雖然Cisco Systems在幾年前就推出了Netflow v9，但是大多數(shù)企業(yè)仍在堅(jiān)持使用效率較低的NetFlow v5進(jìn)行網(wǎng)絡(luò)流量監(jiān)控和分析。這是因?yàn)殡m然NetFlow v9實(shí)現(xiàn)了更深層次的監(jiān)控并能夠整合網(wǎng)絡(luò)管理技術(shù)，但它比v5版本更復(fù)雜，更難學(xué)。不過企業(yè)最終會(huì)被迫轉(zhuǎn)向使用新版本的。

NetFlow是一個(gè)Cisco協(xié)議，它能夠產(chǎn)生網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)。路由器和交換機(jī)產(chǎn)生的NetFlow記錄會(huì)由NetFlow采集器進(jìn)行編譯和分析。Cisco和Enterasys Networks的許多交換機(jī)和路由器都支持這個(gè)協(xié)議，而其他許多網(wǎng)絡(luò)供應(yīng)商則支持其他版本，如JFlow和sFlow。

NetFlow v5是一個(gè)固定的協(xié)議，只支持網(wǎng)絡(luò)流量中非?；镜撵o態(tài)信息，如來源和目標(biāo)IP地址，但NetFlow v9是一個(gè)可擴(kuò)展的協(xié)議，它允許供應(yīng)商和用戶創(chuàng)建新的模板來導(dǎo)出各種網(wǎng)絡(luò)信息。

“您可以創(chuàng)建使用NetFlow傳輸?shù)哪０搴妥远ㄖ频臏y(cè)量基準(zhǔn)分組，” Enterprise Management Associates的網(wǎng)絡(luò)管理技術(shù)研究主管Jim Frey說。

“假設(shè)您希望添加一個(gè)測(cè)量基準(zhǔn)來檢查[路由器]CPU使用率或其他關(guān)于應(yīng)用類型的詳細(xì)信息，那么您可以通過NetFlow v9實(shí)現(xiàn)。您甚至可以注入一些用于探測(cè)synflood的信息，如往返次數(shù)和標(biāo)記。通過SNMP（Simple Network Management Protocol）接口從路由器中獲取的信息現(xiàn)在都可以使用v9注入到NetFlow記錄中。”

NetFlow v9的使用是不可避免的

再過幾年，企業(yè)將不得不采用NetFlow v9，因?yàn)镹etFlow v5不支持IPv6。當(dāng)IPv4地址耗盡時(shí)，企業(yè)將開始使用IPv6傳輸，那時(shí)他們就必須升級(jí)到新版本。

“部署了MPLS和/或IPv6技術(shù)的服務(wù)提供商和企業(yè)客戶都需要使用NetFlow v9統(tǒng)計(jì)他們網(wǎng)絡(luò)中的信息來進(jìn)行流量分析、容量規(guī)劃或DDos[分布式拒絕服務(wù)]探測(cè)解決方案，”Cisco負(fù)責(zé)無邊界網(wǎng)絡(luò)的高級(jí)經(jīng)理Joel Conover說。

網(wǎng)絡(luò)經(jīng)理Ryan Laus使用Lancope的Stealthwatch收集和分析Central Michigan University網(wǎng)絡(luò)中的NetFlow記錄，他仍然在這個(gè)大學(xué)的網(wǎng)絡(luò)中使用NetFlow v5，但是他估計(jì)一旦學(xué)校開始使用IPv6，就會(huì)升級(jí)到NetFlow v9。

“我們正開始嘗試?yán)肹NetFlow v9]，而且當(dāng)我們轉(zhuǎn)到IPv6時(shí)，如果我們想要繼續(xù)監(jiān)控流量，就不得不使用新版本，”他說。

NetFlow v9模板的可擴(kuò)展性將最終幫助Laus更好地監(jiān)控大學(xué)網(wǎng)絡(luò)中學(xué)生所使用的端到端(P2P)流量。

“其中最吸引我們的是NetFlow v9開始檢查這些流量的數(shù)據(jù)部分，”Laus說。“它能夠讓我們監(jiān)控到網(wǎng)絡(luò)中是否有人在傳輸非法的HTTP流量或者通過80端口使用BitTorrent而隱藏流量。它還能夠讓我們了解網(wǎng)絡(luò)中所使用的應(yīng)用程序。它能夠標(biāo)識(shí)流量，這樣我們就能夠確定生成這些流量負(fù)載的是哪一個(gè)應(yīng)用程序。”

這種可見性將在容量管理方面給予Laus幫助。如果NetFlow v9監(jiān)控顯示校內(nèi)有6,000名學(xué)生在某天使用Netflix流媒體，那么他就知道他必須增加帶寬容量。

強(qiáng)大的NetFlow v9為何沒人使用？

雖然Cisco Systems在幾年前就推出了Netflow v9，但是大多數(shù)企業(yè)仍在堅(jiān)持使用效率較低的NetFlow v5進(jìn)行網(wǎng)絡(luò)流量監(jiān)控和分析。為什么到現(xiàn)在只有20%的Cisco客戶在使用NetFlow v9呢？

