第5章_网络流量分析

5.3.1 创建PRTG探测器（续） 探测器设置向导
15
北京万博天地网络技术股份有限公司 版权所有
5.3.1 创建PRTG探测器（续）
选择数据收集方式
SNMP Packet Sniffing NetFlow Collector Latency Monitoring Sensor Aggregation
8
北京万博天地网络技术股份有限公司 版权所有
5.2.1 NetFlow工作原理 访问NetFlow数据的方法
使用设备命令行界面（CLI）的“show”命令 将数据输出到某台可以接收并处理NetFlow数 据的服务器（NetFlow采集器 ）
• NetFlow采集器生成流量分析报告的过程
– 在设备上启用NetFlow功能监测网络流量用以生成NetFlow Cache； – 在设备上做好NetFlow输出的相关设置，例如：采集器IP 地址、端口号等； – NetFlow Cache监测到已终止或已超时的Flow条目； – 捆绑大约30至50个Flow条目，将其以UDP方式发送给采集 器； – NetFlow采集器软件生成实时或历史的流量分析报告 。
12 北京万博天地网络技术股份有限公司 版权所有
5.3
PRTG流量分析软件
Paessler Router Traffic Grapher 基于Windows平台 接收带宽和网络利用的数据
避免带宽和服务器性能瓶颈 找出哪些应用程序或服务器耗尽带宽 可以为用户交付更佳的服务质量 根据实际负荷购买带宽和硬件，从而减少成本
25
北京万博天地网络技术股份有限公司 版权所有
5.3.2 PRTG主界面
视图
标签
探测器
详细内 容
26
北京万博天地网络技术股份有限公司 版权所有
5.3.2.1
视图
Data View（数据视图）
27
北京万博天地网络技术股份有限公司 版权所有
5.3.2.1
视图（续）
Events View（事件视图）
11 北京万博天地网络技术股份有限公司 版权所有
5.2.3 在设备上察看NetFlow数据（续）
（以下是各协议的数据流分布情况） Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-WWW 71 0.0 1 40 0.1 1.3 1.2 TCP-BGP 35 0.0 1 40 0.0 1.3 1.2 TCP-other 108 0.1 1 40 0.1 1.3 1.2 UDP-other 37 0.0 1 52 0.0 0.0 15.4 ICMP 3 0.0 5 100 0.0 0.0 15.3 Total: 254 0.2 1 42 0.4 1.1 3.5 （以下是NetFlow cache） SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Et1/0 172.16.7.2 Null 224.0.0.9 11 0208 0208 1 Et1/0 172.16.10.2 Et0/0 172.16.1.84 06 0087 0087 1 Et1/0 172.16.10.2 Et0/0 172.16.1.84 06 0050 0050 1 Et1/0 172.16.10.2 Et0/0 172.16.1.85 06 0089 0089 1 Et1/0 172.16.10.2 Et0/0 172.16.1.85 06 0050 0050 1 Et1/0 172.16.10.2 Et0/0 172.16.1.86 06 00B3 00B3 1 Et1/0 172.16.10.2 Et0/0 172.16.1.86 06 0185 0185 2
5 北京万博天地网络技术股份有限公司 版权所有
5.1.2 常用的流量分析技术 基于流量镜像协议分析 基于硬件探针的监测技术 基于SNMP的流量监测技术 基于NetFlow的流量分析技术
6
北京万博天地网络技术股份有限公司 版权所有
5.2
Байду номын сангаас
NetFlow流量分析技术
Cisco公司提出的网络数据包交换技术 当今互联网领域主要的IP流量分析、统计和计费 行业标准
7
北京万博天地网络技术股份有限公司 版权所有
5.2.1 NetFlow工作原理 IP Flow的概念
启用了NetFlow的 路由器 数据流
监测报文 源IP地址 目标IP地址 源通信端口号 目标通信端口号 第三层协议类型 服务类型(TOS)字节 逻辑接口号 Flow信息
NetFlow Cache 报文数量 11000 报文长度 1528 地址/端口… …
北京万博天地网络技术股份有限公司 版权所有
5.1
网络流量分析概述
及时、准确的流量和流向分析 挖掘网络资源潜力 控制网络互联成本 为网络规划、优化调整和业务发展提供基 础依据
4
北京万博天地网络技术股份有限公司 版权所有
5.1.1 流量分析技术的应用
为网络出口互联链路的设置提供决策支持 掌握用户对互联网的访问情况 评估分支网络的成本和价值 提供重要应用统计分析 基于IP的计费应用和服务等级协议(SLA)的校验 服务 掌握网络状况 实现对网络异常通信的检测，重点防范分布式拒 绝服务(DDoS)的攻击和大范围的蠕虫病毒发作 为网络优化提供数据依据
