DPI的先驱(思科IOS NetFlow的简介 - 技术概览)

etFlow是思科IOS软件内嵌入网络操作仪器的特点。 进入网络可视性是IT专业人士不可或缺的工具。 以应对新的要求和压力，网络运营商正在寻找它的关键是了解网络行为包括：

•应用程序和网络使用情况

•网络生产力和网络资源利用率

•变化的影响到网络

•网络异常和安全漏洞

•长期遵约问题

思科IOS NetFlow的满足这些需求，创造一种环境，让管理员工具来了解谁，什么，何时，何地以及如何进行网络流量流动。 当网络行为很容易理解，将改进和业务流程的网络是如何利用审计跟踪可用。 这增加的意识减少了停电的有关网络的脆弱性，并允许网络的有效运作。 改进网络运营成本降低，更好地利用网络基础设施的驱动器更高的商业收入。

企业严重依赖于思科IOS NetFlow的，以满足他们的业务目标，包括思科的那样：“作为融合网络和IP电话越来越普及，有能力来表征网络流量都用于容量规划和异常检测，将变得更加至关重要的。“ 罗兰多宾斯，思科IT网络工程师。

了解更多有关如何使用NetFlow思科IT：

•NetFlow的使网络管理人员的流动对网络应用的详细视图http://www.cisco.com/application/pdf/en/us/guest/products/ps6601/c1042/cdccont_0900aecd80311fc2.pdf

本白皮书说明了NetFlow的重要性，并演示了如何可以通过NetFlow的企业，小型和中小型企业（SMB）和渠道合作伙伴来满足关键网络的挑战。 它是如何工作和生产的NetFlow数据和报表解决方案的基本概述。

日益重要的网络意识

传统的SNMP性能监测

传统的客户依赖于简单网络管理协议（SNMP）的几乎全部用来监视带宽。 虽然SNMP的促进能力规划，但并不能交通应用的特点和模式，以及如何理解网络支持的业务至关重要。 带宽是一个如何使用更精细的了解是非常重要的今天在IP网络。 包和字节计数器接口有用，但了解哪些IP地址的来源和目的地的交通和正在生成的应用程序的交通是非常宝贵的。

基于NetFlow的网络意识

的能力，并了解IP通信的特点以及它如何为流动网络的可用性，性能和故障排除的关键。 IP流量监测有助于更准确地流容量规划，并确保资源用在适当的组织目标的支持。 它可以帮助它确定在何处申请的服务质量（QoS）和优化资源的使用情况和它在网络安全的重要作用，检测拒绝服务（DoS）攻击，网络传播的蠕虫等不良网络事件。

NetFlow的解决方案，以促进许多IT专业人士所共同遇到的问题。

• 分析新的应用程序及其网络的影响

确定新的应用程序，如VoIP或远程站点增加网络负载。

• 减少WAN流量高峰

使用NetFlow统计数据来衡量，从广域网应用的政策改变交通的改善;明白谁是利用网络和网络上的讲演者。

• 了解网络故障排除和痛点

诊断速度较慢的网络性能，带宽和带宽利用率猪用命令行界面或报表工具迅速。

• 检测未经授权的广域网流量

通过识别应用程序造成拥塞避免昂贵的升级。

• 安全和异常检测

NetFlow的异常，可用于检测和诊断，如蠕虫思科铯沿火星应用。

• 验证QoS参数

确认适当的带宽已分配到各服务等级（CoS）类，也没有COS是过高或过低认购。

如何给你的NetFlow网络信息？

什么是IP流量？

内的每个路由器或交换机转发数据包进行检查的IP数据包的属性。 这些属性是IP数据包的身份或指纹，并确定该数据包，如果包是唯一的或类似的其他数据包。

传统上，基于IP流的5集，长达7 IP数据包的属性。

IP数据包的属性使用NetFlow的：

•IP源地址

•IP目的地址

•源端口

•目标端口

•第三层协议类型

•服务级别

•路由器或交换机接口

具有相同的源/目的IP地址，源/目的端口，协议接口和服务类的所有数据包组成一个流，然后包和字节相吻合。 这种指纹或确定一个流动的方法，可扩展性，因为网络信息的大量成简明的NetFlow信息的数据库称为NetFlow的缓存。

