虹科分享 | NetFlow數據能夠為網絡故障排除提供什么? | 網絡流量監控
NetFlow是網絡設備中標準化的功能,用于收集流量測量值并將其導出到另一個系統進行分析。對該流數據的分析通知網絡管理器網絡是如何執行的以及其他使用細節。例如,流量分析可以通過跟蹤IP和突出顯示異常(如過度使用流量)來幫助解決問題。
什么是NetFlow
最初由思科于1995年推出,NetFlow提供的理解流量數據的能力變得不可或缺,成為事實上的行業標準。到2008年,基于流的監控協議的普及推動了IETF在IPFIX中編碼的NetFlow的標準化。盡管還有其他供應商協議,特別是J-Flow和sFlow,但NetFlow仍然是使用最廣泛的基于流的監控協議。
NetFlow是如何工作的
NetFlow是路由器上的典型功能,然而,NetFlow監控需要三個組件才能向網絡管理器提供可用信息。
1.流導出器
流導出器收集流緩存中的流數據,并定期將其導出到收集器。這個設備通常是一個路由器(一個低級設備)或防火墻,基本上將信息傳遞到收集器上。
2.流量收集器
流量收集器是數據存儲服務器,用于接收流量數據,以便稍后由專用軟件進行處理。
3.流量分析器
流量分析器是分析流量數據并呈現報告、警報、儀表盤和網絡可視化的應用程序,用于向網絡管理者通報其網絡的性能和使用情況。
NetFlow傳遞哪些信息
當數據包進入路由器時,它將決定是否轉發該數據包,如果是,則它開始根據該數據包的屬性在流緩存中記錄數據流。數據流由一組5-7個屬性標識,這些屬性的作用類似于指紋。共享相同指紋的數據包在流緩存中分組在一起。
每個流緩存條目根據數據包的屬性保存以下信息。
1. 目標IP地址
2. 源IP地址
3. 目標端口號
4. 源端口號
5. 源接口
6. 第3層協議類型
7. 服務類別
8.路由器或交換機接口
流數據將在流緩存中進行計數,直到流過期為止。在這一點上,流緩存信息被導出到收集器,用于存儲和以后的分析。該流信息可以用于以多種方式理解網絡行為。
源地址允許了解誰發起流量
目的地地址告訴誰在接收流量
端口表征利用流量的應用程序
服務類別檢查流量的優先級
設備接口告訴網絡設備如何利用流量
計數的數據包和字節顯示流量
添加到流的其他信息包括:
流動時間戳,以了解流動的生命;時間戳對于計算每秒的數據包和字節很有用;
下一跳IP地址,包括BGP路由自治系統(AS);
用于計算前綴的源地址和目標地址的子網掩碼;
用于檢查TCP握手的TCP標志;
其他相關術語
網絡取證
流導出器收集流緩存中的流數據,并定期將其導出到收集器。這個設備通常是一個路由器(一個低級設備)或防火墻,基本上將信息傳遞到收集器上。
網絡故障排除
流導出器收集流緩存中的流數據,并定期將其導出到收集器。這個設備通常是一個路由器(一個低級設備)或防火墻,基本上將信息傳遞到收集器上。
