网络流量统计技术
一、netstream
“NetStream
NetStream技术应用背景Internet的高速发展为用户提供了更高的带宽,支持的业务和应用日渐增多,传统流量统计如SNMP、端口镜像等,由于统计流量方式不灵活或是需要投资专用服务器成本高等原因,无法满足对网络进行更细致的管理,需要一种新技术来更好的支持网络流量统计。
NetStream技术是一种基于网络流信息的统计技术,可以对网络中的业务流量情况进行统计和分析。在网络的接入层、汇聚层、核心层上,都可以通过部署NetStream。
NetStream技术的应用有以下几种。
l 计费:NetStream为基于资源(如线路、带宽、时段等)占用情况的计费提供了精细的数据。Internet服务提供商可以利用这些信息来实行灵活的计费策略,如基于时间、带宽、应用、服务质量等。企业客户可以使用这些信息计算部门费用或分配成本,以便有效利用资源。
l 网络规划:NetStream可以为网络管理工具提供关键信息,比如各个AS域之间的网络流量情况,以便优化网络设计和规划,实现以最小的网络运营成本达到最佳的网络性能和可靠性。
l 网络监控:通过在出口部署NetStream,对连接Internet网络的接口进行实时的流量监控,可以分析各种业务占用出口带宽的情况。网管人员可以根据这些信息判断网络的运行情况,尽早发现不合理的网络结构或是网络中的性能瓶颈,方便网管人员规划和分配网络资源。
l 用户监控和分析:通过NetStream技术可以使网络管理者轻松获取用户使用网络和应用资源的详细情况,进而用于高效地规划以及分配网络资源,并保障网络的安全运行。
NetStream简介
NetStream流定义
NetStream是一项基于“流”来提供报文统计的技术。NetStream支持二层报文、IP报文(UDP、TCP、ICMP报文)和MPLS报文的统计。
l 对于IPv4报文,IPv4 NetStream会根据IPv4报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS(Type of Service,服务类型)、输入接口或输出接口来定义流,相同的七元组标识为同一条流。
l 对于IPv6报文,IPv6 NetStream会根据IPv6报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、流量分类、流标签、输入接口或输出接口来定义流,相同的七元组标识为同一条流。
l 对于MPLS报文,可以统计MPLS报文内的IPv4/IPv6(6PE情况下)信息。如果统计IP信息,此时会根据MPLS标签栈和IP信息共同确定一条流。”
NetStream流
NetStream是一项基于“流”来提供报文统计的技术,NetStream流就是IP报文(UDP、TCP、ICMP报文)。
- 对于IPv4报文,IPv4 NetStream会根据IPv4报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、服务类型ToS(Type of Service)、输入接口或输出接口来定义流,相同的七元组标识为同一条流。
转载自:http://www.h3c.com/CN/D_200905/634610_30003_0.htm#_Toc245285341
二、sFlow
参见网络管理和监控配置指导-整本手册》sFlow部分。
sFlow的简单介绍百度百科
1、定义:
sFlow是Sampled Flow的简称,由Inmon提出,是一种用于监控数据网络上交换机或者路由器流量转发状况的技术。
sFlow系统包括若干sFlow Agent(内嵌于交换机或者路由器等转发设备)以及一个核心的sFlow Collector。sFlow Agent通过特定的采样技术获取网络设备上的流量转发统计并实时地通过sFlow数据报文发送到Collector以供Collector进行分析,通过生成流量视图或者报表的形式,帮助网络管理员更加有效地管理整个站点(通常是企业级站点)的网络流量。
2、原理:
图8-1 sFlow报文格式
sFlow的两种采样
sFlow Agent提供了两种采样方式供用户从不同的角度分析网络流量状况,分别为Flow采样以及Counter采样。
Flow采样
Flow采样是sFlow Agent设备在指定端口上按照特定的采样方向和采样比对报文进行采样分析,并将分析的结果通过sFlow报文发送到Collector设备的过程。Flow采样报文中的主要信息如表8-2所示。
Flow采样是针对接口上报文的采样方式,报文的采样主要由两种方式:固定采样方式和随机采样方式。固定采样方式是在设备上启用一个计数器,采样比为1/N时,初时计数器值为N ,接口每处理一个报文计数,记数器计数减一,当计数器减到0时,采样当前的报文,重置计数器的计数为N,重复前面的处理;随机采样方式是指针对每一个接口处理的报文给一个随机值(假定随机数的取值范围为0~N),设置一个阈值n(n ∈ [0,N]),当报文的随机值小于这个阈值时,报文采样,这样实际的采样比为n/(N+1)。从统计角度来说,随机采样方式采集的样本更加能够体现整个样本空间的情况,因此目前主要采用的采样方式为随机采样方式。
表8-2 Flow采样报文中主要字段信息说明(交换机支持)
字段内容 |
说明 |
---|---|
Raw packet |
截取原始报文全部或者一部分报文头(具体截取多长的长度由配置决定),将这部分原始报文封装到sFlow报文中发送给Collector。 |
Ethernet Frame Data |
针对Ethernet报文,解析报文的Ethernet头信息,将解析数据封装到sFlow报文中发送给Collector。 |
IPV4 Data |
针对IPV4报文,解析报文的IPV4头信息,将解析数据封装到sFlow报文中发送给Collector。 |
IPV6 Data |
针对IPV6报文,解析报文的IPV6头信息,将解析数据封装到sFlow报文中发送给Collector。 |
Extended Switch Data |
针对二层转发的Ethernet报文,记录报文的vlan转换以及vlan优先级的转换,将转发信息封装到sFlow报文中发送给Collector。 vlan Id为0时表示无效vlan。 |
Counter采样
Counter采样是sFlow Agent设备周期性的获取接口上的流量统计,并将这些统计信息通过sFlow报文发送给Collector设备的过程。Counter采样报文中的主要信息如表8-3所示。
表8-3 Counter采样报文中主要字段信息说明
字段内容 |
说明 |
---|---|
Generic Interface Counters |
通用接口统计信息,包括接口的基本信息,通用的接口流量统计。 |
Ethernet Interface Counters |
针对于Ethernet接口,用于统计Ethernet相关的流量统计信息。 |
Token Ring Counters |
用于令牌环网,用于统计令牌环网相关流量统计信息。 |
100 Base VG Interface Counters |
应用于IEEE 802.12接口,用于统计该类接口的流量统计信息。 |
Vlan Counters |
用于按照vlan统计Ethernet设备流量统计信息。 |
Processor Information |
用于统计设备CPU占用率,内存使用情况。 |
3、作用
sFlow典型应用
如图1-1所示,sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中,sFlow Agent用于获取本设备上的接口统计信息和数据信息,将信息封装成sFlow报文,当sFlow报文缓冲区满或是在sFlow报文缓存时间(缓存时间为1秒)超时后,sFlow Agent会将sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析,并显示分析结果。
4、网络流量的统计技术之一,相较于netstream,更显轻量。
参考链接:
https://blog.csdn.net/a_lber_t/article/details/89526519
原文链接;https://blog.csdn.net/a3192048/article/details/86475878