網絡流量分析利器-可視化網絡-netflow【1】-基礎原理

網絡流量分析利器-可視化網絡-netflow【1】-基礎原理
網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工做原理介紹及配置
網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別
網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介
網絡流量分析利器-可視化網絡-netflow【5】-linux下數據採集器fprobe
網絡流量分析利器-可視化網絡-netflow【6】-生產網流量監控架構設計
fprobe參數 -e
fprobe參數 -n -k

需求

你可能想看到這樣的流量分析：

可是你用成熟的第三方工具可能只能的到這樣的效果：

現有的snmp協議能夠獲取交換機的接口流量，咱們能夠利用成熟的工具zabbix或者openflacon，可是此數據只是接口進出總流量，並不能具體體現A虛擬機和B虛擬機的互訪的流量大小，這個問題嚴重影響了成本覈算和安全監控等問題，若是能準確得到流量大小，就能進行跟多的分析和研究，netflow協議就能完美解決此問題。

netflow歷史

NetFlow是思科公司做爲一項專有技術最早開始研發的。目前最普遍應用的是V5，V7和V9版本，支持NetFlow的廠商包括Cisco、Juniper等。

Netflow技術最先是於1996年由思科公司的Darren Kerr和Barry Bruins發明的，並於同年5月註冊爲美國專利，專利號爲6,243,667。Netflow技術首先被用於網絡設備對數據交換進行加速，並可同步實現對高速轉發的IP數據流(Flow)進行測量和統計。通過多年的技術演進，Netflow原來用於數據交換加速的功能已經逐步由網絡設備中的專用ASIC芯片實現，而對流經網絡設備的IP數據流進行測量和統計的功能也已更加成熟，併成爲了當今互聯網領域公認的最主要的IP/MPLS流量分析，統計和計費行業標準。Netflow技術能對IP/MPLS網絡的通訊流量進行詳細的行爲模式分析和計量，並提供網絡運行的詳細統計數據。
在Netflow技術的演進過程當中，思科公司一共開發出了5個主要的實用版本，即：

• Netflow V1，爲Netflow技術的第一個實用版本。支持IOS 11.1，11.2，11.3和12.0，但在現在的實際網絡環境中已經不建議使用。
• Netflow V5，增長了對數據流BGP AS信息的支持，是當前主要的實際應用版本。支持IOS 11.1CA和12.0及其後續IOS版本。
• Netflow V7，思科Catalyst交換機設備支持的一個Netflow版本，須要利用交換機的MLS或CEF處理引擎。
• Netflow V8，增長了網絡設備對Netflow統計數據進行自動匯聚的功能（共支持11種數據匯聚模式），能夠大大下降對數據輸出的帶寬需求。支持IOS12.0(3)T，12.0(3)S，12.1及其後續IOS版本。
• Netflow V9，一種全新的靈活和可擴展的Netflow數據輸出格式，採用了基於模板（Template）的統計數據輸出。方便添加須要輸出的數據域和支持多種Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其後續IOS版本。在2003年思科公司的Netflow V9還被IETF組織從5個候選方案中肯定爲IPFIX（IP Flow Information Export）標準。

netflow原理

被監控的交換機，將端口進方向的數據包進行分析，把相關信息（源地址，目的地址，源端口，目的端口，協議，包大小等信息）放進NetFlow包中，發到收集器（netflow collector）中，這個處理過程將消耗被監控設備的cpu和內存。收集器（監控軟件，都是第三方的）將數據進行整理，呈現報表。

優勢

• 相比較snmp我能看到四層如下的數據，更清晰的洞察網絡流量走向。
• 相比較鏡像，netflow數據使用更少的存儲空間。
• 能夠進行深度分析，好比排查***者行爲，統計公網使用量，快速定位專線使用大戶，甚至能夠自動化下發策略。

缺點

• 沒有現成的第三方工具進行分析，須要本身二次開發。(後續解決)
• 相對於snmp，須要更大的空間進行存儲
• 須要交換機支持或者使用linux鏡像服務器