cisco构建高性能网络的Netflow流量统计环境.

构建高性能网络的Netflow流量统计环境周昌令北京大学计算中心zclfly@pku.edu.cnNetflow简介•Netflow流量统计技术是Cisco公司提出的一项网络数据流统计标准，得到了主流厂商如Juniper、Extreme等的支持。•利用netflow技术可以监测网络上的IP流（IPflow）信息。采集到的netflow流量信息可以帮助进行网络规划，网络管理，流量计费和病毒检测等等。流记录（flowrecord）•一段时间内网络的某个观测点所通过的一系列分组（packets）。•通常我们关心的流记录分类依据由一个五元组（即源地址、目的地址、源端口、目的端口和协议类型）所组成。源地址目的地址源端口目的端口协议类型其它...分组数字节数一条流记录样本index:0xc1a21router:192.168.254.2srcIP:192.168.231.55dstIP:202.112.43.18inputifIndex:8outputifIndex:55srcport:12043dstport:80pkts:6bytes:680IPnexthop:202.112.43.20starttime:11:29:222004-6-9endtime:11:29:252004-6-9protocol:6tos:0x0srcAS:0dstAS:321srcmasklen:20dstmasklen:0TCPflags:0x1benginetype:1engineid:0Netflow体系架构网络规划流量计费Netflow数据导出－数据抓取－数据导出－数据聚集Netflow数据采集－数据采集－数据过滤－数据聚合－数据存储Netflow数据分析高性能网络环境面临的问题•大量的流量信息数据导致记录文件巨大；•统计分析无法跟上数据文件生成的速度；•统计什么信息？面临的问题1－大量的流量信息00:0002:0004:0006:0008:0010:0012:0014:0016:0018:0020:0022:0005000001000000150000020000002500000FlowsTimeFlows北京大学校园网拓扑结构复杂，设备和使用者众多，平均日常在线联网节点约12000台左右，峰值在15000台以上。同时，ftp、p2p以及流媒体等消耗带宽的应用非常普遍。面临的问题2－无法实时统计分析面临的问题3－统计何种信息？•记录类型•flows、packets、octets•协议分布•TCP、UDP、ICMP、Multicast、other……•应用分布•ftp、、email、bt、maze、telnet、dns……•TopN信息•协议比例、应用分布、流量排名……•……被动监测(PassiveMonitor)我们的解决思路•实时压缩存储•数据在内存中做cache，写入存储系统之前采用zlib压缩算法进行压缩，加上头信息，再输出到文件。•多CPU并行处理•根据流量数据文件的特点，处理前一时间段的数据进行过程中，可以另起进程处理下一时间段的数据。•快速匹配算法•PatriciaTries算法常常用于路由选择计算，具有很高的效率。•数据库与文件结合•采用高性能的Oracle数据库后台来记录归并统计结果，用RRDTool存储协议分布、流量计费等数据。构建Netflow运行环境•主干路由器配置•软件环境•Perl•Flow-tools•Cflow•FLowScan•RRDtools•PKUFlow•…配置Netflow流量数据输出(cisco)1）在相关的接口上配置(config-if)#iproute-cacheflow2）在全局配置模式下(config)#ipflow-exportversion5(config)#ipflow-exportdestinationA.B.C.Dport3）对多层交换设备，NativeIOS系统上可以这样配置（CatOS上设置有所不同，具体可以参考技术文档）：(config)#mlsndesenderversion5(config)#mlsflowipfull如果设备不支持Netflow输出，也可以有变通的方法。比如进行端口镜像（PortMirror），再用NetflowExporter这样的软件处理输出Netflow流量数据流程图Cisco6509Flow-toolsFlow-CaptureCGI-perlscripts,PHP,Java(FlowReport)FlowScan.pmflowfilesflowfilesflowfilesFlowExportsEvery5minutesWebserverCflow-moduleAnalyses&reportmodule(PKUFlow.pm)Configure(PKUFlow.xml)flowscanOracleRRDTool关键模块－PKUFlow•修改自CUFlow+JKFlow•多CPU同步计算•可以区分是否免费IP地址•可以按照进出端口(ifIndex)/子网/router等统计•……•Perl脚本＋XML配置文件•强大灵活，可重用，不限制平台•FlowGrapher图形后处理•用RRD＋GD处理•开发进度•还在进一步完善修改中…PKUFlow.pm功能模块示例PKUFLow.xml配置文件示例FlowGrapher报表生成环境某天监测结果另一天监测结果IP流量排名端口带宽占用排名