網(wǎng)絡(luò)業(yè)界基于流(Flow)的分析技術(shù)

主要有NetFlow、sFlow、cFlow和NetStream四種。NetFlow是Cisco公司的獨(dú)有技術(shù)，它既是一種流量分析協(xié)議，又是一種流交換技術(shù)，同時(shí)也是業(yè)界主要的IP計(jì)費(fèi)方式。通過NetFlow可以回答有關(guān)IP流量方面的問題，比如誰(shuí)在什么時(shí)間、在什么地方、使用何種協(xié)議、訪問誰(shuí)、具體的流量是多少等。Netflow協(xié)議的主要版本有V5、V8和V9。其中應(yīng)用較為廣泛的是V5和V8版本。NetFlow憑借Cisco網(wǎng)絡(luò)產(chǎn)品市場(chǎng)占有率的優(yōu)勢(shì)而成為當(dāng)今應(yīng)用最為廣泛的流量分析技術(shù)。

sFlow是由InMon、HP和Foundry Networks聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可以適應(yīng)超大網(wǎng)絡(luò)流量環(huán)境下的流量分析，讓用戶可以詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問題。目前，僅有HP、Foundry和 Extreme Networks等廠商的部分型號(hào)的交換機(jī)支持sFlow。

cFlow與Netflow原理及機(jī)制基本一樣，是Juniper公司特有的流協(xié)議技術(shù)。

NetStream是H3C公司提出的一種網(wǎng)流技術(shù)，與NetFlow技術(shù)的原理類似，但在實(shí)現(xiàn)機(jī)制上增加了出方向流統(tǒng)計(jì)功能(NetFlow只支持入方向的流統(tǒng)計(jì))。Netstream全面支持多核CPU以及全分布式處理，大幅度提升了設(shè)備整機(jī)網(wǎng)流分析的處理能力，為用戶進(jìn)行網(wǎng)絡(luò)通訊流量的管理、分析和計(jì)費(fèi)提供了一種經(jīng)濟(jì)的大容量解決方案。

流量分析技術(shù)的發(fā)展趨勢(shì)

傳統(tǒng)的基于SNMP的NMS軟件能對(duì)網(wǎng)絡(luò)設(shè)備的整體流量進(jìn)行監(jiān)控，可以獲得設(shè)備端口的實(shí)時(shí)或者歷史的流入/流出帶寬、丟包、誤包等性能指標(biāo)，而無法對(duì)具體協(xié)議種類和應(yīng)用流量組成做進(jìn)一步分析。而在基于網(wǎng)絡(luò)探針(Probe)的分析技術(shù)中，“探針”和軟件之間的接口一般是私有接口，第三方軟件無法使用，并且此種軟硬件相結(jié)合的解決方案通常都價(jià)格昂貴、部署也不是很方便。基于實(shí)時(shí)抓包的分析技術(shù)雖然提供了詳細(xì)的協(xié)議分析數(shù)據(jù)，但缺少對(duì)于用戶流量訪問的統(tǒng)計(jì)和趨勢(shì)分析，僅能在短時(shí)間內(nèi)對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析，無法滿足大流量、長(zhǎng)時(shí)間進(jìn)行統(tǒng)計(jì)和分析的要求。

在基于Flow的流分析技術(shù)中，網(wǎng)絡(luò)流(Network Flow)通常被定義為指定源節(jié)點(diǎn)和目的節(jié)點(diǎn)之間傳輸?shù)膯蜗驍?shù)據(jù)包/幀序列。通常，網(wǎng)絡(luò)設(shè)備(3層交換機(jī)、路由器等)本身提供了基于IP包頭的分析功能，負(fù)責(zé)網(wǎng)絡(luò)流數(shù)據(jù)的分析和整理，按照一定的條件和定義的數(shù)據(jù)格式向流采集器(Flow Collector)輸出數(shù)據(jù)，然后通過相關(guān)的軟件將采集到的流數(shù)據(jù)進(jìn)行整理、分析和客戶端展現(xiàn)。這種基于流協(xié)議的分析方法具有價(jià)格低廉、部署方便的優(yōu)點(diǎn)，可以適應(yīng)長(zhǎng)時(shí)間、大流量環(huán)境下的數(shù)據(jù)采集和分析。最近，IETF的技術(shù)人員正在制訂IPFIX(IP Flow Information Export)規(guī)范，使得網(wǎng)絡(luò)中流量統(tǒng)計(jì)信息的格式趨于標(biāo)準(zhǔn)化。IPFIX基于Cisco的NetFlow V9設(shè)計(jì)，可以設(shè)定數(shù)據(jù)輸出的模板格式，具有很強(qiáng)的可擴(kuò)展性。

