NETFLOW原理及应用

Netflow网络流量分析手册作者：聂晓亮（毛蛋哥）目录一、作者简介 (4)二、为什么会有这本书 (5)三、流量分析原理 (6)(一)原始流量分析方式 (6)(二)Netflow分析方式 (6)四、流量采样 (8)(一)在网络设备上开启Netflow功能 (8)(二)网络设备不支持Netflow (9)1.部署方式 (9)2.安装Fprobe (11)3.启动Fprobe (11)4.镜像流量至Fprobe服务器 (12)5.检测是否收到Netflow数据 (12)五、部署服务器 (13)(一)硬件需求 (13)(二)安装FreeBSD (13)(三)安装Nfsen (14)1.安装apache22 (14)2.安装php5 (14)3.安装nfsen (15)(四)安装PortTracker (15)(五)访问Nfsen (16)六、抓贼攻略 (18)(一)了解网络运行状况 (18)(二)什么协议吞了带宽 (22)(三)抓出罪魁祸首 (25)七、感谢 (30)一、作者简介本书作者聂晓亮，网名毛蛋哥。

2004年毕业于北京联合大学信息工程学院，热爱网络相关知识及摄影，机缘巧合参加了Cisco认证培训，并获得了一些成绩。

本书写于2008年10月，作者目前状态工作较为舒适，故有空闲时间完成此书。

聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。

作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。

聂晓亮（毛蛋哥）的Blog：聂晓亮（毛蛋哥）的Wiki：欢迎交流：pharaohnie@二、为什么会有这本书在工作的几年当中，经常有朋友和一些网友问我一些关于流量分析的问题，诸如：●我们局域网怎么这么慢，是不是有人在下BT？●192.168.0.1也没人用，怎么网卡疯狂闪烁，它在做什么？●老板让我查查服务器为什么总是那么大流量，可我不知道从何下手。

