摘要:许多企业的网络流量监控已经演化成为了先进的网络流量分析报告需求。过去十多年,网络流量分析工具出具数据报告,按照多数企业的需要进行流量分析和计费。采用网络流量分析工具第五版本的元素,供应商已经开发出了新的产品,来帮助企业完成以下三大主要功能: |
·在自己的网络上进行顶级应用程序、主机、协议、接口、子网等相关报告
·检测病毒入侵和其他有害的行为
·为客户提供准确的IP流量计数发票
·传统的网络流量分析报告
今天,有数十家公司提供网络流量报告、分析及计费系统服务。该技术已经历了多次修改,但似乎传统的七元组仍然在关键领域被广泛使用,甚至有可能十年之后,传统的思科七元组仍将被用于以下方面:
1、源IP地址
2、目的IP地址
3、UDP或TCP源端口,或其他0协议
4、其他协议目的端口为UDP或TCP,类型和代码为ICMP,或其他0协议
5、IP协议
6、入口介面(简单网络管理协议)
7、IP服务类型
上述七个重点领域共享聚合成一个单一的流,字节和数据包总额。然而,上述结果存在明显的局限性缺点,通过这个架构获得的宝贵见解催生了价值几百亿美元的行业。现在,十年过去了,这个市场也开始走向成熟。
先进的网络流量报告
鉴于大多数客户的网络流量知识的局限性,现如今,更多细节的需求日渐增加。这一点和硬件供应商的愿望相结合,带来了下一代新兴的网络流量。为了满足这种新需求,思科的NetFlow 第九版本开发扩展了新的数据包的详细信息,如VoIP抖动(Jitter)、丢包(Packet loss)、网址等,使用NetFlow 第九版本,不仅可能获得新的元素,用于聚合包(即元组),还可以很容易地定义,以满足最终用户的需求。
思科在过去的几年里出售的许多路由器都可以进行升级,以支持这些新技术。当启用时,中央处理器的影响可以增强高达百分之二十五。对于那些网络监控预算有限的企业来说,选择翻新的思科硬件不失为一种很好的选择。这就需要网络管理员熟悉建立灵活的网络流量。
IPFIX报告
显然,当使用较短的元组时,报告的细节是比较少的。但是,灵活的NetFlow第九版本允许其能够满足每一家企业的个性化需求。由此诞生了一个新的名字“灵活的网络流量”,实际上是NetFlow 第九版本的延伸,而不是一个新的版本。
尽管思科网络流量工具能够与其他供应商的产品互相兼容操作,但NetFlow第九版本的局限性限制了其他供应商输出新元素的流量模式。这促使思科推荐采用NetFlow第九版本主要是用于标准互联网协议流信息输出(IPFIX)。这样,当一个路由器、交换机或其他硬件要求支持简单网络管理协议,许多消费者均希望支持MIB2。
MIB2的细节,包括sysName、sysUpTime和sysContact。几乎所有的供应商均支持简单网络管理协议。每家供应商的硬件配置细节是不同的,不仅存在于MIB2,而且包括企业的MIB存储。同样的情形也发生在每家供应商均支持不同的NetFlow或IPFIX。类似的还有简单网络管理协议,IPFIX允许诸如MIB2之类的所有供应商必须由相同格式导出的共同元素。其还允许诸如SonicWALL这样的输出额外元素,如网址、性能指标、安全威胁的信息、数据包捕获来电显示等。
需要额外的“新”信息元素输出流是源于许多不同的因素,包括:
网络流量管理员要观察流量性质的改变(如智能手机、虚拟专用网、广域网的压缩、多重播送)
现在的应用程序共享相同的端口(如TCP端口80)和驱动硬件进行深度包检测(如思科NBAR)以确定实际应用程序如BitTorrent、Webex、Skype等等。
有限的NetFlow第五版本不包括抖动细节、TCP延迟或丢包时,解决性能问题
下一代流量输出的竞争将改变流量输出和流量报告工具,因为其不再仅仅只是支持NetFlow或IPFIX。当今领先的流量供应商可以采用新兴技术,使流量和安全管理更加容易,如智能手机,VPN和VoIP等。
本文作者迈克尔·帕特森是Plixer International, Inc.公司联合创始人、首席执行官兼Scrutinizer网络流量分析工具的产品经理。
责任编辑:yayo