虽然Cisco Systems在几年前就推出了Netflow v9,但是大多数企业仍在坚持使用效率较低的NetFlow v5进行网络流量监控和分析。这是因为虽然NetFlow v9实现了更深层次的监控并能够整合网络管理技术,但它比v5版本更复杂,更难学。不过企业最终会被迫转向使用新版本的。
NetFlow是一个Cisco协议,它能够产生网络活动数据。路由器和交换机产生的NetFlow记录会由NetFlow采集器进行编译和分析。Cisco和Enterasys Networks的许多交换机和路由器都支持这个协议,而其他许多网络供应商则支持其他版本,如JFlow和sFlow。
NetFlow v5是一个固定的协议,只支持网络流量中非常基本的静态信息,如来源和目标IP地址,但NetFlow v9是一个可扩展的协议,它允许供应商和用户创建新的模板来导出各种网络信息。
“您可以创建使用NetFlow传输的模板和自定制的测量基准分组,” Enterprise Management Associates的网络管理技术研究主管Jim Frey说。
“假设您希望添加一个测量基准来检查[路由器]CPU使用率或其他关于应用类型的详细信息,那么您可以通过NetFlow v9实现。您甚至可以注入一些用于探测synflood的信息,如往返次数和标记。通过SNMP(Simple Network Management Protocol)接口从路由器中获取的信息现在都可以使用v9注入到NetFlow记录中。”
NetFlow v9的使用是不可避免的
再过几年,企业将不得不采用NetFlow v9,因为NetFlow v5不支持IPv6。当IPv4地址耗尽时,企业将开始使用IPv6传输,那时他们就必须升级到新版本。
“部署了MPLS和/或IPv6技术的服务提供商和企业客户都需要使用NetFlow v9统计他们网络中的信息来进行流量分析、容量规划或DDos[分布式拒绝服务]探测解决方案,”Cisco负责无边界网络的高级经理Joel Conover说。
网络经理Ryan Laus使用Lancope的Stealthwatch收集和分析Central Michigan University网络中的NetFlow记录,他仍然在这个大学的网络中使用NetFlow v5,但是他估计一旦学校开始使用IPv6,就会升级到NetFlow v9。
“我们正开始尝试利用[NetFlow v9],而且当我们转到IPv6时,如果我们想要继续监控流量,就不得不使用新版本,”他说。
NetFlow v9模板的可扩展性将最终帮助Laus更好地监控大学网络中学生所使用的端到端(P2P)流量。
“其中最吸引我们的是NetFlow v9开始检查这些流量的数据部分,”Laus说。“它能够让我们监控到网络中是否有人在传输非法的HTTP流量或者通过80端口使用BitTorrent而隐藏流量。它还能够让我们了解网络中所使用的应用程序。它能够标识流量,这样我们就能够确定生成这些流量负载的是哪一个应用程序。”
这种可见性将在容量管理方面给予Laus帮助。如果NetFlow v9监控显示校内有6,000名学生在某天使用Netflix流媒体,那么他就知道他必须增加带宽容量。
强大的NetFlow v9为何没人使用?
虽然Cisco Systems在几年前就推出了Netflow v9,但是大多数企业仍在坚持使用效率较低的NetFlow v5进行网络流量监控和分析。为什么到现在只有20%的Cisco客户在使用NetFlow v9呢?
应用缓慢的部分原因是由于网络监控和管理供应商还没有掌握NetFlow v9开放模板的使用方法,Frey说。NetFlow v5更容易使用,因为这个协议产生的记录是静态的,而NetFlow采集器知道记录类型,然而,NetFlow v9是动态的。Cisco经常为这个协议发布新模板,而最终用户也能够在协议内创建自己的模板。NetFlow采集器通常不知道如何处理所接收到的采用新模板保存信息的记录。
许多NetFlow采集器供应商会通过在NetFlow v9中支持一定数量的模板配置来解决这个问题,但是他们设计的产品还不能够识别网络管理人员在NetFlow记录中配置的模板,Frey说。有一些NetFlow专家,如Lancope和Plixer,在处理NetFlow v9的可扩展性方面做得很好,但是其他供应商在这方面仍然比较落后,他说。
例如,Lancope仍然依赖与Cisco的紧密协作来处理NetFlow v9的变化。“现在市面上有100多种NetFlow采集器,而其中有许多都无法使用NetFlow v9的最新功能,”Lancope的CTO Adam Powers说。“他们增加了NetFlow的基本支持,如来源和目标IP地址、端口号和字节计数。但是Cisco会逐渐添加更多的功能,他们必须保证NetFlow v9不会影响现有的实现。”
即使网络管理员拥有能够处理新版本协议的NetFlow采集器,他可能仍然不愿意转向新版本。NetFlow v9的灵活性在带来强大功能的同时,也增加了其复杂性。
“如果人们拥有能够正确创建模板的专业人员,并且在后台拥有能够处理不断变化的灵活格式的工具,那么他们就可以一劳永逸了。”
使用NetFlow v9整合并改进网络管理工具
NetFlow v9可能一开始会增加网络管理的复杂程度,但是它的功能也使网络管理员能够整合他们的网络管理工具,并能够更精细地监控网络行为。
网络工程师能够配置NetFlow v9来传输他们一般只通过SNMP轮询工具才能够收集的信息,Frey说。这个功能使企业能够利用NetFlow采集器处理更多的网络管理和监控需求。
“当我们开始能够处理往返信息或者测量通信质量……(并且)将它们注入到NetFlow流中时,它能够产生许多边缘效应,如减少管理系统、减小管理负载、减少所需要的授权和支持、减少多个工具之间的数据关联等。”
NetFlow相对于SNMP轮询而言更加精细和可靠,所以网络管理员将会发现NetFlow v9能够提高他们的总体管理能力。
“SNMP是基于轮询的,”Frey说。“您需要直接操控它。SNMP在网络设备中是低优先级的功能。如果网络很繁忙,[路由器]可能会停止响应您的信息请求,您可能在最需要数据的时候漏掉一些SNMP数据——在网络最拥挤的时候。NetFlow采用了一个发布模型。它只负责将记录发出,而不会做其他事。”
依赖于SNMP轮询的工具一般在网络设备上默认是每隔15分钟请求一次数据。有一些设备可能会每5分钟请求一次,Frey说。在一段时间内以更高频率采集SNMP数据会增加网络负担。相反,NetFlow总是在运行的,而记录是不停地发布,而不会造成任何的网络拥塞。
作者:Shamus McGillicuddy