應(yīng)用緩慢的部分原因是由于網(wǎng)絡(luò)監(jiān)控和管理供應(yīng)商還沒有掌握NetFlow v9開放模板的使用方法，F(xiàn)rey說。NetFlow v5更容易使用，因?yàn)檫@個(gè)協(xié)議產(chǎn)生的記錄是靜態(tài)的，而NetFlow采集器知道記錄類型，然而，NetFlow v9是動(dòng)態(tài)的。Cisco經(jīng)常為這個(gè)協(xié)議發(fā)布新模板，而最終用戶也能夠在協(xié)議內(nèi)創(chuàng)建自己的模板。NetFlow采集器通常不知道如何處理所接收到的采用新模板保存信息的記錄。

許多NetFlow采集器供應(yīng)商會(huì)通過在NetFlow v9中支持一定數(shù)量的模板配置來解決這個(gè)問題，但是他們?cè)O(shè)計(jì)的產(chǎn)品還不能夠識(shí)別網(wǎng)絡(luò)管理人員在NetFlow記錄中配置的模板，F(xiàn)rey說。有一些NetFlow專家，如Lancope和Plixer，在處理NetFlow v9的可擴(kuò)展性方面做得很好，但是其他供應(yīng)商在這方面仍然比較落后，他說。

例如，Lancope仍然依賴與Cisco的緊密協(xié)作來處理NetFlow v9的變化。“現(xiàn)在市面上有100多種NetFlow采集器，而其中有許多都無法使用NetFlow v9的最新功能，”Lancope的CTO Adam Powers說。“他們?cè)黾恿薔etFlow的基本支持，如來源和目標(biāo)IP地址、端口號(hào)和字節(jié)計(jì)數(shù)。但是Cisco會(huì)逐漸添加更多的功能，他們必須保證NetFlow v9不會(huì)影響現(xiàn)有的實(shí)現(xiàn)。”

即使網(wǎng)絡(luò)管理員擁有能夠處理新版本協(xié)議的NetFlow采集器，他可能仍然不愿意轉(zhuǎn)向新版本。NetFlow v9的靈活性在帶來強(qiáng)大功能的同時(shí)，也增加了其復(fù)雜性。

“如果人們擁有能夠正確創(chuàng)建模板的專業(yè)人員，并且在后臺(tái)擁有能夠處理不斷變化的靈活格式的工具，那么他們就可以一勞永逸了。”

使用NetFlow v9整合并改進(jìn)網(wǎng)絡(luò)管理工具

NetFlow v9可能一開始會(huì)增加網(wǎng)絡(luò)管理的復(fù)雜程度，但是它的功能也使網(wǎng)絡(luò)管理員能夠整合他們的網(wǎng)絡(luò)管理工具，并能夠更精細(xì)地監(jiān)控網(wǎng)絡(luò)行為。

網(wǎng)絡(luò)工程師能夠配置NetFlow v9來傳輸他們一般只通過SNMP輪詢工具才能夠收集的信息，F(xiàn)rey說。這個(gè)功能使企業(yè)能夠利用NetFlow采集器處理更多的網(wǎng)絡(luò)管理和監(jiān)控需求。

“當(dāng)我們開始能夠處理往返信息或者測(cè)量通信質(zhì)量……（并且）將它們注入到NetFlow流中時(shí)，它能夠產(chǎn)生許多邊緣效應(yīng)，如減少管理系統(tǒng)、減小管理負(fù)載、減少所需要的授權(quán)和支持、減少多個(gè)工具之間的數(shù)據(jù)關(guān)聯(lián)等。”

NetFlow相對(duì)于SNMP輪詢而言更加精細(xì)和可靠，所以網(wǎng)絡(luò)管理員將會(huì)發(fā)現(xiàn)NetFlow v9能夠提高他們的總體管理能力。

“SNMP是基于輪詢的，”Frey說。“您需要直接操控它。SNMP在網(wǎng)絡(luò)設(shè)備中是低優(yōu)先級(jí)的功能。如果網(wǎng)絡(luò)很繁忙，[路由器]可能會(huì)停止響應(yīng)您的信息請(qǐng)求，您可能在最需要數(shù)據(jù)的時(shí)候漏掉一些SNMP數(shù)據(jù)——在網(wǎng)絡(luò)最擁擠的時(shí)候。NetFlow采用了一個(gè)發(fā)布模型。它只負(fù)責(zé)將記錄發(fā)出，而不會(huì)做其他事。”

依賴于SNMP輪詢的工具一般在網(wǎng)絡(luò)設(shè)備上默認(rèn)是每隔15分鐘請(qǐng)求一次數(shù)據(jù)。有一些設(shè)備可能會(huì)每5分鐘請(qǐng)求一次，F(xiàn)rey說。在一段時(shí)間內(nèi)以更高頻率采集SNMP數(shù)據(jù)會(huì)增加網(wǎng)絡(luò)負(fù)擔(dān)。相反，NetFlow總是在運(yùn)行的，而記錄是不停地發(fā)布，而不會(huì)造成任何的網(wǎng)絡(luò)擁塞。

作者：Shamus McGillicuddy