R3#show ip cache flow （以下是报文大小分布情况） IP packet size distribution (469 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .968 .000 .031 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 （以下是Flow条目统计信息及计时器设置） IP Flow Switching Cache, 278544 bytes 7 active, 4089 inactive, 261 added 1278 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25736 bytes 1 active, 1023 inactive, 38 added, 38 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never
支持四种数据收集方式
SNMP流量统计 数据包嗅探 NetFlow（V5）流量统计 延时监测——使用ICMP ping监测某条链路或某设备的 延时情况
北京万博天地网络技术股份有限公司 版权所有
13
5.3.1 创建PRTG探测器 每个探测器对应于一台被监控的设备
14
北京万博天地网络技术股份有限公司 版权所有
9 北京万博天地网络技术股份有限公司 版权所有
5.2.2 在设备上配置NetFlow 在接口上启用NetFlow
Router(config)# interface 接口类型 接口编号 Router(config-if)# ip route-cache flow 或者 Router(config-if)# ip flow ingress（在IOS 12.2(15)T以上版本支持）
创建NetFlow探测器（续）
设置采集器相关信息
23
北京万博天地网络技术股份有限公司 版权所有
5.3.1.2
创建NetFlow探测器（续）
选取探测器使用的NetFlow采集器
24
北京万博天地网络技术股份有限公司 版权所有
5.3.1.2
创建NetFlow探测器（续）
选取过滤器以及需要监控的协议类型
第五章 网络流量分析
本章目标 了解网络流量分析的作用 了解网络流量分析的主要方法 了解NetFlow流量分析协议 掌握运用PRTG实现流量分析的方法
2
北京万博天地网络技术股份有限公司 版权所有
本章目录
5.1 网络流量分析概述
5.2 Netflow流量分析技术
5.3 PRTG流量分析软件
3
16
北京万博天地网络技术股份有限公司 版权所有
5.3.1.1
创建SNMP探测器
以SNMP轮询的方式收集 被监控设备MIB中的流量 信息 也可以监控设备的系统状 况例如CPU负载等 5个SNMP探测器类型选项
Standard Traffic Sensor SNMP Helper Sensor From OID/MIB Library Custom SNMP sensors Device Template
Sensors View（探测器视图）
探测器的详细状态信息 看不到流量图表
28
北京万博天地网络技术股份有限公司 版权所有
5.3.2.1
视图（续）
Custom View（定制视图）
29
北京万博天地网络技术股份有限公司 版权所有
5.3.2.1
视图（续）
Reports View（报告视图）
创建流量分析报告 可以定期自动生成 文件形式存储或通过电子邮件发送
Web Browser View（Web视图）
可以看到PRTG的Web界面
30
北京万博天地网络技术股份有限公司 版权所有
5.3.2.2
流量图表
Data视图和Custom视图中 可以打印曲线图 可以将流量数据表导出为Excel表格文件
31
北京万博天地网络技术股份有限公司 版权所有
5.3.3 PRTG探测器高级设置 探测器的标识 采集数据的相关参数 报警及限制设置 通信设置等
32
北京万博天地网络技术股份有限公司 版权所有
5.3.3.1
标识设置
33
北京万博天地网络技术股份有限公司 版权所有
设置探测器组的名称以及扫描周期
20
北京万博天地网络技术股份有限公司 版权所有
5.3.1.2
创建NetFlow探测器
21
北京万博天地网络技术股份有限公司 版权所有
5.3.1.2
创建NetFlow探测器（续）
设置新的NetFlow采集器
22
北京万博天地网络技术股份有限公司 版权所有
5.3.1.2
NetFlow V1——第一个实用版本 NetFlow V5——增加了对数据流BGP AS信息的支持 NetFlow V7——思科Catalyst交换机设备支持的一个 NetFlow版本 NetFlow V8——增加了网络设备对NetFlow统计数据进 行自动汇聚的功能 NetFlow V9 ——被IETF组织从5个候选方案中确定为 IPFIX（IP Flow Information Export）标准
设置NetFlow数据输出的地址
Router(config)# ip flow-export version 5（设置输出的版本格式） Router(config)# ip flow-export destination 采集器IP地址 UDP端口号
10
北京万博天地网络技术股份有限公司 版权所有
5.2.3 在设备上察看NetFlow数据
17
北京万博天地网络技术股份有限公司 版权所有
5.3.1.1
创建SNMP探测器（续）
输入设备SNMP相关信息
18
北京万博天地网络技术股份有限公司 版权所有
5.3.1.1
创建SNMP探测器（续）
选择需要监控的路由器接口
19
北京万博天地网络技术股份有限公司 版权所有
5.3.1.1
创建SNMP探测器（续）