NetFlow是一種數據交換方式。Netflow提供網絡流量的會話級視圖,記錄下每個TCP/IP事務的信息。也許它不能象tcpdump那樣提供網絡流量的完整記錄,但是當彙集起來時,它更加易於管理和易讀。
工具/原料
Netflow軟體、服務器
實施流量監控的網絡設備(路由器等)
方法/步驟
一、本公司引用Netflow的背景
1.視訊會議:為何圖像拖影,聲音延遲?
2.網頁緩慢,原因為何?哪些服務佔用了大量帶寬?
3.尋求協助排查:匯出異常流量已過期?
故,如何更有效分析解決網絡瓶頸???
二、基於 NetFlow 協議的工作原理
NetFlow 協議由Cisco 公司開發,是一種實現網絡層高性能交換的技術。協議工作方式是通過網絡中的交換設備,採集所有當前經過的流數據並將其存放到自身的緩存中,然後按一定的格式發送給指定的服務器。
由於任何網絡行為或服務應用都會在網絡上留下記錄,根據所獲得的網絡層數據流分析出該數據流的來源、去向、行為方式以及一定時間內發生頻度等信息,通過和正常網絡狀況時的流量特徵進行比較,就能及時發現網絡中異常的行為。
通過對NetFlow 流量數據的服務類別分佈分析和頻度分析,從中安排合理QoS分配合理訪問速度限定,達到專線的合理利用。
三、NetFlow監控流量的建立
1 .建立的環境(根據實際需要設立環境)
硬 體:HP ML 110
軟 體:ManageEngine NetFlow Analyzer
前 提 : Router配置
端 口:NetFlow監聽端口:9966
Web服務端口:8080 (端口可適當變更)
2.實體Router配置
a、在全局模式下配置:以管理員身份登陸路由器,執行如下操作進行Netflow配置。
router#configure terminal
router(config)#ip flow-export destination 10.182.15.247 9966
router(config)#ip flow-export source loopback 0
router(config)#ip flow-export version 5
router(config)#ip flow-cache timeout active 1
router(config)#snmp-server ifindex persist
b、在端口配置模式下配置
router#configure terminal
router(config)#interface FastEthernet 0/0
router(config-if)#ip route-cache flow
router(config-if)#exit
c.驗證命令
show ip flow export 顯示當前Netflow的配置。
show ip cache verbose flow 顯示當前活動數據流概要,設備輸出了多少Netflow數據。
3.監控系統的概覽
訪問地址與先前配置的地址相同:
四、對流量進行統計分析
a.圖1為針對應用服務流入分析,圖2為詳細應用服務明細;
b.圖3、4為針對應用服務流出分析;
c.圖5、6針對來源IP流入進行異常分析;
d.圖7、8針對來源IP流出進行異常分析;
e.圖9、10針對目的IP流入/流出流量進行異常分析 。
五、分析總結
1.縱觀專線監控:流入量>流出量,重點監控流入量對專線造成的影響。2分析步驟: a.異常處理:重點分析應用服務實時所產生的流量,針對明細排查。 b.對各類流量前10位用戶,重點了解流量產生的原因,並總結改善。 c.針對特殊網絡服務,如Lotusnote需要比對正常網絡狀態數據,總結及分析原因。
通過各異常處理,分析:a.調整http應用:管控上班時間對非工作網站的訪問。b.管控ftp應用:將ftp應用及透過proxy等產生的帶寬共同享有64K。c.配合視訊會議高品質要求,及時有效監控專線狀態。
注意事項
1.按實際需求建立NetFlow環境配置;
2.設置環境端口時務必注意:如有防火牆,需開啟相應端口;
3.根據公司具體情況進行相應配置信息。