出了更高的要求。在這種環(huán)境下,網(wǎng)絡(luò)流量數(shù)據(jù)對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)安全管理等變得十分重要。因此,對(duì)網(wǎng)絡(luò)流量及相關(guān)情況的深入分析,是網(wǎng)絡(luò)管理的重要環(huán)節(jié)。
目前,網(wǎng)絡(luò)流量分析技術(shù)主要有基于SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)、基于包嗅探和基于Flow(流)等幾種。本文研究探討的NetFlow則是基于Flow技術(shù)。
1 NetFlow技術(shù)
1.1 NetFlow技術(shù)介紹
NetFlow技術(shù)于1996年由Cisco的Darren Kerr和Barry Bruins發(fā)明,它起初用于網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)交換進(jìn)行加速,并同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的IP數(shù)據(jù)流(Flow)進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)過(guò)多年的技術(shù)演變和發(fā)展,NetFlow技術(shù)已成為當(dāng)前最主要的網(wǎng)絡(luò)流量分析和計(jì)量行業(yè)標(biāo)準(zhǔn)。利用NetFlow技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)流量監(jiān)測(cè)、用戶行為監(jiān)控、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)規(guī)劃以及流量計(jì)費(fèi)等功能。
NetFlow技術(shù)已經(jīng)在大多數(shù)Cisco路由器和交換機(jī)中廣泛應(yīng)用,并得到了主流廠商(諸如Juniper、Foundry、Extreme等)的支持。國(guó)內(nèi)華為推出的NetStream技術(shù)與NetFlow技術(shù)兼容。
1.2 NetFlow技術(shù)原理
NetFlow技術(shù)基于流。所謂流,就是在高速數(shù)據(jù)交換中一定時(shí)間段內(nèi)給定的源端和目的端所發(fā)生的具有相同屬性的連續(xù)數(shù)據(jù)包的集合。一條NetFlow流一般由以下7個(gè)關(guān)鍵字段惟一標(biāo)識(shí):
(1)源地址(2)目的地址(3)源端口(4)目的端口(5)第3層協(xié)議類(lèi)型(如TCP、UDP)(6)服務(wù)類(lèi)型(ToS)(7)輸入的邏輯端口
每當(dāng)路由器或交換機(jī)的端口上接收到數(shù)據(jù)包時(shí),NetFlow就會(huì)掃描這7個(gè)字段,判斷此數(shù)據(jù)包是否屬于一個(gè)已經(jīng)存在的流。若是,則相應(yīng)流的流量統(tǒng)計(jì)將增加。否則,在NetFlow的高速緩沖中生成一條新的流記錄。在新的流不斷產(chǎn)生的同時(shí),NetFlow的高速緩沖內(nèi)過(guò)期的流以UDP數(shù)據(jù)報(bào)的方式導(dǎo)出。
路由器每秒檢查一次NetFlow的高速緩存,在如下情況時(shí)輸出流:
(1)流TCP終結(jié);(2)流緩存滿;(3)某個(gè)流中止;(4)某個(gè)流超時(shí)(默認(rèn)值30分)
1.3 NetFlow數(shù)據(jù)格式
NetFlow導(dǎo)出的數(shù)據(jù)由1個(gè)包頭和1~30個(gè)流記錄組成。NetFlow導(dǎo)出的數(shù)據(jù)格式共有5個(gè)版本,它們分別是Version 1、Version 5、Version 7、Version 8和Version 9,其中V5是最為流行和成熟的版本,目前已得到最廣泛的使用,而最新的V9已經(jīng)被列入IETF的標(biāo)準(zhǔn)。NetFlow V5版本數(shù)據(jù)包的包頭格式和流記錄格式分別如圖1和圖2所示。
圖1 V5版本數(shù)據(jù)包的包頭格式
圖2 V5版本數(shù)據(jù)包的流記錄格式
2 NetFlow網(wǎng)絡(luò)流量采集與聚合
2.1 系統(tǒng)概述
根據(jù)NetFlow技術(shù)的特點(diǎn)結(jié)合華北科學(xué)院圖書(shū)館網(wǎng)絡(luò)環(huán)境,本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)流量采集系統(tǒng)。系統(tǒng)結(jié)構(gòu)如圖3所示:
圖3 NetFlow流量采集與聚合系統(tǒng)結(jié)構(gòu)
系統(tǒng)在Windows平臺(tái)下使用C#作為開(kāi)發(fā)語(yǔ)言,SQL SERVER 2005作為數(shù)據(jù)庫(kù)。
2.2 NetFlow在Cisco Catalyst 6509上的配置