●公司出口带宽不够了，但一时有没那么多带宽预算，我在考虑是不是要关掉一些和公司业务无关的协议，但不知道应该关哪些协议。

收稿日期:2003208216.作者简介:孟学军(19712),男,讲师;武汉,武汉大学网络教育学院(430072).基于Net Flow 网络流量分析的研究及应用孟学军武汉大学网络教育学院吴黎兵武汉大学计算中心石　岗武汉大学网络教育学院摘要:在分析Net Flow 交换及其特点的基础上设计了一个具体的网络流量分析模型.它的主要特点是提供了数据输出网关和计费接口,易于扩展.该模型重点讨论了数据采集点的选择和采样间隔等关键参数的设置方法.关　键　词:Net Flow ;数据采集;采样间隔中图分类号:TP393.03 文献标识码:A 文章编号:167124512(2003)S120253203 网络流量分析对一个网络的管理来说是不可缺少的重要组成部分.网管人员可以利用它来监控网络的数据流量,分析网络的使用情况及性能,尽早发现网络的瓶颈,便于调整网络的路由,合理分配网络流量,保证网络高效、稳定、可靠地运行.1　Net Flow 交换及其特点Net Flow 交换在网络层实现高性能的交换,它提供一个高效的机制,可用来处理安全访问列表,不必像其他传统的交换方式那样,为完成同样的任务而付出很高的性能代价.Net Flow 交换识别主机之间的网络流量,并在提供相关服务的同时,对网络流量中的分组进行交换.在Net Flow 交换中,查询过程仅对分组流中的第一个分组进行,在一个网络流被识别并确定了与其相关的服务后,那么后面所有的分组都作为该信息流的一部分,在面向连接的基础上进行处理,这样就绕过了访问列表的检查,进而依次对分组进行交换和获取统计信息.Net Flow 记录的流包含了丰富的信息,它使用源和目的端点的IP 地址和传输层端口号、协议类型、服务类型(Tos )以及输入接口等来标记网络流.可用来捕获、显示和分析网络流信息.Net Flow 不需要其他硬件流量设备的支持,开启和关闭非常方便.2　系统实现的基本原理与技术2.1　数据采集系统框架a .N FCD 模块:系统后台控制服务器,监视和控制N FCollector 和N FO GW 的操作状态.b .N FCollector 模块:流量收集器,接收来自路由器的Net Flow 数据,并进行过滤、总结、集合和数据管理等功能.c .N FCU I 模块:用户配置接口,为用户和Net Flow 提供一个交互界面.用户可以方便地对Net Flow 进行配置及查看内部的一些运行情况,比如计划集信息、过滤器信息、源地址和目的地址、发送数据的IP 地址以及正在接受数据的情况.d .N FO GW 模块:数据输出网关,通过网关以SOC KET 方式发送信息到其他网管分析软件,如Cisco 公司的Net Flow FlowAnalyzer 流量分析软件.例如将这些数据应用到网络仿真中,仿真出实际网络运行的性能参数,为网络设计和规划、营运维护等广泛领域服务.e .N FAnalyzer 模块:提供图形用户界面(GU I )分析和显示来自N FCollector 的Net Flow 数据.数据可以以多种集合方式观看,并配有不同的图形、分类和图表功能.数据系统采集框架见图1.2.2　Net Flow 数据格式Net Flow 以UDP 数据报输出信息流.版本1的格式是最初颁布的版本;版本5是最新的增强版[1],增加了边界网关协议(B GP4)自治系统(AS )信息和流顺序号.版本5的流记录格式为(0～3)Scraddr ,源IP 地址;(4～7)Dstaddr ,目的IP地址;(8～11)Nexthop ,下一个“跳”路由器的IP地址;(12～15)input and output ,输入和输出接口的SNMP 索引;(16～19)dPkts ,流中的信息包;第31卷增刊 华　中　科　技　大　学　学　报(自然科学版) Vol.31　Sup.2003年　10月 J.Huazhong Univ.of Sci.&Tech.(Nature Science Edition ) Oct.　2003图1　数据采集系统框架(20～23)dOctets,在流的信息包中第3层字节的总数;(24～27)First,流起始时的SysUptime;(28～31)Last,收到流的最后的信息包时的SysUp2 time;…2.3　配置Net Flow交换Net Flow的数据输出要求先在路由器或交换机上定制Net Flow流输出,并选择输出流的版本、个数、缓存区的大小等,配置相应Net Flow流收集器的IP地址、端口等信息.另外,需要在Net Flow 流收集器端、配置接收端口号、设置汇聚、过滤策略、流量文件存放目录、格式等.configure terminal/进入全局配置模式/interface interface3/0/0/指定接口,进入接口配置模式/ip route2cache distributed/在接口上启动IP 信息包的V IP分布交换/ip route2cache flow/指定流交换/ip flow2export1.1.15.10version5peer2as/将Net Flow缓存的存入项传送到工作站/3　需要重点考虑的两个问题3.1　数据采集点的选择Cisco7500系列路由器除了有一个集成的路由/交换处理器(RSP)并使用路由缓存来转发信息包外,它还使用了多功能接口处理器(V IP).这个基于RISC的接口处理器接受并缓存来自RSP 的路由信息.使用了路由缓存,V IP卡就可在本地作出交换决定,不需要RSP的参与就可加速总的吞吐量.由于V IP从RSP卸载了这些IP交换和服务功能,因此RSP可以将其所有CPU周期用于处理其他关键任务.因此,使用V IP的分布式体系结构是Cisco7500可伸缩性的关键.文献[2]通过在实际运行网络的GSR12012和Cata2 lyst6509两种典型路由设备上开启Net Flow进行测试,实际评估了其对网络性能的影响.试验数据表明:开启Net Flow对具有V IP分布交换功能的12012的CPU利用率无任何影响,内存下降也不明显;而对不具有V IP分布交换功能的6509影响较为明显,CPU利用率下降超过5%,内存下降也大.因此,数据采集点放在C7507上合适.这样,不会造成网络拥塞,如图2所示.图2　边界路由器和中心交换机位置分布3.2　采样间隔考虑到网络流量在不同的时间段内是不均衡的,如果在全部时间段内采取不变的间隔采样,必定造成N FCollector与路由器的频繁通信,进而影响路由器的性能.如果根据信道的繁忙程度设定不同的取样间隔,就可减少通信频度,提高路由器的利用率.根据排队论,客户端发起的会话请求可以用分段平稳泊松流来模型化[3].因此,可以认为在平衡状态下t时间内路由器建立的会话次数为泊松分布.P[n(t)=m]=e-λt(λt)m/(m!)(1) t时间缓存内的平均会话个数 n为:n=∑mi=1i P[n(t)=i]=∑mi=1e-λt(λt)i(i-1)!,(2)式中λ是会话到达流的强度.此时若设缓存区的长度为m,则t时间内不溢出的概率是:p=∑mi=1P[n(t)=i]=e-λt∑mi=1(λt)ii!.(3)由于流量为分段的平稳泊松流,因此,如果以小时为单位对其进行分段,则每个时间段上的到达流强度λi=1-24,利用(3)式,根据给定的P和λi 可以计算出t i值作为该时间段内的采样间隔.借助已完成的数据采集工具,可以收集到任何地点的网络流量情况.这为下一步的数据分析提供了丰富的数据资源以及数据间的联系等重要信息.在随后的分析工作中,将尝试分离出可能影响数据流的各个因素(包括网络主机的数量、用户的访问特性、网络通信协议算法及网络的拓扑结构).通过对现有的网络框架增加网络监测和流量分析功能,可以改善网络环境的整体安全性.参考文献[1]Cisco Systems公司.Cisco IOS交换服务.北京:电子工452 华　中　科　技　大　学　学　报(自然科学版) 第31卷业出版社,1999.[2]梁喜秋,梁　洁.Net Flow 对网络性能的影响.广州通信技术,2002,22(3):24～26[3]丁　伟,吴剑章.基于会话的网络计费管理系统.小型微型计算机系统,1998,19(1):10～13R esearch and application of net work traff ic analysis based on N etFlowMeng X uej un W u L ibi ng ShiGangAbstract :The paper designs a material network traffic analysis model after analyzing Net Flow exchange and its key characteristics.Adapting and extension are main trait of the model by providing data output gateway and IP accounting interface.At the end of the paper ,some key parameters ,such as choice of data collection site and sampling interval are discussed in detail based on network traffic model.K ey w ords :Net Flow ;data collection ;sampling intervalMeng Xuejun Lect.;School of Network Education ,Wuhan University ,Wuhan 430072,China.552增刊 孟学军等:基于Net Flow 网络流量分析的研究及应用 。