图1。 创建一个缓存流量的NetFlow

这个流程的信息是非常有用的理解网络行为

•源地址允许谁是原交通理解

•目标地址告诉谁接收交通

•港口特点的应用，利用交通

•服务类通过检查的交通优先

•设备接口流量讲述如何被使用的网络设备

•显示的比赛中得到的数据包和字节的通信量

更多信息添加到一个流程包括

•流量时间戳来理解一个流动的生活;时间戳是计算每秒有用的数据包和字节

•下一跳IP地址，包括BGP路由自治系统（AS）

•子网的源和目标地址掩码计算前缀

•TCP标记的TCP握手审查

如何通过的NetFlow产生的数据？

主要有两种方法来访问NetFlow数据：命令行界面（CLI）与show命令或使用申请报告工具。 如果你是在什么是您的网络情况立即查看感兴趣，CLI可以使用。 NetFlow的CLI是非常有用的故障排除。

另一个选择是导出的NetFlow到报告服务器或什么是所谓的“NetFlow收集器”。 的NetFlow收集器的组装和理解出口或累计流量，并结合他们生产的交通和安全分析中使用的有价值的报告工作。 NetFlow的出口，不像SNMP轮询，推动信息定期报告的NetFlow收集器。 在一般情况下，不断的NetFlow高速缓存充填流动和路由器或交换机搜索该终止或过期，这些流动远销NetFlow的流量采集服务器缓存软件。 流量是网络通信时终止已结束（即：一包包含TCP FIN标志）。 下面的步骤是用来实现报告NetFlow数据：

•NetFlow是配置为捕获流向的NetFlow高速缓存

•NetFlow导出配置为发送流向集电极

•的NetFlow高速缓存是针对已经终止，这些都是出口到服务器流量的NetFlow收集器搜索

•大约30到50流量在UDP格式捆绑在一起，通常运到的NetFlow收集器服务器

•软件创建的NetFlow收集器的实时或历史报告的数据

如何确定路由器或交换机流到出口对NetFlow收集器服务器？

甲流是准备出口时，在一定时间内处于非活动状态（即：没有新收到的数据包的流量），或如果流量是长寿命（活动），持续活跃计时器比更大（即：长FTP下载） 。 此外，流动准备出口时，一个TCP标志指示流量终止（即芬兰，RST标志）。 他们是计时器，以确定是否流处于非活动状态或如果是长期居住和流动，为无效流量计时器默认为15秒计时器和活动流为30分钟。 所有出口定时器的默认配置，但在大多数情况下使用，除了在Cisco Catalyst 6500系列交换机平台。 收集器可以结合流量和总流量。 例如，一个FTP下载，持续时间超过了积极的定时器可能被分解成多个流动和收藏家可以结合在一天的特定时间，显示这些流量总流量的FTP服务器。

什么是出口数据格式？

有出口各种格式的数据包，这些通常被称为出口版本。出口版本是有据可查的格式，包括版本5，第7和9。 最常见的格式使用的是版本5，但出口的NetFlow版本9是最新的格式，并已和组播流量分析的优势，一些关键技术，如安全。 要了解更多有关出口版本，并阅读有关的NetFlow技术的详细讨论，请参阅NetFlow服务和解决方案指南： http://www.cisco.com/en/US/products/sw/netmgtsw/ps1964/products_implementation_design_guide09186a00800d6a11.html

下面的图2是该数据在一个可用的NetFlow高速缓存的例子。

图2。 示例的NetFlow高速缓存

在哪里可以NetFlow的期间实施的网络？

NetFlow是典型的中心站点上使用，因为所有的远程站点交通的特点，是在现有的NetFlow。 NetFlow是部署的地方可能取决于该位置和报表解决方案的网络拓扑结构的位置。 如果该报告收集服务器位于市中心，然后实施到报告的NetFlow收集器关闭服务器是最佳的。 也可以启用的NetFlow在与远程分支机构的理解，出口数据将利用带宽。 约1-5％的流量开关是用于出口到收集服务器。

图3。 NetFlow导出到一个收藏家

几乎所有的思科设备的支持，因为它在思科IOS软件11.1介绍NetFlow和火车正因为如此，NetFlow是最有可能可以在网络中的任何设备。

表1。 NetFlow的Cisco设备支持列表最新

设备	支持
思科800，1700，2600	是的
思科1800，2800，3800	是的
思科4500	是的
思科6500	是的
Cisco7200，7300，7500	是的
思科7600	是的
思科10000，12000，CRS - 1的	是的
思科2900，3500，3660，3750