基于單采集器的多種流協(xié)議分析的實(shí)現(xiàn)

目前國(guó)內(nèi)廠商對(duì)于流協(xié)議分析的各種軟件產(chǎn)品，通常安裝單個(gè)采集器只支持分析一種流協(xié)議。在面向大型行業(yè)用戶大規(guī)模網(wǎng)絡(luò)環(huán)境的流量監(jiān)控中，為實(shí)現(xiàn)對(duì)遍布在全網(wǎng)中的多個(gè)核心設(shè)備的流協(xié)議分析，需要安裝多臺(tái)數(shù)據(jù)采集服務(wù)器并部署多個(gè)流量采集探針。這樣不僅增加整個(gè)流量分析系統(tǒng)部署的工作量及難度，同時(shí)也大大增加了用戶的投資成本。

摩卡網(wǎng)絡(luò)流量分析( Mocha Network Traffic Analyzer )產(chǎn)品，是摩卡軟件公司( Mocha Software Co., Ltd. )針對(duì)各行業(yè)用戶的網(wǎng)絡(luò)系統(tǒng)，通過支持各種廠家的流量分析協(xié)議，以實(shí)現(xiàn)對(duì)全網(wǎng)通信流量的監(jiān)控、分析和統(tǒng)計(jì)的流量分析軟件，可以有效解決用戶關(guān)于當(dāng)前網(wǎng)絡(luò)流量分別由哪些應(yīng)用(協(xié)議)組成、各占多大的比例，哪些用戶的訪問數(shù)據(jù)量最大，分別使用什么協(xié)議，數(shù)據(jù)源和目的地是什么等問題。

Mocha NTA產(chǎn)品支持多種網(wǎng)絡(luò)流協(xié)議分析技術(shù)，包括Netflow、sflow、cflow、IPFIX、NetStream等各廠家協(xié)議標(biāo)準(zhǔn)。無論是哪種Flow格式，都定義了數(shù)據(jù)交互的標(biāo)準(zhǔn)格式，摩卡能夠通過支持這些格式規(guī)范實(shí)現(xiàn)對(duì)業(yè)內(nèi)所有主流網(wǎng)絡(luò)設(shè)備，如Cisco、Foundry、Extreme、Juniper、華為、H3C的數(shù)據(jù)流量分析，保證了對(duì)流量采集設(shè)備良好的兼容性。與眾多國(guó)內(nèi)廠家流協(xié)議分析技術(shù)不同的是，Mocha NTA產(chǎn)品支持同時(shí)在多個(gè)不同廠家的網(wǎng)絡(luò)設(shè)備上開啟Flow分析協(xié)議，通過將多臺(tái)設(shè)備的Flow數(shù)據(jù)同時(shí)發(fā)往Mocha NTA的一個(gè)流量采集器的指定端口，實(shí)現(xiàn)了基于單個(gè)采集器的多種流協(xié)議的數(shù)據(jù)流量分析。

Mocha NTA流量分析系統(tǒng)的架構(gòu)非常易于部署，只需要在企業(yè)內(nèi)部網(wǎng)絡(luò)中部署一臺(tái)摩卡流量采集分析器，然后將所有需要進(jìn)行流量監(jiān)控的網(wǎng)絡(luò)設(shè)備的流量數(shù)據(jù)發(fā)送摩卡流量采集分析器即可。摩卡流量采集器(Mocha Flow Collector)既可以和Mocha BSM 網(wǎng)管系統(tǒng)部署在同一臺(tái)機(jī)器上，也可獨(dú)立部署在網(wǎng)絡(luò)中的任何位置。IT管理人員可以通過終端瀏覽器訪問到全網(wǎng)數(shù)據(jù)流量的監(jiān)控和統(tǒng)計(jì)數(shù)據(jù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量事件，并加以處理。

總結(jié)

Mocha NTA產(chǎn)品允許用戶通過統(tǒng)一的展現(xiàn)入口——Portal，實(shí)現(xiàn)對(duì)全網(wǎng)所有數(shù)據(jù)通信流量的集中監(jiān)控。這種基于單采集器的多種流協(xié)議分析的實(shí)現(xiàn)方式，使用戶可以通過一臺(tái)數(shù)據(jù)采集器即可同時(shí)監(jiān)控全網(wǎng)中所有啟用NetFlow、Sflow、NetStream的網(wǎng)絡(luò)設(shè)備的流量數(shù)據(jù)，不僅降低了整個(gè)系統(tǒng)部署的復(fù)雜程度，也為用戶監(jiān)控多臺(tái)設(shè)備節(jié)省了大量投資，達(dá)到了事半功倍的效果。