業內主流的Flow協議技術
網絡業界基于流(Flow)的分析技術主要有NetFlow、sFlow、cFlow和NetStream四種。NetFlow是Cisco公司的獨有技術,它既是一種流量分析協議,又是一種流交換技術,同時也是業界主要的IP計費方式。通過NetFlow可以回答有關IP流量方面的問題,比如誰在什么時間、在什么地方、使用何種協議、訪問誰、具體的流量是多少等。Netflow協議的主要版本有V5、V8和V9。其中應用較為廣泛的是V5和V8版本。NetFlow憑借Cisco網絡產品市場占有率的優勢而成為當今應用最為廣泛的流量分析技術。
sFlow是由InMon、HP和Foundry Networks聯合開發的一種網絡監測技術,它采用數據流隨機采樣技術,可以適應超大網絡流量環境下的流量分析,讓用戶可以詳細、實時地分析網絡傳輸流的性能、趨勢和存在的問題。目前,僅有HP、Foundry和 Extreme Networks等廠商的部分型號的交換機支持sFlow。
cFlow與Netflow原理及機制基本一樣,是Juniper公司特有的流協議技術。
NetStream是H3C公司提出的一種網流技術,與NetFlow技術的原理類似,但在實現機制上增加了出方向流統計功能(NetFlow只支持入方向的流統計)。Netstream全面支持多核CPU以及全分布式處理,大幅度提升了設備整機網流分析的處理能力,為用戶進行網絡通訊流量的管理、分析和計費提供了一種經濟的大容量解決方案。
流量分析技術的發展趨勢
傳統的基于SNMP的NMS軟件能對網絡設備的整體流量進行監控,可以獲得設備端口的實時或者歷史的流入/流出帶寬、丟包、誤包等性能指標,而無法對具體協議種類和應用流量組成做進一步分析。而在基于網絡探針(Probe)的分析技術中,“探針”和軟件之間的接口一般是私有接口,第三方軟件無法使用,并且此種軟硬件相結合的解決方案通常都價格昂貴、部署也不是很方便。基于實時抓包的分析技術雖然提供了詳細的協議分析數據,但缺少對于用戶流量訪問的統計和趨勢分析,僅能在短時間內對流經接口的數據包進行分析,無法滿足大流量、長時間進行統計和分析的要求。
在基于Flow的流分析技術中,網絡流(Network Flow)通常被定義為指定源節點和目的節點之間傳輸的單向數據包/幀序列。通常,網絡設備(3層交換機、路由器等)本身提供了基于IP包頭的分析功能,負責網絡流數據的分析和整理,按照一定的條件和定義的數據格式向流采集器(Flow Collector)輸出數據,然后通過相關的軟件將采集到的流數據進行整理、分析和客戶端展現。這種基于流協議的分析方法具有價格低廉、部署方便的優點,可以適應長時間、大流量環境下的數據采集和分析。最近,IETF的技術人員正在制訂IPFIX(IP Flow Information Export)規范,使得網絡中流量統計信息的格式趨于標準化。IPFIX基于Cisco的NetFlow V9設計,可以設定數據輸出的模板格式,具有很強的可擴展性。
基于單采集器的多種流協議分析的實現
目前國內廠商對于流協議分析的各種軟件產品,通常安裝單個采集器只支持分析一種流協議。在面向大型行業用戶大規模網絡環境的流量監控中,為實現對遍布在全網中的多個核心設備的流協議分析,需要安裝多臺數據采集服務器并部署多個流量采集探針。這樣不僅增加整個流量分析系統部署的工作量及難度,同時也大大增加了用戶的投資成本。
摩卡網絡流量分析( Mocha Network Traffic Analyzer )產品,是摩卡軟件公司( Mocha Software Co., Ltd. )針對各行業用戶的網絡系統,通過支持各種廠家的流量分析協議,以實現對全網通信流量的監控、分析和統計的流量分析軟件,可以有效解決用戶關于當前網絡流量分別由哪些應用(協議)組成、各占多大的比例,哪些用戶的訪問數據量最大,分別使用什么協議,數據源和目的地是什么等問題。
Mocha NTA產品支持多種網絡流協議分析技術,包括Netflow、sflow、cflow、IPFIX、NetStream等各廠家協議標準。無論是哪種Flow格式,都定義了數據交互的標準格式,摩卡能夠通過支持這些格式規范實現對業內所有主流網絡設備,如Cisco、Foundry、Extreme、Juniper、華為、H3C的數據流量分析,保證了對流量采集設備良好的兼容性。與眾多國內廠家流協議分析技術不同的是,Mocha NTA產品支持同時在多個不同廠家的網絡設備上開啟Flow分析協議,通過將多臺設備的Flow數據同時發往Mocha NTA的一個流量采集器的指定端口,實現了基于單個采集器的多種流協議的數據流量分析。
如圖所示,Mocha NTA流量分析系統的架構非常易于部署,只需要在企業內部網絡中部署一臺摩卡流量采集分析器,然后將所有需要進行流量監控的網絡設備的流量數據發送摩卡流量采集分析器即可。摩卡流量采集器(Mocha Flow Collector)既可以和Mocha BSM 網管系統部署在同一臺機器上,也可獨立部署在網絡中的任何位置。IT管理人員可以通過終端瀏覽器訪問到全網數據流量的監控和統計數據,及時發現網絡中的異常流量事件,并加以處理。
總結
Mocha NTA產品允許用戶通過統一的展現入口——Portal,實現對全網所有數據通信流量的集中監控。這種基于單采集器的多種流協議分析的實現方式,使用戶可以通過一臺數據采集器即可同時監控全網中所有啟用NetFlow、Sflow、NetStream的網絡設備的流量數據,不僅降低了整個系統部署的復雜程度,也為用戶監控多臺設備節省了大量投資,達到了事半功倍的效果。
