Netstream/Netflow/IPFIX/SFLOW区别
netstream,Netflow和IPFIX属于一类的技术,netstream,IPFIX与Netflow的区别在于某些字段,由于作者只想了解各个Flow技术的差异,并没有对各个协议做详细分析,在此不列netstream,IPFix和netflow的具体差异,值得说明的一点是NetFlow是由Cisco公司发明,目前有V5、V8、V9三种版本,最常用是V5版本,V8版本一般用于计费功能。V9加入了IPV6, MPLS等的统计功能。NetStream是华为公司提出的,与NetFlow技术的原理类似,但在实现机制上增加了出方向流统计功能(NetFlow只支持入方向的流统计)。
NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。Netflow由Cisco创造。 工作原理:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。NetFlow有两个核心的组件:NetFlow缓存,存储IP流信息;NetFlow的数据导出或传输机制,NetFlow利用此机制将数据发送到网络管理采集器。
概念:一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。 确定Flow的标识:SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface
数据采集格式
NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式,下例为NFC2.0采集的一种流量数据实例,本文的分析都基于这种格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1 数据中各字段的含义如下: 源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
• NetFlow v1
– Original, no longer used
• NetFlow v5
– Most commonly used today
• NetFlow v7
– Specific to Cisco switches
• NetFlow v8
– Aggregated NetFlow
• NetFlow v9
– Basis for IPFIX
NetFlow是思科私有实现,华为对应的是NetStream。
IETF基于NetFlow V9发展出了IPFIX。
NetFlow与SNMP的不同
无论是MIB还是后来的RMON,SNMP所针对的信息一般都围绕网元设备展开,如Interface吞吐率、接收到的坏帧数量、CPU/RAM利用率等。而NetFlow正如同它的名字一样,其所关注的重点在于网络链路上所传输流量的特征信息,并且这些信息能够更直接的反映出当前网络上业务行为分布以及合同客户此时所得到的真实的服务质量水平。
NetFlow与SNMP的主要差异可以从以下几点得到说明:
NetFlow关注流量特征,SNMP关注设备状态;
NetFlow直接围绕Session会话连接进行数据提取,而SNMP则以物理接口为基本单位进行数据统计;
从Agent角度来看,NetFlow采用数据主动推送技术,SNMP则主要采取被动轮询机制;
NetFlow数据信息更为丰富、描述能力更强;
NetFlow支持抽样操作,具备良好的扩展弹性,能够更好适应高端网络实际需求;
SNMP功能通常随着设备销售而免费提供,而在很多现有设备中,NetFlow作为增值功能则需要额外购买许可License或特定软件包。
因此,在网络流量测量及分析系统中,如异常流量分析系统,NetFlow已经成为一个重要的数据提取方式,
为高端网络骨干链路的实时流量采集
分析提供高效、准确的数据摘要提取服务,是网络流量分析阵营不可或缺的基础技术。
限制条件 需要网络设备对NetFlow的支持,需要分析NetFlow数据的工具软件,需要网络管理员准确区分正常流量数据和异常流量数据等。
挑战者SFlow
同NetFlow一样,sFlow是一种向采集器发送报告的推送技术。所不同的是,NetFlow是一种基于软件的技术,而sFlow则采用内置在硬件中的专用芯片。这种做法消除了路由器或交换机的CPU和内存的负担。 sFlow系统的基本原理为:分布在网络不同位置的sFlow代理把sFlow数据报源源不断地传送给中央sFlow采集器,采集器对sFlow数据报进行分析并生成丰富的、实时的、全网范围的传输流视图。 sFlow是一种纯数据包采样技术,即每一个被采样的X包的长度被记录下来,而大部分的包则被丢弃,只留下样本被传送给采集器。由于这项技术是基于样本的,如果没有复杂的算法来尝试推测准确的会话字节量,那么几乎不可能获得每台主机流量100%的准确值。在使用这项技术时,交换机每隔100个数据包(可配置)对每个接口采一次样,然后将它传送给采集器。sFlow的规格也支持1比1的采样率,即对每一个数据包都进行“采样”。对数据包最大采样频率的限制取决于具体的芯片厂商和sFlow实现情况。 NetFlow更多的是在路由器上得到支持,而sFlow则在交换机上更加流行。两者都是开放标准,但在非常大的流量传输环境中,sFlow采样架构可能要优于NetFlows汇集方式。
其他Flow
Flow名称 | 代表厂商 | 主要版本 | 备注 |
NetFlow | Cisco | V1、V5、V7、V8、V9 | 应用最广 |
CFlowd | Juniper | V5、V8 | 厂商跟进力度不高 |
sFlow | Foundry、HP、Alcatel、NEC、Extreme等 | V4、V5 | 实时性较强,具备突出的第二~七层信息描述能力 |
NetStream | 华为 | V5、V8、V9 | 与NetFlow较为类似 |
IPFIX | IETF标准规范 | RFC 3917 | 以NetFlow V9为蓝本 |
- 点赞
- 收藏
- 关注作者
评论(0)