【51CTO.com 原創】目前企業網絡中,企業内部網絡基本以萬兆、千兆主幹,千兆、百兆桌面的網絡,Internet出口10M至100M以上,多ISP的連接配接,随着企業網絡的擴大,如果提供一套有效的網絡運維管理,管理好網絡以及相關應用,成為企業資訊化建設的重中之重,企業網絡中,對流量的分析又顯得特别重要,目前流量管理系統比較多,有基于硬體的流控管理,有基于Netflow的流量管理的軟硬體,相關系統各有所長,總體上都是分析網絡中流量使用情況,是否有異常等,本次試用Fluke的Netflow Tracker,基于軟體的一套流量管理軟體。
本次試用的軟體安裝在企業内部一台伺服器,對一台Cisco的2811路由器的流量進行分析,該2811路由器是企業連接配接一台分支機構,租用的是4M鍊路,路由器上啟用的兩個以太口。
1.1 了解Netflow
在安裝前Netflow Tracker,了解了一下網站上的Netflow Tracker的手冊,首先了解一下Netflow,Netflow是網絡裝置中提取的單向流,現有的版本有V1、V5、V7、V8、V9,在12.4版本的路由器上,支援V1、V5和V9:
Netflow V1,為Netflow技術的第一個實用版本。支援IOS 11.1,11.2,11.3和12.0,但在如今的實際網絡環境中已經不建議使用。
Netflow V5,增加了對資料流BGP AS資訊的支援,是目前主要的實際應用版本。支援IOS 11.1CA和12.0及其後續IOS版本。
Netflow V9,一種全新的靈活和可擴充的Netflow資料輸出格式,采用了基于模闆(Template)的統計資料輸出。友善添加需要輸出的資料域和支援多種Netflow新功能,如Multicase Netflow,MPLS Aware Netflow,BGP Next Hop V9,Netflow for IPv6等。支援IOS12.0(24)S和12.3T及其後續IOS版本。
1.2關于IPFIX
IPFIX(IP Flow Information Export,IP流動資訊輸出)是IETF的技術人員2004年才制訂的一項規範,使得網絡中流量統計資訊的格式趨于标準化。該協定工作于任何廠商的路 由器和管理系統平台之上,并用于輸出基于路由器的流量統計資訊。
IPFIX定義的格式為Cisco的NetFlow Version 9資料輸出格式作為基礎,可使IP流量資訊從一個輸出器(路由器或交換機)傳送到另一個收集器。因為IPFIX具有很強的可擴充性,是以網絡管理者們可以 自由地添加或更改域(特定的參數和協定),以便更友善地監控IP流量資訊。使用模闆的友善之處在于網管和廠商不必為了使用者能夠檢視流量統計資訊,而每次都要更換軟體。
2 路由器配置
路由配置上很簡單,不過如果參照51CTO網站上的配置有點問題,ip flow-export destination 的後面需要添加NETFLOW TRACKER的伺服器的IP位址和NETFLOW TRACKER伺服器監聽端口的,網站上少了監聽端口,軟體推薦的配置為2055端口,我的配置為9999;配置的路由器使用到的是兩個以太口,取源為實體接口,如果是多個接口的路由器或交換機的話,應該配置為Loopback接口,配置如下:
|
這裡了解一下在Cisco路由器接口下配置Netflow釋出的三指令,IOS11.1 接入ip route-cache flow,該指令開啟Netflow,計算收到的流量;12.2(15)T 版本引入 ip flow ingress,這個指令和ip route-cache flow效果一樣,12.3(11)T版本引入ip flow engress,接收出的流量,從這三個指令分析後,比較好了解安裝手冊中提到各個版本的配置差異;同時也明白Netflow的流是單向的。
3 NETFLOW TRACKER 軟體安裝與配置:
軟體的安裝很簡單,資料庫及WEB Server的設定全部自動設定好,安裝過程中提示WEB管理的Https端口,通過檢查,如果預設的端被占用,建議修改為其他的端口即可,我在安裝測試不是一台幹淨伺服器,設定的端口為8081,管理時輸入https://localhost:8081,安裝軟體完畢後,基本無需設定即可收集到路由器的流量;在路由器配置時,配置了監聽端口為9999,需要在安裝完畢後,設定監聽端口,從“主菜單->設定->監聽端口”頁面上添加,如圖一,如果配置多台裝置,可以為不同的路由器(交換機)配置多個監聽端口。
 |
| 圖一:監聽端口配置 |
4 NETFLOW TRACKER的報表分析使用
4.1流量的分析
安裝完畢過幾分鐘後,NETFLOW TRACKER就已經接收到資料,啟動界面後,預設啟動的為最繁忙的裝置,本次使用就配置一台裝置,圖二顯示的該裝置的實時流量。
 |
| 圖二:Netflow采集裝置的實施流量 |
同時也顯示該裝置的各個端口的流量情況,報表清晰,一目了然。如圖三。
| |
| 圖三:采集裝置各端口的流量。 |
可以通過位址和會話分析,得到相關的流量以及流量的排名情況,從分析中也能得到目前通過該路由器的主要的應用系統以及應用系統的使用情況。
| |
| 圖四:網絡中位址對流量及相關協定分布 |
4.2 異常流量的分析
實用的源位址釋出報表,通過源位址釋出分析,能快速準确定位,目前網絡中是否存在蠕蟲病毒、DOS(DDOS)、網絡掃描等,報告可以從裝置的餅圖快捷進入,如圖五。
| |
| 圖五:快捷進入實施報表 |
通過源位址的排名,如圖五,可以分析經過企業網設定的位址段源位址釋出的情況,通過相關的網管軟體,後直接通過交換機的端口分析,定位出現異常的電腦,進而排查病毒、掃描、DDOS等問題。
| |
| 圖六:源位址分發排名 |
4.3 曆史資料分析
可以通過系統提供的遠期報告,檢視遠期的曆史資料,這點很有用,以試用的路由器端口的遠期資料分析,從圖七中我們可以看出,該路由器的實體接口的流量基本再2M以内,企業租用的鍊路為4M,從資料上看,近期無需對線路進行擴容,通過提供的報告格式,可以作為企業網管的周報、月報等。
同時可以設定好基準線、告警、告警閥值等,可以得到網絡異常告警,可以通過其他的報表,分析問題所在。
| |
| 圖七:端口的曆史資料(可報表) |
| |
| 圖八:端口速率曆史資料 |
5 試用總結
基于Netflow下分析軟硬體比較多,相對于硬體而言,Netflow Tracker作為軟體,在安裝和使用時,很容易得手,本次試用大約為1周時間,操作起來還是比較順手,有些菜單等設定可能不太适合正常的設定方式,熟悉系統後,還是容易得手的。部署也很簡單。無需過多網絡進行過多的修改,同時軟體的投入成本也低于硬體。
軟體提供大量的報表供網絡管理者分析網絡,試用的路由器由于為分支路由器,資料量小,分析了典型的幾個報表,可以通過另外的設定,比如設定基準線、設定告警觸發等等完善報表,使之成為網絡管理的利器。
【責任編輯:王曼伊 TEL:(010)68476606
From: http://expert.51cto.com/art/200811/98029_2.htm