Netflow网络流量分析手册Netflow网络流量分析手册作者：聂晓亮（毛蛋哥）目录一、作者简介 (4)二、为什么会有这本书 (5)三、流量分析原理 (6)(一)原始流量分析方式 (6)(二)Netflow分析方式 (6)四、流量采样 (8)(一)在网络设备上开启Netflow功能 (8)(二)网络设备不支持Netflow (9)1.部署方式 (9)2.安装Fprobe (11)3.启动Fprobe (11)4.镜像流量至Fprobe服务器 (12)5.检测是否收到Netflow数据 (12)五、部署服务器 (13)(一)硬件需求 (13)(二)安装FreeBSD (13)(三)安装Nfsen (14)1.安装apache22 (14)2.安装php5 (14)3.安装nfsen (15)(四)安装PortTracker (15)(五)访问Nfsen (16)六、抓贼攻略 (18)(一)了解网络运行状况 (18)(二)什么协议吞了带宽 (22)(三)抓出罪魁祸首 (25)七、感谢 (30)一、作者简介本书作者聂晓亮，网名毛蛋哥。

2004年毕业于北京联合大学信息工程学院，热爱网络相关知识及摄影，机缘巧合参加了Cisco认证培训，并获得了一些成绩。

本书写于2008年10月，作者目前状态工作较为舒适，故有空闲时间完成此书。

聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。

作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。

聂晓亮（毛蛋哥）的Blog：聂晓亮（毛蛋哥）的Wiki：欢迎交流：********************二、为什么会有这本书在工作的几年当中，经常有朋友和一些网友问我一些关于流量分析的问题，诸如：●我们局域网怎么这么慢，是不是有人在下BT？●192.168.0.1也没人用，怎么网卡疯狂闪烁，它在做什么？●老板让我查查服务器为什么总是那么大流量，可我不知道从何下手。

基于NetFlow的分布式用户管理及计费系统 在数字化时代的浪潮中，网络技术如同一座巨大的信息海洋，承载着无尽的数据流。而在这波涛汹涌的海洋里，NetFlow技术犹如一艘精准的导航船，为网络流量的监控和管理提供了强有力的支持。今天，我们要探讨的，是基于NetFlow的分布式用户管理及计费系统，这是一片充满挑战与机遇的新大陆。