華北科技學(xué)院圖書(shū)館網(wǎng)絡(luò)環(huán)境中配置1臺(tái)Cisco Catalyst 6509交換機(jī)。NetFlow在交換機(jī)上配置如下:
Switch(config)#mls netlfow!Enables NetFlow on the PFC(Policy Feature Card)Switch(config)#mls flow ip full!Configures flow mask on the PFCSwitch(config)#mls nde sender version 5!Configures NDE(NetFlow Data Export) on the PFCSwitch(config)#ip flow-export source loopback 0Switch(config)#ip flow-export destination 10.1.14.41 9996!Configures NDE on the MSFC(Multilayer Switch Feature Card) with the NetFlow collector IP address and the application port number 9996……
配置完成后可以使用Show mls netflow ip命令顯示NetFlow高速緩沖中的流記錄詳情。
2.3 NetFlow流量采集與聚合
由于NetFlow數(shù)據(jù)是由UDP數(shù)據(jù)報(bào)的形式導(dǎo)出,因而隨著數(shù)據(jù)量的增加數(shù)據(jù)解析速度跟不上數(shù)據(jù)包到達(dá)速度,則會(huì)出現(xiàn)嚴(yán)重的丟包現(xiàn)象。為了實(shí)現(xiàn)大流量數(shù)據(jù)及時(shí)接收和低丟包率,NetFlow流量采集與聚合采用多線程實(shí)現(xiàn)。
NetFlow流量采集與聚合器結(jié)構(gòu)如圖4所示:
圖4 NetFlow流量采集與聚合器結(jié)構(gòu)
(1)UDP監(jiān)聽(tīng)線程
根據(jù)在交換機(jī)上配置的端口,系統(tǒng)啟動(dòng)相應(yīng)的監(jiān)聽(tīng)端口,并采集從交換機(jī)上送來(lái)的UDP數(shù)據(jù)報(bào),對(duì)采集到的每個(gè)數(shù)據(jù)報(bào),取出其凈載(即NetFlow數(shù)據(jù)),并將該NetFlow數(shù)據(jù)壓入隊(duì)列(Queue)。以下為部分代碼:
(2)NetFlow數(shù)據(jù)拆分線程
首先定義流記錄結(jié)構(gòu),然后從隊(duì)列取出NetFlow數(shù)據(jù),再根據(jù)定義的結(jié)構(gòu)將NetFlow數(shù)據(jù)進(jìn)行拆分,分離出源IP、目的lP、源端口、目的端口、數(shù)據(jù)包大小、協(xié)議類(lèi)型等信息,最后將這些數(shù)據(jù)壓入內(nèi)存數(shù)據(jù)表(DataTable)中。以下為部分代碼:
(3)聚合與寫(xiě)數(shù)據(jù)庫(kù)線程
每隔3分鐘,從內(nèi)存數(shù)據(jù)表中取出數(shù)據(jù),根據(jù)源IP、目的IP進(jìn)行聚合,將聚合結(jié)果保存在數(shù)據(jù)庫(kù)。以下為部分代碼:
3 實(shí)際的流量采集與監(jiān)測(cè)
在本系統(tǒng)的支持下,系統(tǒng)數(shù)據(jù)庫(kù)為前端分析提供了充足且多樣化的數(shù)據(jù)準(zhǔn)備,前端程序只需通過(guò)簡(jiǎn)單的查詢語(yǔ)句即可得到所需的數(shù)據(jù)集,極大簡(jiǎn)化了查詢的工作量。圖5為某時(shí)段系統(tǒng)采集的數(shù)據(jù)生成的流量監(jiān)測(cè)圖。
圖5 某時(shí)段流量監(jiān)測(cè)圖
4 結(jié)束語(yǔ)
本文基于NetFlow的特點(diǎn),提出了一套適用于高速大流量網(wǎng)絡(luò)的流量采集方案。流量采集通過(guò)多線程實(shí)現(xiàn),有效提高了流量采集的可靠性。采集的原始流經(jīng)聚合和存儲(chǔ),為前端的數(shù)據(jù)分析提供了全面支持。本系統(tǒng)在實(shí)際應(yīng)用中取得了良好效果。
參考文獻(xiàn):
[1] Cisco System Inc. NetFlow Services Solution Guide. 2007.
[2] Cisco System Inc. Introduction to Cisco IOS NetFlow – A Technique Overview. 2007.
[4] 郭劍云,曹慶華. NetFlow流量采集與聚合的研究實(shí)現(xiàn). 現(xiàn)代電子技術(shù),2009(7).
[5] 袁梅宇. 高效率多線程網(wǎng)絡(luò)流量采集處理的關(guān)鍵技術(shù)和算法. 計(jì)算機(jī)工程,2004(增).
[6] 徐川,唐紅,趙國(guó)鋒. 降低高速網(wǎng)絡(luò)流量測(cè)量器報(bào)文丟失率技術(shù)的研究. 計(jì)算機(jī)工程 2006(16).
北京市公安局海淀分局備案號(hào):11010802023656號(hào)