首先，让我们来理解一下NetFlow。NetFlow是IP网络中的一种流量统计协议，它能够对经过的网络流量进行测量和分析。想象一下，如果网络流量是一条河流，那么NetFlow就是一把尺子，能够测量这条河流的流量、速度和方向。这种技术的应用，使得网络管理员能够对网络的使用情况有一个清晰的了解，从而进行有效的管理和优化。

然而，随着网络规模的不断扩大和用户需求的多样化，传统的集中式用户管理及计费系统已经难以满足现代网络的需求。这时，分布式用户管理及计费系统应运而生，它就像是一支灵活的舰队，能够在广阔的网络海洋中自由航行，实现资源的最优分配和利用。

分布式用户管理及计费系统的核心在于“分布”。它将原本集中在单一服务器上的用户管理和计费功能分散到多个服务器上，这些服务器分布在不同的地理位置，形成一个强大的网络。这样做的好处是显而易见的：提高了系统的可靠性和稳定性；增强了数据处理能力；更重要的是，它能够根据用户的地理位置提供更加个性化的服务。

但是，要实现这样一个系统并非易事。我们需要面对的是一系列技术挑战：如何保证数据在不同服务器之间的一致性？如何处理大量的并发请求？如何确保计费的准确性和公正性？这些问题就像是海上的风浪，需要我们一一克服。

在这里，NetFlow技术发挥了关键作用。它不仅能够提供实时的网络流量数据，还能够通过分析和处理这些数据，帮助我们解决上述问题。例如，通过NetFlow数据，我们可以实现对用户行为的精确监控，从而为用户提供更加个性化的服务；同时，NetFlow数据也是进行准确计费的重要依据。

背景 随着计算机网络技术的发展和普及，网络在人们工作生活中的重要性和关键性越来越突出。对于有些部门，如银行、证券、交通管理等，甚至可以说没有网络就等于没有工作。即使是一般的公司和机关，由于逐步转向无纸化办公和办公自动化而大量采用计算机网络，这样一旦网络出了故障将会直接影响到整个公司或机关的工作。由于网络问题而导致数据丢失、工作中断的教训越来越多。但目前无论是国家、国际、行业或地方都没有一个系统的、有针对性的、具有量化评估指标的可操作性标准，以供验收、测评、设计使用，造成了建成后的局域网的质量、服务多数达不到用户要求，但用户又无法寻求保护的状况。因此，制订一个基于以太网技术的局域网系统的验收测评规范是非常紧迫和重要的。 制定意义 本标准主要根据GB/T5271.25-2000、ISO/IEC 8802.3:2000、YD/T 1141-2001等现行国家标准、国际标准和行业标准，并参考RFC2544、RFC2889的方法论，针对我国局域网系统验收的具体要求而制定。本标准把局域网作为一个系统，提出了基于传输媒体、网络设备、局域网系统性能、网络应用性能、网络管理功能、运行环境要求等方面的验收测评整体解决方案，重点描述了网络系统和网络应用、网络管理功能的技术要求及测试方法，具有工程可操作性。 本标准在实际工程中既可以为网络集成商的集成工作提供技术指导，也可以为广大用户的网络规划、验收测评、及日常维护工作提供技术依据，可达到规范局域网建设市场，提高局域网质量，保护消费者利益的目的。 适用范围 本标准从功能、传输媒体、设备、性能、网络管理功能、供电和环境等各个方面规定了局域网系统验收测评的技术要求和测试方法，提出了综合验收的测试规则。 本标准主要适用于基于以太网技术的局域网（以下简称以太网）系统的验收测试、评估测试以及日常维护中的相关测试；在某些情况下，也可用于设计、施工中的相关测试。其它类型局域网可参照执行。 主要术语及定义 局域网系统 LAN System 局域网系统是一种承载了网络应用服务，并受网络管理系统监控的、有业务支撑的管理网络。 局域网系统一般由网络设备（如交换机、路由器）、传输媒体（如双绞线、光缆）、网络管理系统、提供基本网络服务的设备四部分组成。 网络设备是局域网系统的核心部分，目前主要设备类型有：集线器、交换机、路由器、防火墙等。传输媒体主要有双绞线、光缆等。网络管理系统对整个局域网系统进行管理。提供基本网络服务的设备是保证局域网正常工作和丰富局域网功能的各种服务器，包括网络管理服务器、DHCP服务器、DNS服务器、Email服务器、Web服务器等。 根据局域网系统实际部署情况，一般都可以将其划分为核心层、汇聚层和接入层。局域网系统的通用结构如图1所示，如果有的局域网系统结构简单，可以只有一层或两层。 局域网系统通用结构示意图 标准的主要内容 总体要求 要求局域网系统具有开放性、可靠性、可扩展性及可管理性。 局域网系统的技术要求、测试方法及测试规则 --规定了局域网系统基本性能指标，包括连通性、传输速率、吞吐率、丢包率、传输延迟、广播率、错误率、线路利用率、碰撞率等，并给出相应的限值和测试方法； --规定了包括DHCP、DNS、Web、Email、文件服务等应用性能的指标要求和测试方法； --规定了包括子网划分、VLAN、 QoS、 NAT、用户接入多ISP、AAA、设备和线路备份、组播等在内的主要网络功能要求及其测试方法； --规定了网络管理功能的要求和测试方法； --规定了验收测评和日常维护测试两种测试类型，以及需要测试的项目和判据。 局域网系统性能测试工具基本要求 --用于局域网系统性能测试的测试工具，应具备以下基本功能： 1.直接网络流量监听； 2.统计网络流量； 3.网络协议分析； 4.自动网络节点和拓扑发现，能自动生成网络节点列表； 5.网络流量仿真； 6.RFC2544网络性能测试； 7.Ping和TraceRoute测试； 8.从网络设备上获取SNMP数据； 9.测试结果分析及图表打印输出。 宜具备基本网络业务仿真测试功能（如：DHCP、DNS、Web、Email、文件服务等）。 --用于局域网系统性能测试的工具，应具备以下的性能和精度要求： 1.应支持在10/100/1000M 以太网接口上的100％满线速流量产生功能； 2.应支持在10/100/1000M 以太网接口（包括全双工链路）上的100％满线速流量统计功能； 3.时间标签精度应优于10μs。 总而言之，国标的推出是一个划时代事件，具有非常重要的现实意义，这个标准为迷茫中的网络系统集成的验收指明了方向，为用户的IT投资提供了保障，为网络的实际应用水平提出了规范的参考，为性能的评估确认了评价的参数，最终是为广大用户的使用提供了基本的保障。当我们再次面对一个新的网络的时候，我们可以说"请给我一份网络验收测试报告！" 更多请访问http://www.qinglvcn.com/

Netflow实时监控需求分析一、概述Netflow是CISCO公司提出的网络数据包交换技术，该技术首先应用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流进行测量和统计。

经过多年的技术演进，NetFlow原来用于数据交换加速的功能已经逐步改由网络设备中的专用集成电路(ASIC)芯片实现，而对流经网络设备的IP Flow进行测量和统计的功能却更加成熟，并成为当今互联网领域公认的最主要的IP流量分析、统计和计费行业标准。

目前，天清汉马USG设备支持NETFLOW V9版本，并通过数据中心实现对NETFLOW数据的采集与分析。

二、3.0版本Netflow实时监控需求：天清汉马数据中心虽然支持NETFLOW的查询，但并不支持图形化显示，所有NETFLOW数据都必须通过查询显示在表格中，缺乏直观的分类和显示方式，这样的操作方式也失去了实时的效果，从实际使用效果来看，并不理想。

结合市场一些Netflow分析工具的操作方式，并根据数据中心的操作流程，建议3.0版本的实时监控部分应增加如下改进：1、增加图形显示在预定义设备组或IP组后，在点击实时流量查询时能直观的以饼图、柱状图显示相关内容，并在图形下方显示数字明细。

其中饼图可以显示各设备所占总流量的百分比（以设备组为例）柱状图则以时间为轴显示流量变化。

该页面应支持自定义设置，依照设备组、IP、安全策略及协议显示。

图形下方显示相关详细内容：总流量及平均流量默认根据颜色显示一小时内所有设备组的流量变化情况。

2、支持协议分类在Netflow实时显示中，应支持对协议的分类显示。

其中除了传统的固定端口的内容显示外，还支持对于P2P/VOIP等业务的流量显示。

3、显示CPU、内存及接口流量显示指定设备的相关接口流量，CPU、内存显示4、支持TOP N显示支持统计单位时间内的TOP N流量：如协议、源地址、目的地址、5、支持Netflow流采样模式可设置Netflow的流采样模式，根据设定的比例采集数据包。